Strengere handhaving AP reeds merkbaar voor de zomer 2019!
Zoals u inmiddels weet is op 25 mei 2018 de Algemene Verordening Gegevensbescherming (hierna: AVG) in werking getreden. Door de AVG ging in heel de Europese Unie dezelfde privacywetgeving gelden. Bedrijven werden reeds gewaarschuwd door de Autoriteit Persoonsgegevens (hierna: AP) dat in 2019 de AVG strenger gehandhaafd zou worden en deze week heeft de AP dan ook de eerste (fikse!) boete uitgedeeld! In deze blog wordt de beslissing van de AP uitgelegd.
Aan het Haga Ziekenhuis is door de AP zowel een boete van € 460.000 alsook een dwangsom van maximaal € 300.000 opgelegd. Aanleiding van de boete was een onderzoek, naar aanleiding van een datalek, waarbij onderzocht werd of werknemers van het ziekenhuis zich al dan niet toegang tot de elektronische patiëntendossiers konden verlenen. Uit het onderzoek bleek dat alle medewerkers van het ziekenhuis toegang hadden tot de dossiers van de patiënten die ooit in het ziekenhuis behandeld werden.
Passende technische en organisatorische maatregleen
Het beveiligingssysteem van het Haga Ziekenhuis voldeed ten eerste niet aan de eisen van artikel 32 van de AVG. Deze bepaling verplicht de verwerkingsverantwoordelijke*, passende technische en organisatorische maatregelen te treffen om persoonsgegevens (en in het bijzonder bijzondere persoonsgegevens als medische gegevens) te beschermen.
Daarnaast bleek dat het Haga Ziekenhuis zich niet hield aan enkele verplichtingen, die zorgverleners op grond van de NEN-7513 norm aan dienen te voldoen. De verplichtingen, waar het Haga ziekenhuis niet aan voldeed zijn:
- het voorgeschreven dubbele beveiligingssysteem (het zogenaamde 2 factor authenticatie)
- een logging-systeem , waarbij achteraf goed kan worden vastgesteld welke acties er in een bepaald dossier zijn verricht, wanneer deze acties plaats hebben gevonden en door wie** het dossier is ingezien of aangepast.
Verhoogde boete
Gelet op het feit dat er met medische gegevens wordt omgegaan en de inbreuk al eerder had kunnen worden gestaakt, heeft de AP reden gezien om het initieel boetebedrag dat zij bij schending van de AVG verplichtingen mogen opleggen te verhogen met tweemaal € 75.000.
Naast de boete van de eindboete van € 460.000 voor het overtreden van de AVG-verplichtingen, is er ook een dwangsom opgelegd aan het Haga Ziekenhuis om alsnog binnen 15 weken te voldoen aan haar AVG-verplichtingen. Voldoet het Haga Ziekenhuis niet aan haar AVG-verplichtingen, dan riskeert zij daarna een dwangsom, die kan oplopen tot maximaal € 300.000 bovenop de reeds opgelegde boete.
Het Haga Ziekenhuis heeft aangekondigd in beroep te gaan tegen de beslissing van de AP.
Met deze sancties geeft de AP een duidelijk signaal af: er wordt gehandhaafd en de tijd van aanwijzing en advies is voorbij!
Conclusie:
Het Haga Ziekenhuis is een grote organisatie en zal uiteraard sancties opgelegd krijgen, die zij als grote organisatie ook daadwerkelijk dient te voelen. Voor kleinere organisaties gelden lagere sancties met dien verstande dat de AP de bevoegdheid heeft een boetebedrag te verhogen als de overtreding onnodig langer heeft geduurd.
Maar ook voor kleinere organisaties geldt de eis van passende technische en organisatorische maatregelen. Weet u concreet welke technische en organisatorische maatregelen uw organisatie heeft genomen? Zijn deze maatregelen voor uw organisatie passend? Heeft u aan uw andere AVG verplichtingen voldaan?
Vraag zekerheidshalve vrijblijvend een AVG scan aan op privacy@deraadgevers.nl.
Voor overige privacy gerelateerde vragen neemt u contact op met het AVG team van de Raadgevers:
- mw. mr. drs. S.A. Sheoraj Panday (tevens externe privacy officer)
- mw. mr. J. van der Woude
*degene, die het doel en de middelen van de verwerking bepaalt
** ook werknemers zijn derden, indien zij geen inzage mogen in dossiers, waarbij er niet de need-to-know aanwezig is. Met andere woorden, deze werknemers van de organisatie zijn weliswaar in dienst van de organisatie maar onbevoegd ( op grond van functie of taak) om het dossier te bekijken aangezien zij in de regel niet de behandelaars van de betrokkenen zijn.