Beheer

Privacy
Hoe kwam AP tot de hoge AVG-boete voor HagaZiekenhuis?

Hoe kwam AP tot de hoge AVG-boete voor HagaZiekenhuis?

De case geeft privacyprofessionals eindelijk wat meer duidelijkheid over de open norm ‘passende’ beveiligingsmaatregelen.

26 juli 2019

De case geeft privacyprofessionals eindelijk wat meer duidelijkheid over de open norm ‘passende’ beveiligingsmaatregelen.

Op 16 juli 2019 was het moment eindelijk aangebroken, de eerste Nederlandse AVG-boete is opgelegd en de – twijfelachtige – eer valt ten deel aan het HagaZiekenhuis. Zoals in haar jaarverslag over 2018 reeds is aangekondigd zou de Autoriteit Persoonsgegeven (AP) zich in 2019 minder focussen op voorlichting en steviger inzetten op handhaving.

De AP heeft woord gehouden en heeft het HagaZiekenhuis een boete opgelegd van maar liefst 460.000 euro voor het niet treffen van passende beveiligingsmaatregelen. Daarnaast heeft de AP ook een last onder dwangsom opgelegd. Mocht het ziekenhuis niet meewerken dan kan nog (maximaal) 300.000 euro bovenop de boete komen.

Al met al een fikse boete. Afgelopen dagen zijn verschillende berichten voorbij gekomen met als focus de opgelegde boete en de manier waarop het HagaZiekenhuis tekort is geschoten bij het treffen van passende beveiligingsmaatregelen. Is de hoogte van de boete, die bijna net zo hoog is als de Uber boete, wel terecht?  

Privacy werd flink geschonden

Er zal bij veel lezers een lampje gaan branden wanneer ze het HagaZiekenhuis en datalek in één zin horen. Dit heeft allemaal te maken met het datalek van januari vorig jaar waarbij het dossier van een bekende Nederlander door ongeveer 100 medewerkers van het ziekenhuis werd geraadpleegd. Waarom was dit zo bijzonder? Nou, deze medewerkers maakten geen deel uit van het behandelteam, waardoor de privacy van deze ‘celebrity’ flink werd geschonden. Het ziekenhuis heeft vervolgens op 4 april 2018 het datalek gemeld bij de AP. Voor de AP was dit voldoende om een onderzoek in te stellen. Interessant detail: de melding is gedaan in het ‘pre-AVG tijdperk’, terwijl het onderzoek van de AP  gericht was op de situatie in oktober 2018, dus ná toepassing van de AVG. Dit is mogelijk omdat de overtreding voortduurde en daarom dus ook gepleegd werd tijdens de toepasselijkheid van de AVG.

De hoofdvraag van het onderzoek door de AP luidt dan ook als volgt: ‘Zijn de maatregelen die het HagaZiekenhuis heeft getroffen, teneinde te waarborgen dat persoonsgegevens in het digitale patiëntdossier niet worden ingezien door onbevoegde medewerkers, ‘passend’ als bedoeld in artikel 32 van de AVG?’

Verwerkingsverantwoordelijke

Om de ‘schuldige’ aan te wijzen dient eerst bepaalt te worden wie de verwerkingsverantwoordelijke is.
Het HagaZiekenhuis maakt namelijk, samen met Reinier de Graaf Groep en het Langeland Ziekenhuis, deel uit van een samenwerkingsverband (RHG). Om voorgaande vraag te beantwoorden en vast te stellen wie doelen en middelen van de gegevensverwerking bepaalt heeft de AP onder andere de volgende documenten beoordeeld:

  • informatiebeveiligingsbeleid;
  • autorisatiebeleid; en de
  • privacyverklaring.

De AP is tot de conclusie gekomen dat RHG een algemeen informatiebeveiligingsbeleid en privacyverklaring heeft vastgesteld, maar dat het detailniveau door het HagaZiekenhuis zelf wordt ingevuld. Het HagaZiekenhuis heeft overigens een eigen autorisatiebeleid. Volgens de AP is het ook van belang dat het ziekenhuisinformatiesysteem van het HagaZiekenhuis is gescheiden van de andere ziekenhuizen van RHG en dat het niet een juridische, maar een bestuurlijke fusie betreft.

De AP komt dan ook tot de conclusie dat het HagaZiekenhuis – en niet RHG – als verwerkingsverantwoordelijke kan worden aangemerkt.

Beveiligingsmaatregelen

Het HagaZiekenhuis krijgt de boete omdat zij onvoldoende passende beveiligingsmaatregelen heeft getroffen. Om te bepalen of beveiligingsmaatregelen passend zijn dient volgens de AP aangesloten te worden bij de verplichte beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, de zogenaamde NEN-7510 en NEN-7513. De AP heeft vervolgens zes punten onderzocht, waarvan vier punten (autorisatie, logging, bewustwording van de medewerkers en melden van datalekken) als voldoende worden bestempeld.

Verrassend genoeg heb ik de afgelopen dagen over deze punten vrijwel niks gelezen in de media. Hierdoor rijst bij mij de vraag of het HagaZiekenhuis wellicht slechts als voorbeeld wordt genomen, omdat er reeds media-aandacht bestaat rond deze zaak. 

Waar het HagaZiekenhuis volgens de AP tekort is geschoten zijn de punten authenticatie en controle van de logging. Op dit moment maakt het ziekenhuis gebruik van een authenticatie, waarbij een medewerker moet inloggen met een gebruikersnaam en wachtwoord of met hun persoonlijke personeelspas en pincode. De hiervoor genoemde beveiligingsnormen schrijven tweefactorauthenticatie voor, dat wil zeggen authenticatie waarbij twee factoren vereist zijn. Gebruikersnamen en wachtwoorden vallen onder de factor kennis. Een personeelspas valt onder de factor bezit. Bij het ziekenhuis was het – ondanks het gebruik van een systeem waarbij de personeelspas kon (maar niet hoefde te) worden gebruikt – mogelijk om alleen met gebruikersnaam en wachtwoord (factor kennis) in te loggen. De AP concludeert dat aldus niet voldaan wordt aan het  vereiste van tweefactorauthenticatie. Maar dat was niet het enige. Hoewel het ziekenhuis wel bijhield welke personen toegang hadden tot bepaalde persoonsgegevens, werden de logging gegevens niet, of in ieder geval veel te weinig, gecontroleerd. De genoemde normen schrijven voor dat die gegevens “periodiek” worden geraadpleegd om zo ongeoorloofde toegang spoedig op te merken. Als je logginggegevens niet bekijkt, werkt dat natuurlijk niet.

Boete en dwangsom

Last but not least: de boete. Het overtreden van artikel 32 lid 1 van de AVG is in de boetebeleidsregels van de AP ingedeeld in categorie II, waarvoor een basisboete van 310.000 euro geldt. De basisboete kan vervolgens worden verhoogd dan wel verlaagd door de beoordeling van (1) de aard, ernst en de duur van de overtreding, (2) de opzettelijke of nalatige aard van de inbreuk, (3) de genomen maatregelen om de schade door het datalek te beperken en (4) de categorieën persoonsgegevens waarop de inbreuk betrekking heeft. De AP ziet op twee punten, namelijk de aard, ernst en de duur van de overtreding en de opzettelijke of nalatige aard van de inbreuk, aanleiding om de basisboete te verhogen.

Ten aanzien van de aard, ernst en de duur van de overtreding neemt de AP in acht dat de noodzaak voor het treffen van passende beveiligingsmaatregelen onder meer is gelegen in het behoud en herstel van het vertrouwen van de patiënten in een zorgvuldige omgang met hun medische gegevens. Inbreuk hierop heeft niet alleen weerslag op de reputatie van de betrokken zorgverleners, maar op de gehele sector, aldus de AP. Aangezien het HagaZiekenhuis al sinds januari 2018 tekort schoot in het treffen van voldoende passende beveiligingsmaatregelen was sprake van een structurele overtreding. De AP vindt dit met name ernstig, omdat het in dit geval om medische gegevens gaat. Vanwege het structurele karakter van de overtreding acht de AP een verhoging van de basisboete met 75.000 euro op zijn plaats.

De tweede verhoging is volgens de AP gegrond nu het HagaZiekenhuis nalatig is geweest in het treffen van passende maatregelen, waarbij de AP vooral meeweegt dat het ziekenhuis geen maatregelen heeft getroffen die zien op het regelmatig controleren van logbestanden. Opvallend is dat het HagaZiekenhuis heeft aangegeven dat zij geen beschikbare tijd had voor het treffen van een dergelijke beveiligingsmaatregel. Naar mijn mening is dit een zwak argument van het ziekenhuis die sterk overeenkomt met het argument

‘ik wilde wel mijn huiswerk maken, maar ik had het te druk’. Ook naar aanleiding hiervan ziet de AP een gegronde reden om de basisboete met nogmaals 75.000 euro te verhogen.

De last onder dwangsom is opgelegd omdat de overtreding op het moment van het boetebesluit nog altijd voortduurde. Met de last onder dwangsom geeft de AP een prikkel aan het ziekenhuis om de beveiliging van de persoonsgegevens nu dan toch op orde te krijgen. Het HagaZiekenhuis moet binnen 15 weken passende maatregelen treffen. Zo niet, dan moet het ziekenhuis iedere 2 weken een bedrag van 100.000 euro betalen, met een maximum van 300.000 euro.

Conclusie

Het was te verwachten dat de AP vroeg of laat een boete zou opleggen. Om niet als een tandeloze tijger gekenmerkt te worden kon de privacywaakhond ook niet anders. De toon was ook gezet doordat het standpunt werd ingenomen dat de AP meer zou focussen op handhaving. Naar mijn mening is het boetebesluit en het onderzoeksrapport door de AP duidelijk verwoord en hebben wij privacyprofessionals eindelijk wat meer duidelijkheid (en misschien minder irritaties) over de open norm ‘passende’ beveiligingsmaatregelen. Hoewel de privacy van de bekende Nederlander in grote mate is geschonden, vraag ik me toch af of het HagaZiekenhuis niet de dupe is geworden van de media-aandacht die deze zaak al heeft gehad en daardoor te zwaar is gestraft. Dat het ziekenhuis een boete heeft ontvangen is naar mijn mening terecht en lag gezien het beleidsvoornemen van de AP ook wel voor de hand. De hoogte van de boete is echter discutabel. Was de AP tot hetzelfde besluit gekomen indien het om het dossier van mij ging? Is er niet teveel focus gelegd op de twee van de zes punten die onvoldoende hadden gescoord en te weinig op de resterende vier punten?

Mijns inzien is het HagaZiekenhuis inderdaad te zwaar gestraft. Als een vergelijking maken met de ‘Uber-case’, waar de AP Uber een boete heeft opgelegd van 600.000 euro, dan ben ik inderdaad van mening dat het HagaZiekenhuis te zwaar wordt gestraft. Uber heeft niet alleen het datalek een jaar lang verzwegen, maar heeft ook hackers zwijggeld betaald. Daarnaast ging het bij Uber om een datalek van 57 miljoen gebruikers. Het HagaZiekenhuis heeft netjes een melding gedaan van het datalek. Hoewel het ziekenhuis op twee punten een onvoldoende scoorde, waren de resterende punten wel naar behoren. En uiteraard, de boete van Uber was nog tijdens de Wet bescherming persoonsgegevens (Wbp), waarbij de hoogste boete kon oplopen tot 820.000 euro. Uiteraard een groot verschil met de maximale boete van 10 miljoen voor een dergelijke overtreding. Maar hierbij neem ik wel mee dat het datalek in de periode van de Wbp heeft plaatsgevonden. Al met al kunnen er met betrekking tot de hoogte van de boete vraagtekens gezet worden. Het HagaZiekenhuis gaat overigens in beroep, dus ik ben benieuwd of de hoogte van de boete gelijk blijft.

Tot slot vind ik de reactie van het HagaZiekenhuis op zijn minst teleurstellend, waarbij wordt aangegeven dat het geld dat aan de boete wordt besteed  beter aan patiëntenzorg besteed had kunnen worden. Hoewel ik de reactie begrijp, slaat het mijns inziens volledig de plank mis. Naar mijn mening is het waarborgen van de privacy van de patiënten juist een onderdeel van de patiëntenzorg.

Lees meer over Beheer OP AG Intelligence
2
Reacties
Lezer#3551 Karman 28 juli 2019 19:16

Het verhaal gaat er vanuit dat het ap de toezichthouder voor organisatie en inrichting in een ziekenhuis is. Daar gaat iets niet goed.

Lezer#7230 Leether 26 juli 2019 14:03

Dat laatste zal best maar ik zou als patient toch echt meer hechten aan goede medische zorg dan een optimale privacybescherming. En dat is dan ook precies de reactie van het HAGA ziekenhuis. Begrijpelijk wat mij betreft hoewel ik dat liever door een ander hoor zeggen dan een directie die op dit gebied duidelijk steken heeft laten vallen. Hoe dan ook, een boete van deze omvang voor een ziekenhuis is wat mij betreft volstrekte waanzin.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.