Het Amsterdamse ziekenhuis OLVG krijgt een boete van 440.000 euro van de Autoriteit Persoonsgegevens. Volgens het AP is dat wegens het onvoldoende beveiligen van medische dossiers. Het ziekenhuis gaat niet in beroep omdat de systemen intussen al zijn verbeterd.
Het ziekenhuis nam tussen 2018 en 2020 te weinig maatregelen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Het OLVG had onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen.
Naast medische gegevens bevatten de dossiers informatie als burgerservicenummers, adressen en telefoonnummers. Ook die gegevens moeten goed beschermd zijn, vanwege de risico’s op bijvoorbeeld identiteitsfraude en phishing.
Tijdens het onderzoek van de AP voerde het OLVG verbeteringen door. Het ziekenhuis controleert vanaf dat moment wel structureel de logging. Er is nu ook tweefactor-authenticatie in het ziekenhuis.
Twee overtredingen
De AP startte het onderzoek na een tip van een bezorgde burger. Daarbij waren er signalen uit de media en twee datalekmeldingen van het OLVG zelf. Die gingen over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk. De AP concludeerde na haar onderzoek dat het OLVG structureel niet goed omging met de toegang tot medische dossiers.
Het ging met name om twee overtredingen. Zo moet het ziekenhuis bijhouden en regelmatig controleren wie welk dossier raadpleegt. Zo kan het ziekenhuis tijdig signaleren als iemand een dossier raadpleegt terwijl dat niet mag en daartegen maatregelen nemen. Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang.
Bij een goede beveiliging hoort authenticatie met ten minste twee factoren. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas. Het OLVG maakte in het ziekenhuis geen gebruik van deze tweefactor-authenticatie. Inloggen buiten het ziekenhuis ging wel via tweefactor-authenticatie.
Bescherming patiëntgegevens
“Je moet erop kunnen vertrouwen dat wat jij met de dokter bespreekt, in de spreekkamer blijft”, zegt AP-vicevoorzitter Monique Verdier. “Je moet er toch niet aan denken dat mensen, die daar helemaal niets te zoeken hebben, zomaar in de aantekeningen van de dokter over jou en jouw ziekte kunnen rondneuzen. Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig en daarom legt de AP het OLVG nu deze boete op.”
Lees ook:
- Boete voor BKR om kosten inzage persoonsgegevens
- Digitalisering in de zorg: van on-premises naar de hybrid cloud
