In 2019 kwam het Haga Ziekenhuis al uitgebreid in het nieuws toen tientallen werknemers onbevoegd het medisch dossier van Samantha de Jong (Barbie) inzagen. Dit leidde tot een onderzoek door de Autoriteit Persoonsgegevens (AP) en uiteindelijk een boete van ruim 4 ton voor het Haga Ziekenhuis.
Volgens de AP had het Haga Ziekenhuis haar gegevensbeveiliging niet op orde. Nu is het helaas weer zo ver en heeft het OLVG Ziekenhuis – ook vanwege slechte beveiliging van de persoonsgegevens - een flinke boete opgelegd gekregen.
De AP heeft naar aanleiding van een tip, signalen uit de media en twee datalekmeldingen van het OLVG een onderzoek ingesteld en constateert dat het ziekenhuis medische dossiers onvoldoende beveiligde. Zo werd niet genoeg gecontroleerd op onbevoegde toegang in dossiers en werd geen gebruik gemaakt van een authenticatie met ten minste twee factoren. Een tweefactor-authenticatie houdt bijvoorbeeld in, dat de identiteit van een gebruiker die toegang tot een dossier wil, twee maal wordt vastgesteld door bijvoorbeeld een code of wachtwoord in combinatie met een personeelspas.
Boete voorkomen?
Een boete zoals het Haga Ziekenhuis en het OLVG hebben gekregen, is te voorkomen door gegevens beter te beveiligen. Dit betekent bijvoorbeeld:
- Regelmatige controle op inzage in persoonsgegevens. Houd bijvoorbeeld niet alleen bij wie welke gegevens raadpleegt (logging), maar controleer daar ook regelmatig op om op tijd te signaleren wanneer onbevoegden gegevens inzien;
- Stel een tweefactor-authenticatie in.
Gegevensbeveiliging
Het beveiligen van gegevens komt steeds vaker aanbod en blijkt regelmatig niet goed geregeld te zijn. Dit bleek bijvoorbeeld eind vorige maand toen een grootschalig datalek bij de GGD ontdekt werd. Zie daarover de vlog van mijn collega Annemarie van Woudenberg. De AP heeft al aangekondigd een onderzoek naar dat datalek in te stellen en als deze boete voor het OLVG een goede indicatie is, kan de GGD mogelijk binnenkort ook een boete op haar mat verwachten.
Zorg ervoor dat u niet de volgende bent en controleer of uw gegevensbeveiliging op orde is. Heeft u daar vragen over of kunnen wij mee kijken met die controle, neem dan gerust contact op.
