Het Haagse Haga Ziekenhuis tekent bezwaar aan tegen een boete van 460.000 euro van de Autoriteit Persoongegevens. Het ziekenhuis krijgt die boete opgelegd omdat meerdere medewerkers onnodig het medisch dossier hebben ingezien van Samantha de Jong, beter bekend als reality-ster Barbie. Volgens het ziekenhuis gaat het om een veel te hoog bedrag. Bovendien belooft het om op tijd verbeteringen door te voeren in de interne beveiliging van elektronische patiëntendossiers (epd's).
Privacytoezichthouder AP meldt na onderzoek dat tientallen medewerkers, die geen behandelrelatie hadden met De Jong, haar dossier hebben ingezien. In verband met de privacy schrijft AP dat het om een bekende Nederlander gaat. Het gaat om onderzoek dat is ingesteld nadat medewerkers het dossier van Barbie hebben ingezien, bevestigt een ziekenhuiswoordvoerder aan Computable. In maart 2018 werd bekend dat 85 medewerkers zonder behandelrelatie haar medisch dossier inkeken na een opname van de reality-ster in het Haagse ziekenhuis.
Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren, legt de AP naast de boete ook een last onder dwangsom op. Als het Haga de beveiliging niet voor 2 oktober 2019 verbeterd heeft, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro.
Voorzitter van de AP, Aleid Wolfsen, vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. ‘Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent’, stelt hij in een verklaring van de AP.
Vier van de zes verbeterpunten gehaald
Het ziekenhuis meldt dat het aan vier van de zes eisen voldoet die door de AP zijn gesteld om inzage door onbevoegden te voorkomen. Ook zouden voor 2 oktober 2019 de overige twee punten gehaald kunnen worden. Het ziekenhuis gaat dan ook in beroep tegen de boete.
Haga stelt dat de volgende vier punten zijn gehaald:
1. Autorisatie en toegangscontrole
‘Het Haga Ziekenhuis geeft zorgvuldig de juiste medewerkers de juiste autorisatie om toegang te krijgen tot het patiëntendossier. Daarnaast beschikt het elektronisch patiëntendossier (epd) over een noodknopprocedure die medewerkers waarschuwt en vraagt de reden van inzage te melden. Patiënten die dat wensen kunnen gebruik maken van een zogenaamde schuilnaamprocedure.’
2. Logging
‘Het Haga Ziekenhuis registreert elke medewerker die een patiëntendossier raadpleegt. Hierdoor kan elke activiteit van een medewerker in een patiëntendossier altijd gecontroleerd worden.’
3. Bewustwording
‘Het Haga Ziekenhuis besteedt veel aandacht aan bewustwording over informatiebeveiliging en privacy met voorlichting en verplichte scholing.’
4. Melden van datalekken
‘Het Haga Ziekenhuis beschikt over een intern datalekkenregister en een juiste procedure voor het melden van datalekken.’
Op twee punten is de AP niet tevreden en neemt het Haga Ziekenhuis extra maatregelen. Dat zijn:
5. Authenticatie
‘Het HagaZiekenhuis maakt gebruik van twee factor authenticatie. Medewerkers loggen in met een gebruikersnaam en wachtwoord of met hun persoonlijke personeelspas en pincode. Die pincode moet nu al elke vier uur opnieuw worden ingetikt. De AP vindt dat te weinig. Daarom wordt de authenticatie zo aangepast, dat medewerkers bij elke inlog ook hun persoonlijke pincode moeten intikken en het niet meer mogelijk is om zonder pas in te loggen. De eerste aanpassingen zijn al doorgevoerd.’
6. Controle van de logging
‘De AP vindt dat het ziekenhuis vaker moet controleren. Het Haga Ziekenhuis verhoogt de frequentie en vraagt de AP hoeveel controles afdoende zijn om het vereiste stempel ‘systematisch’ te krijgen. Wet- en regelgeving geven nu namelijk geen uitsluitsel over het gewenste aantal controles per jaar.’
Nieuwe software
Directievoorzitter Carla van de Wiel: ‘Veel is op orde. De eis om de authenticatie aan te scherpen, voeren we nu in. De AP eist ook dat we meer controles van de logging gaan uitvoeren. Dat doen we tot nu toe handmatig en dat is tijdrovend. Daar zoeken we nu slimme software voor om het sneller en vaker te kunnen doen. Daarnaast blijven we natuurlijk onze medewerkers continu informeren over het belang van de bescherming van patiëntgegevens. Elke medewerker die toegang heeft tot het epd weet wat wel en niet mag. En ik verwacht dat ze elkaar daarop ook blijven aanspreken. Gaat het echt mis, dan heeft dat voor de overtreder ook consequenties.’
Eerder meldde het ziekenhuis dat overtreders op staande voet ontslagen kunnen worden als blijkt dat zij zonder behandelrelatie gegevens bekijken van een patiënt.
Van de Wiel vindt het zuur dat het opgelegde boetebedrag van 460.000 euro nu niet aan patiëntenzorg kan worden besteed en zegt dat het ziekenhuis er alles aan doet om de boete en dwangsom waarmee de AP dreigt, te vermijden.
Ik hoor dat dit probleem ook in andere zorginstellingen speelt. En ik weet dat veel zorginstellingen niet voldoen aan de nu door de AP gestelde eisen aan om inzage door onbevoegden te voorkomen. Wat bijvoorbeeld vaak misgaat, is dat men onder elkaars code werkt. Uit- in inloggen kost te veel tijd. Wie is ingelogd, die is officieel verantwoordelijk, maar anderen kunnen daarvan misbruik maken. Bewustwording en toezicht moet daarom voor leidinggevenden een belangrijk punt zijn. En de ICT afdeling moet daarbij helpen.
Als (zorg)professionals onbevoegd dossiers inkijken, dan moet er minimaal een aantekening in hun personeelsdossier komen. Als het bij bepaalde medewerkers vaker is voorgekomen, dan moeten er uiteraard verdergaande maatregelen genomen worden. Overigens kunnen medewerkers per ongeluk een verkeerd dossier openen; dat komt ook veel voor. Er moet dus bekeken worden hoelang iemand heeft gescrold in een dossier.
Als het goed is heeft dit bedrijf de logging van vertrouwelijke systemen geaudit, om te zien in hoeverre er meer aan de hand is.
Overheden zien dat de boetes geld opleveren. Deze boete is relatief hoog. Er zal wel meer aan de hand zijn. De schade mag verhaald worden op de betrokken medewerkers.
Ook vraag ik me af hoe vaak de AP boetes heeft opgelegd aan de politie, want die maakt er potje van. Er zijn honderden agenten die verder gaan dan alleen rondneuzen. Ze leveren een vriendendienst, al dan niet tegen betaling.
“Uit- in inloggen kost te veel tijd” – Kwestie van Single Sign On inrichten. Gedeelde logins zijn een bron van ellende. Op het (bewust) niet activeren van de SAP auditlog zou je gewoon standaard al een boete moeten zetten als AP.
Wat de politie betreft zijn de toenemende corruptie enerzijds en de eenvoudiger inzage in bankgegevens van burgers anderzijds inderdaad niet bepaald positieve ontwikkelingen te noemen.
Ik kan mij nog een geval herinneren van een bankmedewerker die medeplichtigen tipte over huishoudens waar wat te halen was. Die mensen werden vervolgens overvallen in hun eigen huis.
Wellicht zou het de staat sieren niet alleen maar te incasseren, maar ook te zorgen voor compensatie van gedupeerden. Zoals het nu is, lijkt de AP slechts een verlengstuk van Justitie.