Lees meer

Meld u aan voor de nieuwsbrief
Neem contact met ons op

De Autoriteit Persoonsgegevens (AP) heeft een boete opgelegd aan een Haags ziekenhuis wegens het overtreden van de Algemene Verordening gegevensbescherming (AVG). Er waren niet voldoende maatregelen genomen om de persoonsgegevens van de patiënten te beschermen. De AP had het ziekenhuis initieel een boete opgelegd van €310.000,- die na twee boeteverhogende omstandigheden uitliep op €460.000,-.

De rechtbank Den Haag heeft op 31 maart 2021 uitspraak gedaan in deze zaak.

 

Feiten

Er is op 4 april 2018 een melding gedaan door het ziekenhuis aan het AP van een datalek. Door dit datalek kon er onrechtmatig inzage gedaan worden in een patiëntendossier van een bekende Nederlander. Door onderzoek van de AP is er vastgesteld dat er geen sprake was van tweefactor authenticatie, maar van éénfactor authenticatie. In het ziekenhuisinformatiesysteem was het niet verplicht ingebouwd dat er met tweefactor authenticatie ingelogd moest worden, dit was alleen een optie. Verder kwam uit het onderzoek omhoog dat de logging van de toegang tot de patiëntendossiers niet regelmatig genoeg gecontroleerd is. Logging betekent dat er structureel bijgehouden wordt wie welk patiëntendossier heeft geopend. Zo kan onbevoegde toegang gedetecteerd en aangepakt worden.

 

Beslissing

Gezien de feiten vindt de rechtbank Den Haag het terecht dat er een boete en last tot dwangsom opgelegd worden aan het ziekenhuis. Er zijn geen passende beveiligingsmaatregelen getroffen en ook nadat het datalek zich voordeed, heeft het ziekenhuis niet de juiste maatregelen getroffen. Echter is het bedrag in kwestie te hoog en ziet de rechtbank aanleiding om dit bedrag te verlagen naar €350.000,-. Deze verlaging heeft het ziekenhuis te danken aan een aantal maatregelen die het wél heeft genomen om te voorkomen dat persoonsgegevens ingezien worden door onbevoegden. Ook is tijdens de bezwaarfase alsnog een tweefactor authenticatie ingevoerd en de logging geïntensiveerd.

De rechtbank oordeelt dat de door het ziekenhuis getroffen maatregelen erop wijzen dat het ziekenhuis bereidwillig is om de problematiek in de organisatie aan te pakken en concludeert dat de matiging van de boete tot €350.000,- passend en geboden is.

 

Zo zie je maar, een goede naleving van de AVG is heel belangrijk!

Heb jij vragen over de AVG? Wij kunnen jou hierbij helpen.

Neem snel contact op!

 

Auteur: Jelke Lemstra | Bron: ECLI:NL:RBDHA:2021:3090

 

Vraag vrijblijvend een offerte aan

    Neem contact met mij op

    Liever direct contact opnemen?