Blog & Whitepapers

Breadcrumbs

Patiëntdossiers voor niet-geauthoriseerde medewerkers in te zien

Het ziekenhuis heeft de interne beveiliging van patiëntendossiers niet op orde bleek uit een onderzoek van de Autoriteit Persoonsgegevens (AP). Eerder kwam het ziekenhuis in het nieuws toen een bekende Nederlander in het betreffende ziekenhuis opgenomen was en haar gegevens waren gelekt. Naar aanleiding hiervan heeft de AP het HagaZiekenhuis een boete opgelegd van € 460.000.

Dwingen tot verbetering: last onder dwangsom

Om het ziekenhuis te dwingen haar beveiliging van patiëntendossiers te verbeteren legt het AP tegelijkertijd een last onder dwangsom op. Een last onder dwangsom is een zogenaamde herstensanctie dat erop gericht is een bepaalde overtreding te beëindigen en de rechtmatige situatie te herstellen. Het houdt dus in dat een bepaalde overtreding niet meer mag worden begaan. In dit geval moet het HagaZiekenhuis vóór 2 oktober 2019 haar beveiliging op orde hebben. Zo niet, dan zal het ziekenhuis elke twee weken €100.000 moeten betalen, met een maximum van €300.000.

Beveiliging van patiëntendossiers

Elke organisatie moet passende technische en organisatorische maatregelen treffen. Wanneer het gaat om sensitieve of zeer gevoelige persoonsgegevens ligt de druk nog hoger. Het HagaZiekenhuis heeft op 2 onderdelen onvoldoende beveiligingsmaatregelen getroffen:

  1. Er moet regelmatig gecontroleerd worden wie welk dossier raadpleegt. Door middel van 'logging' kan een organisatie altijd zien welke bestanden ingezien, gewijzigd en verwijderd zijn. Maar zonder controle hierop is het loggen alleen maar nuttig om achteraf, nadat het kwaad geleden is, e.e.a. te achterhalen.

  2. Authenticatie waarbij ten minste twee factoren betrokken worden. Dit kan een combinatie zijn van een code of wachtwoord in combinatie met een personeelspas. U bent verplicht om vanuit de AVG aan te kunnen tonen wie waar toegang toe heeft. U dient dit niet alleen in een RBAC (Roll Based Access Control) matrix aan te kunnen tonen, maar u moet ook aantonen dat u hier controle op uitoefent. Een awareness training voor het personeel en bijbehorende sancties helpen het risico op herhaling te verkleinen.

Het Besluit tot het opleggen van een bestuurlijke boete en een last onder dwangsom aan het HagaZiekenhuis is openbaar en hier te lezen.