Short Reads

HagaZiekenhuis beboet voor datalek

HagaZiekenhuis beboet voor datalek

HagaZiekenhuis beboet voor datalek

22.07.2019 NL law

Enkele maanden geleden vierden we de eerste verjaardag van de Algemene Verordening Gegevensbescherming (AVG) met een uitgebreide beschouwing  over de belangrijkste  ontwikkelingen uit  het eerste jaar van de verordening. We concludeerden daarin onder meer dat de door sommigen voorspelde hoge bestuurlijke boetes voor overtredingen van de AVG tot dan toe  - zowel in Nederland als in de andere EU-lidstaten - grotendeels waren uitgebleven.

De relevante toezichthouders beperkten, zoals werd verwacht, hun handhaving tot handreikingen voor verwerkende partijen om hun verwerkingsactiviteiten in lijn met de wet te brengen, of door het opleggen van andere maatregelen dan boetes.

Wij voorspelden echter ook dat de significante boetes, na deze 'warming up'-periode, toch echt aanstaande waren. Na een dubbele aankondiging van hoge boetes door de Britse toezichthouder ICO vorige week, voor datalekken bij British Airways en Marriott Hotels, volgt nu onze eigen Autoriteit Persoonsgegevens (AP) met een boetebesluit: het HagaZiekenhuis in Den Haag krijgt een boete van € 460.000 opgelegd, eveneens in navolging van een datalek. Na een incident waarbij tientallen medewerkers van het ziekenhuis onrechtmatige inzage hebben gehad in het digitale patiëntdossier van een bekende Nederlander heeft het HagaZiekenhuis in april 2018 melding gedaan van een datalek bij de AP.

Onderzoek

Naar aanleiding van de melding van het HagaZiekenhuis heeft de AP een nader onderzoek ingesteld en aan het ziekenhuis in april 2019 een voornemen toegezonden tot het opleggen van een bestuurlijke boete en/of een last onder dwangsom. Na een zienswijze van het HagaZiekenhuis en een zienswijzezitting bij de AP heeft de AP geoordeeld dat de overtreding voortduurt en heeft besloten tot het opleggen van de boete.

Onder artikel 32, eerste lid, AVG is de verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens gehouden tot het nemen van "passende technische en organisatorische maatregelen" ter beveiliging van de gegevens. Volgens de AP is het HagaZiekenhuis hierin op twee verschillende onderdelen tekortgeschoten: (i) het ziekenhuis had regelmatig moeten controleren welke werknemer welk dossier raadpleegt en monitorde onvoldoende de logbestanden om onbevoegde inzage te achterhalen en (ii) het ziekenhuis had de identiteit van medewerkers door middel van een tweefactor authenticatie moeten vaststellen, waardoor er  niet conform  het eigen autorisatiebeleid is gehandeld. Hiermee overtreedt het ziekenhuis niet alleen de AVG, maar ook de relevante zorgwetgeving en de voor de zorgsector geldende NEN7510-2 normen voor informatiebeveiliging.

De AP lijkt de enige toezichthouder in Europa te zijn met een concreet en volledig uitgewerkt boetebeleid. Op grond van dit boetebeleid, en gelet op de (opzettelijke of nalatige) aard, ernst en duur van de inbreuk, het feit dat er bijzondere persoonsgegevens bij het datalek betrokken waren, en de door het ziekenhuis genomen maatregelen, komt de toezichthouder uit op een boete ter hoogte van € 460.000,-. Hiernaast verbeurt het ziekenhuis een dwangsom van €100.000,- per twee weken dat de overtreding voortduurt, met een maximum van €300.000,- wanneer de beveiliging niet vóór 2 oktober 2019 op orde is gebracht.

Handhaving

Er zijn een aantal overeenkomsten tussen de door ICO aangekondigde boetes aan British Airways en Marriot, en de boete door de AP opgelegd aan het HagaZiekenhuis. Ook doet de boete van de AP denken aan de boete van € 400.000 die vorig jaar door de Portugese toezichthouder werd opgelegd aan het Centro Hospitalar Barreiro Montijo-ziekenhuis. In alle gevallen ging het om het uitlekken van persoonsgegevens, waarbij bij nader onderzoek door de respectievelijke toezichthouders er gebreken in de beveiliging van de systemen werden gevonden. De boetes werden telkens niet zozeer opgelegd vanwege het beveiligingsincident zelf, maar vanwege het feit dat de organisaties onvoldoende beveiligingsmaatregelen hadden genomen om de veiligheid van persoonsgegevens te waarborgen.

Duidelijk is dat de toezichthouders een signaal willen geven aan de markt dat beveiligingsmaatregelen goed in orde moeten zijn. Dit viel ook te verwachten: vanaf 2013 is het controleren op adequate beveiligingsmaatregelen bij organisaties één van de speerpunten van het handhavingsbeleid van de AP (toen: College bescherming persoonsgegevens). Ook heeft de AP bij intrede van de AVG duidelijk gemaakt dat het controleren van overheids- en zorginstellingen en een hogere prioriteit krijgt, omwille van  de voorbeeldfunctie van (semi-)overheidsorganen.

Toezicht

Toch is de keuze van de AP om het HagaZiekenhuis te beboeten opmerkelijk te noemen. Natuurlijk is het van groot belang dat zorginstellingen verantwoordelijkheid nemen voor het op een veilige manier bewaren van patiëntdata. Het toezicht op de in dat kader genomen maatregelen is ook een belangrijk onderdeel van de rol van de toezichthoudende autoriteit. Tegelijkertijd is het vereiste passende maatregelen te nemen ter beveiliging van persoonsgegevens bepaald niet gemakkelijk in te vullen. Het gaat om een min of meer open norm, die noch in de AVG noch in de Uitvoeringswet in veel detail uitgewerkt wordt. Dit gebrek aan duidelijkheid geldt overigens niet voor het onderhavige geval, waar concrete normen (de voorgenoemde NEN7510-2 normen voor informatiebeveiliging) niet correct door het HagaZiekenhuis werden nageleefd. Dat was wellicht ook een overweging van de AP om juist het HagaZiekenhuis te beboeten.

Een onwenselijk gevolg van de forse boete zou echter kunnen zijn dat organisaties, en met name zorginstellingen, terughoudender zullen zijn om meldingsplichtige inbreuken op hun beveiliging te melden bij de AP, zeker wanneer het minder duidelijk is of er een concrete norm geschonden is. Met dat in het achterhoofd is het verdedigbaar dat het uitsluitend opleggen van een dwangsom in dit geval voldoende was geweest om de aanhoudende overtredingen door het HagaZiekenhuis een halt toe te roepen.  Het is zeer pijnlijk dat een ziekenhuis het toch al zo krappe budget moet besteden aan boetes. 

Vervolgstappen

Het is waarschijnlijk dat het HagaZiekenhuis zich niet bij de boete van de AP neer zal leggen. Het ziekenhuis kan zich tegen de bestuurlijke boete verweren met het indienen van een bezwaarschrift bij de AP. Wanneer de AP vervolgens besluit op dit bezwaar kan het HagaZiekenhuis in beroep bij de rechtbank in eerste aanleg en in hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.

Er lopen meerdere onderzoeken tegen andere instellingen. Naar eigen zeggen van de AP "zitten er nog meer boetes in de pijpleiding".

Team

Related news

12.12.2019 NL law
Kroniek bestuurlijke organisatie

Articles - Niels Jak schreef samen met Rob van Greef en Leon Timmermans voor het Nederlands Tijdschrift voor Bestuursrecht de kroniek bestuurlijke organisatie. Deze kroniek beslaat de periode van 1 februari 2019 t/m 31 augustus 2019.   

Read more

09.12.2019 BE law
Stibbe expands EU/competition practice with new partner Sophie Van Besien

Inside Stibbe - Brussels, 9 December 2019 – Stibbe welcomes EU law, competition, and regulated markets lawyer Sophie Van Besien as a new partner in its Brussels office. Her expertise will enhance Stibbe’s service offering in the Benelux and contribute to the further development of its EU/competition and regulated markets practice. Sophie joins Stibbe on 9 December 2019.

Read more

11.12.2019 NL law
Wordt bij de verdeling van stikstofruimte een schaars recht toebedeeld?

Short Reads - Door de huidige stikstofproblematiek wordt het verkrijgen van toestemmingen voor activiteiten die stikstofdepositie veroorzaken aanzienlijk lastiger. Omdat de beschikbare ruimte beperkt is en gelet op de aangekondigde regelgeving, geldt daarvoor bovendien mogelijk een plafond. In dit blogbericht gaan wij in op de vraag of besluiten waarbij stikstofruimte wordt verdeeld mogelijk kwalificeren als besluiten waarbij een schaars recht wordt toebedeeld en welke gevolgen dit heeft.

Read more

09.12.2019 BE law
Stibbe versterkt EU/competition praktijk met nieuwe vennote Sophie Van Besien

Inside Stibbe - Brussel, 9 december 2019 – Stibbe verwelkomt Sophie Van Besien, gespecialiseerd in Europees recht, mededingingsrecht en gereguleerde markten, als nieuwe vennote in het Brusselse kantoor. Sophie’s expertise zal Stibbe’s dienstverlening in de Benelux versterken en bijdragen aan de verdere ontwikkeling van zijn EU/competition en regulated markets praktijk. Sophie vervoegt Stibbe op 9 december 2019.

Read more

11.12.2019 EU law
Court of Appeal applies competition notion of undertaking in civil damages claim

Short Reads - The Court of Appeal of Arnhem – Leeuwarden recently applied the competition law notion of an 'undertaking' in a civil damages suit between TenneT and an entity belonging to the Alstom group of companies. The Court of Appeal ruled that Cogelex formed a single undertaking with its 48% shareholder Alstom. Cogelex could therefore be held liable under civil law for the competition law infringement of its 48% parent company. The Court of Appeal based its decision on a broad application of the ECJ’s reasoning in its Skanska judgment of 14 March 201

Read more

09.12.2019 BE law
Stibbe renforce sa pratique de droit européen et de la concurrence par la venue de Sophie Van Besien en qualité d’associée

Inside Stibbe - Bruxelles, le 9 décembre 2019 –  Stibbe a le plaisir d’accueillir Sophie Van Besien, avocate spécialisée en droit européen, droit de la concurrence et des marchés réglementés, en qualité de nouvelle associée au sein de son cabinet bruxellois. Son expertise permettra d’enrichir les prestations actuelles du cabinet au Benelux et de contribuer au développement de son activité en droit européen et en droit de la concurrence ainsi que des marchés réglementés. Sophie Van Besien rejoint Stibbe ce 9 décembre 2019.

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring