Eerste AVG-boete uitgedeeld

30 september 2019

De eerste boete die de Autoriteit Persoonsgegevens (AP) uitdeelt op basis van de privacywet AVG is een feit. Het Haga Ziekenhuis heeft een voorlopige boete van € 460.000,- uitgedeeld gekregen wegens slechte interne beveiliging van patiëntendossiers.

De boete werd uitgedeeld, omdat 85 medewerkers onrechtmatig het medisch dossier van een bekende Nederlander (Samantha de Jong, ook wel bekend als ‘Barbie’) hadden bekeken. Dit is in strijd met de AVG die op 25 mei 2018 is ingegaan.

Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Het Haga Ziekenhuis heeft op twee onderdelen onvoldoende beveiligingsmaatregelen getroffen:

  1. Het ziekenhuis moet regelmatig controleren wie welk dossier raadpleegt. Op deze manier kan het ziekenhuis tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en daartegen maatregelen nemen.
  2. Bij een goede beveiliging hoort authenticatie waarbij ten minste twee factoren betrokken worden. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.

Om het ziekenhuis te dwingen de beveiliging van patiëntdossiers te verbeteren, kreeg het ziekenhuis tevens een last onder dwangsom opgelegd. Per 2 oktober 2019 moet de beveiliging zijn verbeterd. Anders moet het Haga Ziekenhuis elke twee weken € 100.000,- betalen.

Bron