Eerste Nederlandse AVG-boete: terecht of een zondebok?

Het HagaZiekenhuis heeft als eerste een forse boete gekregen van de Autoriteit Persoonsgegevens (AP) in het kader van de AVG. De AP oordeelde dat het ziekenhuis onvoldoende passende beveiligingsmaatregelen heeft getroffen en dat het op twee van de zes onderzochte punten niet voldeed. Dat leverde een boete op van 460.000 euro. De AP gaf een duidelijke onderbouwing van zijn besluit, maar is de hoogte van de boete, die bijna net zo hoog is als de boete voor Uber, wel terecht?

Het was te verwachten dat de AP vroeg of laat een boete zou opleggen. Om niet als een tandeloze tijger gekenmerkt te worden kon de privacywaakhond ook niet anders. De toon was ook gezet doordat het standpunt werd ingenomen dat de AP in 2019 meer zou focussen op handhaving. Naar mijn mening zijn het boetebesluit en het onderzoeksrapport door de AP duidelijk verwoord en hebben wij 'privacy professionals' eindelijk wat meer duidelijkheid (en misschien minder irritaties) over de open norm ‘passende’ beveiligingsmaatregelen.

Hoewel de privacy van de bekende Nederlander in grote mate is geschonden, vraag ik mij toch af of het HagaZiekenhuis niet de dupe is geworden van de media-aandacht die deze zaak al heeft gehad en daardoor te zwaar is gestraft. Dat het ziekenhuis een boete heeft ontvangen is naar mijn mening terecht en lag gezien het beleidsvoornemen van de AP ook wel voor de hand. De hoogte van de boete is echter discutabel. Was de AP tot hetzelfde besluit gekomen indien het om het dossier van mij ging? Is er niet te veel focus gelegd op de twee van de zes punten die onvoldoende hadden gescoord en te weinig op de resterende vier punten?

Te zwaar gestraft

Mijns inziens is het HagaZiekenhuis inderdaad te zwaar gestraft. Als wij een vergelijking maken met de ‘Uber-case’, waarin de AP Uber een boete heeft opgelegd van 600.000 euro, dan ben ik inderdaad van mening dat het HagaZiekenhuis te zwaar wordt gestraft. Uber heeft niet alleen het datalek een jaar lang verzwegen, maar heeft ook hackers zwijggeld betaald. Daarnaast ging het bij Uber om een datalek van 57 miljoen gebruikers.

Het HagaZiekenhuis heeft netjes een melding gedaan van het datalek. Hoewel het ziekenhuis op twee punten een onvoldoende scoorde, waren de resterende onderzochte punten wel naar behoren. En uiteraard, de boete van Uber was nog tijdens de Wet bescherming persoonsgegevens (Wbp), waarbij de hoogste boete kon oplopen tot 820.000 euro. Uiteraard een groot verschil met de maximale boete van 10 miljoen voor een dergelijke overtreding. Maar hierbij neem ik wel mee dat het datalek van het HagaZiekenhuis in de periode van de Wbp heeft plaatsgevonden.

Ik las een interessant discussiepunt op LinkedIn, waarbij de vraag werd gesteld of niet alleen het ziekenhuis, maar ook de werknemers beboet moesten worden. De werknemers hebben namelijk bewust hun zorgplicht geschonden. Een gewaagde stelling, die naar mijn mening zeker de moeite waard is om over te discussiëren.

Al met al kunnen er met betrekking tot de hoogte van de boete vraagtekens gezet worden. Het HagaZiekenhuis gaat overigens in beroep, dus ik ben benieuwd of de hoogte van de boete gelijk blijft.

Teleurstellend

Tot slot vind ik de reactie van het HagaZiekenhuis op zijn minst teleurstellend, waarbij wordt aangegeven dat het geld dat aan de boete wordt besteed beter aan patiëntenzorg besteed had kunnen worden. Hoewel ik de reactie begrijp, slaat het mijns inziens volledig de plank mis. Naar mijn mening is het waarborgen van de privacy van de patiënten juist een onderdeel van de patiëntenzorg.