De Autoriteit Persoonsgegevens (AP) heeft op 18 juni 2019 besloten aan het HagaZiekenhuis een bestuurlijke boete van € 460.000,– op te leggen.
Aanleiding
Het HagaZiekenhuis heeft in de periode van januari 2018 tot heden niet voldaan en voldoet nog steeds niet aan het vereiste van tweefactor authenticatie en aan het regelmatig controleren van logbestanden. Daarmee heeft zij onvoldoende passende maatregelen genomen als bedoeld in artikel 32, eerste lid, van de Algemene verordening gegevensbescherming (Avg). De AP heeft daarnaast besloten het HagaZiekenhuis een last onder dwangsom op te leggen. Als het HagaZiekenhuis de beveiliging van de patiëntdossiers niet voor 2 oktober 2019 heeft verbeterd, moet het ziekenhuis elke twee weken € 100.000 betalen, met een maximum van € 300.000.
Aanleiding voor het onderzoek door de AP was een melding van een datalek op 4 april 2018 door het HagaZiekenhuis. Het datalek had betrekking op onrechtmatige inzage in een patiëntendossier van een bekende Nederlander. Het onderzoek richtte zich onder meer op de vraag of de door het HagaZiekenhuis getroffen beveiligingsmaatregelen met betrekking tot de toegang tot het ziekenhuisinformatiesysteem voldoen aan artikel 32 van de Avg.
Maatregelen
De Avg bepaalt in artikel 32 dat organisaties maatregelen moeten nemen om een passend beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Gezondheidsgegevens behoren vanwege de gevoeligheid tot een bijzondere categorie van persoonsgegevens. Om deze reden gelden voor de bescherming van die gegevens zeer hoge eisen, aldus de AP.
Om te bepalen of beveiligingsmaatregelen passend zijn, dient te worden aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, NEN 7510 en NEN 7513. Uit deze beveiligingsstandaarden vloeit voort dat ten aanzien van authenticatie bij de toegang tot ziekenhuisinformatiesystemen die specifiek zijn gericht op het verwerken van gevoelige informatie, de verwerkingsverantwoordelijke tenminste gebruik dient te maken van tweefactor authenticatie, teneinde de identiteit van gebruikers vast te stellen. Verder dienen logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
Waar ging het mis bij het HagaZiekenhuis?
- Medewerkers hebben de mogelijkheid om met tweefactorauthenticatie in te loggen op een informatiesysteem met medische gegevens, maar kunnen ook inloggen met alleen gebruikersnaam en wachtwoord (één factor authenticatie). De AP was hier duidelijk over, er wordt niet voldaan aan de norm van de twee factorauthenticatie;
- Zorginstellingen moeten structureel bijhouden wie wanneer welk patiëntendossier heeft geraadpleegd (logging) en dit moet regelmatig worden gecontroleerd. De AP stelt vast dat het HagaZiekenhuis in 2018 de controle – uitgezonderd één proactieve steekproef – uitsluitend naar aanleiding van enkele klachten en verzoeken heeft uitgevoerd. De in 2019 gedane proactieve controle (betrekking op maximaal twee patiëntdossiers) omvat niet tevens een afzonderlijke controle van de logging van patiëntendossiers die zijn geraadpleegd via de noodknopprocedure. Het HagaZiekenhuis heeft daarmee niet conform haar eigen Autorisatiebeleid gehandeld. Afgezien daarvan, is het doen van slechts één of enkele proactieve steekproef/steekproeven per jaar ruimschoots en evident onvoldoende om te kunnen spreken van een passend beveiligingsniveau dat ziet op het signaleren van onbevoegde toegang tot patiëntgegevens en het treffen van maatregelen naar aanleiding van onbevoegde toegang. Dat het controleren zeer arbeidsintensief is, werd door de AP niet als argument geaccepteerd voor de beperkte steekproef.
Wat kunnen andere zorgaanbieders hiervan leren?
- Zorg voor overzicht en inzicht in wet- en regelgeving. Suggestie: gebruik een ‘Legal Policy Framework (LPF)’ om overzicht en inzicht te hebben;
- Laat een nulmeting uitvoeren in hoeverre wordt voldaan aan het LPF;
- Maak een stappenplan op basis van prioritering uit de nulmeting;
- Leg verantwoording af over de bescherming van persoonsgegevens.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.
