Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Autoriteit Persoonsgegevens deelt eerste AVG-boete uit

16 juli 2019 Door

Het HagaZiekenhuis heeft de Nederlandse primeur. Vanmorgen heeft de Autoriteit Persoonsgegevens (AP) de eerste AVG-boete à €460.000,- opgelegd aan het ziekenhuis in Den Haag voor onvoldoende interne beveiliging. Heeft het Haga voor 2 oktober 2019 de beveiliging nog niet op orde? Dan verbeurt het ziekenhuis een last onder dwangsom van €100.000,- per twee weken, tot maximaal €300.000,-.

Beveiliging patiëntendossiers niet op orde

De boete is het resultaat van een onderzoek dat de privacytoezichthouder instelde nadat zo’n 100 Haga-medewerkers onbevoegd het dossier van een BN’er hadden ingezien en er melding werd gedaan van het datalek. Naar aanleiding van het onderzoek bleek de beveiliging op meerdere punten lek te zijn, terwijl het Haga gehouden is passende maatregelen te nemen om persoonsgegevens te beveiligen. Dat geldt temeer voor bijzondere persoonsgegevens zoals het patiëntendossier. De AP concludeert dat het ziekenhuis onder meer niet conform haar eigen autorisatiebeleid heeft gehandeld en dat logbestanden om onbevoegde inzage te achterhalen, niet voldoende worden gemonitord. Daarmee overtreedt het ziekenhuis zowel de AVG, als relevante zorgwetgeving, en de NEN 7510-2-norm.

De AP is daarom bevoegd een boete op te leggen uit de tweede categorie, namelijk ter hoogte van maximaal € 10.000.000,- of 2% van de omzet. Op grond van haar nieuwe boetebeleid, en rekening houdend met de ernst van de overtreding en de nalatige aard van de inbreuk, komt de toezichthouder uit op een boete ter hoogte van € 460.000,-.

Maatregelen

Het opleggen van een boete is niet de enige sanctie die de AP in haar repertoire heeft. Het ziekenhuis dient uiteraard haar beveiliging op orde te brengen, en wel voor 2 oktober 2019. Lukt dat niet, dan verbeurt zij een dwangsom van €100.000,- per twee weken dat de overtreding voortduurt, met een maximum van €300.000,-. Onder te nemen maatregelen verstaat de AP:

  • dat regelmatig gecontroleerd moet worden wie welk dossier raadpleegt. Zo kan onbevoegde kennisname tijdig gesignaleerd worden. Steekproefsgewijze en/of controle op basis van klachten is niet voldoende;
  • het toepassen van twee-factor-authenticatie, door toegang alleen te verschaffen met bijvoorbeeld een wachtwoord of code én een personeelspas in plaats van één van beide.

Het HagaZiekenhuis heeft overigens niet de Europese primeur. Vorig jaar ontving een Portugees ziekenhuis reeds een AVG-boete van € 400.000,- voor grove schendingen van de AVG, waaronder eveneens het niet op orde hebben van autorisaties. Sindsdien worden er regelmatig privacy-boetes opgelegd.

Laura Monhemius

Juridisch adviseur

Laura Monhemius werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Bij ICTRecht maakt Laura onderdeel uit van het privacyteam. Binnen deze functie houdt zij zich bezig met het beantwoorden van uiteenlopende privacy- en telecommunicatievraagstukken. Daarbij is zij gespecialiseerd in de specifieke juridische uitdagingen op het gebied van privacy en zorg. Ook houdt zij nauwlettend de ontwikkelingen op het gebied van de aankomende ePrivacy Verordening bij.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie