De Privacy Consultant
Meesters in het privacyrecht

HagaZiekenhuis tekent bezwaar aan voor de hoogte van de boete

18-07-2019

Het HagaZiekenhuis stelt bezwaar in tegen de hoogte van de boete. Hoe komt de AP tot dit cijfer en heeft het ziekenhuis een kans van slagen?

De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis een boete opgelegd van 460.000 euro. De interne beveiliging van patiëntendossiers was niet op orde en hierdoor konden tientallen medewerkers onnodig het medisch dossier van een bekende Nederlander inzien. Hoe komt de AP tot dit getal?

Allereerst is er in de AVG een verdeling tussen boetes tot 20 miljoen euro of 4 % van de totale wereldwijde jaaromzet en boetes tot 10 miljoen euro of 2 % van de totale wereldwijde jaaromzet. De boete tot 10 miljoen euro is mogelijk wanneer niet wordt voldaan aan:

  • toestemming gegeven door kinderen;1
  • niet identificeren van de betrokkene;2
  • privacy by design en privacy by default;3
  • eisen voor de verwerkingsverantwoordelijk en verwerker;4
  • bijhouden van een verwerkingsregister;5
  • meewerking met de AP;6
  • beveiliging van persoonsgegevens;7
  • melding en bijhouden van datalekken;8
  • het uitvoeren van een PIA (gegevensbeschermingseffectbeoordeling);9
  • eisen met betrekking tot de functionaris gegevensbescherming; of10
  • eisen met betrekking tot gedragscodes en certificering.11

De zwaarste boete kan worden gegeven voor het niet voldoen aan:

  • beginselen inzake de verwerking van persoonsgegevens, zoals de doelbinding en minimale gegevensverwerking;12
  • rechtmatigheid van de verwerking (grondslag);13
  • toestemming gegeven door volwassenen;14
  • eisen met betrekking tot de verwerking van bijzondere persoonsgegevens;15
  • rechten van de betrokkenen;16
  • verplichtingen uit hoofdstuk IX AVG;
  • doorgifte van persoonsgegevens naar derde land; of17
  • bevel of een verwerkingsbeperking opgelegd door de AP.18

In dit geval gaat het om het niet voldoen aan de eisen met betrekking tot de beveiliging van persoonsgegevens en moet de lichte variant worden opgelegd. De AP heeft zelf beleidsregels opgesteld om de hoogte van de boete verder te bepalen.19 Hierin zijn een viertal categorieën uiteen gezet. Per artikel uit de AVG dat kan worden overtreden is de categorie bepaald. In het geval van de lichte variant (maximaal 10 miljoen euro), mogen op grond van de beleidsregels de categorieën I, II en III worden gebruikt.20

Welke categorie moet worden gekozen?

In dit geval gaat het om het niet voldoen aan de eis dat persoonsgegevens goed moeten worden beveiligd en moet categorie II worden gehanteerd.21 De zwaarste categorie wordt gehanteerd voor bijvoorbeeld het niet voldoen aan de eisen voor de verwerking van bijzondere persoonsgegevens, zoals medisch gegevens. Hiervoor wordt categorie IV gehanteerd.

Op grond van categorie II van de beleidsregels en de lichte variant uit de AVG, betreft de basisboete 310.000 euro.22 Hierbij geldt voorts een boetebandbreedte tussen 120.000 en 500.000 euro.

Verzwarende of verlichtende voorwaarden

De basisboete kan naar boven of beneden worden bijgesteld op grond van de volgende voorwaarden:

  1. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van
  2. de door hen geleden schade;
  3. de opzettelijke of nalatige aard van de inbreuk;
  4. de genomen maatregelen om de door betrokkenen geleden schade te beperken;
  5. de mate waarin de organisatie verantwoordelijk is gezien de maatregelen voor de beveiliging en
  6. de privacy by design en default principes;
    eerdere relevante inbreuken;
  7. de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
  8. de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
  9. de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre de inbreuk heeft gemeld;
  10. de naleving van eventuele eerdere maatregelen opgelegd door de AP;
  11. het aansluiten bij gedragscodes of het hebben van bepaalde certificaten; en
  12. elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.23

De AP stelt dat de verplichtingen die het ziekenhuis had moeten treffen, reeds onder de Wet bescherming persoonsgegevens ook al moesten worden getroffen. Zij hadden dit moeten weten, zeker gezien de hoeveelheid gegevens die zij verwerkt (a). Omdat zij dit hadden moeten weten, werden zij geacht reeds deze maatregelen te hebben geïmplementeerd. Door dit niet te doen, zijn zij nalatig geweest hierin (c). Gelet op deze twee verzwarende omstandigheden, heeft de AP de basisboete van 310.000 euro twee keer verhoogd met elke keer 75.000 euro tot een totaal van 460.000 euro.

Conclusie

Het lijkt erop dat de AP haar beleid nauwkeurig gevolgd heeft. Het ziekenhuis zal dus alleen kunnen aanvoeren dat de beleidsregels zelf niet juist zijn. Hierin ligt echter een bepaalde vrijheid van de AP om de hoogte zelf te kunnen bepalen. 

Vanwege de rechtszekerheid zal het echter goed zijn om te zien hoe een rechter in deze zaak zal oordelen. Gezien het feit dat door de komst van de AVG de hoogte van de maximale boete aanzienlijk is verhoogd en dat de beveiliging van zorgsystemen nog steeds ondermaats is, zal de rechter vermoedelijk de AP in het gelijk stellen. De boete heeft dan ook een straffend karakter.

Wilt u weten hoe u uw systemen goed moet beveiligen en welke maatregelen u moet nemen om de privacy te waarborgen? De Privacy Consultant zal een aanzienlijk lager bedrag hiervoor in rekening brengen dan de AP. Neem hiervoor vrijblijvend contact met ons op.

 

Voetnoten

  1. Artikel 8 AVG.
  2. Aritkel 11 AVG.
  3. Artikel 25 AVG.
  4. Artikelen 26, 27, 28 en 29 AVG.
  5. Artikel 30 AVG.
  6. Artikel 31 AVG.
  7. Artikel 32 AVG.
  8. Artikelen 33 en 34 AVG
  9. Artikelen 35 en 36 AVG.
  10. Artikelen 37, 38 en 39 AVG.
  11. Artikelen 41 lid 4, 42 en 43 AVG
  12. Artikel 5 AVG.
  13. Artikel 6 AVG.
  14. Artikel 7 AVG.
  15. Artikel 9 AVG.
  16. Artikelen 12 tot en met 22 AVG.
  17. Artikelen 44 tot en met 49 AVG.
  18. Artikel 58 AVG.
  19. Beleidsregels van de Autoriteit Persoonsgegevens van 19 februari 2019 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes, stb. 2019, 14586.
  20. Artikel 2 beleidsregels.
  21. Bijlage 1 beleidsregels.
  22. Artikel 2.3 beleidsregels.
  23. Artikelen 6 en 7 beleidsregels.