Ziekenhuis beboet voor de onvoldoende beveiliging EPD
De Autoriteit Persoonsgegevens (AP) heeft vandaag een ziekenhuis een boete opgelegd van € 460.000,00 omdat het ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Uit onderzoek is naar voren gekomen dat het ziekenhuis in strijd handelt met artikel 32, eerste lid, van de AVG, gelezen in samenhang met artikel 3, tweede lid, van het Besluit elektronische gegevensverwerking door zorgaanbieders en het bepaalde onder 9.4.1 en onder 12.4.1 van NEN 7510-2, nu in de periode van januari 2018 tot op heden niet is voldaan aan het vereiste van tweefactor authenticatie en het regelmatig beoordelen van logbestanden.
Tweefactor authenticatie
Norm 9.4. van de NEN 7510-2 (2017) bepaalt dat onbevoegde toegang tot systemen en toepassingen dient te worden voorkomen. Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken behoren hiertoe – onder meer – de identiteit van gebruikers vast te stellen en dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren worden betrokken. Bijvoorbeeld authenticatie door middel van iets dat de gebruiker weet (een wachtwoord of pincode) en iets dat de gebruiker heeft (een token of smartcard).
Uit het onderzoeksrapport blijkt dat het ziekenhuis gebruik maakt van Hix, het EPD van Chipsoft. Toegang tot het EPD kon binnen het ziekenhuis op twee manieren worden verkregen. Ten eerste door dat gebruikers kunnen inloggen op de virtuele werkplek (VDI) door de personeelspas voor een paslezer te houden. Vervolgens voert de gebruiker zijn gebruikersnaam, het wachtwoord en een viercijferige (door de gebruiker opgegeven vaste) pincode in. Er is sprake van een ‘singlesign-on’ functionaliteit, waardoor eenmaal ingelogd op de VDI ook toegang mogelijk is tot het EPD.
Ten tweede kan de gebruiker zonder personeelspas inloggen op de VDI en het EPD met een gebruikersnaam en wachtwoord, bijvoorbeeld als de medewerker de personeelspas is vergeten.
De AP heeft vastgesteld dat bij beide wijzen van toegang verkrijgen slechts gebruik wordt gemaakt van één factor, aangezien gebruikers toegang kunnen krijgen tot de gegevens in het EPD met alleen iets wat een gebruiker weet (namelijk een gebruikersnaam en wachtwoord (en of vaste pincode).
Controle logging
Norm 12.4.1 van de NEN 7510-2 (2017) bepaalt dat logbestanden regelmatig behoren te worden beoordeeld. De AP heeft vastgesteld dat binnen het ziekenhuis geen sprake is van controle van logging van alle dossiers door te selecteren op opvallende afwijkingen of uitschieters, noch dat wordt gebruik gemaakt van automatische signalering bij overschrijding van bepaalde
grenswaarden. De AP constateert dat het ziekenhuis: “geen beleid (heeft) ten aanzien van systematische, risicogerichte c.q. intelligente controle van de logging. Ook in de praktijk heeft geen systematische controle van de logging plaatsgevonden, want de controles die de afgelopen periode wel hebben plaatsgevonden waren naar aanleiding van enkele klachten en verzoeken maar niet risicogericht en voorts in omvang onvoldoende, gelet op de schaal van de verwerking van het ziekenhuis.”
Lessen voor de praktijk
Het is voorzienbaar dat wat misgaat bij het ene ziekenhuis ook misgaat bij andere zorgaanbieders. Het is dan ook raadzaam om als zorgaanbieder continue kritisch te blijven kijken naar de eigen organisatie en de normen die gelden voor de beveiliging van patiëntgegevens. Het boetebesluit van de AP en het bijbehorende onderzoeksrapport geven daarbij een goed actueel overzicht van de verplichtingen van zorgaanbieders m.b.t. de beveiliging van een EPD. Doe er uw voordeel mee!
