HagaZiekenhuis beboet voor onvoldoende interne beveiliging patiëntendossiers
Uit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt dat het HagaZiekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Aanleiding voor dit onderzoek was het feit dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien.
Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Het HagaZiekenhuis heeft op twee onderdelen onvoldoende beveiligingsmaatregelen getroffen:
- Het regelmatig controleren wie welk dossier raadpleegt. Zo kan men tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en maatregelen nemen.
- Het gebruik van Twee factor authenticatie (2FA). De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.
De AP legt het Haga een boete op van 460.000 euro op en daarbij een last onder dwangsom om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren. Als de beveiliging niet voor 2 oktober 2019 verbetert is, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft inmiddels aangegeven maatregelen te nemen, toch staan er tegen het besluit van de AP nog rechtsmiddelen open.
Vertrouwelijke relatie zorgverlener-patiënt
Aleid Wolfsen, voorzitter van de AP: ‘De AP vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent.’