HagaZiekenhuis beboet, normen AVG

HagaZiekenhuis beboet voor schending normen NEN 7510 authenticatie en logging
HagaZiekenhuis beboet voor schending normen NEN 7510 authenticatie en logging

Boete HagaZiekenhuis

Op 18 juni 2019 heeft de Autoriteit Persoonsgegevens de eerste boete op grond van de Algemene Verordening Gegevensbescherming (AVG) opgelegd. Het HagaZiekenhuis is beboet nadat een medische dossier van een bekende Nederlander door meer dan 100 onbevoegde persoonsleden is ingezien. De Autoriteit is van mening dat het ziekenhuis onvoldoende ‘passende technische en organisatorische maatregelen’ heeft getroffen om de gegevens te beveiligen. Wat kunnen we hieruit leren?

Zorgaanbieders moeten, kort gezegd, voldoen aan de NEN-normen voor informatiebeveiliging in de zorg. Het gaat om NEN 7510 en NEN 7513. Deze normen verplichten tot tweefactor authenticatie voor gezondheidsinformatiesystemen en tot logging.

Tweefactor authenticatie HagaZiekenhuis

Over de tweefactor authenticatie kunnen we kort zijn. Het HagaZiekenhuis had twee inlogprocedures: een procedure met zorgpas en naam en wachtwoord en een procedure met alleen naam en wachtwoord. De procedure met alleen naam en wachtwoord voldoet niet aan de norm. Daarvoor krijgt het HagaZiekenhuis een tik op de vingers.

(Controle op) logging in het HagaZiekenhuis

De tweede misstand betreft de controle op de logging. De toegang tot de clientdossiers wordt keurig gelogd, maar er vindt volgens de Autoriteit geen systematische controle op deze logging plaats. De Autoriteit oordeelt:

Het beleid (…) regelt dat controle op de rechtmatigheid van toegang tot de patiëntdossiers plaatsvindt via de logging van een aselecte steekproef van jaarlijks zes patiëntdossiers, waarbij wordt gelet op mislukte toegangspogingen alsmede gerealiseerde toegang tot het digitaal dossier buiten de behandelrelatie, gerealiseerd via de noodknopprocedure. (…)

Echter, met een controle van de logging van een aselecte steekproef van jaarlijks zes patiëntdossiers, heeft het HagaZiekenhuis geen beleid ten aanzien van systematische, risicogerichte c.q. intelligente controle van de logging. Ook in de praktijk heeft geen systematische controle van de logging plaatsgevonden (…). Ten aanzien van de voorgenomen controles voor 2019 merkt de AP op dat een aselecte steekproefcontrole van zes patiëntendossiers per jaar in ieder geval niet voldoende is om aan de norm van systematische,
risicogerichte c.q. intelligente controle te voldoen.

Het controleren van zes dossiers per jaar wordt als mager beschouwd gezien de jaarlijkse 28.500 opnamen, 158.000 eerste polikliniekbezoeken, 52.000 eerste hulp consulten en 143.000 verpleegdagen.

De Autoriteit concludeert overigens dat de autorisatiestructuur zelf, de logging van toegang in orde zijn. Datzelfde geldt voor het creëren van bewustwording onder medewerkers ten aanzien van informatiebeveiliging.

Hoe dan ook, de Autoriteit vind het kwalijk dat medische gegevens niet voldoende worden beveiligd. Daarom wordt een boete opgelegd. De Autoriteit neemt het HagaZiekenhuis buitengewoon kwalijk dat na een onderzoek van de misstanden niet meteen maatregelen zijn getroffen. Het ziekenhuis zou te druk zijn met de nasleep van het beboete incident. Dit leidt tot een verhoging van de boete.

Welke les kunnen we hieruit leren?

Ziekenhuizen en zorgaanbieders dienen volledig te voldoen aan de genoemde NEN-normen. Als toegangscontrole wordt gelogd, moeten de logbestanden ook regelmatig en systematisch worden bekeken. Het aantal controles moet in verhouding staan met het aantal dossiers in de organisatie. Bij geconstateerde misstanden moet bovendien direct tot actie worden overgegaan.

Verder lezen?

Zie hier het boetebesluit en het onderzoeksrapport.

2 Trackbacks / Pingbacks

  1. Autoriteit Persoonsgegevens: "Het wordt menens de komende tijd". - PrivacyPortaal.nl
  2. Privacybeleid voorbeeld (DOCX en PDF) - PrivacyPortaal.nl

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*