Het HagaZiekenhuis in Den Haag heeft de twijfelachtige eer om als eerste organisatie in Nederland een boete te hebben gekregen van de Autoriteit Persoonsgegevens.
Nieuwsgierige aagjes
Op 4 april 2018 heeft het HagaZiekenhuis een melding van een datalek gedaan bij de Autoriteit Persoonsgegevens.
Maar liefst 85 medewerkers hadden in het medisch dossier van een patiënt zitten snuffelen. Het ging om het dossier van Samantha de Jong, beter bekend als Barbie (of 'Oh Oh Cherso' fame).
Deze nieuwsgierige aagjes waren niet betrokken bij de behandeling van mevrouw De Jong en hadden geen geldige reden om in haar dossier te kijken. De medewerkers zijn door hun werkgever al officieel berispt voor het onnodig inzien van een patiëntdossier. Gaat één van hen opnieuw in de fout, dan volgt ontslag.
Op de website van het Haga staat het volgende algemene statement over het vertrouwen dat oh zo belangrijk is in de zorg, "Als medewerkers van het HagaZiekenhuis zijn wij ons voortdurend bewust van het feit dat wij onze patiënten ontmoeten op een bijzonder moment in hun leven waarin zij kwetsbaar zijn en vaak onzeker over hun toekomst en waarin zij vertrouwen stellen in onze zorg."
Het imago van het Haga is door deze acties al ernstig beschadigd, daar komt nu nog een stevige boete van de Autoriteit Persoonsgegevens overheen.
Het onderzoek door de Autoriteit Persoonsgegevens
Op 31 oktober 2018 hebben vier medewerkers van de AP een onderzoek ter plaatse uitgevoerd bij het HagaZiekenhuis, locatie Leyweg in Den Haag, waarbij het ziekenhuisinformatiesysteem is onderzocht en tevens mondelinge verklaringen zijn afgenomen.
Het Haga heeft op papier alles op orde, er is een stevig securitybeleid geformuleerd, medewerkers krijgen training op het gebied van het belang van security, er zijn AVG-workshops georganiseerd, er is een werkende procedure voor het melden van datalekken.
Hier is serieus geld en aandacht besteed.
Waarom dan toch die boete?
Wij hebben het rapport van de AP er eens bijgepakt, en er blijken twee redenen te zijn voor de boete van 460.000 Euro.
In geval van nood is het mogelijk zonder two-factor authenticatie toegang te krijgen tot medische dossiers. Hun definitie van 'nood' is dat een medewerker zijn personeelspas is vergeten. Op dat moment kan er ook met de reguliere username-password combinatie worden ingelogd.
Er is dan natuurlijk geen sprake van two-factor authenticatie, username & password zijn namelijk allebei gegevens die een gebruiker wéét. Er zou een 2e factor moeten zijn, die op een fundamenteel andere manier een bijdrage levert aan de authenticatie. Iets wat je hébt, bijvoorbeeld de personeelspas, of iets dat onlosmakelijk met jou verbonden is (een vingerafdruk of andere biometrisch gegeven).
Volgens diverse normeringen in de zorg (oa. de NEN7510-2) is two-factor authenticatie altijd verplicht. De AP verwijst naar de overtreding van de norm als motivatie voor de boete.
Gebrekkige controle op logging: Bij het Haga is geen sprake van systematische controle op loggegevens. De kans dat je als nieuwsgierig aagje ooit aangesproken gaat worden op je gedrag is daardoor klein, en er ontstaat ook geen goed beeld van de effectiviteit van de security maatregelen die genomen zijn.
In de NEN7510-2 staat dat logbestanden die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.
En precies dat laatste is bij het Haga te weinig gebeurd; zij hebben één of enkele steekproeven gehouden op de gelogde toegang op patiëntendossiers. Wel logging, maar te weinig analyse van die logging.
In het rapport noemt de AP dit "..ruimschoots en evident onvoldoende om te kunnen spreken van een passend beveiligingsniveau dat ziet op het signaleren van onbevoegde toegang tot patiëntgegevens...".
Ook hier verwijst de AP naar de NEN7510 bij het motiveren van de boete.
Voorlopige conclusie
Wat opvalt is dat hoezeer het Haga ook aangeeft te streven naar verbetering, de AP tóch de stevige boete heeft opgelegd. Bovendien is er een 'last onder dwangsom' opgelegd. Dat betekent dat als het HagaZiekenhuis de beveiliging niet voor 2 oktober 2019 op deze twee punten aantoonbaar verbeterd heeft, het ziekenhuis elke twee weken nog eens 100.000 euro moet betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft inmiddels aangegeven maatregelen te nemen.
In de AVG is sprake van 'passende maatregelen'. De AP vertaalt 'passend' in het geval van een zorginstelling blijkbaar naar 'voldoen aan de NEN7510'. Het lijkt er dus sterk op dat de AP boetes zal gaan opleggen bij het niet voldoen aan security-normeringen, uiteraard pas nadat er een melding van een datalek is geweest. De vraag wordt dan welke norm er in een bepaalde branche leidend is.
Het HagaZiekenhuis gaat overigens nog tegen de beslissing van de AP in beroep. Directievoorzitter Carla van de Wiel van het ziekenhuis zegt het zuur te vinden dat het geld nu niet aan patiëntenzorg kan worden besteed. Dat neemt allemaal niet weg dat het HagaZiekenhuis officieel de eerste Nederlandse organisatie is die een boete heeft gekregen van de nieuwe Autoriteit Persoonsgegevens.
Boetes en reputatieschade voorkomen?
Onze consultants hebben ruime ervaring met AVG advisering. Neem gerust contact met ons op voor een oriënterend gesprek. Dat kan telefonisch op 088 - 627 0100, of stuur ons een bericht op info@quividet.nl.