Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Afgelopen dinsdag publiceerde de Autoriteit Persoonsgegevens het besluit waarin er aan het HagaZiekenhuis een boete van € 460.000,- is opgelegd vanwege het overtreden van de Algemene Verordening Gegevensbescherming (AVG). Omdat de overtreding nog voortduurt heeft de Autoriteit Persoonsgegevens ook een deadline gesteld. Indien het ziekenhuis op 2 oktober 2019 haar zaken niet op orde heeft dan krijgt zij bovenop de boete een dwangsom die kan oplopen tot € 300.000,-. Een stevige stok achter de deur om nu in actie te komen! 

Datalek 

De boete komt voort uit een datalek in januari 2018 dat breed uitgemeten werd in de media. Het patiëntendossier van een bekende Nederlander was door 85 medewerkers ongeoorloofd ingezien. Daarom heeft de toezichthouder onderzoek gedaan naar het ziekenhuis en is zij tot de conclusie gekomen dat de zaken rondom de toegang tot alle patiëntendossiers niet op orde zijn en de AVG overtreden is.  

Onderzoek Autoriteit Persoonsgegevens 

Het HagaZiekenhuis had volgens de Autoriteit Persoonsgegevens de interne beveiliging van patiëntendossiers niet goed op orde: er was geen tweefactor authenticatie om toegang te krijgen tot patiëntendossiers én de controle van de logging van de toegang tot de dossiers was reactief en niet proactief en systematisch. Een patiëntendossier mag alleen ingezien worden door medewerkers die betrokken zijn bij de behandeling. Nieuwsgierige medewerkers veroorzaken een datalek als zij een patiëntendossier onnodig én dus onrechtmatig inzien.  

Maar veel belangrijker: wat vindt de patiënt ervan dat andere ziekenhuismedewerkers in zijn of haar patiëntendossier zitten te neuzen, terwijl ze op geen enkele wijze betrokken zijn bij de behandeling? Hoe zou jij het vinden als jouw buurman in het ziekenhuis werkt waar jij behandeld wordt en hij in plaats van aan jou te vragen hoe het met je gaat, even in jouw dossier kijkt en alle details van jouw situatie ziet? Hij weet daardoor precies wat je mankeert! Niet prettig, toch? 

Gevolgen 

Een boete heeft niet alleen een grote financiële impact – geld dat je als zorginstelling liever aan zorg besteedt – maar levert ook reputatieschade op: het vertrouwen van patiënten in jouw organisatie wordt aangetast. Des te meer reden om nu in te gaan zetten op privacy binnen jouw instelling! 

Maatregelen 

Als zorginstelling heb je niet alleen te maken met de AVG, maar er is ook veel sectorspecifieke wet- en regelgeving die het gebruik van persoonsgegevens en de beveiliging daarvan in de zorg bepalen. Om niet op dezelfde punten tekort te schieten als het HagaZiekenhuis, moet je in ieder geval deze twee punten regelen:  

  1. Zorg ervoor dat de toegang tot de patiëntendossiers altijd verloopt via tweefactor authenticatie. Door gebruik te maken van dubbele beveiliging, beveilig je de patiëntendossiers beter en voorkom je dat er (te) lichtvoetig wordt omgegaan met het inzien van een patiëntendossier.
  2. Controleer de logging (van de toegang tot de patiëntendossier) systematisch, intelligent en proactief. Hierbij geldt: alleen beleid opstellen over de controleprocedure is onvoldoende, dit beleid moet ook nageleefd worden. Dat vraagt een investering in tijd en bewustwording bij medewerkers.  

Praktische aanpak van privacy 

Wij zien dat veel organisaties de zaken op papier grotendeels hebben vastgelegd, – de zogenoemde ‘papieren werkelijkheid’ – maar dat dit (nog) niet overeenkomt met de dagelijkse praktijk. En dat is logisch want de core-business van een ziekenhuis is nou eenmaal zorg verlenen en geen loggings controleren. De situatie bij het HagaZiekenhuis is ook geen uitzondering, en het feit dat het onderzoek gestart is naar aanleiding van een datalek met gegevens van een bekende Nederlander, was ook niet doorslaggevend. Dus ook jouw zorginstelling kan een boete krijgen omdat de toegang tot het patiëntendossier de strenge toets van de Autoriteit Persoonsgegevens niet doorstaat.

Wij kijken op een pragmatische manier naar de privacywetgeving en doen zo waar wij expert in zijn. Door onze proces- en risicogerichte aanpak ontzorgen wij jouw organisatie op het gebied van privacy zodat jullie kunnen doen waar jullie het beste in zijn: het verlenen van zorg aan mensen voor wie dat van (levens)belang is.

Meer weten over de pricvacy dienstverlening van EIFFEL?
Brochure Privacy bij EIFFEL Legal Office
Wij hebben brede ervaring op het gebied van privacy-advisering, de meldplicht datalekken en de implementatie van de AVG. Lees in onze brochure hoe wij organisaties kunnen helpen met hun privacy vraagstukken.
Download
Weten hoe wij kunnen helpen? Neem dan contact met mij op!

Ik krijg er energie van om verschillende disciplines met elkaar te verbinden. Dat is mijn doel! Ik denk mee als business partner en ga uit van de mogelijkheden. Hierdoor ontstaat er altijd een oplossing met oog voor de juridische kaders.

Neem contact op Sophie Simons Consultant Legal
06 1346 51 57
Gerelateerde artikelen
Alle artikelen