Nieuws

juli 17, 2019

Autoriteit persoonsgegevens straft HagaZiekenhuis wegens lekken van pati├źntendossier Barbie

Het is eindelijk zover! Eén jaar en twee maanden na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) een boete van €460.000,00 opgelegd aan het HagaZiekenhuis. Volgens de toezichthouder heeft het Haagse ziekenhuis tot op heden niet voldaan aan de vereiste twee-factor-authenticatie en het regelmatig beoordelen van (in)logbestanden. Daardoor heeft zij onvoldoende passende maatregelen genomen als bedoeld in artikel 32 AVG.

Op 4 april 2019 maakte het HagaZiekenhuis melding van een datalek omdat meerdere personen onbevoegde inzage hebben gehad in het patiëntendossier van mediapersoonlijkheid Samantha de Jong, beter bekend als Barbie. Naar aanleiding van het datalek heeft de Autoriteit een onderzoek ingesteld.

Volgens de AVG, het Besluit elektronische gegevensverwerking door Zorgaanbieders en de NEN 7510, had het ziekenhuis alle technische en organisatorische maatregelen moeten treffen om ervoor te zorgen dat patiëntgegevens voldoende zijn beveiligd. De privacywaakhond concludeert dat het ziekenhuis op twee onderdelen onvoldoende beveiligingsmaatregelen getroffen heeft:

  • Zorginstellingen moeten structureel bijhouden wie wanneer welk patiëntendossier heeft geraadpleegd (logging) en dit moet regelmatig worden gecontroleerd. Op deze manier kan de instelling onbevoegde toegang signaleren en maatregelen nemen.
  • Een goede beveiliging wordt volgens de toezichthouder gegarandeerd door een zogenoemde twee-factor-authenticatie. Dit is een systeem dat bijhoudt wie op welk moment inlogt en wijzigingen maakt in het platform. De identiteit van de gebruiker om toegang te krijgen tot het patiëntendossier wordt dan bijvoorbeeld vastgesteld op basis van kennis (code of een wachtwoord) en bezit (personeelspas).

Om het ziekenhuis te dwingen de beveiliging van de patiëntendossiers te verbeteren wordt eveneens een last onder dwangsom opgelegd. Dit houdt in dat als het ziekenhuis niet voor 2 oktober 2019 de beveiliging verbetert, het een extra boete van €50.000 per week moet betalen, met een maximum van €300.000,00.

Dit is niet de eerste boete die op basis van de AVG wordt opgelegd aan een ziekenhuis. In 2018 had de Portugese privacywaakhond ook een boete van €400.000 wegens problemen met de beveiliging van de personeelsdossiers in een Ziekenhuis in Lissabon.

Bron: link