Op 16 juli 2019 heeft de Autoriteit Persoonsgegevens een eerst boete onder de AVG uitgedeeld aan het Haga Ziekenhuis in Den Haag. De boete bedroeg van € 460.000.
De aanleiding van het onderzoek door de AP was de melding van een datalek voor het onterecht inzien van het medisch dossier van Samantha de Jong (als BN’er beter bekend onder de naam Barbie) door een kleine honderd medewerkers.
De AP heeft 2 punten aangegeven waarin het Haga Ziekenhuis onvoldoende passende technische en organisatorische beveiligingsmaatregelen heeft getroffen om een dergelijke inbreuk te voor voorkomen.
- Het toegangsbeleid tot het elektronische patiënten dossier (EPD) was onvoldoende geregeld. De AP heeft aangegeven dat dit minstens met 2 factor autorisatie moet gebeuren.
- Er werd onvoldoende gemonitord op misbruik. De AP heeft aangegeven dat steekproefsgewijs monitoren (in dit geval 6x per jaar) onvoldoende is.
Eindelijk heeft de AP haar tanden laten zien. Dit is slechts het begin. Het is namelijk bekend dat de AP zich eerst richt op overheid, zorgsector en grotere (web/tech)bedrijven. Naar aanleiding van een datalek kan én zal de AP dus ook boetes uitdelen.
Voor een goede ondersteuning qua privacy en gegevensbeveiliging bent u bij Aecius aan het juiste adres. Neem gerust vrijblijvend contact op.