Na het HagaZiekenhuis beboet AP ook het OLVG: beveiliging van dossiers niet op orde

Na het HagaZiekenhuis beboet de Autoriteit Persoonsgegevens (“AP”) opnieuw een ziekenhuis: het OLVG krijgt een boete van 440.000 euro opgelegd. Volgens de AP heeft het ziekenhuis tussen 2018 en 2020 te weinig maatregelen genomen om te voorkomen dat onbevoegde personen toegang kregen tot medische dossiers.

Op basis van haar onderzoek concludeerde de AP dat het OLVG structureel niet goed omging met toegang tot medische dossiers. In het bijzonder ging het op twee punten mis:

  1. Toegang tot dossiers. Het OLVG hield wel bij welke medewerker welk dossier inzag door middel van logging, maar controleerde de logging zelf onvoldoende op onbevoegde toegang.
  2. Tweefactor authenticatie. Het OLVG maakte binnen het ziekenhuis geen gebruik van tweefactor authenticatie. Dat de computers zich voornamelijk in afgesloten ruimtes bevinden waarvoor wel tweefactor authenticatie gold, zoals het OLVG aanvoerde, was volgens de AP niet voldoende. Het informatiesysteem zelf moet beveiligd zijn met tweefactor authenticatie.

Het ziekenhuis handelde volgens de AP bovendien in strijd met het eigen interne beleid, dat een groter aantal steekproeven voorschrijft en verwijst naar een NEN-norm waarin tweefactor authenticatie wordt voorgeschreven.

Het OLVG is daarmee op dezelfde punten in de fout gegaan als het HagaZiekenhuis. Ook dat ziekenhuis werd door de AP aangesproken op het gebrek aan controle op de logbestanden en het ontbreken van tweefactor authenticatie.

Het OLVG gaat op dezelfde punten in de fout als het HagaZiekenhuis

Wie de boetebesluiten naast elkaar legt, ziet wel (kleine) verschillen in hoe de Autoriteit Persoonsgegevens de inbreuken bij de twee ziekenhuizen beoordeelt. Zo lijkt de Autoriteit Persoonsgegevens van mening dat de inbreuk bij het OLVG als minder ‘nalatig’ kan worden aangemerkt dan die bij het HagaZiekenhuis, aangezien de AP de basisboete met EUR 50.000 verhoogt in plaats van de EUR 75.000 waarmee de boete voor het HagaZiekenhuis werd verhoogd. De verhoging wegens de aard, ernst en duur van de inbreuk is daarentegen vergelijkbaar: EUR 80.000 voor het OLVG om EUR 75.000 voor het HagaZiekenhuis. Als gevolg van voornoemde verschillen, valt de boete voor het OLVG EUR 20.000 uiteindelijk lager uit dan die voor het HagaZiekenhuis.

Het boetebesluit voor het OLVG is hier te lezen.

Het boetebesluit voor het HagaZiekenhuis is hier te lezen.

Instagram

Volg ons team en het laatste nieuws

Something is wrong.
Instagram token error.
Follow