AP deelt eerste AVG-boete uit aan Nederlands ziekenhuis

Blog

AP deelt eerste AVG-boete uit aan Nederlands ziekenhuis

Een korte analyse van het boetebesluit

De eerste AVG-boete is uitgedeeld in de zorgsector. Niet onverwacht, want het toezicht op de zorgsector staat al jaren hoog op de toezichtsagenda van de Autoriteit Persoonsgegevens (“AP”). Of toch, omdat de eerste harde tik nu juist in de zorgsector moest vallen? In deze blog zetten wij de feiten uiteen.

Peter Kits , Marloes Dankert & Marlieke Bakker - 18 juli 2019

Wat lokte deze boete uit? Naar aanleiding van een aangekondigd onderzoek ter plaatse (“OTP”) heeft de AP geconstateerd dat het ziekenhuis geen tweefactor authenticatie verplicht stelt bij het inloggen op het zorginformatiesysteem. Daarnaast heeft het ziekenhuis volgens de AP onvoldoende controlemaatregelen getroffen ten aanzien van loggegevens. Twee observaties ten aanzien van dit boetebesluit lichten we hier uit.

Aanloop

Allereerst kent het boetebesluit een voorgeschiedenis. Het onderzoek startte naar aanleiding van een datalek in april 2018 waarbij persoonsgegevens van een bekende Nederlander waren betrokken. 197 medewerkers van het ziekenhuis hadden toegang verschaft tot het medisch dossier van de bekende Nederlander, waarvan 100 onrechtmatig. De AP heeft vervolgens een schriftelijk informatieverzoek verstuurd aan het ziekenhuis en is, naar aanleiding van de ontvangen informatie, een OTP gestart naar de door het ziekenhuis getroffen beveiligingsmaatregelen. Vermeldenswaardig is dat de OTP plaatsvond ná de inwerkingtreding van de AVG. Na de OTP is een onderzoeksrapport opgesteld waarin de AP heeft geconcludeerd dat het ziekenhuis artikel 32 lid 1 AVG, gelezen in samenhang met artikel 3 lid 2 Besluit elektronische gegevensverwerking door zorgaanbieders en het bepaalde onder 9.4.1 en onder 12.4.1 van NEN 7510-2, heeft overtreden. Ruim een jaar na het gemelde datalek beboet de AP het ziekenhuis. Om het ziekenhuis te dwingen de beveiligingsmaatregelen op orde te krijgen, heeft de AP tegelijkertijd een last onder dwangsom opgelegd. Indien het ziekenhuis de geconstateerde overtreding niet binnen vijftien weken beëindigt, verbeurt zij na afloop van die begunstigingstermijn voor iedere twee weken dat niet (geheel) aan de last is voldaan een dwangsom.

Opzet, bestaan, werking

Duidelijk wordt in dit boetebesluit dat de AP kijkt naar opzet, bestaan en dan als grand finale: de werking. Want het beleid ligt er wel – maar wordt het in de praktijk ook (efficiënt) uitgevoerd? Benoemd wordt dat het ziekenhuis een eigen autorisatiebeleid heeft waarin is vastgelegd dat beveiliging en logging overeenkomstig de uitgangspunten zoals gesteld in de NEN 7510 en NEN7513 moet plaatsvinden. In het autorisatiebeleid is als uitgangspunt opgenomen dat de logbestanden periodiek worden gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik van persoonsgegevens en waar nodig actie wordt ondernomen door de verwerkingsverantwoordelijke (in de zin van de AVG). De hoeveelheid controles die het ziekenhuis voornemens was uit te voeren, was niet opgenomen in het beleid maar is mondeling toegelicht aan de AP. De AP heeft geconcludeerd dat het ziekenhuis afweek van haar eigen autorisatiebeleid. Zij voerde slechts één proactieve controle op logging uit in 2018 en twee controles in 2019. Dat was niet alleen onvoldoende volgens de AP, maar bleek ook minder te zijn dan mondeling toegelicht door het ziekenhuis.

Het besluit van de AP toont aan dat het hebben van (een algemeen) beleid onvoldoende is om te kunnen voldoen aan artikel 32 AVG (in audit termen: “opzet en bestaan”). De organisatie moet het beleid, zeker als het verwijst naar open normen, nader concretiseren en praktiseren (“werking”). De naleving van de AVG is (veel) meer dan een papieren exercitie. De moeite die is gestoken in het opstellen van een intern en extern privacy beleid, een informatiebeveiligings-, autorisatie, bewaartermijnen- en loggingbeleid, verwerkersovereenkomsten – ga zo maar door gaat verloren als het niet in de praktijk “wordt geleefd”. De AP neemt dit mee als onderdeel van het toezicht.

Wake up call

Het boetebesluit kan een wake up call zijn – en niet alleen in de zorgsector – en geeft momentum om het onderwerp (weer) stevig op de agenda te zetten en te houden binnen uw organisatie.

Meer weten?

Wilt u meer weten over privacy? Neem dan contact op met Marloes Dankert via +31 (0)88 288 7437

Did you find this useful?