Wanneer is sprake van de overtreding?
Het HagaZiekenhuis is volgens de toezichthouder in overtreding van het beveiligingsartikel van de AVG (artikel 32 lid 1). We weten inmiddels dat dit artikel in ruime bewoordingen aangeeft dat technische en organisatorische maatregelen “passend” moeten zijn. In de Nederlandse zorg betekent dit onder andere een uitstap via de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvp) naar het Besluit elektronische gegevensverwerking door zorgaanbieders (artikel 3 lid 2) en twee maatregelen uit NEN7510-2 (9.4.1 en 12.4.1).
Zorginstellingen moeten bij elektronische patiëntendossiers door middel van tweefactor-authenticatie de identiteit van de (rechtmatige) gebruiker vaststellen. Bij het ziekenhuis is naar het oordeel van de AP alleen sprake van het gebruik van éénfactor-authenticatie. Hoewel gebruik wordt gemaakt van een personeelspas is het mogelijk met gebruikersnaam, wachtwoord en pincode in te loggen. Vanaf dat moment kan via een willekeurig werkstation voor de duur van vier uur alleen met de pas worden ingelogd. En wanneer een medewerker de pas vergeet, volstaat de combinatie van gebruikersnaam en wachtwoord. De AP oordeelt: niet voldaan aan norm 9.4.1 van NEN7510.
Logbestanden hebben systematische, consequente controle nodig, waar mogelijk risicogericht. Het ziekenhuis controleerde periodiek: één keer in de twee maanden via een aselecte steekproef op één patiëntendossier. Daarnaast is er specifiek aandacht via de audit voor (mislukte) toegang via de zogenaamde noodknopprocedure (inzage buiten behandelrelatie met gegronde reden) en ligt meer nadruk op de gevoelige patiëntgroepen. In praktijk constateert de AP dat controles vaak op basis van klachten en verzoeken zijn uitgevoerd. De AP merkt op dat er geen systematische, risicogerichte, intelligente controle van de logging is georganiseerd. Daarbij denkt ze aan selectie van opvallende afwijkingen of uitschieters of automatische signalering van opvallende situaties. Een aselecte steekproef op zes patiëntendossiers per jaar is onvoldoende. De AP oordeelt: niet voldaan aan norm 12.4.1 van NEN7510.
Wat nu?
Het HagaZiekenhuis krijgt twee concrete huiswerkopdrachten mee: striktere tweefactor-authenticatie organiseren rond de toegang tot cliëntendossiers en de logbestanden slim en systematisch controleren op onrechtmatige toegang of onrechtmatig gebruik van patiëntgegevens. Indien dit niet lukt vóór 2 oktober 2019, dan moet het ziekenhuis 100.000 euro per twee weken betalen met een maximum van 300.000 euro (de last onder dwangsom).
Het ziekenhuis meldde het datalek op 4 april 2018: dit is voor de AVG in werking trad. AP richtte het onderzoek sinds oktober 2018 op de huidige situatie. Zij heeft bepaald dat het ziekenhuis sinds 1 januari 2018 in overtreding is geweest en toetst de overtredingen aan de AVG. Niet alleen directe meldingen van datalekken vormen aanleiding voor een onderzoek. Ze geeft al vaker aan dat ook een discussie in de media aanleiding kan geven tot een onderzoek. Media-aandacht in het Wbp-tijdperk én de omstandigheid dat de beveiligingsmaatregelen niet op orde zijn aan het begin van het AVG-tijdperk is geen goede combinatie gebleken.
Omdat 100% veilig niet bestaat, krijgt een organisatie altijd te maken met incidenten. Het tijdig signaleren maar ook doorvoeren van benodigde maatregelen naar aanleiding van een incident is een logisch maar niet altijd uitgevoerd gevolg. Met die afsluitende notitie, is er niet alleen voor het HagaZiekenhuis werk aan de winkel.
De afrekening
De boete is hoog. En hij is gericht aan een ziekenhuis waar geld direct zijn weg zou moeten vinden naar de zorg. Toch heeft AP gekozen om een bestraffende boete op te leggen. Daarvoor geeft de toezichthouder haar redenen in het boetebesluit. Een van de kernpunten is het belang van de verplichting die het ziekenhuis overtreedt. Het gaat dan om “het behoud en herstel van het vertrouwen van de patiënten in een zorgvuldige omgang van hun medische gegevens. Het beschamen daarvan heeft niet alleen een weerslag op de reputatie van de betrokken zorgverleners, maar op de gehele sector.” Daarmee zet AP een duidelijke toon, waarna ze uitlegt hoe ze tot het bedrag van 460.000 euro komt. Het ziekenhuis heeft laten weten in beroep te willen gaan tegen het boetebesluit van de AP vanwege de hoogte van de boete. Dat betekent dat er mogelijk nog een vervolg komt.
Bron: PMPartners.nl, (foto) Unsplash