HagaZiekenhuis beboet voor slechte beveiliging medische dossiers

De Autoriteit Persoonsgegevens heeft het HagaZiekenhuis in Den Haag een boete van 460.000 euro opgelegd voor het slecht beveiligen van de medische dossiers van patiënten, waarmee het de Algemene verordening gegevensbescherming (AVG) heeft overtreden. Daarnaast is er een last onder dwangsom opgelegd om de beveiliging voor 2 oktober van dit jaar op orde te hebben. Anders moet het ziekenhuis maximaal 300.000 euro betalen. Het ziekenhuis heeft aangegeven maatregelen te zullen nemen.

Het HagaZiekenhuis kwam vorig jaar in het nieuws dat 85 medewerkers onrechtmatig het dossier van Samantha de Jong, beter bekend als Barbie, hadden ingezien. Zij hadden geen behandel- of zorgrelatie met De Jong, maar bekeken toch het dossier. De medewerkers kregen een officiële waarschuwing. Voor allen was dit de eerste waarschuwing. Bij een volgende overtreding volgt direct ontslag op staande voet.

Naar aanleiding van het incident stelde de Autoriteit Persoonsgegevens een onderzoek in. Daaruit bleek dat de beveiliging van patiëntendossiers op twee punten te kort schiet. Het ziekenhuis controleert niet regelmatig genoeg welke medewerkers welk dossiers hebben ingezien. Daarnaast moet het ziekenhuis het authenticeren van gebruikers die toegang tot een medisch dossier willen beter regelen. Het ziekenhuis moet deze maatregelen voor 2 oktober 2019 hebben doorgevoerd, anders moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro.

Het HagaZiekenhuis geeft aan maatregelen te zullen nemen. Op dit moment loggen medewerkers in met een gebruikersnaam en wachtwoord of met hun persoonlijke personeelspas en pincode. Die pincode moet nu al elke vier uur opnieuw worden ingetikt. De authenticatie wordt nu zo aangepast dat medewerkers bij elke inlog ook hun persoonlijke pincode moeten intikken en het niet meer mogelijk is om zonder pas in te loggen. De eerste aanpassingen zijn al doorgevoerd.

Daarnaast gaat het ziekenhuis vaker controleren en zal de privacytoezichthouder vragen hoeveel controles afdoende zijn om het vereiste stempel ‘systematisch te krijgen. Wet- en regelgeving geven nu geen uitsluitsel over het gewenste aantal controles per jaar, zo stelt het ziekenhuis. “De AP eist ook dat we meer controles van de logging gaan uitvoeren. Dat doen we tot nu toe handmatig en dat is tijdrovend. Daar zoeken we nu slimme software voor om het sneller en vaker te kunnen doen”, zegt Haga-directievoorzitter Carla van de Wiel.

De Autoriteit Persoonsgegevens vindt het een kwalijke zaak dat het ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. “Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent”, zegt Aleid Wolfsen, voorzitter van de AP. Van de Wiel vindt het zuur dat het opgelegde boetebedrag niet aan patiëntenzorg kan worden besteed. Het ziekenhuis kan nog beroep tegen de boete aantekenen.