Gedurende het eerste bestaansjaar van de GDPR, werden geen hoge boetes opgelegd door de toezichthoudende autoriteiten. Die 'warming-up' periode lijkt definitief te zijn verstreken. Na enkele ondernemingen, burgemeesters, FOD's, ... is nu ook de ziekenhuis- en zorgsector aan de beurt: een eerste aanzienlijke boete in die sector is een feit.
Voormelde boete komt toe aan het Nederlands Hagaziekenhuis naar aanleiding van een datalek waardoor tientallen medewerkers onterecht inzage hebben gekregen in het digitale patiëntendossier van een bekende Nederlander. Nader onderzoek heeft aangetoond dat het Hagaziekenhuis onvoldoende technische en organisatorische maatregelen neemt voor het beveiligen van patiëntgegevens. Zo controleert het ziekenhuis niet stelselmatig welke werknemer welk dossier raadpleegt en stelt het de identiteit van de medewerkers niet vast door middel van een twee factor authenticatie.
Door voormelde tekortkomingen heeft het Hagaziekenhuis de onbevoegde inzagen niet kunnen achterhalen en maakt het inbreuk op:
- Algemene verordening gegevensbescherming
- De relevante zorgwetgeving
- De voor de zorgsector geldende NEN7510-2 normen voor informatiebeveiliging
Op basis van haar volledig uitgewerkt boetebeleid legt de AP, gelet op de aard, ernst en duur van de inbreuk, het feit dat er bijzondere persoonsgegevens bij het datalek betrokken waren en de door het ziekenhuis genomen maatregelen, een boete van 460.000 euro op.
Bovenop voormelde boete, legt de AP ook een dwangsom op om het Hagaziekenhuis aan te zetten de beveiliging van patiëntgegevens te verbeteren tegen uiterlijk 2 oktober 2019. Indien voormelde streefdatum niet wordt gehaald, dient het Hagaziekenhuis elke twee weken 100.000 euro te betalen, met een maximum van 300.000 euro. Inmiddels heeft het Hagaziekenhuis aangegeven passende beveiligingsmaatregelen te nemen.
De verantwoording van de hoge boete ligt in het gegeven dat de relatie tussen een zorgverlener en een patiënt, ook binnen de muren van een ziekenhuis, volstrekt vertrouwelijk hoort te zijn, aldus Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. De beveiligingsmaatregelen moeten dus goed in orde zijn.
De controle op voormelde verplichting, tezamen met de overige verplichtingen van de GDPR, krijgen bij overheids- en zorginstellingen een hogere prioriteit aangezien die als (semi-)overheidsorganen een voorbeeldfunctie vervullen: Een gewaarschuwd man / vrouw is er twee waard!
Auteurs: Bert De Keyser, Willem Mariën, Wouter Rubens en Anse Speetjens