Naar aanleiding van het AP onderzoeksrapport van het ‘Barbie-datalek’ in het HagaZiekenhuis
In april 2018 werd bekend dat medewerkers van het HagaZiekenhuis ongeoorloofd in het medisch dossier hadden gekeken van realityster Samantha de Jong, bekend als Barbie. Naar aanleiding van dit voorval startte de Autoriteit Persoonsgegevens, in volksmond vaak de privacywaakhond genoemd, een onderzoek om te onderzoeken of er sprake was van een serieuze overtreding van de privacywetgeving.
Na onderzoek concludeerde de AP dat er sprake was van onzorgvuldige omgang met patiëntgegevens en dat het ziekenhuis niet compliant was met de privacywetgeving. Hierom legde de AP het ziekenhuis een boete op van 460.000 euro. Enkele tijd geleden bracht de AP het onderzoeksrapport uit waarin onder andere het toetsingskader, de afwijkingen en de conclusies zijn opgenomen. Graag zouden we u naar aanleiding van dit onderzoeksrapport tips geven om u te helpen met uw compliance met privacywetgeving en het veilig omgaan met patiëntgegevens:
Wat valt te leren uit de fouten van het HagaZiekenhuis?
Het HagaZiekenhuis was volgens het onderzoeksrapport van de AP op twee vlakken niet compliant met de AVG. Onderstaand leggen we uit op welke twee vlakken en trekken we hier lering uit.
1. Beveiligingsaspecten ‘Authenticatie’
Het ziekenhuis heeft onvoldoende passende maatregelen getroffen ten aanzien van de beveiligingsaspecten van ‘authenticatie’. Hierdoor was het ziekenhuis in strijd met artikel 32 van de AVG. Praktisch gezien had het ziekenhuis wel twee-weg-authenticatie ingeregeld, echter was het mogelijk om dit te omzeilen wanneer medewerkers hun personeelspas (die nodig is voor de twee-weg-authenticatie) vergeten waren.
Hieruit kunnen we leren dat authenticatie in uw organisatie altijd conform een twee-weg-authenticatie moet verlopen. Dit betekent dat ook de ‘back-up’ manier van inloggen wanneer de werknemer één van de twee authenticatiemiddelen bijvoorbeeld niet mee heeft volgens een twee-weg-authenticatie moet verlopen. Is dit niet zo? Dan is uw organisatie hierin volgens de AP niet compliant aan de AVG.
2. Beveiligingsaspecten ‘Controle van logging’
Het ziekenhuis heeft onvoldoende passende maatregelen getroffen ten aanzien van de beveiligingsaspecten van ‘Controle van de logging’. Hierdoor was het ziekenhuis in strijd met artikel 32 van de AVG. In het ziekenhuis werden handelingen in systemen, zoals inzages in patiëntendossiers wel gelogd, maar deze logging werd niet gecontroleerd.
Hieruit kunnen we leren dat voor compliance met de AVG niet alleen logging in uw organisatie moet worden, maar dat u de logging ook moet controleren. Wij adviseren expliciet in een beleidsdocument, bijvoorbeeld in het IT-beleid, op te nemen dat en hoe u gebruik maakt van logging en op welke manier u hier controles op uitvoert. Registreer bovendien de controles die u uitvoert, zodat inzichtelijk is dat u het beleid daadwerkelijk naleeft.
Vorige week
Vorige week is een artikel gepost die ingaat op het door de AP toegepaste toetsingskader in het HagaZiekenhuis onderzoeksrapport. Het artikel bevat waardevolle tips over het borgen van de AVG en de relatie met verschillende ISO/NEN normen. Lees het hier!
Contact
Heeft u vragen over dit artikel, over de AVG in uw organisatie of wilt u gewoon eens met ons in gesprek? We nodigen u uit om contact met ons op te nemen!