umraniye escort pendik escort
maderba.com
implant
olabahis
canli poker siteleri meritslot oleybet giris adresi betgaranti
escort antalya
istanbul escort
sirinevler escort
antalya eskort bayan
brazzers
sikis
bodrum escort
Short Reads

HagaZiekenhuis beboet voor datalek

HagaZiekenhuis beboet voor datalek

HagaZiekenhuis beboet voor datalek

22.07.2019 NL law

Enkele maanden geleden vierden we de eerste verjaardag van de Algemene Verordening Gegevensbescherming (AVG) met een uitgebreide beschouwing  over de belangrijkste  ontwikkelingen uit  het eerste jaar van de verordening. We concludeerden daarin onder meer dat de door sommigen voorspelde hoge bestuurlijke boetes voor overtredingen van de AVG tot dan toe  - zowel in Nederland als in de andere EU-lidstaten - grotendeels waren uitgebleven.

De relevante toezichthouders beperkten, zoals werd verwacht, hun handhaving tot handreikingen voor verwerkende partijen om hun verwerkingsactiviteiten in lijn met de wet te brengen, of door het opleggen van andere maatregelen dan boetes.

Wij voorspelden echter ook dat de significante boetes, na deze 'warming up'-periode, toch echt aanstaande waren. Na een dubbele aankondiging van hoge boetes door de Britse toezichthouder ICO vorige week, voor datalekken bij British Airways en Marriott Hotels, volgt nu onze eigen Autoriteit Persoonsgegevens (AP) met een boetebesluit: het HagaZiekenhuis in Den Haag krijgt een boete van € 460.000 opgelegd, eveneens in navolging van een datalek. Na een incident waarbij tientallen medewerkers van het ziekenhuis onrechtmatige inzage hebben gehad in het digitale patiëntdossier van een bekende Nederlander heeft het HagaZiekenhuis in april 2018 melding gedaan van een datalek bij de AP.

Onderzoek

Naar aanleiding van de melding van het HagaZiekenhuis heeft de AP een nader onderzoek ingesteld en aan het ziekenhuis in april 2019 een voornemen toegezonden tot het opleggen van een bestuurlijke boete en/of een last onder dwangsom. Na een zienswijze van het HagaZiekenhuis en een zienswijzezitting bij de AP heeft de AP geoordeeld dat de overtreding voortduurt en heeft besloten tot het opleggen van de boete.

Onder artikel 32, eerste lid, AVG is de verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens gehouden tot het nemen van "passende technische en organisatorische maatregelen" ter beveiliging van de gegevens. Volgens de AP is het HagaZiekenhuis hierin op twee verschillende onderdelen tekortgeschoten: (i) het ziekenhuis had regelmatig moeten controleren welke werknemer welk dossier raadpleegt en monitorde onvoldoende de logbestanden om onbevoegde inzage te achterhalen en (ii) het ziekenhuis had de identiteit van medewerkers door middel van een tweefactor authenticatie moeten vaststellen, waardoor er  niet conform  het eigen autorisatiebeleid is gehandeld. Hiermee overtreedt het ziekenhuis niet alleen de AVG, maar ook de relevante zorgwetgeving en de voor de zorgsector geldende NEN7510-2 normen voor informatiebeveiliging.

De AP lijkt de enige toezichthouder in Europa te zijn met een concreet en volledig uitgewerkt boetebeleid. Op grond van dit boetebeleid, en gelet op de (opzettelijke of nalatige) aard, ernst en duur van de inbreuk, het feit dat er bijzondere persoonsgegevens bij het datalek betrokken waren, en de door het ziekenhuis genomen maatregelen, komt de toezichthouder uit op een boete ter hoogte van € 460.000,-. Hiernaast verbeurt het ziekenhuis een dwangsom van €100.000,- per twee weken dat de overtreding voortduurt, met een maximum van €300.000,- wanneer de beveiliging niet vóór 2 oktober 2019 op orde is gebracht.

Handhaving

Er zijn een aantal overeenkomsten tussen de door ICO aangekondigde boetes aan British Airways en Marriot, en de boete door de AP opgelegd aan het HagaZiekenhuis. Ook doet de boete van de AP denken aan de boete van € 400.000 die vorig jaar door de Portugese toezichthouder werd opgelegd aan het Centro Hospitalar Barreiro Montijo-ziekenhuis. In alle gevallen ging het om het uitlekken van persoonsgegevens, waarbij bij nader onderzoek door de respectievelijke toezichthouders er gebreken in de beveiliging van de systemen werden gevonden. De boetes werden telkens niet zozeer opgelegd vanwege het beveiligingsincident zelf, maar vanwege het feit dat de organisaties onvoldoende beveiligingsmaatregelen hadden genomen om de veiligheid van persoonsgegevens te waarborgen.

Duidelijk is dat de toezichthouders een signaal willen geven aan de markt dat beveiligingsmaatregelen goed in orde moeten zijn. Dit viel ook te verwachten: vanaf 2013 is het controleren op adequate beveiligingsmaatregelen bij organisaties één van de speerpunten van het handhavingsbeleid van de AP (toen: College bescherming persoonsgegevens). Ook heeft de AP bij intrede van de AVG duidelijk gemaakt dat het controleren van overheids- en zorginstellingen en een hogere prioriteit krijgt, omwille van  de voorbeeldfunctie van (semi-)overheidsorganen.

Toezicht

Toch is de keuze van de AP om het HagaZiekenhuis te beboeten opmerkelijk te noemen. Natuurlijk is het van groot belang dat zorginstellingen verantwoordelijkheid nemen voor het op een veilige manier bewaren van patiëntdata. Het toezicht op de in dat kader genomen maatregelen is ook een belangrijk onderdeel van de rol van de toezichthoudende autoriteit. Tegelijkertijd is het vereiste passende maatregelen te nemen ter beveiliging van persoonsgegevens bepaald niet gemakkelijk in te vullen. Het gaat om een min of meer open norm, die noch in de AVG noch in de Uitvoeringswet in veel detail uitgewerkt wordt. Dit gebrek aan duidelijkheid geldt overigens niet voor het onderhavige geval, waar concrete normen (de voorgenoemde NEN7510-2 normen voor informatiebeveiliging) niet correct door het HagaZiekenhuis werden nageleefd. Dat was wellicht ook een overweging van de AP om juist het HagaZiekenhuis te beboeten.

Een onwenselijk gevolg van de forse boete zou echter kunnen zijn dat organisaties, en met name zorginstellingen, terughoudender zullen zijn om meldingsplichtige inbreuken op hun beveiliging te melden bij de AP, zeker wanneer het minder duidelijk is of er een concrete norm geschonden is. Met dat in het achterhoofd is het verdedigbaar dat het uitsluitend opleggen van een dwangsom in dit geval voldoende was geweest om de aanhoudende overtredingen door het HagaZiekenhuis een halt toe te roepen.  Het is zeer pijnlijk dat een ziekenhuis het toch al zo krappe budget moet besteden aan boetes. 

Vervolgstappen

Het is waarschijnlijk dat het HagaZiekenhuis zich niet bij de boete van de AP neer zal leggen. Het ziekenhuis kan zich tegen de bestuurlijke boete verweren met het indienen van een bezwaarschrift bij de AP. Wanneer de AP vervolgens besluit op dit bezwaar kan het HagaZiekenhuis in beroep bij de rechtbank in eerste aanleg en in hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.

Er lopen meerdere onderzoeken tegen andere instellingen. Naar eigen zeggen van de AP "zitten er nog meer boetes in de pijpleiding".

Team

Related news

14.04.2021 NL law
Staatssecretaris I&W: intensiever beleid voor onderscheid afval of grondstof en verdere bevordering van circulaire experimenten

Short Reads - Voor bedrijven en overheden is het nog altijd moeilijk om het onderscheid te maken tussen ‘afvalstoffen’ zoals bedoeld in de milieuwetgeving en gewone grondstoffen. Dit kan bedrijven belemmeren in hun circulaire ambities, omdat voor afvalstoffen meer regelgeving en zodoende striktere eisen bestaan dan voor gewone grondstoffen. 

Read more

08.04.2021 NL law
Recente NOW-jurisprudentie

Short Reads - In de afgelopen periode zijn er weer uitspraken over de NOW gepubliceerd die van belang kunnen zijn voor werkgevers. Zo zijn er uitspraken gedaan over de vaststelling van de loonsom en de keuzes die al bij de aanvraag voor de subsidieverlening moeten worden gemaakt. Daarnaast laat een recente uitspraak zien dat een civiele vordering inzake het mislopen van NOW-steun niet slaagt.

Read more

07.04.2021 NL law
Het Schone Lucht Akkoord en de industrie: de overheid zet in op strengere emissie-eisen

Short Reads - Op 26 maart 2021 werd de uitvoeringsagenda Schone Lucht Akkoord aan de Tweede Kamer aangeboden. Hiermee wordt een aanzet gegeven naar het concretiseren van de emissiereductieafspraken die in het Schone Lucht Akkoord zijn neergelegd.  In dit blog gaan wij nader in op deze materie. In het bijzonder geven wij een overzicht van de maatregelen voor de industrie die in het Schone Lucht Akkoord en de uitvoeringsagenda zijn opgenomen en de stand van zaken omtrent de uitwerking van deze maatregelen in de praktijk.

Read more

08.04.2021 NL law
Voorzieningenrechter Afdeling: beroep van een niet-belanghebbende toch ontvankelijk wegens het Varkens in nood-arrest

Short Reads - De voorzieningenrechter van de Afdeling bestuursrechtspraak van de Raad van State gaat in een recente uitspraak op voorhand uit van de ontvankelijkheid van een beroep van een persoon die een zienswijze heeft ingediend over een ontwerp-inpassingsplan. Dit terwijl de betreffende persoon geen feitelijke gevolgen van het plan ondervindt en dus geen belanghebbende is.

Read more

06.04.2021 NL law
Podcast: 'de NOW en het bonusverbod'

Short Reads - Hoe werkt het bonusverbod voor werkgevers die NOW aanvragen? Geldt dit verbod ook voor sales medewerkers? En, hoe zit dat nou met buitenlandse moederbedrijven die in Nederland wel bonussen mogen uitkeren? In de tweede aflevering van een vierdelige podcastserie over de NOW geven arbeidsrechtadvocaat Astrid Helstone en advocaat bestuursrecht Sandra Putting antwoord op deze en andere vragen over de NOW en het bonusverbod.

Read more