HagaZiekenhuis eerste AVG-boete voor onnodige inzage Barbie-dossier

De Autoriteit Persoonsgegevens stelde een onderzoek in nadat tientallen ziekenhuismedewerkers onnodig medische gegevens van realityster Samantha de Jong inzagen.

Volgens ziekenhuisdirecteur Carla van de Wiel is „veel op orde”, en worden maatregelen genomen om de beveiliging te verbeteren.
Volgens ziekenhuisdirecteur Carla van de Wiel is „veel op orde”, en worden maatregelen genomen om de beveiliging te verbeteren. Foto Robin van Lonkhuijsen/ANP

Het Haagse HagaZiekenhuis moet een boete van 460.000 euro betalen, omdat het zijn patiëntendossiers onvoldoende heeft beveiligd. De Autoriteit Persoonsgegevens (AP) onderzocht de beveiliging nadat tientallen medewerkers van het ziekenhuis onnodig de medische gegevens van realityster Samantha de Jong (beter bekend als Barbie) hadden ingezien. Het is de eerste AVG-boete boete sinds de invoering van die nieuwe privacywet.

De AP stelde vast dat het ziekenhuis niet voldeed aan haar eigen beveiligingsregels. Die hielden in dat gegevens alleen toegankelijk waren na een zogeheten twee-factor-authenticatie. Naast een gebruikersnaam en wachtwoord vereist dat ook dat een personeelspas en pincode worden gecontroleerd. Wie daarmee was ingelogd, had vier uur toegang. In sommige gevallen bleken echter slechts de gebruikersnaam en het wachtwoord voldoende om toegang te verkrijgen.

Geen passend beveiligingsniveau

Ook controleerde het HagaZiekenhuis te weinig wie onbevoegd in welk patiëntendossier keek. In het log is een keer een steekproef gedaan met een resultaat dat „evident onvoldoende was om te kunnen spreken van een passend beveiligingsniveau”, stelt de AP.

Volgens ziekenhuisdirecteur Carla van de Wiel is „veel op orde” en worden maatregelen genomen om de beveiliging te verbeteren. Medewerkers moeten straks voor iedere inlog hun persoonlijke pincode en personeelspas gebruiken en om de logs te controleren wordt „slimme software” gezocht. Die gebeurde namelijk altijd handmatig.

Van de Wiel zegt medewerkers te blijven informeren over de bescherming van patiëntengegevens in het elektronisch patiëntendossier (EPD). „Elke medewerker die toegang heeft tot het EPD weet wat wel en niet mag. En ik verwacht dat ze elkaar daarop blijven aanspreken. Gaat het echt mis, dan heeft dat voor de overtreder ook consequenties”, schrijft ze in een verklaring.

Boetes

Tevens krijgt het ziekenhuis een dwangsom opgelegd. Als het zijn beveiliging niet voor 2 oktober heeft verbeterd, moet het 100.000 euro per twee weken betalen.

De AP heeft meerdere onderzoeken lopen tegen andere instellingen. Naar eigen zeggen „zitten er nog meer boetes in de pijpleiding”.