Home » Rechtbank matigt boete AP vanwege overtreden AVG

Rechtbank matigt boete AP vanwege overtreden AVG

Nieuws

De rechter matigt de boete van de Autoriteit Persoonsgegevens vanwege een datalek in een ziekenhuis en het daarmee overtreden van de AVG.

20 april 2021 door Salaris Vanmorgen

De rechtbank Den Haag heeft uitspraak gedaan in een zaak over een boete die de Autoriteit Persoonsgegevens (AP) heeft opgelegd aan een Haags ziekenhuis.

Het ziekenhuis kreeg de boete vanwege het overtreden van de Algemene Verordening Gegevensbescherming (AVG). Persoonsgegevens van patiënten werden namelijk niet voldoende beschermd. Zo had het ziekenhuis de tweefactor authenticatie moeten invoeren en heeft het ziekenhuis de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd.

De AP had een boete opgelegd van 460.0000 euro maar die heeft de rechtbank teruggebracht naar 350.000 euro.

Datalek

Het ziekenhuis heeft op 4 april 2018 een melding gedaan van een datalek aan de AP. Het datalek had betrekking op onrechtmatige inzage in een patiëntendossier van een bekende Nederlander. De AP heeft vervolgens onderzoek gedaan en dat heeft geleid tot een boete en een last onder dwangsom.

Volgens de AP had het ziekenhuis de tweefactor authenticatie moeten invoeren en heeft het de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd.

Tweefactor authenticatie

Het was voor gebruikers van het ziekenhuisinformatiesysteem mogelijk om toegang krijgen tot de gegevens in de digitale patiëntendossiers met alleen iets wat een gebruiker weet, namelijk een gebruikersnaam en wachtwoord. In dat geval wordt gebruik gemaakt van éénfactor authenticatie.

Het ziekenhuisinformatiesysteem van het ziekenhuis had niet de ingebouwde verplichting, maar alleen de mogelijkheid om met tweefactor authenticatie in te loggen.

Logging

Logging houdt in dat een zorginstelling structureel bijhoudt wie wanneer welk patiëntendossier heeft geraadpleegd zodat onbevoegde toegang kan worden gedetecteerd en zo nodig maatregelen genomen kunnen worden. Het beleid van het ziekenhuis voorzag in een aselecte steekproef van jaarlijks zes patiëntdossiers. Dit is geen regelmatige controle, aldus de AP.

Boete te hoog

De rechtbank is van oordeel dat de Autoriteit Persoonsgegevens een boete en een last onder dwangsom mocht opleggen. Wel was de boete volgens de rechtbank te hoog.

Het basisboetebedrag van € 310.000 acht de rechtbank op zichzelf niet onredelijk. De rechtbank is het ook eens met de Autoriteit Persoonsgegevens dat het boetebedrag verhoogd mocht worden vanwege de aard, ernst en duur van de overtreding en de opzettelijke/nalatige aard van de overtreding. Met deze twee boeteverhogende omstandigheden (tweemaal € 75.000) was het totale boetebedrag vastgesteld op € 460.000. De rechtbank vindt dit bedrag echter in dit geval te hoog en ziet aanleiding de boete te matigen tot € 350.000.

Maatregelen genomen

De rechtbank vindt het namelijk van belang dat het ziekenhuis wel een aantal maatregelen heeft genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier worden ingezien door onbevoegde medewerkers. Ook heeft het ziekenhuis nog tijdens de bezwaarfase alsnog de tweefactor authenticatie ingevoerd en de logging geïntensiveerd.
De door het ziekenhuis getroffen maatregelen tonen volgens de rechtbank in elk geval de bereidwilligheid om met de problematiek in de organisatie aan de slag te gaan en nuanceren de nalatigheid die het ziekenhuis wordt verweten.

Uitspraak Rechtbank Den Haag, 31 maart 2021, ECLI:NL:RBDHA:2021:3090

 

Tags: Algemene Verordening Gegevensbescherming (AVG), Autoriteit Persoonsgegevens, datalek

Gerelateerde artikelen