Dagelijks opinie, nieuws en achtergronden

Inloggen
naar overzicht
Nieuws

HagaZiekenhuis gaat boete om gebrekkige interne beveiliging aanvechten 

5 reacties

Het HagaZiekenhuis tekent bezwaar aan tegen de boete die de Autoriteit Persoongegevens vandaag oplegde. Het Haagse ziekenhuis kreeg 460.000 euro boete omdat de interne beveiliging van patiëntengegevens onvoldoende beveiligd is.

Het ziekenhuis krijgt die boete opgelegd omdat meerdere (85) medewerkers ongeoorloofd het medisch dossier hebben ingezien van Samantha de Jong, (als tv-persoonlijkheid beter bekend als ‘Barbie’). Dit werd in april 2018 duidelijk. Het ziekenhuis beloofde toen maatregelen te treffen om de interne beveiliging van patiëntgegevens op orde te brengen. Dat is onvoldoende het geval, oordeelt de AP op basis van een onderzoek eind 2018. 

Daarmee is het HagaZiekenhuis de eerste zorginstelling die op basis van de privacywetgeving AVG een boete krijgt, sinds deze wet vorig jaar zomer werd ingevoerd.  

Op vier onderdelen van de beveiliging gaat het goed, maar niet overal. Het ziekenhuis moet regelmatig controleren wie welk dossier inziet. Daarnaast hoort bij een goede beveiliging authenticatie op ten minste twee manieren. Bij deze twee onderdelen schiet de instelling tekort. De AP is streng in haar oordeel. Voorzitter Aleid Wolfsen noemt het in een verklaring een ‘kwalijke zaak’ dat een ziekenhuis de interne beveiliging niet op orde heeft. ‘Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis.’   

Om ervoor te zorgen dat het ziekenhuis de beveiliging van patiëntendossiers daadwerkelijk snel zal aanpakken, wordt het HagaZiekenhuis tegelijkertijd een last onder dwangsom opgelegd. Heeft het ziekenhuis de beveiliging niet voor 2 oktober verbeterd, dan moet het elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. 

Het Haagse ziekenhuis laat in een reactie weten de beveiliging te zullen aanscherpen, maar vindt de boete veel te hoog en tekent daarom beroep aan. Wel zal het verbeteringen invoeren in de interne beveiliging van elektronische patiëntendossiers (epd’s). 

‘Medewerkers loggen in met een gebruikersnaam en wachtwoord of met hun persoonlijke personeelspas en pincode. Die pincode moet nu al elke vier uur opnieuw worden ingetikt. De AP vindt dat te weinig en daarom wordt de authenticatie aangepast.’ Ook zegt het ziekenhuis toe vaker controles uit te voeren. Bestuursvoorzitter Carla van de Wiel vindt het ‘zuur’ dat het opgelegde boetebedrag van 460.000 euro nu niet aan patiëntenzorg kan worden besteed en zegt dat het ziekenhuis er ‘alles aan doet’ om de dwangsom waarmee de AP dreigt, te vermijden.  

lees ook

print dit artikel
Nieuws privacy Barbie HagaZiekenhuis
  • Marieke van Twillert

    Marieke van Twillert werkt als journalist voor Medisch Contact. Arbeidsmarkt, levenseinde en e-health hebben haar speciale aandacht.  

Dit artikel delen
Op dit artikel reageren inloggen

Reacties

  • Marchinus Hofkamp, kinderarts n.p., Apeldoorn 17-07-2019 22:08

    "Het Haga heeft de privacy afscherming niet op orde. Ben benieuwd hoeveel ziekenhuizen dit wél op orde hebben. Ik maakte me al boos als ik een assistent vroeg om de gynaecoloog te vragen om gegevens van de moeder van een neonaat met problemen, en hij binnen de kortste keren daarmee terugkwam. Gevraagd? Nee, veel sneller en gemakkelijker om 'even in het systeem te kijken'. Mijn boosheid hierover landde slechts in onbegrip. Zijn reactie: "Dit is veel sneller, en iedereen die in het systeem is ingelogd kan er zo bij, secretaresses incluis. Zo werkt het hier, en heus ook in zóveel andere ziekenhuizen". Dit speelde zich tien jaar geleden af. Een aantal ziekenhuizen zal dit goed aangepakt hebben, maar Haga zal bepaald niet enig zijn in zijn nalatigheid. Dat is natuurlijk geen excuus, maar een officiële schrobbering met duidelijke consequenties in een tijdlijn lijkt mij meer in de lijn liggen dan zo'n geldboete, die inderdaad ten koste van de zorg kan uitpakken."

  • W.J. Jongejan, huisarts n.p., Woerden 17-07-2019 17:36

    "Iedereen spreekt van 85 onrechtmatige inzagen van de "bekende" Nederlandse. In het boetebesluit van de Autoriteit Persoonsgegevens(AP) staat dat er van de 197 inzagen er 100 onrechtmatig waren. aanzienlijk meer dus. Het is alleen jammer dat de AP dit soort dingen allang weet en nu scoort voor open doel omdat de publiciteit in 2018 zeer fors was. Zo heeft een ex-GGZ-cliënt in 2014 bij de rechtsvoorganger van de AP, het College Bescherming Persoonsgegevens hetzelfde gemeld over het eigen dossier. Daar heeft men een notitie van gemaakt en nooit iets mee gedaan. Men kon toen ook maatregelen opleggen maar niet van die hoogte die nu mogelijk zijn. Ook bestuursdwang kon toen uitgeoefend worden. Het is jammer dat de toezichthouder zo selectief is. "

  • Jelle , Student, Zeist 16-07-2019 17:16

    "Dat lijkt inderdaad een hoge boete. Alleen een last onder dwangsom was mijns inziens meer op z'n plaats geweest. Natuurlijk kun je betogen dat ziekenhuizen professionele organisaties zijn, die de normen horen te kennen en dat er voldoende voorbereidingstijd is geweest. Ik vraag me echter af of er veel ziekenhuizen zijn die daadwerkelijk altijd gebruik maken van tweefactorauthenticatie. Ook vraag ik me af of een redelijke toepassing van de norm dit ook daadwerkelijk vereist. Ik ben benieuwd naar de uitspraak van de rechter. "

  • Jos-Paul Scholten, Specialist ouderengeneeskunde , Numansdorp 16-07-2019 16:57

    "Boete ? Prima . Dit betekend een belangrijk geheven . Dit stopt mogelijk ook de Trend dat de hele familie maar mee kijkt in dossier arts en patiënt als patiënt maar vooraf toestemming heeft gegeven? Dit is namelijk ook een data lek. De patiënt en arts kunnen hun rechten en plichten niet nakomen en zijn hier niet van bewust. "

  • Robert Aardenburg, Med Specialist, Sittard 16-07-2019 16:45

    "Ja, het is een hoge boete en ja, dat kan nu niet aan patientenzorg worden uitgegeven.

    Als ziekenhuis organisatie, zou ik mij echter veel meer zorgen maken over de waarschijnlijkheid dat er binnen de organisatie 85 medewerkers zijn die een dusdanig gebrekkig besef van normen en waarden hebben, dat zij vinden dat ze in een dossier mogen kijken van een patient bij wiens zorg zij niet betrokken zijn.
    Een pittig gesprek met al die medewerkers lijkt mij gerechtvaardigd. "

 

Cookies op Medisch Contact

Medisch Contact vraagt u om cookies te accepteren voor optimale werking van de site, kwaliteitsverbetering door geanonimiseerde analyse van het gebruik van de site en het tonen van relevante advertenties, video’s en andere multimediale inhoud. Meer informatie vindt u in onze privacy- en cookieverklaring.