Dossier Barbie: datalek leidt tot boete van € 460.000

De eerste boete voor overtreding van de AVG is een feit. Aan het HagaZiekenhuis is een boete van € 460.000 én een dwangsom van € 300.000 opgelegd omdat het de beveiliging van het elektronisch patiëntendossier niet op orde heeft.

Dat die beveiliging niet op orde is, werd pijnlijk duidelijk toen realityster ‘Barbie’ werd opgenomen. Medische informatie over haar welzijn werd verwerkt in haar elektronische patiëntendossier (EPD). Dit dossier werd door 197 medewerkers van het ziekenhuis bekeken. Een flink deel van die medewerkers – 85 – had echter niets met Barbie en haar behandeling te maken en dus ook niets met haar EPD. Desondanks konden zij het EPD van Barbie raadplegen. Hetgeen ook relatief massaal gebeurde.

Het HagaZiekenhuis meldde dit datalek aan de Autoriteit Persoonsgegevens (‘AP’), die vervolgens onderzoek heeft gedaan naar de maatregelen die het ziekenhuis heeft getroffen om te voorkomen dat persoonsgegevens in het EPD worden ingezien door onbevoegde medewerkers.

Onderzoek AP
De conclusies van de AP liegen er niet om:

• De gebruikersauthenticatie (identificatie van de gebruiker die toegang krijgt tot EPD) voldeed niet aan de toepasselijke NEN-norm omdat er géén sprake van was van tweefactorauthenticatie. Medewerkers konden toegang krijgen door het systeem uitsluitend via ‘kennis’ (een gebruikersnaam en wachtwoord), in plaats van via ‘kennis en bezit’ (twee factoren: kennis zoals een wachtwoord en bezit zoals een token of toegangspas).
• De wijze waarop het ziekenhuis de logbestanden controleerde (toegang tot EPD) was in strijd met de geldende NEN-normen (NEN 7510 en NEN 7513). Het ziekenhuis controleerde één keer in de twee maanden de logging door middel van een aselecte steekproef van één patiëntdossier. Dus in totaal (maar) zes patiënt dossiers per jaar. Die controle was dan ook nog eens beperkt tot mislukte toegangspogingen en gerealiseerde toegang buiten de behandelrelatie via de zogeheten ‘noodknopprocedure’ (toegang via een aparte methode in het systeem voor situaties waarin er geen behandelrelatie was). Als het geselecteerde dossier van een bepaalde ‘extra gevoelige’ afdeling kwam (zoals psychiatrie) zou een volledige controle van de logging moeten plaatsvinden. Er was geen sprake van controle op logging van alle dossiers op opvallende afwijkingen of uitschieters. Er werd verder ook geen gebruik gemaakt van automatische signalering bij overschrijding van bepaalde grenswaarden.
• De AP concludeert dat op die manier geen sprake is van een “systematische, risicogerichte c.q. intelligente controle” van de logging. In de praktijk heeft ook geen systematische controle plaatsgevonden. De controles die wel plaatsvonden kwamen, op één geval na, voort uit klachten of verzoeken, maar waren niet risicogericht en qua omvang onvoldoende, gelet op de schaal van de verwerkingen door het ziekenhuis. Het doen van slechts één of enkele proactieve steekproef/steekproeven per jaar is volgens de AP “ruimschoots en evident onvoldoende” om te kunnen spreken van een passend beveiligingsniveau dat ziet op de signalering van onbevoegde toegang tot patiëntgegevens en het treffen van maatregelen naar aanleiding van onbevoegde toegang. Kortom, ook hier was geen sprake van een passende maatregel zoals de AVG eist (artikel 32 lid 1 AVG).

Boete van € 460.000
De AP heeft het HagaZiekenhuis uiteindelijk een boete van € 460.000 opgelegd voor overtreding van artikel 32 lid 1AVG (onvoldoende passende beveiligingsmaatregelen door het ontbreken van tweefactorauthenticatie en onvoldoende controle op logging).

De basisboete voor schending van artikel 32 lid 1 AVG is € 310.000.  Afhankelijk van de omstandigheden kan die basisboete worden verhoogd of verlaagd (Boetebeleidsregels 2019, zie onder meer artikel 7). In het geval van het HagaZiekenhuis heeft de AP de boete dus fors verhoogd.

In die verhoging speelt mee dat het ziekenhuis de toepasselijke NEN-normen niet naleeft, de lange en structurele periode waarin dit het geval is geweest (tot op heden!), dat het ziekenhuis deze overtreding niet heeft beëindigd nadat haar al in het voorjaar van 2018 duidelijk was geworden hoeveel medewerkers (85) onbevoegd toegang hadden gekregen tot het dossier van Barbie, het grote aantal betrokken patiënten dat is opgenomen in het ziekenhuisinformatiesysteem en het type persoonsgegevens (gezondheidsgegevens). Al met al concludeert de AP dat het ziekenhuis het vertrouwen in hoge mate heeft beschaamd en dat sprake is van een ernstige voortdurende overtreding.

De boete is verder verhoogd omdat het ziekenhuis volgens de AP bijzonder nalatig is geweest met het treffen van passende beveiligingsmaatregelen. Tot dat oordeel komt de AP (samengevat) onder meer omdat (de directie van) het ziekenhuis in mei 2018 op de hoogte was van de (grootschalige) onbevoegde toegang tot het EPD van Barbie en er in het betreffende interne onderzoeksrapport al nadere maatregelen waren aanbevolen, maar dat die maatregelen nog niet waren geïmplementeerd. Het ziekenhuis claimde dat het geen tijd beschikbaar had voor het treffen van een maatregel ten aanzien van controle op de logging. De AP oordeelt dat het ziekenhuis overtreding van de AVG niet kan legitimeren door een beroep op een gebrek aan middelen.

Tot slot is het Hagaziekenhuis nog een last onder dwangsom opgelegd. Als het niet binnen 15 weken de overtreding van de AVG beëindigt moet het – naast de boete – nog een dwangsom van maximaal € 300.000 betalen.

Eerste boete onder AVG
De AP had al aangekondigd dat zij in 2019 zou gaan handhaven. Hoewel één zwaluw nog geen zomer maakt, is een eerste stap gezet door het beboeten van het ziekenhuis in kwestie.

Onderzoeksrapport en boetebesluit maken duidelijk hoe belangrijk een passende beveiliging van gezondheidsinformatiesystemen (EPD) én een proactieve houding van de verantwoordelijke  organisatie daarbij zijn, alsmede hoe daaraan invulling moet worden gegeven. Daarnaast maakt de kwestie bij het HagaZiekenhuis duidelijk hoe belangrijk het is om medewerkers ervan te doordringen dat ongeoorloofde toegang tot EPD’s, niet is toegestaan. Op dit punt (bewustwording medewerkers) had het HagaZiekenhuis haar beleid op orde, maar dat voorkwam niet dat 85 medewerkers ten onrechte het dossier van Barbie bekeken. Stevig beleid, voorzien van (arbeidsrechtelijke) maatregelen/sancties bij niet-naleving, is essentieel. Overtreding van zulk beleid – zoals onbevoegde toegang tot het EPD – kan een reden zijn voor ontslag (op staande voet).

Heeft u vragen naar aanleiding van dit artikel of andere arbeidsrechtelijke vragen, neemt u dan gerust vrijblijvend contact op met Suzan Wolters of andere leden van de sectie Arbeidsrecht.