Rechter verlaagt boete die HagaZiekenhuis kreeg voor inzage in dossier ‘Barbie’

De boete die het HagaZiekenhuis moet betalen van de Autoriteit Persoonsgegevens voor gebrekkige beveiliging van persoonsgegevens van patiënten, is door de rechter verlaagd van 460.000 naar 350.000 euro.

HagaZiekenhuis kreeg de boete in 2019 opgelegd nadat medewerkers uit het ziekenhuis ongelegitimeerd in het dossier van tv-persoonlijkheid Barbie hadden gekeken. De Autoriteit Persoonsgegevens stelde dat het ziekenhuis niet had voldaan aan de eis van tweefactorauthenticatie en de eis om regelmatig de logbestanden te beoordelen. Een zorginstelling moet structureel bijhouden wie wanneer welk patiëntendossier heeft geraadpleegd zodat onbevoegde toegang kan worden gedetecteerd en zo nodig maatregelen kunnen worden genomen. ‘Het beleid van HagaZiekenhuis voorzag in een controle op de logging van een aselecte steekproef van jaarlijks zes patiëntdossiers’, stelt de AP, wat te weinig is volgens de privacywaakhond.

Het ziekenhuis liet weten maatregelen te hebben getroffen. Het systeem is zo aangepast dat een extra waarschuwing in beeld komt als een medewerker een dossier opent. Alle medewerkers die toegang hebben tot het elektronische patiëntendossier hebben een verplichte e-learning gevolgd. Ze zijn in een persoonlijke brief gewezen op het beroepsgeheim en het belang van vertrouwelijkheid van patiëntgegevens. En bij de introductiebijeenkomst voor nieuwe medewerkers wordt extra informatie gegeven en de arbeidsovereenkomst is aangescherpt. Daarnaast kunnen patiënten hun patiëntgegevens extra afschermen en zijn autorisaties waar mogelijk aangescherpt.

De oorspronkelijke boete voor HagaZiekenhuis was 310.000 euro. Deze basisboete werd door de AP vervolgens tweemaal verhoogd met 75.000 euro omdat er volgens de AP sprake is van ‘een structurele overtreding’ die nog voortduurde. De rechtbank oordeelt dat een basisboetebedrag niet onredelijk is omdat tussen ‘januari 2018 tot en met 18 juni 2019 geen passende beveiligingsmaatregelen zijn getroffen, omdat sprake is van een groot aantal patiënten dat is opgenomen in het ziekenhuisinformatiesysteem en gelet op het type persoonsgegevens dat bijzondere bescherming behoeft.’ Maar omdat het ziekenhuis tweefactorauthenticatie invoerde en de logging intensiveerde en bereidwilligheid toonde om met de problematiek in de organisatie aan de slag te gaan, matigt de rechtbank het totale bedrag tot 350.000 euro.