Autoriteit Persoonsgegevens legt (weer) boete op aan een ziekenhuis, voorbode voor de GGD?

sector:

Healthcare

expertise:

IT & Privacy

sector:

Healthcare

12 February 2021

De Autoriteit Persoonsgegevens (AP) maakte gisteren bekend een boete van EUR 440.000 te hebben opgelegd aan ziekenhuis OLVG. Het ziekenhuis had onvoldoende maatregelen getroffen om patiëntengegevens goed te beveiligen.

Beveiliging in de zorg

Omdat ziekenhuizen met medische persoonsgegevens werken, is een strenge beveiliging van de gegevens noodzakelijk. De Algemene Verordening Gegevensbescherming schrijft dan ook o.a. voor dat hoe gevoeliger de gegevens zijn, hoe beter deze beveiligd moeten worden. Op die manier worden de risico’s die gepaard gaan met het verwerken van medische gegevens zo veel als mogelijk beperkt. In de zorg is de norm voor de beveiliging neergelegd in de NEN 7510, NEN 7512 en NEN 7513 normen. Deze normen schrijven onder meer tweefactor authenticatie en het bijhouden en controleren van wie wanneer toegang heeft (logging) tot een elektronisch patiëntendossier (EPD) voor. Het ziekenhuis had zich gecommitteerd aan deze normen.

Beveiliging schiet tekort

Uit het boetebesluit blijkt dat de beveiliging van het OLVG volgens de AP tekortschiet op voornoemde punten te tekort: er was geen sprake van tweefactor authenticatie en het ontbrak aan het structureel controleren van de logbestanden.

Medewerkers van het ziekenhuis konden inloggen met enkel een gebruikersnaam en wachtwoord. Hierdoor kwamen medewerkers meteen in het systeem waar ook direct toegang kon worden verkregen tot de EPD’s (in geval van OLVG het EPD Epic). Een extra authenticatiemiddel (zoals bijvoorbeeld een sms met code naar een mobiele telefoon, een personeelspas of token) zodat het systeem zeker weet wie er inlogt, ontbrak. De AP geeft aan dat tweefactor authenticatie op basis van de AVG en de normen in de zorg is vereist. Daarin schiet het ziekenhuis dus tekort. Dit tweede authenticatiemiddel was overigens wel aanwezig wanneer van buiten de organisatie wordt ingelogd.

Daarnaast schrijft de NEN 7513 (en sinds 1 juli 2020 ook de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)) voor dat er gelogd wordt wie wanneer toegang heeft tot een EPD. Dit moet ook periodiek worden gecontroleerd. Op die manier kan het ziekenhuis (maar ook de patiënt) inzien wie er toegang heeft gehad tot zijn gegevens. Dat mogen uiteraard alleen medewerkers zijn van het ziekenhuis die daar een geldige reden voor hebben. Het ziekenhuis controleerde deze logbestanden niet structureel en vaak genoeg op onbevoegde toegang tot de EPD’s. Ook daarin schoot de beveiliging van het ziekenhuis dus tekort.

Opmerkelijk detail is dat het ziekenhuis in haar beleid had opgenomen te streven naar het aantoonbaar voldoen aan de betreffende NEN-normen. Het feit dat zij niet voldoet aan deze normen acht de AP zeer nalatig. Deze nalatigheid komt het ziekenhuis te staan op een verhoging van de boete met EUR 50.000.

Voorbode voor de GGD?

De vraag is of dit onderzoek en daardoor opgelegde boete een voorbode kan zijn voor wat de GGD te wachten staat. Recentelijk kwam immers uitgebreid in het nieuws dat binnen de GGD vrijwel alle medewerkers toegang hadden tot medische gegevens en het eenvoudig was om persoonsgegevens te exporteren. Het was dan ook een kwestie van tijd totdat een medewerker besloot de gegevens te verhandelen.

De AP heeft om opheldering van de GGD gevraagd en nogmaals benadrukt hoe belangrijk de beveiliging van medische gegevens is. Dat de AP de beveiliging van medische gegevens hoog in het vaandel heeft staan, blijkt wel weer uit bovenstaande boetebesluit en de boete die de AP in 2018 aan het Haga ziekenhuis oplegde. Hoewel de tekortkomingen van de GGD niet één op één dezelfde zijn als die van het ziekenhuis OLVG, kan ik mij voorstellen dat de AP ook hier zal (moeten) handhaven.

Mocht u naar aanleiding van deze blog vragen hebben of graag meer willen weten over privacy, neem dan gerust contact op met Wieger Weijland of een van de andere advocaten van het privacy team.