Haga krijgt boete voor onvoldoende interne beveiliging patiëntendossiers

Onderzoek naar interne beveiliging patiëntendossiers

Het HagaZiekenhuis heeft de interne beveiliging van patiëntengegevens niet op orde. Dit is gebleken uit onderzoek van de Autoriteit Persoonsgegevens (AP). Dit onderzoek volgde toen bleek dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien. Zo constateert de AP dat het ziekenhuis de patiëntendossiers onvoldoende beveiligt. Daarom legt de AP Haga een boete op van 460.000 euro voor onvoldoende beveiliging van patiëntendossiers.

Naast een bestuurlijke boete van 460.000 euro, legt de AP het Hagaziekenhuis een las onder dwangsom op. Dit doet de AP om het ziekenhuis te dwingen de interne beveiliging van patiëntendossiers te verbeteren. Als het Hagaziekenhuis de beveiliging niet voor 2 oktober 2019 heet verbeterd, dan moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het Hagaziekenhuis heeft aangegeven maatregelen te treffen om de beveiliging van patiëntendossiers te kunnen garanderen.

Vertrouwelijke relatie zorgverlener-patiënt

Er is sprake van een vertrouwelijke relatie tussen de zorgverlener en patiënt. Dit volgt niet alleen uit de AVG, maar ook uit de Wet Geneeskundige Behandelovereenkomsten (WGBO). Zo dient de relatie tussen een zorgverlener en een patiënt volstrekt vertrouwelijk te zijn. Hierbij maakt het niet uit wie je bent of wat je klachten zijn. Dit dient de zorgverlener te respecteren en dus ook maatregelen te treffen om de vertrouwelijkheid te bevorderen.

Beveiliging van patiëntendossiers

De Algemene Verordening Gegevensbescherming (AVG) is niet vrijblijvend. Integendeel: de AVG brengt diverse verplichtingen met zich mee voor organisaties en bedrijven in de gezondheidszorg. Zo moet een ziekenhuis alle technische en organisatorische maatregelen treffen om de interne beveiliging van patiëntendossiers te kunnen garanderen. Dit geldt ook voor het Hagaziekenhuis. De toezichthouder geeft aan dat het Hagaziekenhuis bijzondere persoonsgegevens verwerkt. Hieraan heeft het ziekenhuis volgens de AP op twee onderdelen niet voldaan:

  1. Het ziekenhuis moet regelmatig controleren wie welk dossier raadpleegt. Op deze manier kan het ziekenhuis tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en daartegen maatregelen nemen.
  2. Bij een goede beveiliging hoort authenticatie waarbij ten minste twee factoren betrokken worden. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.
Scroll naar boven