Handelspraktijken en consumentenbescherming:
recente topics onder de loep

Dr. Stijn Claeys en mr. Arne Baert (Racine)

Webinar op vrijdag 30 augustus 2024


Aandachtspunten bij het opstellen
en analyseren van ICT-contracten

Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)

Webinar op donderdag 16 mei 2024


De invoering van Boek 6
en de impact voor de medische sector

Prof. dr. Christophe Lemmens (Dewallens & Partners)

Webinar op vrijdag 4 oktober 2024

De Autoriteit Persoonsgegevens (“AP”) richt haar pijlen nu ook op de ziekenhuis- en zorgsector, met aanzienlijke sancties – van 460.000 euro en meer(!) – tot gevolg! (GD&A Advocaten)

Auteurs: Bert De Keyser, Willem Mariën, Wouter Rubens en Anse Speetjens (GD&A Advocaten)

Publicatiedatum: 02/08/2019

Gedurende het eerste bestaansjaar van de GDPR, werden geen hoge boetes opgelegd door de toezichthoudende autoriteiten. Die ‘warming-up’ periode lijkt definitief te zijn verstreken. Na enkele ondernemingen, burgemeesters, FOD’s, … is nu ook de ziekenhuis- en zorgsector aan de beurt: een eerste aanzienlijke boete in die sector is een feit.

Voormelde boete komt toe aan het Nederlands Hagaziekenhuis naar aanleiding van een datalek waardoor tientallen medewerkers onterecht inzage hebben gekregen in het digitale patiëntendossier van een bekende Nederlander. Nader onderzoek heeft aangetoond dat het Hagaziekenhuis onvoldoende technische en organisatorische maatregelen neemt voor het beveiligen van patiëntgegevens. Zo controleert het ziekenhuis niet stelselmatig welke werknemer welk dossier raadpleegt en stelt het de identiteit van de medewerkers niet vast door middel van een twee factor authenticatie.

Door voormelde tekortkomingen heeft het Hagaziekenhuis de onbevoegde inzagen niet kunnen achterhalen en maakt het inbreuk op:

  • Algemene verordening gegevensbescherming
  • De relevante zorgwetgeving
  • De voor de zorgsector geldende NEN7510-2 normen voor informatiebeveiliging

Op basis van haar volledig uitgewerkt boetebeleid legt de AP, gelet op de aard, ernst en duur van de inbreuk, het feit dat er bijzondere persoonsgegevens bij het datalek betrokken waren en de door het ziekenhuis genomen maatregelen, een boete van 460.000 euro op.

Bovenop voormelde boete, legt de AP ook een dwangsom op om het Hagaziekenhuis aan te zetten de beveiliging van patiëntgegevens te verbeteren tegen uiterlijk 2 oktober 2019. Indien voormelde streefdatum niet wordt gehaald, dient het Hagaziekenhuis elke twee weken 100.000 euro te betalen, met een maximum van 300.000 euro. Inmiddels heeft het Hagaziekenhuis aangegeven passende beveiligingsmaatregelen te nemen.

De verantwoording van de hoge boete ligt in het gegeven dat de relatie tussen een zorgverlener en een patiënt, ook  binnen de muren van een ziekenhuis, volstrekt vertrouwelijk hoort te zijn, aldus Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. De beveiligingsmaatregelen moeten dus goed in orde zijn.

De controle op voormelde verplichting, tezamen met de overige verplichtingen van de GDPR, krijgen bij overheids- en zorginstellingen een hogere prioriteit aangezien die als (semi-)overheidsorganen een voorbeeldfunctie vervullen: Een gewaarschuwd man / vrouw is er twee waard!

Lees hier het originele artikel