AP legt OLVG boete op van € 440.000
De Autoriteit Persoonsgegevens (AP)heeft het OLVG in Amsterdam een boete opgelegd van € 440.000 voor het feit dat zij de beveiliging van patiëntendossiers in de periode 2018 tot 2020 niet geheel op orde had. Het OLVG voldeed blijkens het boetebesluit van de AP in de genoemde periode niet aan het vereiste van tweefactor authenticatie en het regelmatig beoordelen van logbestanden.
Artikel 32 AVG
In artikel 32, eerste lid, van de Algemene Verordening Gegevensbescherming (AVG) is opgenomen dat de verwerkingsverantwoordelijke (in dit geval het OLVG), rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen dient te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Ingevolge het tweede lid wordt bij de beoordeling van het passende beveiligingsniveau met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
Wat een passend beveiligingsniveau is en welke passende technische en organisatorische maatregelen getroffen moeten worden, is afhankelijk van de aard van de gegevens. Naarmate de gegevens een gevoeliger karakter hebben, of de context waarin zij worden gebruikt een grotere bedreiging vormt voor de persoonlijke levenssfeer van betrokkenen, worden er zwaardere eisen gesteld aan de beveiliging van gegevens.
Gegevens over de gezondheid zijn op grond van artikel 9, eerste lid, van de AVG aangemerkt als een bijzondere categorie van persoonsgegevens. Deze persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden.
De Nederlandse normen voor informatiebeveiliging in de zorg, te weten: NEN 7510, NEN 7512 en NEN 7513 zijn algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van informatiebeveiliging in de zorg en geven invulling aan wat als een juiste mate van informatiebeveiliging kan worden beschouwd. De Nederlandse wetgever heeft, door in artikel 3, tweede lid, van het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) op te nemen dat een zorgaanbieder overeenkomstig het bepaalde in NEN 7510 en NEN 7512, dient zorg te dragen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem waarop hij is aangesloten, uitdrukkelijk bekrachtigd dat zorgaanbieders aan de NEN-normen dienen te voldoen.
Tweefactor authenticatie
Volgens Norm 9.4.1 van NEN 7510-2 (2017) behoren gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, de identiteit van gebruikers vast te stellen en dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden. De AP concludeert dat het OLVG bij het verstrekken van toegang tot het ziekenhuisinformatiesysteem via computers binnen haar eigen netwerk slechts een factor gebruikte om de identiteit van de gebruiker vast te stellen. Het gegeven dat alleen medewerkers van het OLVG toegang hebben tot het interne netwerk kan volgens de AP niet als een tweede factor worden beschouwd, omdat daarmee niet de identiteit van de gebruiker wordt vastgesteld.
Controle op logging
In paragraaf 12.4.1 van NEN 7510-2, staat dat logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Uit het onderzoek blijkt ook dat de controle op de logging in de genoemde periode bij het OLVG onvoldoende was. Tussen 1 januari 2018 tot en met 17 april 2019 zijn acht incidentele controles en twee proactieve steekproeven uitgevoerd, hetgeen naar het oordeel van de AP “ruimschoots en evident onvoldoende is” om te kunnen spreken van een passend beveiligingsniveau dat ziet op het signaleren van onbevoegde toegang tot patiëntgegevens en het treffen van maatregelen naar aanleiding van onbevoegde toegang.
Zaken op orde
Uit het nieuwsbericht van de AP blijkt dat het OLVG verbeteringen heeft doorgevoerd en dat geen bezwaar of beroep tegen de boete van de AP is ingesteld.
Lessen voor de praktijk
Het besluit van de AP laat, net als in het eerdere besluit ten aanzien van het Hagaziekenhuis, goed zien dat zorgaanbieders de NEN-normen in acht dienen te nemen en dat toegangsbeveiliging en controle daarbij belangrijke onderdelen zijn.
GGD?
Dat de overheid in de vorm van de AP toeziet op het naleven van de AVG en zo nodig handhavend optreedt, is in het belang van ons allemaal. Het geeft wel een dubbel gevoel dat een zorginstelling een forse boete krijgt opgelegd, welke inkomsten toekomen aan de algemene staatskas, terwijl diezelfde overheid bij het verwerken van gezondheidsgegevens door de GGD zelf eveneens niet voldoet aan artikel 32 AVG. Dat roept de vraag op hoe we de overheid kunnen sanctioneren bij overtreding van de AVG. De AP kan de overheid immers een boete opleggen, maar dat is een kwestie broekzak/vestzak.