De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis een boete opgelegd van 460.000 euro. De interne beveiliging van patiëntendossiers was niet op orde en hierdoor konden tientallen medewerkers onnodig het medisch dossier van een bekende Nederlander inzien.
Een zorgverlener mag slechts inzage in een medisch dossier krijgen indien dit vereist is voor de behandeling van de patiënt of voor andere wettelijke verplichtingen. Zo mag een verpleegkundige niet zomaar het deel van het dossier inzien dat door de psycholoog is geschreven, tenzij dit relevant is voor de behandeling. Hiervoor moet het patiëntendossier natuurlijk op kunnen worden ingericht; autorisaties moeten worden ingedeeld op grond van gebruikersrollen.
Toegang tot dossiers, zonder de juiste autorisaties moet echter wel mogelijk zijn. Indien een arts geen behandelaar is van de patiënt, moet deze in spoedgevallen nog wel toegang kunnen krijgen tot het dossier. Uiteraard moeten deze uitzonderlijke inzage worden gelogd en beoordeeld, zodat hier geen misbruik van kan worden gemaakt. Het HagaZiekenhuis controleerde steekproefgewijs enkele dossiers per jaar, maar dit is niet voldoende. Controle op dergelijke uitzonderlijke acties (en algemene logbestanden) moet systematisch en consequent plaatsvinden. Doordat een dergelijke controle ontbrak, was het mogelijk dat tientallen medewerkers gedurende een lange periode onrechtmatig toegang hadden tot het dossier van de bekende Nederlander.
Naast het ontbreken van de controle op de logging, konden medewerkers zonder twee-factor authenticatie inloggen. Er kon gebruik worden gemaakt van een fysieke kaart en een wachtwoord, maar de kaart was optioneel. Toegang tot medische gegevens moet op grond van NEN 7510 altijd plaatsvinden met minimaal twee factoren. Indien een van de factoren wordt doorbroken, bijvoorbeeld het wachtwoord lekt uit, zorgt de tweede factor (de fysiek kaart) ervoor dat de gehele beveiliging niet wordt doorbroken en dat het dossier niet onrechtmatig wordt ingezien.
Door het niet voldoen aan deze twee punten, controle op de logging en twee-factor authenticatie, legt de AP een boete op van 460.000 euro. Daarnaast wordt een last onder dwangsom opgelegd, om het ziekenhuis te dwingen de beveiliging te verbeteren. Als het HagaZiekenhuis de beveiliging niet voor 2 oktober 2019 verbeterd heeft, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro.
Deze flinke boetes zijn opgelegd omdat het gaat om medische gegevens. Deze bijzondere persoonsgegevens moeten extra worden beveiligd. Wij kunnen uw organisatie helpen om een goed beveiligingsbeleid op te zetten. Hierdoor kunt u dergelijke boetes ontlopen en is de privacy goed gewaarborgd. Wilt u weten hoe wij dit doen? Neem vrijblijvend contact met ons op.