De Autoriteit Persoonsgegevens (AP) heeft besloten aan het HagaZiekenhuis een boete van € 460.000,– op te leggen, omdat het HagaZiekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Dit blijkt uit onderzoek van de AP. Dit onderzoek volgde toen bleek dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien.
Aanleiding onderzoek AP
Op 4 april 2018 heeft het HagaZiekenhuis een melding van een datalek bij de AP gedaan. Het datalek had betrekking op onrechtmatige inzage in een patiëntendossier van een bekende Nederlander. Uit intern onderzoek door het HagaZiekenhuis volgt dat in de onderzochte periode 197 medewerkers, waarvan 100 onrechtmatig, inzage hebben gehad in het patiëntendossier. Naar aanleiding hiervan heeft de AP in oktober 2018 besloten onder meer nader onderzoek te doen naar de beveiligingsmaatregelen van het HagaZiekenhuis.
Beveiligingsverplichting
AVG
Om de veiligheid te waarborgen en te voorkomen dat de verwerking van persoonsgegevensinbreuk maakt op de AVG, dient de verwerkingsverantwoordelijke op grond van artikel 32 van de AVG de aan de verwerking inherente risico’s te beoordelen en maatregelent e treffen om risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Gezondheidsgegevens behoren vanwege de gevoeligheid tot een bijzondere categorie van persoonsgegevens. Om deze reden gelden voor de bescherming van die gegevens zeer hoge eisen.
NEN 7510 en NEN 7513
Om te bepalen of beveiligingsmaatregelen passend zijn, dient in het voorliggende geval te worden aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, NEN7510 en NEN 7513.
NEN 7510 van december 2017 ziet op Medische informatica en Informatiebeveiliging in de zorg en bestaat uit twee delen: deel 1 (7510-1) bevat normatieve voorschriften voor het managementsysteem en deel 2 (7510-2) bevat de beheersmaatregelen. NEN 7513 ziet onder meer op logging. In NEN 7510 en 7513 staat centraal dat informatie in de zorg vaak vertrouwelijk van aard is. Als zorgorganisatie moeten er dus maatregelen getroffen worden om patiëntgegevens veilig te houden.
Tweefactor authenticatie
In NEN 7510-2 staat dat gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, de identiteit van gebruikers behoren vast te stellen. Dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden.
Uit het onderzoek van de AP volgt dat authenticatie in het HagaZiekenhuis tot het elektronisch patiëntendossier plaatsvindt met gebruikmaking van de personeelspas. In de andere situatie, inloggen zonder personeelspas, vindt authenticatie plaats op basis van een gebruikersnaam en wachtwoord, waarna het dossier geraadpleegd kan worden. De identiteit van de gebruiker om toegang te krijgen tot dit systeem kan in dit geval aldus plaatsvinden uitsluitend op basis van kennis (code of een wachtwoord), zonder bezit (personeelspas). Daarmee ontbreekt een noodzakelijk benodigde tweede factor die bijdraagt aan een passend beveiligingsniveau en wordt niet voldaan aan het vereiste van tweefactor authenticatie.
(controle) op logging
In NEN 7513 staat dat de logging in het algemeen het mogelijk moet maken dat achteraf onweerlegbaar vast te stellen is welke gebeurtenissen hebben plaatsgevonden op een patiëntendossier. Daartoe moeten alle systemen die gegevens bevatten die deel uitmaken van een patiëntdossier, daarover ten minste bijhouden:
· welke gebeurtenis heeft plaatsgevonden;
· datum en tijdstip van de gebeurtenis;
· welke cliënt het betrof; – wie de gebruiker was;
· wie de verantwoordelijke gebruiker was namens wie de gebruiker optrad.
De AP stelt vast dat het HagaZiekenhuis ook op dit punt geen passend beveiligingsbeleid heeft. Daarbij acht de AP van belang de schaal van de verwerking van gezondheidsgegevens door het ziekenhuis en het ontbreken van een regelmatige controle op raadpleging van het patiëntendossier, als gevolg waarvan medewerkers toegang kunnen verkrijgen tot meer gegevens dan waartoe zij in eerste instantie bevoegd zijn.
Slot
Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren legt de AP het Hagaziekenhuis tegelijkertijd een last onder dwangsom op. Als het HagaZiekenhuis de beveiliging niet voor 2 oktober 2019 verbeterd heeft, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft al aangegeven maatregelen te nemen.