Selecteer een pagina

AVG-boete van 400.000 Euro voor Portugees ziekenhuis dat onzorgvuldig met patiëntgegevens omgaat. Uitspraak interessant voor Limburg en rest Europa

Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…

Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…

Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?

Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.

Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis

Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.

Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.

Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.

Honderden onbevoegden hebben toegang tot patientgegevens

“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.

Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.

In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.

Datalek in Portugees ziekenhuis werd gemeld door medische vereniging

Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.

Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.

Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.

Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’

De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.

Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.

Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen

Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.

Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.

Uitspraak in Portugal interessant voor heel Europa

De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.

De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.

Datalek bij VieCuri Medisch Centrum in Venlo. Vraagtekens bij datalekprocedure ziekenhuis

Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.

Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.

Datalekprocedure

Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.

Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.

Datalek uit de media houden

Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.

Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.

Functionaris Gegevensbescherming (FG)

Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.

De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.

Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.

Ziekenhuis onderzoekt lek en afhandeling melding

Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.

De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.

Medische gegevens pasgeboren kinderen

In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.

Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.