Beheer

Privacy
Eerste Nederlandse AVG-boete: terecht of een zondebok?

Eerste Nederlandse AVG-boete: terecht of een zondebok?

Boete is verhoudingsgewijs veel hoger dan voor Uber

© NOS
25 juli 2019

Vorige week is de eerste Nederlandse AVG-boete gevallen. Nu de rust weer is teruggekeerd in privacyland kunnen wij eindelijk terugblikken naar deze primeur. Wat was er ook alweer aan de hand?

Het HagaZiekenhuis heeft als eerste een forse boete gekregen van de Autoriteit Persoonsgegevens (AP) in het kader van de AVG. De AP oordeelde dat het ziekenhuis onvoldoende passende beveiligingsmaatregelen heeft getroffen en dat het op twee van de zes onderzochte punten niet voldeed. Dat leverde een boete op van 460.000 euro  De AP gaf een duidelijke onderbouwing van zijn besluit, maar is de hoogte van de boete, die bijna net zo hoog is als de boete voor Uber, wel terecht? 

Het was te verwachten dat de AP vroeg of laat een boete zou opleggen. Om niet als een tandeloze tijger gekenmerkt te worden kon de privacywaakhond ook niet anders. De toon was ook gezet doordat het standpunt werd ingenomen dat de AP in 2019 meer zou focussen op handhaving. Naar mijn mening zijn het boetebesluit en het onderzoeksrapport door de AP duidelijk verwoord en hebben wij ‘privacy professionals’ eindelijk wat meer duidelijkheid (en misschien minder irritaties) over de open norm ‘passende’ beveiligingsmaatregelen.

Hoewel de privacy van de bekende Nederlander in grote mate is geschonden, vraag ik mij toch af of het HagaZiekenhuis niet de dupe is geworden van de media-aandacht die deze zaak al heeft gehad en daardoor te zwaar is gestraft. Dat het ziekenhuis een boete heeft ontvangen is naar mijn mening terecht en lag gezien het beleidsvoornemen van de AP ook wel voor de hand. De hoogte van de boete is echter discutabel. Was de AP tot hetzelfde besluit gekomen indien het om het dossier van mij ging? Is er niet te veel focus gelegd op de twee van de zes punten die onvoldoende hadden gescoord en te weinig op de resterende vier punten?

Te zwaar gestraft

Mijns inziens is het HagaZiekenhuis inderdaad te zwaar gestraft. Als wij een vergelijking maken met de ‘Uber-case’, waarin de AP Uber een boete heeft opgelegd van 600.000 euro, dan ben ik inderdaad van mening dat het HagaZiekenhuis te zwaar wordt gestraft. Uber heeft niet alleen het datalek een jaar lang verzwegen, maar heeft ook hackers zwijggeld betaald. Daarnaast ging het bij Uber om een datalek van 57 miljoen gebruikers.

Het HagaZiekenhuis heeft netjes een melding gedaan van het datalek. Hoewel het ziekenhuis op twee punten een onvoldoende scoorde, waren de resterende onderzochte punten wel naar behoren. En uiteraard, de boete van Uber was nog tijdens de Wet bescherming persoonsgegevens (Wbp), waarbij de hoogste boete kon oplopen tot 820.000 euro. Uiteraard een groot verschil met de maximale boete van 10 miljoen voor een dergelijke overtreding. Maar hierbij neem ik wel mee dat het datalek van het HagaZiekenhuis in de periode van de Wbp heeft plaatsgevonden.

Ik las een interessant discussiepunt op LinkedIn, waarbij de vraag werd gesteld of niet alleen het ziekenhuis, maar ook de werknemers beboet moesten worden. De werknemers hebben namelijk bewust hun zorgplicht geschonden. Een gewaagde stelling, die naar mijn mening zeker de moeite waard is om over te discussiëren.

Al met al kunnen er met betrekking tot de hoogte van de boete vraagtekens gezet worden. Het HagaZiekenhuis gaat overigens in beroep, dus ik ben benieuwd of de hoogte van de boete gelijk blijft.

Teleurstellend

Tot slot vind ik de reactie van het HagaZiekenhuis op zijn minst teleurstellend, waarbij wordt aangegeven dat het geld dat aan de boete wordt besteed beter aan patiëntenzorg besteed had kunnen worden. Hoewel ik de reactie begrijp, slaat het mijns inziens volledig de plank mis. Naar mijn mening is het waarborgen van de privacy van de patiënten juist een onderdeel van de patiëntenzorg.

In het artikel 'Hoe kwam AP tot de hoge AVG-boete voor HagaZiekenhuis?' legt Stefan Zrnic uit hoe de AP tot de boete kwam. Volgens hem geeft deze case privacyprofessionals eindelijk meer duidelijkheid over wat wordt bedoeld met passende beveiligingsmaatregelen.

Reactie toevoegen
3
Reacties
robert lukkenaer 06 augustus 2019 12:30

Beste Stefan, ik begrijp volkomen dat ze een boete konden verwachten, maar ...
1) ik vind het een beetje flauw dat een BN-er die haar recht op privacy op Cherso heeft verspeeld nu de oorzaak is van deze boete
2) ik denk een ziekenhuis gebaat is bij open systemen (je wilt toch niet de eerste zijn die overlijdt omdat de 2 factor authenticatie niet werkt of doordat vanwege een snelle personeelswisseling de anesthesist niet in de juiste AD-groep zat, toch).
3) de rol van het personeel dat gekeken heeft is ook wel een punt, iedereen die gluurt weet dat ze in die dossiers niks te zoeken hebben (en zou via een crowd-funding actie die boete maar moeten betalen)
En als laatste vind ik een ziekenhuis ook wel een makkelijk slachtoffer dat de AP uitgekozen heeft om het voorbeeld te stellen (kies liever een partij met oneindig diepe zakken om mee armpje te drukken - fb, uber, google, apple en zo). Inderdaad, nu moet er iemand een keuze maken om in beroep te gaan en nog meer geld (potentieel) uit te geven, of dat ze dit geld aan zorg besteden en de boete maar voor lief nemen ..

P.Wijnsma 05 augustus 2019 10:53

Naar mijn mening is de boete niet te hoog.
Medische gegevens behoren tot de belangrijkste privé gegevens van een persoon.
De Patiënten vertrouwen er voor 100% op dat hier zeer zorgvuldig mee omgegaan wordt. Als dan blijkt dat willekeurige personen toegang kunnen verkrijgen tot medische gegevens is dat geen fout, maar een beleidsmatig verzuim. De voorzitter van de Raad van Bestuur is persoonlijk verantwoordelijk voor de beveiliging van medische gegevens van de Patiënten die zijn organisatie het vertrouwen hebben gegeven. Dit vertrouwen is beschaamd, vertrouwelijke patiëntgegevens liggen op straat. Hier kunnen heel gevaarlijke zaken, zoals; Manipulatie en Chantage door ontstaan.
Bij Über gaat het om materiële zaken, dus veel minder ingrijpend in het persoonlijk leven van het slachtoffer.

Rex van Os 31 juli 2019 11:21

Het beboeten van werknemers zal inderdaad een discussiepunt zijn en onderzocht moeten worden. Ik heb bij een financiële instelling gewerkt die streng onder controle stond (door de software die consumenten in staat stellen te handelen op de beurs). Deze onderneming had het gelukkig goed voor elkaar voor hun clientèle. Echter, de meldingen van verdachte handelingen en vastgelopen werkplekken, werden pas sterk gereduceerd toen de werknemers meer en meer internet security awareness kregen onderwezen van het management. Ik denk dus dat je een werknemer pas kan aanspreken op tekortkomingen, als het management actief stuurt op security en avg normen en daar ook sancties aan bind. Bij mijn huisarts heb ik eens aangegeven dat er een werknemer van de facilitaire dienst achter de doktersassistente stond voor een sociaal praatje terwijl mijn gegevens werden opgevraagd. Ik vond dat praatje wel kunnen. Alleen de plaats van handeling is uit den boze! Bewust maken van regels en normen moet eenmaal actief gebeuren en is een gedragsomslag die tijd en inspanning kost. Dat is topdown de verantwoordelijkheid van het management.