HagaZiekenhuis gaat in beroep tegen AVG-boete. AP spreekt van zorgelijke situatie

Het HagaZiekenhuis in Den Haag tekent protest aan tegen de hoge boete van 460.000 Euro die de Autoriteit Persoonsgegevens (AP) heeft opgelegd. Het ziekenhuis kreeg de boete omdat medewerkers onbevoegd in het medisch dossier van tv-ster Samantha de Jong (Barbie) hadden gekeken. Zij was er opgenomen na een zelfmoordpoging.

Volgens voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens blijkt uit onderzoek naar de manier van werken in het Haagse ziekenhuis dat de beveiliging van medische gegevens nog steeds niet op orde is. ,,Wat we hebben aangetroffen is een zeer zorgelijke situatie”, zegt Wolfsen tegen EenVandaag. ,,De beveiliging is echt onder de maat. Er wordt niet goed gecontroleerd, mensen kunnen te gemakkelijk bij die medische dossiers.”

Directievoorzitter Carla van de Wiel van het ziekenhuis zegt het zuur te vinden dat het geld nu niet aan patiëntenzorg kan worden besteed. Zij zegt er in een schriftelijke verklaring alles aan te doen om de dwangsom te vermijden van nog eens vele duizenden euro’s waarmee de Autoriteit Persoonsgegevens (AP) dreigt als het ziekenhuis niet binnen korte tijd er voor zorgt dat persoonsgegevens van patiënten beveiligd worden zoals is vastgelegd in de privacywet.

Het ziekenhuis heeft maar liefst 85 ziekenhuismedewerkers bestraft voor het neuzen in het medische dossier van Barbie.

Het ziekenhuis zegt nu de interne beveiliging van patiëntendossiers verder aan te scherpen. Dat is hard nodig, want twee van de in totaal zes onderdelen worden als niet afdoende beoordeeld door de Autoriteit Persoonsgegevens.

Wat er onder meer ontbrak aan de eigen beveiligingsregels was dat er in veel gevallen al ingelogd kon worden met gebruik van enkel gebruikersnaam en wachtwoord.

Eigenlijk zou je pas toegang tot de dossiers moeten krijgen na invoering van gebruikersnaam, wachtwoord én controle van personeelspas en pincode.

Wie met gebruikersnaam en wachtwoord inlogde had bovendien vier uur toegang tot bepaalde gegevens. De bedoeling is dat er in die tijd vaker opnieuw ingelogd moet worden en ook dat de controle op het inloggen vaker moet plaatsvinden.

Het HagaZiekenhuis zegt de nu nog ontbrekende extra controle op het inloggen van medewerkers in dossiers voor oktober aangescherpt te hebben.

Die deadline is ook nodig om te voorkomen dat er bovenop de boete nog een dwangsom moet worden betaald die kan oplopen tot nog eens vele duizenden euro’s.

Autoriteit Persoonsgegevens deelt eerste forse boete uit wegens overtreding AVG

De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis in Den Haag een boete van 460.000 euro opgelegd wegens schending vam de Algemene Verordening Gegevensbescherming (AVG). Het is de eerste boete die sinds de invoering van de wet op 25 mei 2018 in Nederland is opgelegd.

De boete kan nog met maximaal 300.000 euro verhoogd worden.

Het Haagse ziekenhuis kwam eerder dit jaar in opspraak toen bleek dat 85 medewerkers het patiëntendossier hadden ingezien van Samantha de Jong, bekend als realityster Barbie.

De Autoriteit Persoonsgegevens concludeert nu dat de beveiliging van de medische dossiers van het HagaZiekenhuis niet op orde is.

Het HagaZiekenhuis krijgt tot 2 oktober om de interne beveiliging te verbeteren. Lukt dat niet, dan moet het ziekenhuis elke twee weken nog eens 100.000 euro betalen, tot een maximum van 300.000 euro.

De boete die de Nederlandse AP nu heeft opgelegd is vergelijkbaar met de boete die de Portugese Autoriteit Persoonsgegevens vorig jaar op heeft gelegd aan het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon. Dit ziekenhuis kreeg een boete van 400.000 euro wegens onzorgvuldig omgaan met patiëntengegevens.

Het ziekenhuis heeft inmiddels stappen gezet om herhaling te voorkomen. Personeel wordt getraind om gedrag van collega’s, patiënten en bezoekers die de privacy in gevaar brengen te herkennen.

De AP bevestigt dat dit de eerste keer is dat een Nederlandse instantie een boete krijgt onder de AVG, die sinds mei vorig jaar in werking is.

De boete die in november werd uitgedeeld voor een zaak rond taxistartup Uber werd nog afgehandeld onder de oude Nederlandse privacyregels. “Dit is de eerste volledige AVG zaak”, bevestigt een woordvoerder.

Autoriteit Persoonsgegevens krijgt in 2017 dertig meldingen van datalekken per dag

In de eerste negen maanden van 2017 kreeg de Autoriteit Persoonsgegevens (AP) 7436 meldingen over datalekken. Een verdubbeling in vergelijking met dezelfde periode in 2016. De privacywaakhond denkt dat het aantal datalekken dat officieel gemeld wordt slechts het topje van de ijsberg betreft.

De Autoriteit Persoonsgegevens kreeg in 2017 zo’n dertig meldingen van datalekken per dag.

De meeste lekken treffen de sectoren gezondheid en welzijn, openbaar bestuur en financiële dienstverlening. De privacygegevens die gelekt worden betreffen vooral naam, adres, woonplaats, geslacht, geboortedatum en leeftijd.

Meestal gaat het mis wanneer iemand persoonsgegevens per ongeluk naar de verkeerde ontvanger stuurt.

Het aantal gemelde hacks is vrij laag. In 6 procent van de gevallen lekt informatie uit doordat iemand binnendringt in de computersystemen van een bedrijf of organisatie.

“Er zijn ook lekken die niet gemeld worden. Dat is veel ernstiger, maar we weten niet hoeveel dat er zijn. We gaan er meer aandacht aan besteden dat mensen echt moeten melden. Het kan niet zo zijn dat organisaties die een lek wel melden een zondebok worden en organisaties die het niet melden ermee wegkomen”, verklaarde de Autoriteit Persoonsgegevens na een bericht in  dagblad Trouw.

Uber-hack

De meldingen die AP krijgt, kunnen sterk in omvang verschillen. Zo kan een melding gaan over de uitgelekte gegevens van één persoon, maar ook over de Uber-hack waarbij gegevens van zeker 174.000 Nederlanders uitlekte.

De Autoriteit kan bij ernstige lekken een hoge boete opleggen, maar tot nu toe zijn er alleen waarschuwingen gegeven.

”Een boete is niet het doel, maar een middel. Als het wordt opgelost in het stadium van waarschuwingen, is er geen reden voor boetes”, zegt een woordvoerster.

Hoewel er een meldplicht voor datalekken bestaat, worden veel lekken toch onder de pet gehouden. Bedrijven vrezen voor reputatieschade wanneer bekend wordt dat zij mogelijk onveilig zijn omgegaan met de gegevens van klanten.

Dat gebeurde ook bij de grote Uber-hack, die eind 2016 al bekend was bij de top van het bedrijf maar bewust werd verzwegen.