De nieuwsgierigheid van 85 medewerkers van het HagaZiekenhuis naar het dossier van een bekende Nederlander heeft nóg een staartje gekregen. Op 18 juni 2019 legde de Autoriteit Persoonsgegevens een boete en een last onder dwangsom op aan het HagaZiekenhuis. Niet vanwege het datalek van begin 2018 (medewerkers van het ziekenhuis bleken toen in dossier van Samantha de Jong, beter bekend als Barbie, te hebben gekeken) maar vanwege het niet op orde hebben van de beveiliging van de patiëntdossiers.
Barbie
Begin 2018 wordt Barbie in het HagaZiekenhuis opgenomen. Een groot deel van Nederland vraagt zich af wat er met haar aan de hand is. De situatie van Barbie is voer voor de roddelbladen. Een aantal medewerkers van het HagaZiekenhuis kan de nieuwsgierigheid niet bedwingen en verschaft zich – tegen de regels van het ziekenhuis in – toegang tot het Elektronisch Patiëntendossier van Barbie. Het HagaZiekenhuis onderzoekt de zaak en geeft 85 van haar medewerkers in maart 2018 een officiële waarschuwing.
Onderzoek door AP
Naar aanleiding van dat datalek start de Autoriteit Persoonsgegevens in oktober 2018 een onderzoek naar de toegang tot digitale patiëntdossiers bij het HagaZiekenhuis. De uitkomsten van dat onderzoek hebben geleid tot het opleggen van een boete aan het HagaZiekenhuis van € 460.000,- en een last onder dwangsom van maximaal € 300.000,-. In tegenstelling tot wat sommige koppen van nieuwsberichten doen vermoeden: het datalek van begin 2018 is niet beboet.
Hoe is de toegang tot patiëntendossiers geregeld?
Omdat in levensbedreigende situaties ook anderen dan de reguliere behandelaars toegang tot het dossier moeten kunnen krijgen (tot informatie die mogelijk vitaal is) is het inregelen van de toegang tot patiëntendossiers complex. Maar ook (of misschien zelfs wel juist) voor ziekenhuizen geldt de verplichting tot het nemen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (artikel 32 AVG).
Gelukkig hoeft het ziekenhuis het wiel niet zelf uit te vinden. In het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ staat (onder verwijzing naar de normen opgenomen in NEN 7510 en NEN 7513) welke eisen moeten worden meegenomen bij vormgeven van de beveiliging van de toegang tot de patiëntdossiers.
Zo moeten onder meer:
- de identiteit van gebruikers van de patiëntdossiers (medewerkers HagaZiekenhuis) worden vastgesteld op basis van twee-factor-authenticatie;
- logbestanden worden gemaakt om achteraf te kunnen bekijken wie toegang heeft gehad tot een patiëntdossier;
- regelmatig worden onderzocht of er indicaties zijn van onrechtmatige toegang tot patiëntendossiers (aan de hand van de logbestanden).
Ook moet een ziekenhuis ervoor zorgen dat er passende regels voor toegangsbeveiliging, toegangsrechten en toegangsbeperkingen zijn vastgesteld. Daarbij (en dit maakt het complex) moet het mogelijk zijn om de normale regels in noodsituaties te omzeilen.
Situatie HagaZiekenhuis
Uit het onderzoek van de Autoriteit Persoonsgegevens blijkt dat het HagaZiekenhuis voldoet aan het hebben van een passend autorisatiebeleid. De toegang van de medewerkers van het ziekenhuis is beperkt tot patiënten waarmee de betreffende medewerker (logischerwijs) een behandelrelatie heeft. Bovendien is de toegang beperkt tot gegevens die noodzakelijk zijn voor de specifieke taak van die medewerker bij de behandeling van de patiënt. Autorisatie vindt plaats op basis van afdeling of specialisatie. Toegang tot informatie van gevoelige specialismen (bijvoorbeeld psychiatrie) is ziekenhuisbreed afgeschermd. Als toch inzage wordt gevraagd buiten de autorisatie om (in geval van noodsituaties) krijgt de medewerker een (noodknopprocedure) waarschuwingsscherm te zien. De medewerker moet vervolgens een reden opgeven waarom hij of zij toch meer gegevens wil inzien.
Ook logt het HagaZiekenhuis elke toegang tot digitale patiëntdossiers, dus zowel de reguliere toegang als toegang via de noodknopprocedure. Uit die logging blijkt welke medewerker op welke datum en welk tijdstip toegang heeft gehad tot het dossier van de patiënt. Daarmee voldoet het HagaZiekenhuis aan de vereisten die NEN 7510 en NEN 7513 stellen aan het loggen.
Tot zover alles goed dus.
Maar… niet goed geregeld is de authenticatie van de medewerkers die inloggen. Alhoewel inlog in het ziekenhuisinformatiesysteem plaats kan vinden via twee-factor-authenticatie (personeelspas, gebruikersnaam, wachtwoord en pincode) is het ook mogelijk om met alleen gebruikersnaam en wachtwoord in te loggen (een-factor-authenticatie). Omdat inlog via twee-factor-authenticatie niet wordt afgedwongen, voldoet het Haga Ziekenhuis dus niet aan het vereiste van twee-factor-authenticatie.
Ook wordt er niet regelmatig onderzocht of er indicaties zijn van onrechtmatige toegang tot patiëntendossiers. Kennelijk bekijkt het HagaZiekenhuis steekproefsgewijs 1 patiëntdossier per twee maanden. Maar dat is – op 28.500 opnamen, 158.000 eerste polikliniekbezoeken, 52.000 eerste hulp consulten en 143.000 verpleegdagen in 2017 – ruim onvoldoende voor het signaleren van onbevoegde toegang, aldus de Autoriteit Persoonsgegevens.
Saillant detail: naar aanleiding van het Barbie-datalek heeft het HagaZiekenhuis zelf in mei 2018 een rapport opgesteld, met daarin een aantal aanbevelingen voor maatregelen zoals het doen van steekproeven op onrechtmatige toegang tot patiëntdossiers. Het HagaZiekenhuis geeft aan dat zij – vanwege de opvolging van Barbie-gate – geen tijd heeft gehad om deze maatregel door te voeren. De Autoriteit Persoonsgegevens maakt hier korte metten mee en stelt: “Het HagaZiekenhuis is verantwoordelijk voor de invoering van structuren en middelen die zijn afgestemd op de aard en complexiteit van het ziekenhuis. Als zodanig kan zij inbreuken op de AVG niet legitimeren door een tekort aan middelen te claimen”.
Boete en last onder dwangsom
De Autoriteit Persoonsgegevens overweegt dat de overtreding (geen passende beveiliging) op structurele wijze een lange periode heeft voortgeduurd. Het had op de weg van het HagaZiekenhuis gelegen om de overtreding van artikel 32 AVG spoedig na de Barbie-kwestie te beëindigen. Ook is het ziekenhuis “bijzonder nalatig” geweest met het nemen van maatregelen. Daarom legt zij een boete op van € 460.000,-. Dit bedrag bestaat uit een basisboete van € 310.000,- en tweemaal een verhoging van € 75.000,-.
Om een spoedige beëindiging van de overtreding van artikel 32 te bevorderen legt de Autoriteit Persoonsgegevens ook een last onder dwangsom op aan het HagaZiekenhuis. Binnen 15 weken na 18 juni 2019 moet inlog alleen nog mogelijk zijn twee-factor-authenticatie en moeten maatregelen worden genomen die ertoe leiden dat controle op onrechtmatige toegang tot de dossiers of onrechtmatig gebruik van patiëntgegevens plaats zal vinden.
Bezwaar tegen het besluit staat nog open.
Alhoewel het gissen is naar de prioriteit die het HagaZiekenhuis tot dusver heeft gegeven aan de bescherming van patiëntgegevens en de mogelijkheden en onmogelijkheden van de IT-omgeving, geeft de AP hier in niet mis te verstane bewoordingen een duidelijk signaal af aan het bestuur: zet privacy (nog) hoger op de bestuursagenda en empower je privacy- en security-functionarissen met tijd, middelen en support.
Meer informatie?
Als u meer informatie wilt ontvangen over de regels van de AVG en de mogelijkheid van de AP om boetes op te leggen, neem dan vrijblijvend contact op met onze ervaren privacy-expert Nicole Makkes.
Neem contact op