Short Reads

HagaZiekenhuis beboet voor datalek

HagaZiekenhuis beboet voor datalek

HagaZiekenhuis beboet voor datalek

22.07.2019 NL law

Enkele maanden geleden vierden we de eerste verjaardag van de Algemene Verordening Gegevensbescherming (AVG) met een uitgebreide beschouwing  over de belangrijkste  ontwikkelingen uit  het eerste jaar van de verordening. We concludeerden daarin onder meer dat de door sommigen voorspelde hoge bestuurlijke boetes voor overtredingen van de AVG tot dan toe  - zowel in Nederland als in de andere EU-lidstaten - grotendeels waren uitgebleven.

De relevante toezichthouders beperkten, zoals werd verwacht, hun handhaving tot handreikingen voor verwerkende partijen om hun verwerkingsactiviteiten in lijn met de wet te brengen, of door het opleggen van andere maatregelen dan boetes.

Wij voorspelden echter ook dat de significante boetes, na deze 'warming up'-periode, toch echt aanstaande waren. Na een dubbele aankondiging van hoge boetes door de Britse toezichthouder ICO vorige week, voor datalekken bij British Airways en Marriott Hotels, volgt nu onze eigen Autoriteit Persoonsgegevens (AP) met een boetebesluit: het HagaZiekenhuis in Den Haag krijgt een boete van € 460.000 opgelegd, eveneens in navolging van een datalek. Na een incident waarbij tientallen medewerkers van het ziekenhuis onrechtmatige inzage hebben gehad in het digitale patiëntdossier van een bekende Nederlander heeft het HagaZiekenhuis in april 2018 melding gedaan van een datalek bij de AP.

Onderzoek

Naar aanleiding van de melding van het HagaZiekenhuis heeft de AP een nader onderzoek ingesteld en aan het ziekenhuis in april 2019 een voornemen toegezonden tot het opleggen van een bestuurlijke boete en/of een last onder dwangsom. Na een zienswijze van het HagaZiekenhuis en een zienswijzezitting bij de AP heeft de AP geoordeeld dat de overtreding voortduurt en heeft besloten tot het opleggen van de boete.

Onder artikel 32, eerste lid, AVG is de verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens gehouden tot het nemen van "passende technische en organisatorische maatregelen" ter beveiliging van de gegevens. Volgens de AP is het HagaZiekenhuis hierin op twee verschillende onderdelen tekortgeschoten: (i) het ziekenhuis had regelmatig moeten controleren welke werknemer welk dossier raadpleegt en monitorde onvoldoende de logbestanden om onbevoegde inzage te achterhalen en (ii) het ziekenhuis had de identiteit van medewerkers door middel van een tweefactor authenticatie moeten vaststellen, waardoor er  niet conform  het eigen autorisatiebeleid is gehandeld. Hiermee overtreedt het ziekenhuis niet alleen de AVG, maar ook de relevante zorgwetgeving en de voor de zorgsector geldende NEN7510-2 normen voor informatiebeveiliging.

De AP lijkt de enige toezichthouder in Europa te zijn met een concreet en volledig uitgewerkt boetebeleid. Op grond van dit boetebeleid, en gelet op de (opzettelijke of nalatige) aard, ernst en duur van de inbreuk, het feit dat er bijzondere persoonsgegevens bij het datalek betrokken waren, en de door het ziekenhuis genomen maatregelen, komt de toezichthouder uit op een boete ter hoogte van € 460.000,-. Hiernaast verbeurt het ziekenhuis een dwangsom van €100.000,- per twee weken dat de overtreding voortduurt, met een maximum van €300.000,- wanneer de beveiliging niet vóór 2 oktober 2019 op orde is gebracht.

Handhaving

Er zijn een aantal overeenkomsten tussen de door ICO aangekondigde boetes aan British Airways en Marriot, en de boete door de AP opgelegd aan het HagaZiekenhuis. Ook doet de boete van de AP denken aan de boete van € 400.000 die vorig jaar door de Portugese toezichthouder werd opgelegd aan het Centro Hospitalar Barreiro Montijo-ziekenhuis. In alle gevallen ging het om het uitlekken van persoonsgegevens, waarbij bij nader onderzoek door de respectievelijke toezichthouders er gebreken in de beveiliging van de systemen werden gevonden. De boetes werden telkens niet zozeer opgelegd vanwege het beveiligingsincident zelf, maar vanwege het feit dat de organisaties onvoldoende beveiligingsmaatregelen hadden genomen om de veiligheid van persoonsgegevens te waarborgen.

Duidelijk is dat de toezichthouders een signaal willen geven aan de markt dat beveiligingsmaatregelen goed in orde moeten zijn. Dit viel ook te verwachten: vanaf 2013 is het controleren op adequate beveiligingsmaatregelen bij organisaties één van de speerpunten van het handhavingsbeleid van de AP (toen: College bescherming persoonsgegevens). Ook heeft de AP bij intrede van de AVG duidelijk gemaakt dat het controleren van overheids- en zorginstellingen en een hogere prioriteit krijgt, omwille van  de voorbeeldfunctie van (semi-)overheidsorganen.

Toezicht

Toch is de keuze van de AP om het HagaZiekenhuis te beboeten opmerkelijk te noemen. Natuurlijk is het van groot belang dat zorginstellingen verantwoordelijkheid nemen voor het op een veilige manier bewaren van patiëntdata. Het toezicht op de in dat kader genomen maatregelen is ook een belangrijk onderdeel van de rol van de toezichthoudende autoriteit. Tegelijkertijd is het vereiste passende maatregelen te nemen ter beveiliging van persoonsgegevens bepaald niet gemakkelijk in te vullen. Het gaat om een min of meer open norm, die noch in de AVG noch in de Uitvoeringswet in veel detail uitgewerkt wordt. Dit gebrek aan duidelijkheid geldt overigens niet voor het onderhavige geval, waar concrete normen (de voorgenoemde NEN7510-2 normen voor informatiebeveiliging) niet correct door het HagaZiekenhuis werden nageleefd. Dat was wellicht ook een overweging van de AP om juist het HagaZiekenhuis te beboeten.

Een onwenselijk gevolg van de forse boete zou echter kunnen zijn dat organisaties, en met name zorginstellingen, terughoudender zullen zijn om meldingsplichtige inbreuken op hun beveiliging te melden bij de AP, zeker wanneer het minder duidelijk is of er een concrete norm geschonden is. Met dat in het achterhoofd is het verdedigbaar dat het uitsluitend opleggen van een dwangsom in dit geval voldoende was geweest om de aanhoudende overtredingen door het HagaZiekenhuis een halt toe te roepen.  Het is zeer pijnlijk dat een ziekenhuis het toch al zo krappe budget moet besteden aan boetes. 

Vervolgstappen

Het is waarschijnlijk dat het HagaZiekenhuis zich niet bij de boete van de AP neer zal leggen. Het ziekenhuis kan zich tegen de bestuurlijke boete verweren met het indienen van een bezwaarschrift bij de AP. Wanneer de AP vervolgens besluit op dit bezwaar kan het HagaZiekenhuis in beroep bij de rechtbank in eerste aanleg en in hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.

Er lopen meerdere onderzoeken tegen andere instellingen. Naar eigen zeggen van de AP "zitten er nog meer boetes in de pijpleiding".

Team

Related news

07.11.2019 NL law
Symposium 'From Stint to Fipronil: a compensation fund for victims of energetic government intervention in crisis situations

Seminar - Stibbe is organising a symposium in Amsterdam on Thursday 7 November entitled 'From Stint to Fipronil: a compensation fund for victims of energetic government intervention in crisis situations'. During this symposium, Stibbe lawyer Tijn Kortmann and Prof. Pieter van Vollenhoven, alongside other experts,  will speak about the compensation fund which, according to van Vollenhoven, injured parties should be able to call upon if a decision by the government turns out to be too drastic.

Read more

15.10.2019 BE law
Avis du Maître architecte et organisation d’une réunion de projet. De nouvelles étapes préalables à la demande de permis d’urbanisme.

Articles - Une des nouveautés de la réforme du CoBAT adoptée le 30 novembre 2017, publiée au Moniteur belge le 20 avril 2018 et entrée en vigueur le 1er septembre 2019 (pour ce qui concerne les demandes de permis d’urbanisme) porte sur la création de deux nouvelles étapes préalables à l’introduction d’une demande de permis d’urbanisme : l’obtention de l’avis du Maître architecte, d’une part, et l’organisation d’une réunion de projet, d’autre part. 

Read more

14.10.2019 NL law
Kamerdebat over digitalisering van de overheid: aandacht voor bescherming burger vereist

Short Reads - Op 24 september 2019 zijn er vier moties in stemming gebracht én aangenomen door de Tweede Kamer. De moties hebben als gemeenschappelijke deler dat ze in het teken staan van de steeds groter wordende digitalisering bij de overheid. Het achterliggende doel van de moties is dat de burger voldoende beschermd moet worden tegen deze digitalisering.

Read more

15.10.2019 NL law
Een nieuwe uittredingsregeling voor gemeenschappelijke regelingen

Short Reads - Op 26 augustus 2019 is de internetconsultatie gestart van een wetsvoorstel dat de Wet gemeenschappelijke regelingen (Wgr) wijzigt. Het wetsvoorstel heeft als doel de democratische legitimiteit van gemeenschappelijke regelingen te versterken. In een eerder bericht gingen wij al in op eerdere initiatieven om de Wgr te wijzigen en op de in het wetsvoorstel voorgestelde maatregelen, waarbij zeggenschap over de begroting werd uitgelicht

Read more

08.10.2019 NL law
Annotatie bij ABRvS 26 juni 2019, waarin de Afdeling een vereniging als belanghebbende aanmerkt

Short Reads - Op 26 juni 2019 heeft de Afdeling twee uitspraken gedaan over de vraag of een vereniging die opkomt voor werknemers als belanghebbende als in artikel 1:2, derde lid, Awb kan worden aangemerkt. De Afdeling oordeelde dat medewerkers in beginsel niet als belanghebbende kunnen worden aangemerkt. Maar in tegenstelling tot de rechtbanken van Amsterdam en Limburg, oordeelde de Afdeling ook dat een uitzondering hierop kan worden gemaakt. 

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring