Haga beboet voor onvoldoende interne beveiliging patiëntendossiers

Thema's:
Beveiliging van persoonsgegevens
Gezondheidsgegevens in een dossier

Het HagaZiekenhuis heeft de interne beveiliging van patiëntendossiers niet op orde. Dit blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP). Dit onderzoek volgde toen bleek dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien. De AP legt het HagaZiekenhuis voor de onvoldoende beveiliging een boete op van 460.000 euro.

Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren, legt de AP het HagaZiekenhuis tegelijkertijd een last onder dwangsom op. Als het HagaZiekenhuis de beveiliging niet voor 2 oktober 2019 verbeterd heeft, moet het ziekenhuis elke 2 weken 100.000 euro betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft inmiddels aangegeven maatregelen te nemen.

Update maart 2021
De rechtbank Den Haag heeft de boete aan het HagaZiekenhuis verlaagd tot een bedrag van 350.000 euro. Deze uitspraak is definitief.  Eerder had het Haga tegen zowel de boete als de last onder dwangsom bezwaar gemaakt. De AP verklaarde dit bezwaar ongegrond. Tegen dit besluit stelde het HagaZiekenhuis beroep in bij de rechter.

De AP heeft in december 2019 na controle geconcludeerd dat het HagaZiekenhuis passende maatregelen heeft genomen om de beveiliging van patiëntendossiers te verbeteren. Het Haga voldoet daarmee aan de last onder dwangsom. 

Vertrouwelijke relatie zorgverlener-patiënt

Aleid Wolfsen, voorzitter van de AP: "De AP vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent."

Beveiliging van patiëntendossiers

Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Het HagaZiekenhuis heeft op 2 onderdelen onvoldoende beveiligingsmaatregelen getroffen:
 

  1. Het ziekenhuis moet regelmatig controleren wie welk dossier raadpleegt. Op deze manier kan het ziekenhuis tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en daartegen maatregelen nemen.
  2. Bij een goede beveiliging hoort authenticatie waarbij ten minste twee factoren betrokken worden. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.
""

Publicaties

Onderzoek toegang digitale patientendossiers HagaZiekenhuis

Controle last onder dwangsom HagaZiekenhuis