OLVG ontvangt boete van ruim vier ton voor slechte beveiliging medische dossiers

Ziekenwagen voor de ingang van het Onze Lieve Vrouwe Gasthuis (OLVG) in Amsterdam

De Autoriteit Persoonsgegevens legt een boete van 440.000 euro op aan het Onze Lieve Vrouwe Gasthuis (OLVG). Het Amsterdamse ziekenhuis had volgens de toezichthouder jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen. Verder implementeerde het ziekenhuis geen multifactorauthenticatie om de dossiers te beveiligen.

Dat schrijft de Autoriteit Persoonsgegevens in een persbericht.

Medische dossiers zijn bron van vertrouwelijke informatie

De Autoriteit Persoonsgegevens startte het onderzoek na een tip van een bezorgde burger, geluiden in de media en twee datalekmeldingen. Werkstudenten en andere medewerkers zouden volgens deze signalen medische dossiers van patiënten inzien zonder dat dit noodzakelijk was voor hun werk. Dat betekent dat het medische beroepsgeheim geschonden zou worden. Bovendien bevatten de dossiers vertrouwelijke gegevens, waaronder adressen, telefoonnummers en burgerservicenummers. Dat was voor de toezichthouder alle reden om de waarschuwingen serieus te nemen.

Autoriteit Persoonsgegevens constateert twee overtredingen

Na grondig onderzoek constateerde de Autoriteit Persoonsgegevens dat het OLVG twee overtredingen beging. Allereerst had het ziekenhuis tussen 2018 en 2020 te weinig maatregelen genomen om toegang tot medische dossiers door onbevoegde medewerkers te voorkomen. “Het ziekenhuis moet bijhouden en regelmatig controleren wie welk dossier raadpleegt”, schrijft de privacywaakhond. Dit noemen we ook wel event logging. Hierdoor ziet het ziekenhuis in een oogopslag welke medewerker wanneer welk medisch dossier heeft geraadpleegd. De toezichthouder stelt dat het OLVG weliswaar registreerde welke dossiers werknemers bekeken, maar controleerde onvoldoende op ongeautoriseerde toegang.

De tweede overtreding die het Amsterdamse ziekenhuis beging, heeft betrekking op de beveiliging van de medische dossiers. Bij informatiebeveiliging, zeker als het om persoonlijke en privacygevoelige gegevens gaat, is het vandaag de dag de standaard om tweestapsverificatie of multifactorauthenticatie (MFA) te hanteren. Naast een gebruikersnaam en wachtwoord heb je tevens een speciale code nodig om toegang te krijgen tot een account of dossier. Om in te loggen buiten het ziekenhuis, maakte het OLVG gebruik van MFA. Dat geldt niet voor medewerkers die vanuit het ziekenhuis medische dossiers raadpleegden.

‘Patiëntgegevens moeten veilig zijn bij de dokter’

De tekortkomingen waren aanleiding om een forse dwangsom op te leggen. De Autoriteit Persoonsgegevens heeft de bestuurlijke boete vastgesteld op 440.000 euro. In het boetebesluit legt de toezichthouder uit hoe ze tot dit bedrag is gekomen en waarom deze in haar ogen gerechtvaardigd is.

Monique Verdier, vicevoorzitter van het bestuur van de Autoriteit Persoonsgegevens, zegt dat de overtredingen van het OLVG zeer ernstig zijn. “Je moet erop kunnen vertrouwen dat wat jij met de dokter bespreekt, in de spreekkamer blijft. Je moet er toch niet aan denken dat mensen, die daar helemaal niets te zoeken hebben, zomaar in de aantekeningen van de dokter over jou en jouw ziekte kunnen rondneuzen. Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig en daarom legt de AP het OLVG nu deze boete op.”

De vicevoorzitter roept ziekenhuizen en andere zorginstellingen op om na te gaan hoe zij de gegevens van patiënten beschermen en waar eventuele verbeteringen mogelijk zijn. De website van de toezichthouder bevat een pagina met verplichtingen en tips waar zorgverleners aan moeten voldoen.

OLVG ‘teleurgesteld’ in torenhoge boete

Maurice van den Bosch, voorzitter van de Raad van Bestuur van het OLVG, erkent dat er fouten zijn gemaakt bij de beveiliging van medische dossiers en patiëntgegevens. “Het is goed dat we in Nederland een toezichthouder hebben die zich richt op privacy en gegevensbescherming”, zo zegt hij. Tegelijkertijd is de bestuursvoorzitter ‘teleurgesteld’ dat zijn ziekenhuis niet de gelegenheid heeft gekregen om de geconstateerde tekortkomingen op te lossen. De Autoriteit Persoonsgegevens legde gelijk een boete op.

Ook heeft Van den Bosch commentaar op de hoogte van de boete. “We vinden de boete voor een maatschappelijke instelling zoals ons ziekenhuis wel erg hoog. Geld wat we nu niet kunnen besteden aan datgene waar ons geld het hardste nodig is: voor de zorg voor onze patiënten.” Of het ziekenhuis in beroep gaat tegen de boete is onbekend.

Het OLVG laat weten dat ze diverse maatregelen heeft genomen om herhaling in de toekomst te voorkomen. Er vinden ‘met een grotere regelmaat’ controles plaats om ongeautoriseerde toegang vast te stellen. Onbevoegde medewerkers die medische dossiers raadplegen, kunnen rekenen op ‘arbeidsrechtelijke sancties’. Verder heeft het ziekenhuis tweefactorauthenticatie ingevoerd. Naast een gebruikersnaam en wachtwoord moet voortaan de personeelspas gescand worden, of een identificatietoken worden opgegeven. Naast deze technische maatregelen is er binnen OLVG extra aandacht voor privacy en het omgaan met gevoelige informatie. Zo is er voor alle medewerkers een verplichte e-learning en wijzen we nieuwe medewerkers actief op privacybescherming in het introductieprogramma.

Bestuurlijke boetes die de AP eerder heeft opgelegd

Sinds de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 in werking trad, heeft de Autoriteit Persoonsgegevens aan diverse instanties boetes opgelegd. Het HagaZiekenhuis in Den Haag kreeg in 2019 een boete van 460.000 euro om dezelfde reden als het OLVG: al het medisch personeel had destijds toegang tot patiëntendossiers. Afgelopen jaar kregen de Koninklijke Nederlandse Lawn Tennisbond (KNLTB) en een bedrijf dat vingerafdrukken verzamelde van medewerkers een sanctie opgelegd van respectievelijk 525.000 euro en 725.000 euro.

In november kwam daar de Stichting Bureau Kredietregistratie (BKR) bij. De instantie wekte geruime tijd de indruk dat burgers slechts één keer per jaar kosteloos hun persoonsgegevens mochten opvragen en inzien bij de Stichting. De AVG verplicht organisaties om deze dienst kosteloos aan te bieden, ongeacht het aantal keer of langs welke weg dat burgers hun gegevens wensen in te zien. Deze overtreding resulteerde in een boete van 830.000 euro.

Tot slot heeft de Autoriteit Persoonsgegevens een sanctie van 575.000 euro opgelegd aan VoetbalTV wegens het onrechtmatig verwerken van persoonsgegevens. De club besloot om de boete aan te vechten. Eind vorig jaar bepaalde de rechtbank in Utrecht dat VoetbalTV de opgelegde boete niet hoefde te betalen, omdat het op voorhand uitsluiten van een commercieel belang als gerechtvaardigd belang in strijd is met Europese privacywetgeving. De uitspraak kwam echter te laat: VoetbalTV vroeg in september faillissement aan.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen