Rechtbank matigt boete HagaZiekenhuis voor schenden AVG
Op 31 maart 2021 (publicatiedatum: 15 april 2021) heeft de rechtbank Den Haag uitspraak gedaan over de boete die de Autoriteit Persoonsgegevens (AP) had opgelegd aan een Haags ziekenhuis, wegens overtreding van de AVG. Persoonsgegevens van patiënten waren volgens de AP onvoldoende beschermd. De rechtbank oordeelt dat de AP een boete en een last onder dwangsom mocht opleggen. Wel matigt de rechtbank de boete van € 460.000,- naar € 350.000,-.
Aanleiding voor de boete en last onder dwangsom betrof de onrechtmatige inzage van het medisch dossier van een bekende Nederlander door eigen medewerkers van het ziekenhuis. Na onderzoek concludeerde de AP dat er door het ziekenhuis onvoldoende maatregelen waren genomen om de persoonsgegevens van patiënten te beschermen. Het ziekenhuis had tweefactor authenticatie moeten invoeren, in plaats van éénfactor authenticatie (met gebruikersnaam en wachtwoord). Ook had het ziekenhuis de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd. Logging houdt in dat een zorginstelling structureel bijhoudt wie wanneer welk patiëntendossier heeft geraadpleegd zodat onbevoegde toegang kan worden gedetecteerd en zo nodig maatregelen genomen kunnen worden. Volgens de AP bleef het aantal controles (ver) onder de maat.
De AP had het ziekenhuis een bestuurlijke boete van € 460.000,- en een last onder dwangsom (tot toepassing van tweefactor authenticatie en regelmatige controle van logbestanden) opgelegd, wegens schending van art. 32 AVG (zie ook mijn eerdere blog hierover). Kort gezegd schrijft deze bepaling voor dat een verwerkingsverantwoordelijke (in dit geval het ziekenhuis) passende technische en organisatorische maatregelen dient te treffen voor het borgen van een passend beschermingsniveau.
Oordeel rechtbank
De rechtbank oordeelt dat de AP een boete en een last onder dwangsom mocht opleggen. Wel oordeelt de rechtbank dat de boete te hoog was. Uit de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 volgt dat voor overtreding van artikel 32 van de AVG een basisboetebedrag van € 310.000,- geldt. Op grond van de factoren genoemd in de Boetebeleidsregels 2019 kan de basisboete worden verhoogd of verlaagd. De AP had de boete tweemaal verhoogd met € 75.000,- vanwege de factoren de aard, ernst en duur van de inbreuk en de opzettelijke/nalatige aard van de inbreuk.
Het basisboetebedrag van € 310.000,- acht de rechtbank op zichzelf niet onredelijk. De rechtbank is het ook eens met de Autoriteit Persoonsgegevens dat het boetebedrag verhoogd mocht worden vanwege de aard, ernst en duur van de overtreding en de opzettelijke/nalatige aard van de overtreding. Met deze twee boeteverhogende omstandigheden (tweemaal € 75.000,-) was het totale boetebedrag vastgesteld op € 460.000,-. De rechtbank vindt dit bedrag echter in dit geval te hoog en ziet aanleiding de boete te matigen tot € 350.000,- en wel om twee redenen.
Allereerst vindt de rechtbank het van belang dat het ziekenhuis wel een aantal maatregelen heeft genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier worden ingezien door onbevoegde medewerkers, zoals onder meer de invoering van een extra waarschuwing die in beeld komt als een medewerker een dossier opent, de verplichtstelling van een e-learningcursus voor alle medewerkers die toegang hebben tot het elektronische patiëntendossier, de aanscherping van de arbeidsovereenkomsten en het waar mogelijk aanscherpen van autorisaties (zie ook eerdere blog KBS van 1 mei 2018).
Ten tweede heeft het ziekenhuis nog tijdens de bezwaarfase alsnog de tweefactor authenticatie ingevoerd en de logging geïntensiveerd. Al deze door het ziekenhuis getroffen maatregelen tonen in ieder geval de bereidwilligheid van het ziekenhuis om met de problematiek in de organisatie aan de slag te gaan en nuanceren de nalatigheid die het ziekenhuis wordt verweten. De AP heeft hier ten onrechte geen gewicht aan toegekend.
Vanwege de hiervoor genoemde redenen ziet de rechtbank aanleiding om het boetebedrag te matigen tot een bedrag van € 350.000,-.
