Naar aanleiding van het AP onderzoeksrapport van het ‘Barbie-datalek’ in het HagaZiekenhuis
In april 2018 werd bekend dat medewerkers van het HagaZiekenhuis ongeoorloofd in het medisch dossier hadden gekeken van realityster Samantha de Jong, bekend als Barbie. Naar aanleiding van dit voorval startte de Autoriteit Persoonsgegevens, in volksmond vaak de privacywaakhond genoemd, een onderzoek om te onderzoeken of er sprake was van een serieuze overtreding van de privacywetgeving.
Na onderzoek concludeerde de AP dat er sprake was van onzorgvuldige omgang met patiëntgegevens en dat het ziekenhuis niet compliant was met de privacywetgeving. Hierom legde de AP het ziekenhuis een boete op van 460.000 euro. Enkele tijd geleden bracht de AP het onderzoeksrapport uit waarin onder andere het toetsingskader, de afwijkingen en de conclusies zijn opgenomen. Graag zouden we u naar aanleiding van dit onderzoeksrapport het door de AP toepaste toetsingskader kort met u doornemen en u hierbij tips geven om u te helpen met uw compliance met privacywetgeving en het veilig omgaan met patiëntgegevens:
Wat valt te leren uit het toetsingskader dat is toegepast door de AP?
Opvallend aan het toetsingskader dat door de AP is gebruikt bij het HagaZiekenhuis is dat er voor het op een praktischere manier invulling geven aan de artikelen uit de AVG verschillende informatie-beveiligingsnormen zijn gebruikt. Zo zijn de NEN 7510 en 7513 als meetinstrument gebruikt voor AVG-artikel 32, een artikel over beveiliging van de verwerking. Ook is onder meer het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ opgenomen in het toetsingskader. In dit besluit zijn functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door zorgaanbieders.
Wat betekent dit voor uw organisatie? Dit toont het belang aan van de NEN 7510, NEN 7513 en de besluiten die van toepassing zijn op uw organisatie! Door hieraan te voldoen borgt u al grotendeels de eisen die door de AVG aan uw organisatie worden gesteld. Keerzijde hierbij is dat het slecht onderhouden van uw certificering dus directe invloed kan hebben op uw compliance met de AVG en dat dit mogelijkerwijs kan resulteren in een boete zoals bij het HagaZiekenhuis.
Uit het toetsingskader is te leren dat de in het toetsingskader gebruikte normen zoals de NEN 7510 zeer waardevol voor het praktisch invulling geven van de AVG in uw organisatie zijn. Ook valt er uit het toetsingskader te leren dat het onderhouden van uw (informatiebeveiligings)norm een hoge prioriteit zou moeten hebben om sancties te voorkomen en om een veilige omgang met patiëntgegevens te garanderen.
Volgende week
Volgende week zullen we de fouten die het HagaZiekenhuis heeft gemaakt bij het naleven van de AVG uitwerken en zullen we tips geven hoe u zorgt voor AVG-compliance en een veilige omgang met patiëntgegevens.
Contact
Heeft u vragen over dit artikel, over de AVG in uw organisatie of wilt u gewoon eens met ons in gesprek? We nodigen u uit om contact met ons op te nemen!