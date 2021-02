Het OLVG-ziekenhuis in Amsterdam moet een boete van 440.000 euro betalen, omdat het patiëntendossiers niet genoeg heeft beveiligd. Dat bevestigt de toezichthouder donderdag na berichtgeving door de Volkskrant. Het OLVG nam volgens de autoriteit van 2018 tot 2020 te weinig maatregelen om te zorgen dat onbevoegde medewerkers in medische dossiers konden kijken. Computersystemen waren onvoldoende beveiligd en het ziekenhuis hield nauwelijks controle op wie welk dossier inkeek. Het ziekenhuis schendt daarmee de privacywet Algemene verordening gegevensbescherming (AVG).

De zaak kwam aan het licht nadat een student, die een bijbaan had in het ziekenhuis, in 2018 melding maakte van de slechte beveiliging van dossiers, zo schrijft de Volkskrant. Zij nam de telefoon op en plande afspraken in, maar kon vanwege ruime IT-instellingen de dossiers van álle patiënten van het ziekenhuis van de afgelopen vijftien jaar inzien, in plaats van enkel de dossiers van patiënten op haar afdeling. Daarmee hadden medewerkers toegang tot persoonlijke informatie, zoals medische gegevens, maar ook burgerservicenummers en adresgegevens. Ondanks de melding door de student, bleef de toegangsmogelijkheid tot in 2020 bestaan.

Vicevoorzitter van de AP Monique Verdier zegt dat de „bescherming van patiëntgegevens cruciaal is”. „Patiënten delen veel gegevens met zorginstellingen en dat is ook nodig”, aldus Verdier. „Je moet erop kunnen vertrouwen dat wat jij met de dokter bespreekt, in de spreekkamer blijft. Je moet er toch niet aan denken dat mensen, die daar helemaal niets te zoeken hebben, zomaar in de aantekeningen van de dokter over jou en jouw ziekte kunnen rondneuzen.” Verdier roept ziekenhuizen en andere zorginstellingen op „heel goed na te gaan hoe zij de bescherming” van patiëntgegevens hebben geregeld en hoe deze kan verbeteren.

Het OLVG laat weten nog gedurende het onderzoek van de autoriteit maatregelen genomen te hebben. Zo controleert het ziekenhuis „met grote regelmaat” wie welk dossier bekijkt en of diegene daartoe bevoegd is. Ook is het inlogsysteem extra beveiligd: medewerkers hebben nu naast een wachtwoord, ook een personeelspas of identificatietoken nodig. Maurice van den Bosch, voorzitter Raad van Bestuur van het OLVG, zegt dat zijn ziekenhuis eerder „niet alles goed op orde had”. Hij zegt „teleurgesteld” te zijn om de boete. „Daarnaast vinden we de boete voor een maatschappelijke instelling zoals ons ziekenhuis wel erg hoog”, aldus Van den Bosch. „Geld wat we nu niet kunnen besteden aan datgene waar ons geld het hardste nodig is: voor de zorg voor onze patiënten.”

Het is de tweede keer dat een ziekenhuis een boete krijgt opgelegd voor het niet naleven van de AVG. In 2019 gaf de AP het HagaZiekenhuis in Den Haag een boete van 460.000 euro. De toezichthouder onderzocht de beveiliging van patiëntgegevens nadat bekend werd dat tientallen medewerkers de medische gegevens van realityster Samantha de Jong (bekend als Barbie) hadden bekeken. In dit geval stelde de autoriteit vast dat computersystemen niet altijd werkten, waardoor meer medewerkers dan noodzakelijk toegang kregen tot anders beveiligde dossiers.

