Autoriteit Persoonsgegevens geeft eerste knauw

DELEN IS LEUK:
Bestuurlijke boete

Deze week werd bekend dat de Autoriteit Persoonsgegevens (AP) niet alleen blaft, maar ook voor de eerste keer een verwerkingsverantwoordelijke heeft gebeten. Met een forse bestuurlijke boete voor de tekortkomingen én een lastgeving om de tekortkomingen ongedaan te maken, is het HagaZiekenhuis het eerste ‘slachtoffer’ sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG).

Ontoereikende beveiliging

De straf is uitgedeeld voor een slechte beveiliging van patiëntendossiers: onbevoegde medewerkers konden bij de dossiers en er ontbrak een zogenaamde ‘two-factor’ authenticatie. De zaak kwam aan het rollen omdat vertrouwelijke gegevens van de Nederlandse ‘reality star’ Barbie in het nieuws kwamen. Het HagaZiekenhuis heeft ook zelf melding van een datalek gedaan.

Bijzondere persoonsgegevens

Toen de AVG in werking trad waren er wel een aantal dossiers die de aandacht hadden, zoals de Belastingdienst met de openbare persoonlijke BSN-nummers van ondernemers. Omdat het aanpakken van de Belastingdienst met een boete een soort vestzak-broekzak situatie oplevert, was de verwachting dat de AP in eerste instantie particuliere thuiszorgverleners in het vizier zou hebben. Dit is namelijk een relatief jonge bedrijfstak die veel bijzondere persoonsgegevens verwerkt en waar verschillende belangen spelen.

Voorbeeldwerking

Uiteindelijk is de AP in de buurt gebleven. De keuze is ook voor de hand liggend. Denkend aan het donorregister en het elektronisch patiëntendossier is de uitspraak uiterst actueel. Bovenal stelt het een voorbeeld, het HagaZiekenhuis is geen unieke organisatie, er zijn talrijke vergelijkbare verwerkingsverantwoordelijken. En over een zorgvuldige bescherming van medische gegevens mag geen enkele Nederlander twijfels hebben.

Praktische opmerkingen

Zowel het onderzoek als het boetebesluit zijn terug te vinden op de website van de AP. Deze bevatten veel praktische opmerkingen en toelichtingen die leerzaam zijn voor elke verwerkingsverantwoordelijke en verwerker. Vermeldenswaardig is onder meer dat een inlogautorisatie een medewerker voor langere tijd bevoegdheid gaf zonder restricties en dat het niet-naleven van het eigen privacybeleid meetelt bij de boeteafweging.

Beroep

Inmiddels heeft het HagaZiekenhuis aangekondigd in beroep te gaan; het geld van de boete willen ze namelijk liever aan zorg besteden. We zullen zien hoe dit afloopt, want dit argument komt toch wel in de buurt van een drogredenering.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *