Onlangs oordeelde de Rechtbank Den Haag dat de Autoriteit Persoonsgegevens (AP) een boete en last onder dwangsom mocht opleggen aan een Haags ziekenhuis vanwege het treffen van onvoldoende passende technische en organisatorische maatregelen als bedoeld in de Algemene Verordening Gegevensbescherming (AVG).
De grondslag van het handhaafbesluit van de AP geeft aanleiding aandacht te besteden aan de beveiliging van zorginformatie- en uitwisselingsystemen in de zorg. Voor een veilig en zorgvuldig gebruik van deze systemen is het belangrijk om op een aantal punten goed te letten. Die aandachtspunten treft u in dit artikel aan.
Voor informatiebeveiliging in de zorg is de algemene norm NEN 7510 beschikbaar, met de uitwerking daarvan in NEN 7512 en NEN 7513. Op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) moet de zorgaanbieder overeenkomstig NEN 7510 en NEN 7512 zorgen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en elektronisch uitwisselingssysteem waarop hij is aangesloten. De logging van deze systemen dient volgens het Begz te voldoen aan het bepaalde in NEN 7513. Niet voldoen aan de eisen zoals gesteld in deze algemeen geaccepteerde beveiligingsstandaarden in de zorg, kan onder omstandigheden worden gekwalificeerd als niet of onvoldoende passend in de zin van artikel 32, eerste lid, AVG. Dat overkwam een Haags ziekenhuis.
In juli 2019 heeft de AP aan het ziekenhuis een boete en een last onder dwangsom opgelegd omdat de door het ziekenhuis genomen beveiligingsmaatregelen volgens de AP onvoldoende “passend” zijn in de zin van artikel 32, eerste lid, AVG. De AP constateerde dat het ziekenhuis gebruik maakte van éénfactor authenticatie (gebruikersnaam en wachtwoord) en dat de toegang tot de patiëntendossiers niet regelmatig werd gecontroleerd. De door de AP opgelegde last onder dwangsom is tweezijdig. Enerzijds strekt de last ertoe dat het ziekenhuisinformatiesysteem zo moet worden ingericht dat toegang alleen mogelijk is met toepassing van tweefactor authenticatie. Anderzijds dat de logbestanden regelmatig moeten worden gecontroleerd op onrechtmatige toegang of onrechtmatig gebruik van patiëntgegevens.
In de uitspraak van de Rechtbank Den Haag van 31 maart 2021 werd onder meer geoordeeld dat de AP de boete en de last onder dwangsom terecht heeft gebaseerd op het niet nemen van passende technische en organisatorische maatregelen in de zin van artikel 32, eerste lid, AVG. Anders dan het ziekenhuis stelt, mocht de AP tegenwerpen dat het ziekenhuis zich niet aan de geldende NEN-normen heeft gehouden. Vooral omdat het ziekenhuis in haar informatiebeveiligingsbeleid de NEN-normen heeft toegepast. Met de AP is de rechter van oordeel dat de NEN-normen niet rechtstreeks aan de handhaving ten grondslag zijn gelegd. Artikel 32, eerste lid, AVG is in samenhang gelezen met het bepaalde in het Begz en NEN 7510. De door de AP opgelegde last is een concrete invulling van wat in dat geval wel als “passend” kan worden beschouwd. Van andere maatregelen is niet gebleken. Het ziekenhuis stond vrij andere maatregelen te treffen, mits in overeenstemming met de NEN, voldoende onderbouwd en voldoende toereikend. Daarvan is in deze kwestie niet gebleken. Inmiddels heeft het ziekenhuis opgelegde last ten uitvoer gelegd.
Een veilig en zorgvuldig gebruik van uw zorginformatiesysteem of elektronisch uitwisselingsysteem kan worden gerealiseerd en gewaarborgd als daarvoor passende maatregelen worden genomen die zijn afgestemd op het beveiligingsniveau. Gelet op de uitspraak kunnen de volgende aandachtspunten daarbij helpen:
Voldoen de door u getroffen beveiligingsmaatregelen voor uw systemen aan het beveiligingsniveau zoals vastgelegd in de geldende wet- en regelgeving?