Autoriteit Persoonsgegevens legt (weer) boete op voor onvoldoende beveiliging

Begin deze maand heeft de Autoriteit Persoonsgegevens (AP) een boete van € 440.000 opgelegd aan het Amsterdamse ziekenhuis OLVG, voor het onvoldoende beveiligen van medische dossiers. De kans bestaat dat u een déjà vu-moment ervoer bij het lezen van dat nieuwsbericht: dat was toch al een keer gebeurd? Dat klopt: in 2019 heeft de toezichthouder de eerste echte boete onder de Algemene verordening gegevensbescherming (AVG) opgelegd aan een ander ziekenhuis, voor – in grote lijnen – dezelfde overtreding. Wat ging er precies fout bij het OLVG?

Onbevoegde toegang

Zoals gezegd kreeg in 2019 een Haags ziekenhuis een boete voor onbevoegde inzage door zo’n 100 medewerkers in het medisch dossier van een bekende Nederlander. Dat werd allemaal gelogd, maar die logbestanden werden alleen niet voldoende gemonitord en gecontroleerd. Daarnaast was er geen tweefactorauthenticatie geïmplementeerd voor relevante systemen. Dit leidde uiteindelijk tot een boete van € 460.000.

Begin deze maand bleek het ook bij het Amsterdamse ziekenhuis niet goed te gaan. Iedere handeling in het ziekeninformatiesysteem werd wel gelogd. De controle daarop kon alleen niet gezien worden als een ‘passende beveiliging’. Ondanks dat het geschreven beleid een maandelijkse controle bevatte, werden in werkelijkheid slechts twee proactieve en acht incidentele controles uitgevoerd in bijna anderhalf jaar tijd. Dat was niet voldoende om onbevoegde toegang tot medische dossiers te signaleren en eventuele maatregelen te nemen, ook gezien het feit dat het ziekenhuis medische dossiers houdt van zo’n 500.000 patiënten. De AP herhaalt het uitgangspunt dat logging ‘systematisch en consequent’ moet plaatsvinden. Steekproefsgewijze controle en/of op basis van klachten is niet voldoende.

Tweefactorauthenticatie

Het Haagse ziekenhuis maakte in 2019 geen gebruik van tweefactorauthenticatie. Ook dit ging bij het OLVG niet goed: het ziekenhuisinformatiesysteem was op computers binnen het netwerk toegankelijk via gebruikersnaam en wachtwoord. Medewerkers die op de digitale werkplek zijn ingelogd, krijgen via single sign-on (SSO) ook meteen toegang tot patiëntdossiers. Toegang buiten het netwerk is wel alleen mogelijk met tweefactorauthenticatie. Ook dit was echter niet genoeg: o.a. het NEN7510-normenkader, waaraan het OLVG zich committeert, schrijft voor dat toegang tot medische gegevens dient te gebeuren op basis van tweefactorauthenticatie. De AP stelde hier aldus een overtreding op vast.

Hoe nu verder?

Het OLVG gaat in ieder geval niet in beroep. De visie van de AP is duidelijk met deze tweede uitspraak over passende beveiliging in de zorg: er wordt veel waarde gehecht aan tweefactorauthenticatie, logging en de controle daarvan. Vragen over hoe u dit het beste in kunt richten binnen uw organisatie? Neem dan contact op met ons, wij helpen u graag verder.

Terug naar overzicht