HagaZiekenhuis beboet voor datalek
Enkele maanden geleden vierden we de eerste verjaardag van de Algemene Verordening Gegevensbescherming (AVG) met een uitgebreide beschouwing over de belangrijkste ontwikkelingen uit het eerste jaar van de verordening. We concludeerden daarin onder meer dat de door sommigen voorspelde hoge bestuurlijke boetes voor overtredingen van de AVG tot dan toe - zowel in Nederland als in de andere EU-lidstaten - grotendeels waren uitgebleven.
De relevante toezichthouders beperkten, zoals werd verwacht, hun handhaving tot handreikingen voor verwerkende partijen om hun verwerkingsactiviteiten in lijn met de wet te brengen, of door het opleggen van andere maatregelen dan boetes.
Wij voorspelden echter ook dat de significante boetes, na deze 'warming up'-periode, toch echt aanstaande waren. Na een dubbele aankondiging van hoge boetes door de Britse toezichthouder ICO vorige week, voor datalekken bij British Airways en Marriott Hotels, volgt nu onze eigen Autoriteit Persoonsgegevens (AP) met een boetebesluit: het HagaZiekenhuis in Den Haag krijgt een boete van € 460.000 opgelegd, eveneens in navolging van een datalek. Na een incident waarbij tientallen medewerkers van het ziekenhuis onrechtmatige inzage hebben gehad in het digitale patiëntdossier van een bekende Nederlander heeft het HagaZiekenhuis in april 2018 melding gedaan van een datalek bij de AP.
Onderzoek
Naar aanleiding van de melding van het HagaZiekenhuis heeft de AP een nader onderzoek ingesteld en aan het ziekenhuis in april 2019 een voornemen toegezonden tot het opleggen van een bestuurlijke boete en/of een last onder dwangsom. Na een zienswijze van het HagaZiekenhuis en een zienswijzezitting bij de AP heeft de AP geoordeeld dat de overtreding voortduurt en heeft besloten tot het opleggen van de boete.
Onder artikel 32, eerste lid, AVG is de verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens gehouden tot het nemen van "passende technische en organisatorische maatregelen" ter beveiliging van de gegevens. Volgens de AP is het HagaZiekenhuis hierin op twee verschillende onderdelen tekortgeschoten: (i) het ziekenhuis had regelmatig moeten controleren welke werknemer welk dossier raadpleegt en monitorde onvoldoende de logbestanden om onbevoegde inzage te achterhalen en (ii) het ziekenhuis had de identiteit van medewerkers door middel van een tweefactor authenticatie moeten vaststellen, waardoor er niet conform het eigen autorisatiebeleid is gehandeld. Hiermee overtreedt het ziekenhuis niet alleen de AVG, maar ook de relevante zorgwetgeving en de voor de zorgsector geldende NEN7510-2 normen voor informatiebeveiliging.
De AP lijkt de enige toezichthouder in Europa te zijn met een concreet en volledig uitgewerkt boetebeleid. Op grond van dit boetebeleid, en gelet op de (opzettelijke of nalatige) aard, ernst en duur van de inbreuk, het feit dat er bijzondere persoonsgegevens bij het datalek betrokken waren, en de door het ziekenhuis genomen maatregelen, komt de toezichthouder uit op een boete ter hoogte van € 460.000,-. Hiernaast verbeurt het ziekenhuis een dwangsom van €100.000,- per twee weken dat de overtreding voortduurt, met een maximum van €300.000,- wanneer de beveiliging niet vóór 2 oktober 2019 op orde is gebracht.
Handhaving
Er zijn een aantal overeenkomsten tussen de door ICO aangekondigde boetes aan British Airways en Marriot, en de boete door de AP opgelegd aan het HagaZiekenhuis. Ook doet de boete van de AP denken aan de boete van € 400.000 die vorig jaar door de Portugese toezichthouder werd opgelegd aan het Centro Hospitalar Barreiro Montijo-ziekenhuis. In alle gevallen ging het om het uitlekken van persoonsgegevens, waarbij bij nader onderzoek door de respectievelijke toezichthouders er gebreken in de beveiliging van de systemen werden gevonden. De boetes werden telkens niet zozeer opgelegd vanwege het beveiligingsincident zelf, maar vanwege het feit dat de organisaties onvoldoende beveiligingsmaatregelen hadden genomen om de veiligheid van persoonsgegevens te waarborgen.
Duidelijk is dat de toezichthouders een signaal willen geven aan de markt dat beveiligingsmaatregelen goed in orde moeten zijn. Dit viel ook te verwachten: vanaf 2013 is het controleren op adequate beveiligingsmaatregelen bij organisaties één van de speerpunten van het handhavingsbeleid van de AP (toen: College bescherming persoonsgegevens). Ook heeft de AP bij intrede van de AVG duidelijk gemaakt dat het controleren van overheids- en zorginstellingen en een hogere prioriteit krijgt, omwille van de voorbeeldfunctie van (semi-)overheidsorganen.
Toezicht
Toch is de keuze van de AP om het HagaZiekenhuis te beboeten opmerkelijk te noemen. Natuurlijk is het van groot belang dat zorginstellingen verantwoordelijkheid nemen voor het op een veilige manier bewaren van patiëntdata. Het toezicht op de in dat kader genomen maatregelen is ook een belangrijk onderdeel van de rol van de toezichthoudende autoriteit. Tegelijkertijd is het vereiste passende maatregelen te nemen ter beveiliging van persoonsgegevens bepaald niet gemakkelijk in te vullen. Het gaat om een min of meer open norm, die noch in de AVG noch in de Uitvoeringswet in veel detail uitgewerkt wordt. Dit gebrek aan duidelijkheid geldt overigens niet voor het onderhavige geval, waar concrete normen (de voorgenoemde NEN7510-2 normen voor informatiebeveiliging) niet correct door het HagaZiekenhuis werden nageleefd. Dat was wellicht ook een overweging van de AP om juist het HagaZiekenhuis te beboeten.
Een onwenselijk gevolg van de forse boete zou echter kunnen zijn dat organisaties, en met name zorginstellingen, terughoudender zullen zijn om meldingsplichtige inbreuken op hun beveiliging te melden bij de AP, zeker wanneer het minder duidelijk is of er een concrete norm geschonden is. Met dat in het achterhoofd is het verdedigbaar dat het uitsluitend opleggen van een dwangsom in dit geval voldoende was geweest om de aanhoudende overtredingen door het HagaZiekenhuis een halt toe te roepen. Het is zeer pijnlijk dat een ziekenhuis het toch al zo krappe budget moet besteden aan boetes.
Vervolgstappen
Het is waarschijnlijk dat het HagaZiekenhuis zich niet bij de boete van de AP neer zal leggen. Het ziekenhuis kan zich tegen de bestuurlijke boete verweren met het indienen van een bezwaarschrift bij de AP. Wanneer de AP vervolgens besluit op dit bezwaar kan het HagaZiekenhuis in beroep bij de rechtbank in eerste aanleg en in hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State.
Er lopen meerdere onderzoeken tegen andere instellingen. Naar eigen zeggen van de AP "zitten er nog meer boetes in de pijpleiding".