Short Reads

HagaZiekenhuis beboet voor datalek

HagaZiekenhuis beboet voor datalek

HagaZiekenhuis beboet voor datalek

22.07.2019 NL law

Enkele maanden geleden vierden we de eerste verjaardag van de Algemene Verordening Gegevensbescherming (AVG) met een uitgebreide beschouwing  over de belangrijkste  ontwikkelingen uit  het eerste jaar van de verordening. We concludeerden daarin onder meer dat de door sommigen voorspelde hoge bestuurlijke boetes voor overtredingen van de AVG tot dan toe  - zowel in Nederland als in de andere EU-lidstaten - grotendeels waren uitgebleven.

De relevante toezichthouders beperkten, zoals werd verwacht, hun handhaving tot handreikingen voor verwerkende partijen om hun verwerkingsactiviteiten in lijn met de wet te brengen, of door het opleggen van andere maatregelen dan boetes.

Wij voorspelden echter ook dat de significante boetes, na deze 'warming up'-periode, toch echt aanstaande waren. Na een dubbele aankondiging van hoge boetes door de Britse toezichthouder ICO vorige week, voor datalekken bij British Airways en Marriott Hotels, volgt nu onze eigen Autoriteit Persoonsgegevens (AP) met een boetebesluit: het HagaZiekenhuis in Den Haag krijgt een boete van € 460.000 opgelegd, eveneens in navolging van een datalek. Na een incident waarbij tientallen medewerkers van het ziekenhuis onrechtmatige inzage hebben gehad in het digitale patiëntdossier van een bekende Nederlander heeft het HagaZiekenhuis in april 2018 melding gedaan van een datalek bij de AP.

Onderzoek

Naar aanleiding van de melding van het HagaZiekenhuis heeft de AP een nader onderzoek ingesteld en aan het ziekenhuis in april 2019 een voornemen toegezonden tot het opleggen van een bestuurlijke boete en/of een last onder dwangsom. Na een zienswijze van het HagaZiekenhuis en een zienswijzezitting bij de AP heeft de AP geoordeeld dat de overtreding voortduurt en heeft besloten tot het opleggen van de boete.

Onder artikel 32, eerste lid, AVG is de verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens gehouden tot het nemen van "passende technische en organisatorische maatregelen" ter beveiliging van de gegevens. Volgens de AP is het HagaZiekenhuis hierin op twee verschillende onderdelen tekortgeschoten: (i) het ziekenhuis had regelmatig moeten controleren welke werknemer welk dossier raadpleegt en monitorde onvoldoende de logbestanden om onbevoegde inzage te achterhalen en (ii) het ziekenhuis had de identiteit van medewerkers door middel van een tweefactor authenticatie moeten vaststellen, waardoor er  niet conform  het eigen autorisatiebeleid is gehandeld. Hiermee overtreedt het ziekenhuis niet alleen de AVG, maar ook de relevante zorgwetgeving en de voor de zorgsector geldende NEN7510-2 normen voor informatiebeveiliging.

De AP lijkt de enige toezichthouder in Europa te zijn met een concreet en volledig uitgewerkt boetebeleid. Op grond van dit boetebeleid, en gelet op de (opzettelijke of nalatige) aard, ernst en duur van de inbreuk, het feit dat er bijzondere persoonsgegevens bij het datalek betrokken waren, en de door het ziekenhuis genomen maatregelen, komt de toezichthouder uit op een boete ter hoogte van € 460.000,-. Hiernaast verbeurt het ziekenhuis een dwangsom van €100.000,- per twee weken dat de overtreding voortduurt, met een maximum van €300.000,- wanneer de beveiliging niet vóór 2 oktober 2019 op orde is gebracht.

Handhaving

Er zijn een aantal overeenkomsten tussen de door ICO aangekondigde boetes aan British Airways en Marriot, en de boete door de AP opgelegd aan het HagaZiekenhuis. Ook doet de boete van de AP denken aan de boete van € 400.000 die vorig jaar door de Portugese toezichthouder werd opgelegd aan het Centro Hospitalar Barreiro Montijo-ziekenhuis. In alle gevallen ging het om het uitlekken van persoonsgegevens, waarbij bij nader onderzoek door de respectievelijke toezichthouders er gebreken in de beveiliging van de systemen werden gevonden. De boetes werden telkens niet zozeer opgelegd vanwege het beveiligingsincident zelf, maar vanwege het feit dat de organisaties onvoldoende beveiligingsmaatregelen hadden genomen om de veiligheid van persoonsgegevens te waarborgen.

Duidelijk is dat de toezichthouders een signaal willen geven aan de markt dat beveiligingsmaatregelen goed in orde moeten zijn. Dit viel ook te verwachten: vanaf 2013 is het controleren op adequate beveiligingsmaatregelen bij organisaties één van de speerpunten van het handhavingsbeleid van de AP (toen: College bescherming persoonsgegevens). Ook heeft de AP bij intrede van de AVG duidelijk gemaakt dat het controleren van overheids- en zorginstellingen en een hogere prioriteit krijgt, omwille van  de voorbeeldfunctie van (semi-)overheidsorganen.

Toezicht

Toch is de keuze van de AP om het HagaZiekenhuis te beboeten opmerkelijk te noemen. Natuurlijk is het van groot belang dat zorginstellingen verantwoordelijkheid nemen voor het op een veilige manier bewaren van patiëntdata. Het toezicht op de in dat kader genomen maatregelen is ook een belangrijk onderdeel van de rol van de toezichthoudende autoriteit. Tegelijkertijd is het vereiste passende maatregelen te nemen ter beveiliging van persoonsgegevens bepaald niet gemakkelijk in te vullen. Het gaat om een min of meer open norm, die noch in de AVG noch in de Uitvoeringswet in veel detail uitgewerkt wordt. Dit gebrek aan duidelijkheid geldt overigens niet voor het onderhavige geval, waar concrete normen (de voorgenoemde NEN7510-2 normen voor informatiebeveiliging) niet correct door het HagaZiekenhuis werden nageleefd. Dat was wellicht ook een overweging van de AP om juist het HagaZiekenhuis te beboeten.

Een onwenselijk gevolg van de forse boete zou echter kunnen zijn dat organisaties, en met name zorginstellingen, terughoudender zullen zijn om meldingsplichtige inbreuken op hun beveiliging te melden bij de AP, zeker wanneer het minder duidelijk is of er een concrete norm geschonden is. Met dat in het achterhoofd is het verdedigbaar dat het uitsluitend opleggen van een dwangsom in dit geval voldoende was geweest om de aanhoudende overtredingen door het HagaZiekenhuis een halt toe te roepen.  Het is zeer pijnlijk dat een ziekenhuis het toch al zo krappe budget moet besteden aan boetes. 

Vervolgstappen

Het is waarschijnlijk dat het HagaZiekenhuis zich niet bij de boete van de AP neer zal leggen. Het ziekenhuis kan zich tegen de bestuurlijke boete verweren met het indienen van een bezwaarschrift bij de AP. Wanneer de AP vervolgens besluit op dit bezwaar kan het HagaZiekenhuis in beroep bij de rechtbank in eerste aanleg en in hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.

Er lopen meerdere onderzoeken tegen andere instellingen. Naar eigen zeggen van de AP "zitten er nog meer boetes in de pijpleiding".

Team

Related news

02.04.2020 NL law
EU competition policy agenda: full to the brim

Short Reads - The European Commission’s competition policy agenda stretches to 2024 and contains plans for many new or revised rules and guidelines. Recent publications, such as the New Industrial Strategy for Europe, shed more light on the Commission’s initiatives and their possible impact on parties from both inside and outside the European Union (EU). These new initiatives include temporary state aid rules to address the effects of the Corona crisis, consultations on the Block Exemption Regulations, and new measures in respect of (primarily) third-country companies.

Read more

02.04.2020 NL law
ACM played high stakes and lost: no more fixed network access regulation

Short Reads - The ACM’s failure to meet the requisite standard of proof has led to the fixed networks of Dutch telecom providers KPN and VodafoneZiggo being free from access regulation. The Dutch Trade and Industry Appeals Tribunal ruled that the ACM had failed to demonstrate the existence of collective dominance, and that KPN and VodafoneZiggo would tacitly coordinate their behaviour absent regulation.

Read more

02.04.2020 NL law
Stibbe in Amsterdam answers questions from consumers, small business foundations and NGOs about the coronavirus

Inside Stibbe - In a special Q&A (in Dutch), lawyers from our Amsterdam office share their legal expertise and strive to provide answers to questions put to us by consumers, self-employed persons, enterprises large and small, foundations and NGOs as a result of the corona crisis.

Read more

02.04.2020 NL law
Claims assigned to a litigation vehicle: who needs to prove what?

Short Reads - Two recent decisions from the Amsterdam Court of Appeal have confirmed that litigation vehicles cannot come empty-handed to the court, and should provide documentation regarding the assignments of claims they submit. The Dutch legal system allows companies and individuals to assign their claims to a “litigation vehicle” or “claims vehicle” that bundles those claims into a single action. In its decisions of 10 March 2020, the Court of Appeal ruled that it is up to litigation vehicles to prove that the assignments can be invoked against the debtor. 

Read more

31.03.2020 NL law
Als het moet, kan het snel (en digitaal): vanwege de coronacrisis op weg naar een Tijdelijke wet digitale beraadslaging en besluitvorming

Short Reads - In crisistijd kan veel en snel. Beraadslagingen en besluitvorming blijven ook nu noodzakelijk, maar de wettelijke grondslag om dit digitaal te doen ontbreekt. Daarom is er aan de Tweede Kamer een wetsvoorstel terzake voorgelegd, dat slechts in enkele dagen is voorbereid. De wet treedt, zo is de bedoeling, op korte termijn in werking.

Read more

This website uses cookies. Some of these cookies are essential for the technical functioning of our website and you cannot disable these cookies if you want to read our website. We also use functional cookies to ensure the website functions properly and analytical cookies to personalise content and to analyse our traffic. You can either accept or refuse these functional and analytical cookies.

Privacy – en cookieverklaring