De kogel is door de kerk. Vandaag heeft de Autoriteit Persoonsgegevens haar allereerste echte AVG-boete uitgedeeld à 460.000 euro. Nog voor de lunch reageren diverse mainstream media en de gemiddelde privacy professional heeft het bericht vast al langs zien komen in zijn of haar LinkedIN-feed. Na een normale werkdag, lees je hier onze kijk op dit stukje nieuwe geschiedenis. Voor vanavond bij een goed glas wijn of rustig tijdens de ochtendkoffie.
Het aloude gevecht tegen nieuwsgierigheid
In april 2018 was de media in rep en roer. Het patiëntendossier van een bekende Nederlander was ingekeken door 85 ziekenhuismedewerkers, die er niets te zoeken hadden. Een klokkenluider meldde het probleem via Publeaks. Het HagaZiekenhuis nam maatregelen en meldde op 4 april het datalek bij de AP, de bekende Nederlander schikte voor 14.000 euro en de AP begon in oktober 2018 een onderzoek. Het probleem: deze medewerkers waren niet direct betrokken bij de behandeling van de bekende Nederlander of bij de beheersmatige afwikkeling daarvan, maar waren wel nieuwsgierig.
Helaas niet een bijzonder geval. Andere bekende Nederlanders kregen eerder al te maken met nieuwsgierige medewerkers. En ook bij de hoogste rechter in Europa kwam een soortgelijk geval aan bod in I v. Finland. In 1992 vermoedde een verpleegster dat haar eigen collega’s via het patiëntendossier informatie hadden opgezocht over haar HIV-besmetting. Het betreffende ziekenhuis gaf aan dat ze alleen de laatste vijf bevragingen van het register konden terugzien, en niet op persoon maar slechts op afdelingsniveau. Ze boden (na het voorval) wel gelijk een andere naam én een nieuw BSN aan.
Op nationaal niveau bleef de discussie hangen bij het bewijs van het verhaal van de verpleegster. Ze kon geen personen identificeren die onrechtmatig haar dossier hadden ingezien. Nogal wiedes, want het ziekenhuis legde dat pas na 1997 vast! Desondanks hielden het ziekenhuis, de rechters en de Finse overheid zich vast aan een algemene bescherming van het medisch beroepsgeheim (hoge morele standaarden en het beroepsgeheim van het personeel). Dat vond het Europees Hof voor de Rechten van de Mens in 2008 onvoldoende. Het ziekenhuis had de gegevens niet adequaat beveiligd tegen onbevoegde toegang. De Finse overheid stond ook nog wat te doen, juridische bescherming in de vorm van een schadevergoeding is onvoldoende. Het EHRM formuleerde tien jaar geleden wat de AP vandaag beboet: er bestaat – zéker in de zorgsector – een noodzaak voor praktische en effectieve bescherming tegen ongeautoriseerde toegang.
Wat is de overtreding?
Het HagaZiekenhuis is volgens de toezichthouder in overtreding van het beveiligingsartikel van de AVG (artikel 32 lid 1). We weten inmiddels dat dit artikel in ruime bewoordingen aangeeft dat technische en organisatorische maatregelen “passend” moeten zijn. In de Nederlandse zorg betekent dit onder andere een uitstap via de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvp) naar het Besluit elektronische gegevensverwerking door zorgaanbieders (artikel 3 lid 2) en twee maatregelen uit NEN7510-2 (9.4.1 en 12.4.1).
Zorginstellingen moeten bij elektronische patiëntendossiers door middel van tweefactor-authenticatie de identiteit van de (rechtmatige) gebruiker vaststellen. Wellicht ten overvloede: dan combineer je een persoonlijk bezit (bijv. token) met informatie alleen bekend bij de eigenaar (pincode). Bij het ziekenhuis is naar het oordeel van de AP alleen sprake van het gebruik van éénfactor-authenticatie. Hoewel er gebruik wordt gemaakt van een personeelspas (via een paslezer) is het mogelijk via een Single Sign On met gebruikersnaam, wachtwoord en pincode in te loggen. Vanaf dat moment kan via een willekeurig werkstation voor de duur van vier uur alleen met de pas worden ingelogd. En wanneer een medewerker de pas vergeet, volstaat de combinatie van gebruikersnaam en wachtwoord. De AP oordeelt: niet voldaan aan norm 9.4.1 van NEN7510.
Logbestanden hebben systematische, consequente controle nodig, waar mogelijk risicogericht. Het ziekenhuis controleerde periodiek: één keer in de twee maanden via een aselectieve steekproef op één patiëntendossier. Daarnaast is er specifiek aandacht via de audit voor (mislukte) toegang via de zogenaamde noodknopprocedure (inzage buiten behandelrelatie maar met reden) en is er meer nadruk op de gevoelige patiëntgroepen. In praktijk constateert de AP dat controles vaak op basis van klachten en verzoeken zijn uitgevoerd. De AP merkt op dat er geen systematische, risicogerichte, intelligente controle van de logging is georganiseerd. Daarbij denkt ze aan selectie van opvallende afwijkingen of uitschieters of automatische signalering van opvallende situaties. Een aselectieve steefproef op zes patiëntendossiers per jaar is onvoldoende. De AP oordeelt: niet voldaan aan norm 12.4.1 van NEN7510.
Wat deed het ziekenhuis wel goed?
De implementatie van de AVG is voor de meeste organisaties een groot proces (geweest). Het ziekenhuis dat door de casus onder het vergrootglas lag heeft niet stilgezeten. De gemiddelde nieuwswaarde van wat een organisatie in orde had is flink lager dan wat er misging. Daarom hier op een rij wat het HagaZiekenhuis naar het oordeel van de AP goed deed:
Toegangscontrolebeleid: context-gebonden en zorgvuldig opgesteld, uitgevoerd in praktijk.
Logging: alle toegang gelogd en mogelijkheid om achteraf misbruik vast te stellen.
Bewustwording personeel: verschillende activiteiten georganiseerd, zoals introductie-programma’s, campagnes, nieuwsbrieven, intranet en workshops.
Naast de beveiligingsverplichtingen in de AVG (en bijbehorende normen) heeft de AP ook aandacht voor de procedure rondom datalekken. Het ziekenhuis heeft een intern datalekkenregister en een passende procedure rondom het registreren en melden van datalekken. Daarmee voldoet het ziekenhuis naar behoren aan haar accountability-verplichting (artikel 24 lid 2 AVG).
Werk aan de winkel
Het HagaZiekenhuis krijgt twee concrete huiswerkopdrachten mee: striktere tweefactor-authenticatie organiseren rond de toegang tot cliëntendossiers en de logbestanden slim en systematisch controleren op onrechtmatige toegang of onrechtmatig gebruik van patiëntgegevens. Indien dit niet lukt vóór 2 oktober 2019, dan moet het ziekenhuis 100.000 euro per twee weken betalen met een maximum van 300.000 euro (de last onder dwangsom).
Voor de oplettende lezer: 4 april 2018 was nog in het tijdperk van de Wet bescherming persoonsgegevens (Wbp). Omdat de AP haar onderzoek vanaf oktober 2018 (AVG-tijdperk) richtte op de huidige situatie, toetst zij dit aan de AVG. Saillant detail is dat ze in het boetebesluit wel oordeelt dat het ziekenhuis vanaf 1 januari 2018 tot heden in overtreding is (geweest). Inhoudelijk is de verplichting niet anders onder de Wbp en in Nederland zijn boetes mogelijk sinds 1 januari 2016. Om die reden heeft AP ook pre-AVG-overtredingen mee laten wegen in haar overweging rond de hoogte van de boete. Daarmee stelt de AP niet gerust. Ze geeft al vaker aan dat ook een discussie in de media aanleiding kan geven tot een onderzoek. Media-aandacht in het Wbp-tijdperk én de omstandigheid dat de beveiligingsmaatregelen niet op orde zijn aan het begin van het AVG-tijdperk is geen goede combinatie gebleken.
Dat is niet gek, want een goede implementatie van de AVG heeft geleid tot een PDCA-cyclus. Omdat 100% veilig niet bestaat, krijgt een organisatie altijd te maken met incidenten. Het tijdig signaleren maar ook doorvoeren van benodigde maatregelen naar aanleiding van een incident is een logisch maar niet altijd uitgevoerd gevolg. Met die afsluitende notitie, is er niet alleen voor het HagaZiekenhuis werk aan de winkel.
De afrekening
De boete is hoog. En hij is gericht aan een ziekenhuis waar geld het liefst direct zijn weg zou moeten vinden naar de zorg. Toch heeft AP gekozen om een bestraffende boete op te leggen (nog los van de dwangsom). Daarvoor geeft de toezichthouder haar redenen in het boetebesluit. Een van de kernpunten is het belang van de verplichting die het ziekenhuis overtreedt. Het gaat dan om “het behoud en herstel van het vertrouwen van de patiënten in een zorgvuldige omgang van hun medische gegevens. Het beschamen daarvan heeft niet alleen een weerslag op de reputatie van de betrokken zorgverleners, maar op de gehele sector.” Daarmee zet AP een duidelijke toon, waarna ze uitlegt hoe ze tot het bedrag van 460.000 euro komt.
Het ziekenhuis heeft laten weten in beroep te willen gaan tegen het boetebesluit van de AP vanwege de hoogte van de boete. Dat betekent dat er mogelijk nog een vervolg komt. Wilt u op de hoogte blijven? Abonneer dan hier op onze nieuwsbrief.
Binnen PMP werkt Team Zorg voor verschillende organisaties in de gezondheidssector. Nieuwsgierig hoe wij u verder kunnen helpen? Neem contact op.
Door: Karen Siemers