De rechtbank Den Haag heeft uitspraak gedaan in een zaak over een boete die de Autoriteit Persoonsgegevens (AP) heeft opgelegd aan een Haags ziekenhuis.
Het ziekenhuis kreeg de boete vanwege het overtreden van de Algemene Verordening Gegevensbescherming (AVG). Persoonsgegevens van patiënten werden namelijk niet voldoende beschermd. Zo had het ziekenhuis de tweefactor authenticatie moeten invoeren en heeft het ziekenhuis de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd.
De AP had een boete opgelegd van 460.0000 euro maar die heeft de rechtbank teruggebracht naar 350.000 euro.
Datalek
Het ziekenhuis heeft op 4 april 2018 een melding gedaan van een datalek aan de AP. Het datalek had betrekking op onrechtmatige inzage in een patiëntendossier van een bekende Nederlander. De AP heeft vervolgens onderzoek gedaan en dat heeft geleid tot een boete en een last onder dwangsom.
Volgens de AP had het ziekenhuis de tweefactor authenticatie moeten invoeren en heeft het de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd.
Tweefactor authenticatie
Het was voor gebruikers van het ziekenhuisinformatiesysteem mogelijk om toegang krijgen tot de gegevens in de digitale patiëntendossiers met alleen iets wat een gebruiker weet, namelijk een gebruikersnaam en wachtwoord. In dat geval wordt gebruik gemaakt van éénfactor authenticatie.
Het ziekenhuisinformatiesysteem van het ziekenhuis had niet de ingebouwde verplichting, maar alleen de mogelijkheid om met tweefactor authenticatie in te loggen.
Logging
Logging houdt in dat een zorginstelling structureel bijhoudt wie wanneer welk patiëntendossier heeft geraadpleegd zodat onbevoegde toegang kan worden gedetecteerd en zo nodig maatregelen genomen kunnen worden. Het beleid van het ziekenhuis voorzag in een aselecte steekproef van jaarlijks zes patiëntdossiers. Dit is geen regelmatige controle, aldus de AP.
Boete te hoog
De rechtbank is van oordeel dat de Autoriteit Persoonsgegevens een boete en een last onder dwangsom mocht opleggen. Wel was de boete volgens de rechtbank te hoog.
Maatregelen genomen
Uitspraak Rechtbank Den Haag, 31 maart 2021, ECLI:NL:RBDHA:2021:3090