AP legt eerste AVG-boete op aan een Nederlands ziekenhuis

Written on 17 Jul 2019

Na een langdurig onderzoek heeft de Autoriteit Persoonsgegevens (AP) geoordeeld dat een Nederlands ziekenhuis geen passende technische en organisatorische maatregelen heeft genomen (als bedoeld in artikel 32 AVG), waarna de AP een administratieve boete heeft opgelegd van EUR 460.000. Naast deze boete heeft de AP het ziekenhuis een last onder dwangsom opgelegd. Als het ziekenhuis niet tijdig passende maatregelen neemt kan deze dwangsom oplopen tot EUR 300.000.

Wat is er gebeurd?

Het onderzoek van de AP naar de beveiligingsmaatregelen van het ziekenhuis is ingesteld naar aanleiding van een melding van een datalek dor het ziekenhuis in april 2018. Het betrof de toegang tot medische gegevens van een bekende Nederlander door 85 medewerkers, zonder dat de medewerkers daartoe bevoegd waren of betrokken waren bij de behandeling van deze persoon. De AP heeft zich in het onderzoek specifiek gericht op de maatregelen die het ziekenhuis heeft genomen op het gebied van authenticatie, autorisatie en (controle op) logging van de toegang van medewerkers tot medische dossiers.

In het boetebesluit benadrukt de AP dat, gelet op de gevoeligheid en potentiële risico’s voor de betrokkenen, een hoog beschermingsniveau van medische gegevens in acht moet worden genomen. De AP concludeert in dit verband dat tweefactor authenticatie vereist is (in het ziekenhuis kon via een enkelvoudige authenticatie-methode toegang worden verkregen). Verder oordeelt de AP een passend beveiligingsniveau vereist dat logbestanden met betrekking tot de toegang tot medische dossiers regelmatig en systematisch worden gecontroleerd. Volgens de AP voldeed het ziekenhuis hier niet aan, aangezien het ziekenhuis in 2018 enkel specifieke logbestanden onderzocht naar aanleiding van klachten van patiënten of medewerkers (met uitzondering van één proactieve controle van het medisch dossier van de bekende Nederlander na de melding van de datalek).

Bestuurlijke boute

De boete (EUR 460.000) is berekend in overeenstemming met de onlangs gepubliceerde boetebeleidsregels van de AP (zie ook onze recente blogpost).

In deze boetebeleidsregels is de ‘basisboete’ (die wordt gebruikt als uitgangspunt) voor overtreding van artikel 32 AVG vastgesteld op EUR 310.000. Deze basisboete kan vervolgens aan de hand van een aantal factoren worden verhoogd of verlaagd. In dit geval houdt de AP specifiek rekening met de volgende factoren:

  • de aard, de ernst en de duur van de inbreuk. De AP benadrukt dat de inbreuk op de beveiliging een voortdurende en structurele inbreuk is. Bovendien benadrukt de AP dat het ziekenhuis op de hoogte was van de onbevoegde inzage tot de medische dossiers van de bekende Nederlander, maar geen maatregelen heeft genomen om dergelijke toekomstige incidenten te voorkomen. Daarom, en rekening houdend met het aantal betrokkenen en het type persoonsgegevens (gezondheidsgegevens), verhoogt de AP de boete met EUR 75.000;
  • de opzettelijke of nalatige aard van de inbreuk. De AP weegt mee dat het ziekenhuis geen passende beveiligingsmaatregelen heeft genomen met betrekking tot tweefactor authenticatie en controle van logboeken, terwijl het ziekenhuis zich er volledig van bewust was dat dergelijke maatregelen nodig waren (hetgeen ook volgde uit het eigen onderzoeksrapport van het Ziekenhuis naar aanleiding van het incident). Het argument van het ziekenhuis dat het over onvoldoende middelen en tijd beschikte voor het treffen van dergelijke beveiligingsmaatregelen, ontslaat haar niet van de verplichting om passende beveiligingsmaatregelen te treffen en kan geen rechtvaardiging vormen voor een inbreuk op artikel 32 AVG, aldus de AP. De AP verhoogt de boete daarom nogmaals met EUR 75.000;
  • de maatregelen die het ziekenhuis heeft genomen om de schade te beperken. De door het ziekenhuis genomen maatregelen (waaronder bewustwording onder medewerkers) leiden echter niet tot een verlaging van de boete, aangezien de beveiligingsmaatregelen die zien op de bescherming van patiëntgegevens in totaliteit dienen te worden bezien; en
  • de categorieën van persoonsgegevens. De AP benadrukt dat de categorieën van persoonsgegevens reeds meegenomen zijn in de beoordeling bij ‘de aard, de ernst en de duur van de inbreuk’ en daarom niet als zelfstandige factor leidt tot een verhoging van de boete.

Last onder dwangsom

Aangezien er sprake is van een voortdurende beveiligingsinbreuk, is het ziekenhuis ook een last onder dwangsom opgelegd om ervoor te zorgen dat het ziekenhuis haar beveiligingsmaatregelen binnen 15 weken verbetert. In dit kader moet het ziekenhuis ervoor zorgen dat:

  • de toegang tot medische dossiers uitsluitend mogelijk is met toepassing van tweefactor authenticatie; en
  • de logbestanden regelmatig worden gecontroleerd op ongeoorloofde toegang of ongeoorloofd gebruik van medische gegevens.

Het volledige boetebesluit van de AP vindt u hier.