Onrechtmatig inzien patiëntendossier? Rechter matigt boete tot € 350.000

Onrechtmatig inzien patiëntendossier? Rechter matigt boete tot € 350.000

Onrechtmatig inzien patiëntendossier? Rechter matigt boete tot € 350.000 150 150 Capra Advocaten

In 2019 heeft de Autoriteit Persoonsgegevens (AP) aan het HagaZiekenhuis in Den Haag een boete van maar liefst € 460.000 opgelegd, nadat meer dan 80 medewerkers van het ziekenhuis onbevoegd het medisch dossier hadden ingezien van een bekende Nederlander (‘Barbie’) die in het ziekenhuis werd behandeld.

Op 31 maart jl. heeft de Rechtbank Den Haag (ECLI:NL:RBDHA:2021:3090) geoordeeld dat deze boete te hoog was en de boete gematigd tot € 350.000. Dat is nog altijd een aanzienlijk bedrag. En deze zaak is natuurlijk ook niet goed voor het imago van het ziekenhuis.

Het moge maar weer eens duidelijk zijn hoe ontzettend belangrijk het is dat ziekenhuizen – en andere zorginstellingen – de bescherming van patiëntgegevens goed op orde hebben. Hierna zal ik de uitspraak van de rechtbank bespreken. Daarna volgen enkele richtsnoeren voor de praktijk.

Ziekenhuis had onvoldoende beveiligingsmaatregelen getroffen

Het ziekenhuis heeft destijds, na de ontdekking dat veel medewerkers onbevoegd het medisch dossier hadden ingezien, bij de AP melding gedaan van een datalek. De AP heeft het ziekenhuis vervolgens een schriftelijk informatieverzoek gestuurd. Mede om basis van die informatie kwam de AP tot de conclusie dat het ziekenhuis onder andere op de volgende punten te kort was geschoten bij het nemen van maatregelen ter bescherming van de persoonsgegevens van patiënten (zie hiervoor het standpunt van de AP).

  1. Het ziekenhuisinformatiesysteem werkte niet met de ingebouwde verplichting van tweefactor authenticatie. Het was mogelijk om toegang te krijgen tot de gegevens met een gebruikersnaam en wachtwoord. In dat geval is sprake van éénfactor authenticatie;
  2. Het ziekenhuis had niet op regelmatige basis gecontroleerd wie wanneer welk patiëntendossier had geraadpleegd (‘logging’), om zodoende onbevoegde toegang te detecteren en zo nodig maatregelen te nemen. Het beleid van het ziekenhuis voorzag in een aselecte streekproef van jaarlijks zes patiëntendossiers. In de door de AP onderzochte periode had het ziekenhuis echter proactief één controle op ongeautoriseerde inzage uitgevoerd, en zes controles op verzoek van patiënten en medewerkers.

Naar aanleiding van deze bevindingen heeft de AP aan het ziekenhuis een bestuurlijke boete opgelegd van € 460.000. Daarnaast is aan het ziekenhuis een last onder dwangsom opgelegd, om het ziekenhuis ertoe te bewegen dat het de toegang tot het ziekenhuisinformatiesysteem uitsluitend mogelijk zou maken met toepassing van tweefactor authenticatie en de logbestanden voortaan regelmatig zou controleren.

Nadat de boete en de last onder dwangsom in bezwaar waren gehandhaafd, heeft het ziekenhuis zich tot de rechter gewend.

Het oordeel van de rechter

In de beroepsprocedure stelde het ziekenhuis stelde zich onder andere op het standpunt dat de AP zich niet mede had mogen baseren op bepaalde NEN-normen, omdat die NEN-normen niet gerelateerd zouden zijn aan of gebaseerd zouden zijn op de AVG. De rechtbank ging hier niet in mee, omdat het ziekenhuis in haar informatiebeveiligingsbeleid zelf heeft gekozen voor een invulling van passende technische en organisatorische maatregelen (zoals voorgeschreven door de AVG) door middel van toepassing van de betreffende NEN-normen. Bovendien, zo overwoog de rechtbank, werden de eis van tweefactor authenticatie en de eis van de controle op de logging ook onder het regime van de Wet bescherming persoonsgegevens (Wbp) al gezien als passende maatregelen, hetgeen bij het ziekenhuis bekend kon zijn.

Het ziekenhuis had ook aangevoerd dat de AVG een aantal open normen kent die nog niet zijn ingevuld en dat het niet is toegestaan om handhavend op te treden wegens een vermeend handelen in strijd met een norm waarvan de strekking en reikwijdte (nog) niet duidelijk is. Ook hier ging de rechtbank niet in mee. Volgens de rechtbank is de betreffende norm voldoende duidelijk. Voor de rechtbank weegt ook mee dat het ziekenhuis zich als professionele partij had kunnen vergewissen van de juiste toepassing van de normen en dat het voor het ziekenhuis in ieder geval duidelijk had kunnen zijn dat zes controles niet voldoen aan de norm, gelet op het aantal medewerkers en het grote aantal patiëntbezoeken.

Boete gematigd van € 460.000 naar € 350.000

Voor overtreding van artikel 32 AVG geldt volgens de Boetebeleidsregels 2019 een basisboetebedrag van € 310.000. De AP had deze boete twee maal verhoogd met € 75.000, dit gelet op a) de aard, ernst en duur van de inbreuk en b) de opzettelijke/nalatige aard van de inbreuk.

Volgens de rechtbank is de eerste verhoging met € 75.000 op zijn plaats, omdat het ziekenhuis eerder de juiste maatregelen had moeten treffen nadat het datalek zich had voorgedaan. De tweede verhoging van € 75.000 is volgens de rechter echter niet evenredig, omdat het ziekenhuis inmiddels wel maatregelen had genomen, zoals onder meer de invoering van een extra waarschuwing die in beeld komt als een medewerker een dossier opent, de verplichtstelling van een e-learningcursus voor alle medewerkers die toegang hebben tot het elektronisch patiëntendossier, de aanscherping van de arbeidsovereenkomsten en het waar mogelijk aanscherpen van autorisaties. Bovendien had het ziekenhuis tijdens de bezwaarfase de tweefactor authenticatie ingevoerd en de logging geïntensiveerd. Hierdoor had het ziekenhuis volgens de rechter de bereidwilligheid getoond om met de problematiek in de organisatie aan de slag te gaan, zodat de nalatigheid die het ziekenhuis werd verweten nuancering verdient. De rechtbank heeft de boete gematigd tot € 350.000.

Richtsnoeren voor de praktijk

Uit deze uitspraak blijkt hoe belangrijk het is dat een instelling handelt conform haar beleid. Als in het beleid is vastgelegd dat bepaalde voorschriften worden ingevuld aan de hand van NEN-normen, dan kan de instelling daar ook aan worden gehouden en daarop worden aangesproken.

De uitspraak onderstreept ook het belang van het van tijd tot tijd kritisch tegen het licht houden van het beleid en de getroffen veiligheidsmaatregelen. Is de technische beveiliging op orde? Wordt er voorzien in adequate interne controle? Weten de medewerkers binnen welke kaders zij mogen handelen en wat er van hen wordt verwacht? Door dit regelmatig te bezien, kunnen mogelijk hoge boetes worden voorkomen.

Een ander belangrijk richtsnoer zijn de maatregelen die het ziekenhuis in deze zaak heeft getroffen. Andere instellingen kunnen zich de vraag stellen of zij vergelijkbare maatregelen hebben getroffen en of er wellicht aanleiding is om dat alsnog te doen.

Voor het welslagen van het beleid en de effectiviteit van de getroffen maatregelen zijn de medewerkers een grote factor van belang. Zijn zij op de hoogte van de regels die gelden rondom het inzien van patiëntendossiers? Zijn zij gewaarschuwd voor de gevolgen van het onbevoegd inzien van patiëntendossiers? Wordt hier voldoende aandacht aan besteed? Ook op dit punt kan een instelling maatregelen nemen.

Advies: ga met de medewerkers in gesprek over integriteit

In de kern gaat het in deze zaak om integer – of eigenlijk niet-integer – handelen. Volgens de uitspraak heeft het ziekenhuis de medewerkers verplicht om een e-learning cursus te volgen. Er zijn ook andere manieren om medewerkers voor te lichten over de regels die zij in acht moeten nemen en over wat er, in meer algemene zin, van hen wordt verwacht. Het is belangrijk om niet te volstaan met het enkel wijzen op de regels, en om hierover ook het gesprek aan te gaan. Hierdoor gaat integriteit meer leven en zullen de medewerkers zich meer bewust worden van lastige situaties en hoe daarmee om te gaan. Dat verkleint het risico op excessen zoals in deze zaak.

Integriteit.nl kan zorginstellingen ondersteunen bij het vergroten van het bewustzijn rondom integriteit en integer handelen. Voor meer informatie, zie hier.

Jacobien Frederix-Gianotten

Contact over dit onderwerp

Jacobien Frederix-Gianotten

Jacobien Frederix-Gianotten

Advocaat
Vestiging:
Den Haag
Sector:
Overheid, Onderwijs
Expertteam:
Arbeidsrecht, Ambtenarenrecht, Sociale Zekerheidsrecht, Normalisering
Telefoon:
070 - 364 81 02
Mobiel:
06 18 50 10 69

Gerelateerd

Jurisprudentie selectie Zorg – november 2024 150 150 Capra Advocaten

Jurisprudentie selectie Zorg – november 2024

Artikel

lees meer
Arbeidsongeschikte werknemer onbereikbaar. Wat nu? 150 150 Capra Advocaten

Arbeidsongeschikte werknemer onbereikbaar. Wat nu?

Artikel

lees meer
De arbeidsrechtelijke worsteling met diversiteit 150 150 Capra Advocaten

De arbeidsrechtelijke worsteling met diversiteit

Artikel

lees meer

Blijf op de hoogte

Blijf op de hoogte over ontwikkelingen, interessante jurisprudentie en wetswijzigingen op het gebied van arbeidsverhoudingen binnen de sectoren overheid, onderwijs en zorg. Selecteer welke nieuwsbrieven u wilt ontvangen en wij houden u op de hoogte.

Vestiging Den Haag
Laan Copes van Cattenburch 56
2585 GC Den Haag
Telefoon 070-364 81 02
Fax 070-361 78 47
denhaag@capra.nl

Vestiging ‘s-Hertogenbosch
Willem van Oranjelaan 2
5211 CT ‘s-Hertogenbosch
Telefoon 073-613 13 45
Fax 073-614 82 16
s-hertogenbosch@capra.nl

Vestiging Zwolle
Terborchstraat 12
8011 GG Zwolle
Telefoon 038-423 54 14
Fax 038-423 47 84
zwolle@capra.nl

Vestiging Maastricht
Spoorweglaan 7
6221 BS Maastricht
Telefoon 043-7 600 600
Fax 043-7 600 609
maastricht@capra.nl