Het ziekenhuis heeft de beveiliging van de gegevens nog steeds niet op orde. Als dat voor 2 oktober 2019 niet geregeld is, dreigt een nieuwe boete die kan oplopen tot 300.000 euro.

Het is de eerste boete die in Nederland wordt uitgedeeld vanwege schending van de nieuwe Europese privacywet die geldt sinds mei vorig jaar. Het Haagse Haga-ziekenhuis tekent bezwaar aan tegen de boete van 460.000 euro.

Wat is er aan de hand?

Volgens art. 24 en 32 AVG moet je als verwerkingsverantwoordelijke passende organisatorische en technische beveiligingsmaatregelen nemen om de persoonsgegevens van betrokkenen te beschermen. Als je een zorgaanbieder bent, val je onder veel andere privacyregels, zoals de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het daaronder vallende Besluit elektronische gegevensverwerking door zorgaanbieders. Hierin staat o.a. dat je twee factor authenticatie moet toepassen en dat je niet alleen moet loggen wie welk dossier heeft ingezien, maar ook de logbestanden regelmatig controleren op onregelmatigheden. Dit was volgens de Autoriteit Persoonsgegevens niet op orde.

Als zorgaanbieder is het zaak goed te kijken of je voldoet aan de regels die zijn gesteld, maar ook iedere andere organisatie die bijzondere persoonsgegevens verwerkt doet er goed aan om de autorisaties en de controle van logbestanden goed te regelen. Als u hierbij hulp nodig heeft, kunt u altijd contact met ons opnemen voor ondersteuning.