HagaZiekenhuis Den Haag
€ 350.000
Het Haagse HagaZiekenhuis ontving in juli 2019 de eerste AVG-boete van Nederland. Dat was een jaar en 2 maanden nadat de AVG actief werd. Het ziekenhuis kreeg de boete nadat bleek dat werknemers onterecht medische dossiers van patiënten konden bekijken. Dat gebeurde ook; het ziekenhuis was in het nieuws nadat bleek dat werknemers het dossier van realityster Barbie veel bekeken. Dat gebeurde tientallen keren. Toen die situatie in het nieuws kwam, deed het ziekenhuis een datalekmelding bij de AP. Die startte daarop een onderzoek.
Het ziekenhuis had de beveiliging van medische dossiers niet goed op orde. Er waren twee problemen: met tweestapsverificatie, en met controle op logging.
Het was mogelijk voor alle werknemers om ieder dossier op te vragen met behulp van alleen een personeelspas, of met inloggegevens die uit een gebruikersnaam en wachtwoord bestonden. De AP concludeert dat er minimaal tweestapsverificatie nodig is voor dergelijke medische gegevens, dus daarmee overtrad het ziekenhuis de AVG.
Ook maakte het HagaZiekenhuis wel logs aan, maar het controleerde die niet. Tijdens het onderzoek bleek dat het ziekenhuis slechts een keer proactief een controle op de logs had uitgevoerd, maar verder deed het ziekenhuis dat alleen als daar aanleiding voor was, zoals bij een klacht of melding.
Onder artikel 32, lid 1 van de AVG moet een dataverwerker 'passende technische en organisatorische maatregelen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen'. De AP keek voor invulling daarvan naar NEN-norm 7510 en NEN-norm 7513. Die interpreteert de AP zodanig dat het stelt dat, voor medische gegevens, het nodig is dat er minimaal tweestapsverificatie is ingesteld en dat logs stelselmatig worden gecontroleerd. Daarmee overtrad het ziekenhuis dus artikel 32 van de AVG.
Het maximale basisbedrag van de boete zou volgens de Boetebeleidsregels van de AP liggen op 310.000 euro, maar de AP verhoogde dat bedrag met 75.000 euro naar 385.000 euro, 'gelet op de ernst van de voortdurende overtreding'. Daarnaast schrijft de AP dat het 'gelet op de nalatige aard van de inbreuk' nog eens 75.000 euro op de boete gooit, zodat het totaalbedrag op 460.000 euro uitkomt.
Naast de boete legde de AP ook een last onder dwangsom op. Het ziekenhuis moest aanpassingen aan zijn beveiligingsbeleid doen, anders zou het iedere twee weken een boete van 100.000 euro krijgen tot maximaal 300.000 euro. Later concludeerde de AP dat het HagaZiekenhuis aan de voorwaarden voldeed en het daarom de last onder dwangsom niet hoefde te betalen.
Het HagaZiekenhuis ging in beroep tegen de boete. Aanvankelijk tegen de AP zelf, die dat beroep ongegrond verklaarde. Daarop stapte het ziekenhuis naar de rechter. Die verlaagde de boete naar 350.000 euro. De rechter concludeerde dat de boete wel terecht was, maar de AP de twee verhogingen niet had mogen opleggen. Die maakten de boete namelijk niet evenredig.
Geen logging en geen tweestapsverificatie
Het ziekenhuis had de beveiliging van medische dossiers niet goed op orde. Er waren twee problemen: met tweestapsverificatie, en met controle op logging.
Het was mogelijk voor alle werknemers om ieder dossier op te vragen met behulp van alleen een personeelspas, of met inloggegevens die uit een gebruikersnaam en wachtwoord bestonden. De AP concludeert dat er minimaal tweestapsverificatie nodig is voor dergelijke medische gegevens, dus daarmee overtrad het ziekenhuis de AVG.
Ook maakte het HagaZiekenhuis wel logs aan, maar het controleerde die niet. Tijdens het onderzoek bleek dat het ziekenhuis slechts een keer proactief een controle op de logs had uitgevoerd, maar verder deed het ziekenhuis dat alleen als daar aanleiding voor was, zoals bij een klacht of melding.
Onder artikel 32, lid 1 van de AVG moet een dataverwerker 'passende technische en organisatorische maatregelen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen'. De AP keek voor invulling daarvan naar NEN-norm 7510 en NEN-norm 7513. Die interpreteert de AP zodanig dat het stelt dat, voor medische gegevens, het nodig is dat er minimaal tweestapsverificatie is ingesteld en dat logs stelselmatig worden gecontroleerd. Daarmee overtrad het ziekenhuis dus artikel 32 van de AVG.
Hoogte van de boete
Het maximale basisbedrag van de boete zou volgens de Boetebeleidsregels van de AP liggen op 310.000 euro, maar de AP verhoogde dat bedrag met 75.000 euro naar 385.000 euro, 'gelet op de ernst van de voortdurende overtreding'. Daarnaast schrijft de AP dat het 'gelet op de nalatige aard van de inbreuk' nog eens 75.000 euro op de boete gooit, zodat het totaalbedrag op 460.000 euro uitkomt.
Last onder dwangsom
Naast de boete legde de AP ook een last onder dwangsom op. Het ziekenhuis moest aanpassingen aan zijn beveiligingsbeleid doen, anders zou het iedere twee weken een boete van 100.000 euro krijgen tot maximaal 300.000 euro. Later concludeerde de AP dat het HagaZiekenhuis aan de voorwaarden voldeed en het daarom de last onder dwangsom niet hoefde te betalen.
Bezwaar
Het HagaZiekenhuis ging in beroep tegen de boete. Aanvankelijk tegen de AP zelf, die dat beroep ongegrond verklaarde. Daarop stapte het ziekenhuis naar de rechter. Die verlaagde de boete naar 350.000 euro. De rechter concludeerde dat de boete wel terecht was, maar de AP de twee verhogingen niet had mogen opleggen. Die maakten de boete namelijk niet evenredig.
Meer informatie
- Nieuwsbericht bij AP
- Boetebesluit
- Onderzoeksresultaten AP
- Controle op last onder dwangsom
- Reactie AP op bezwaar van HagaZiekenhuis
- Uitspraak rechtbank Den Haag
- Tweakers - Autoriteit Persoonsgegevens deelt AVG-boete van 460.000 euro uit aan ziekenhuis
- Rechter verlaagt AVG-boete HagaZiekenhuis tot 350.000 euro