De Kleijne & Janssen
01-10-2021 | Algemeen
Lees meer
De Autoriteit Persoonsgegevens (AP) heeft een boete opgelegd aan een Haags ziekenhuis wegens het overtreden van de Algemene Verordening gegevensbescherming (AVG). Er waren niet voldoende maatregelen genomen om de persoonsgegevens van de patiënten te beschermen. De AP had het ziekenhuis initieel een boete opgelegd van €310.000,- die na twee boeteverhogende omstandigheden uitliep op €460.000,-.
De rechtbank Den Haag heeft op 31 maart 2021 uitspraak gedaan in deze zaak.
Er is op 4 april 2018 een melding gedaan door het ziekenhuis aan het AP van een datalek. Door dit datalek kon er onrechtmatig inzage gedaan worden in een patiëntendossier van een bekende Nederlander. Door onderzoek van de AP is er vastgesteld dat er geen sprake was van tweefactor authenticatie, maar van éénfactor authenticatie. In het ziekenhuisinformatiesysteem was het niet verplicht ingebouwd dat er met tweefactor authenticatie ingelogd moest worden, dit was alleen een optie. Verder kwam uit het onderzoek omhoog dat de logging van de toegang tot de patiëntendossiers niet regelmatig genoeg gecontroleerd is. Logging betekent dat er structureel bijgehouden wordt wie welk patiëntendossier heeft geopend. Zo kan onbevoegde toegang gedetecteerd en aangepakt worden.
Gezien de feiten vindt de rechtbank Den Haag het terecht dat er een boete en last tot dwangsom opgelegd worden aan het ziekenhuis. Er zijn geen passende beveiligingsmaatregelen getroffen en ook nadat het datalek zich voordeed, heeft het ziekenhuis niet de juiste maatregelen getroffen. Echter is het bedrag in kwestie te hoog en ziet de rechtbank aanleiding om dit bedrag te verlagen naar €350.000,-. Deze verlaging heeft het ziekenhuis te danken aan een aantal maatregelen die het wél heeft genomen om te voorkomen dat persoonsgegevens ingezien worden door onbevoegden. Ook is tijdens de bezwaarfase alsnog een tweefactor authenticatie ingevoerd en de logging geïntensiveerd.
De rechtbank oordeelt dat de door het ziekenhuis getroffen maatregelen erop wijzen dat het ziekenhuis bereidwillig is om de problematiek in de organisatie aan te pakken en concludeert dat de matiging van de boete tot €350.000,- passend en geboden is.
Zo zie je maar, een goede naleving van de AVG is heel belangrijk!
Heb jij vragen over de AVG? Wij kunnen jou hierbij helpen.
Neem snel contact op!
Auteur: Jelke Lemstra | Bron: ECLI:NL:RBDHA:2021:3090
Overige heffingen
Eindejaarsactualiteiten
Subsidies
Formeel recht
Om onze website optimaal te kunnen laten functioneren gebruiken wij technologie, waaronder cookies en apparaat gegevens. Wanneer u ons toestemming geeft voor deze technologie, kunnen wij bepaalde informatie en data ontvangen, waaronder uw gedrag op onze website en uw unieke IP-adres. Geeft u geen toestemming of trekt u de toestemming voor het bewaren van cookies in, dan kan dat invloed hebben op de optimale werking van deze website en bepaalde onderdelen.
