4 ton boete OLVG voor slechte beveiliging patiëntendossiers
De Autoriteit Persoonsgegevens (AP) heeft het OLVG een boete van 440.000 euro opgelegd. Onbevoegde medewerkers (werkstudenten) van het ziekenhuis hadden van 2018 tot 2020 toegang tot medische dossiers van patiënten.
Uit onderzoek van de AP is gebleken dat onvoldoende werd gecontroleerd welke medewerkers medische dossiers bekeken en dat de beveiliging van de computersystemen te wensen over liet. Zo was er geen tweefactorauthenticatie nodig om in te loggen op het systeem van het ziekenhuis. Personeelsleden hadden ook toegang tot burgerservicenummers, adressen en telefoonnummers van patiënten. Dat soort gegevens moeten goed worden beveiligd omdat ze gebruikt kunnen worden voor identiteitsfraude.
“Je moet erop kunnen vertrouwen dat wat jij met de dokter bespreekt, in de spreekkamer blijft,” zegt AP-vicevoorzitter Monique Verdier in een persbericht. “Je moet er toch niet aan denken dat mensen, die daar helemaal niets te zoeken hebben, zomaar in de aantekeningen van de dokter over jou en jouw ziekte kunnen rondneuzen. Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig en daarom legt de AP het OLVG nu deze boete op.”
Onvoldoende actie
De zaak kwam aan het licht toen een werkstudent en enkele medewerkers naar de AP stapten vanwege datalekken. Zij hadden zich in een eerder stadium tot de directie van het ziekenhuis gewend, maar toen na hun klachten onvoldoende actie werd ondernomen, namen zij contact op met de AP. In april 2019 werd daarop een onderzoek gestart.
Het OLVG heeft inmiddels verbeteringen doorgevoerd, schrijft het ziekenhuis op zijn website. Zo wordt met ‘grotere regelmaat’ gecontroleerd welke medewerkers een dossier raadplegen. ‘Daarbij zien we er strikter op toe of inzage ook wordt gedaan door een medewerker die hier bevoegd voor is.’
Ook moeten medewerkers een tweede stap ondernemen om te kunnen inloggen op het systeem: de tweefactor-authenticatie. Dat betekent dat een medewerker naast het invullen van zijn gebruikersnaam en wachtwoord nog een scan van de personeelspas nodig heeft om in het systeem te komen.
Teleurgesteld
Maurice van den Bosch, voorzitter van de raad van bestuur van het OLVG, laat in een reactie weten dat het ziekenhuis de zaken inderdaad ‘niet goed op orde’ had, maar vindt dat een waarschuwing meer op zijn plaats was geweest.
“We zijn teleurgesteld dat we niet de kans hebben gekregen om eerst de geconstateerde tekortkomingen op te lossen, alvorens een boete opgelegd te krijgen,” zegt Van den Bosch. “Daarnaast vinden we de boete voor een maatschappelijke instelling zoals ons ziekenhuis wel erg hoog. Geld wat we nu niet kunnen besteden aan datgene waar ons geld het hardste nodig is: voor de zorg voor onze patiënten.”
Een woordvoerder van de AP laat weten dat het OLVG de tweede zorginstelling is die sinds de invoering van de Algemene verordening gegevensbescherming (AVG) in 2018 een boete krijgt voor het niet beveiligen van patiëntengegevens. Eerder kreeg het Hagaziekenhuis in Den Haag een boete van 460.000 euro. Tientallen medewerkers vroegen daar het medisch dossier van bekende Nederlanders op.
Het OLVG gaat niet in bezwaar tegen de boete.
