De Autoriteit Persoonsgegevens (AP) legt een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis heeft tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. De zorginstelling erkent dat het zijn zaakjes niet op orde had, maar is teleurgesteld over het handelen van de AP en de hoogte van de boete.
De AP startte een onderzoek na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk. De AP concludeerde daarop dat het OLVG structureel niet goed omging met de toegang tot medische dossiers.
De autoriteiten constateerde twee overtredingen. Een ziekenhuis moet bijhouden en regelmatig controleren wie welk dossier raadpleegt. Zo kan het ziekenhuis tijdig signaleren wanneer iemand een dossier raadpleegt terwijl dat niet mag en daartegen maatregelen nemen. Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang.
Bij een goede beveiliging hoort authenticatie met ten minste twee factoren. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas. Het OLVG maakte in het ziekenhuis geen gebruik van deze tweefactor-authenticatie. Inloggen buiten het ziekenhuis ging wel via tweefactor-authenticatie.
Tijdens het onderzoek van de AP heeft het OLVG verbeteringen doorgevoerd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld. Naast deze technische maatregelen komt er binnen OLVG extra aandacht voor privacy en het omgaan met gevoelige informatie, zoals een cursus voor het personeel en expliciete aandacht voor privacybescherming in het introductieprogramma voor nieuwe medewerkers.
Barbertje moet hangen
Het ziekenhuis gaat niet in bezwaar of beroep tegen de boete van de AP. Wel laat Maurice van den Bosch, voorzitter raad van bestuur van OLVG, weten ’teleurgesteld te zijn dat we niet de kans hebben gekregen om eerst de geconstateerde tekortkomingen op te lossen, alvorens een boete opgelegd te krijgen. Daarnaast vinden we de boete voor een maatschappelijke instelling zoals ons ziekenhuis wel erg hoog. Geld wat we nu niet kunnen besteden aan datgene waar ons geld het hardste nodig is: voor de zorg voor onze patiënten.’
Het lijkt erop dat de AP met de hoge boete een voorbeeld wil stellen aan de zorgsector. De privacywaakhond stelt in een verklaring dat ‘juist in de zorg, waar de gevoeligste persoonsgegevens in de systemen staan, veel datalekken voorkomen: de afgelopen jaren staat de zorg altijd in de top drie van sectoren met de meeste datalekken.’ De AP roept ziekenhuizen en andere zorginstellingen op goed na te gaan hoe zij de bescherming van de gegevens van patiënten geregeld hebben en deze te verbeteren waar nodig.
