De eerste Nederlandse AVG boete is opgelegd!

 

Het lijkt als de dag van gisteren, de invoering van de AVG (Algemene Verordening Gegevensbescherming). Bij schending van de AVG kunnen boetes opgelegd worden tot 20 miljoen euro. Worden boetes van dit soort duizelingwekkende bedragen ook daadwerkelijk de standaard? Dat was de vraag die bij velen rees. De eerste boete is nu opgelegd door de Autoriteit Persoonsgegevens (AP). De hiervoor benoemde vraag kan nu dus deels beantwoord worden.

 

Wat was er aan de hand?

Afgelopen jaar is het AP een onderzoek gestart naar het HagaZiekenhuis, toen er medische gegevens van Samantha de Jong – onder het publiek ook wel bekend als ‘Barbie’ – in de publiciteit terecht gekomen waren. Uit het onderzoek kwam naar voren dat maar liefst 85(!) medewerkers van het HagaZiekenhuis ongeoorloofd en onnodig het medisch dossier van Barbie geraadpleegd hebben.

 

Onderzoek

Vervolgens heeft de AP opvolgend onderzoek verricht. Met dat onderzoek is onderzocht of de maatregelen die het HagaZiekenhuis heeft getroffen om te waarborgen dat persoonsgegevens in het digitale patiëntendossier niet worden ingezien door onbevoegde medewerkers wel passend zijn. Daarnaast heeft de AP ook het beleid van het HagaZiekenhuis ten aanzien van het signaleren en melden van datalekken onderzocht. Door de AP is vervolgens een rapport opgesteld met daarin haar bevindingen. Het rapport is op 16 juli 2019 door de AP gepubliceerd. In het rapport komt men tot de conclusie dat het HagaZiekenhuis onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van logging’. Daarmee heeft het HagaZiekenhuis haar verplichtingen op grond van de AVG geschonden.

 

Boete

Voor het onvoldoende beveiligen van de gegevens legt de AP het Hagaziekenhuis een forse boete van € 460.000,- op. Verder legt de AP niet alleen een boete op, maar ook een last onder dwangsom om het ziekenhuis te dwingen om de beveiliging van patiëntendossiers te verbeteren. Het ziekenhuis heeft uiterlijk tot 2 oktober 2019 de tijd gekregen om de beveiliging te verbeteren. Indien verbetering uitblijft dan moet het HagaZiekenhuis iedere twee weken € 100.000,- betalen, tot een maximum van € 300.000,-.

 

Het HagaZiekenhuis kan nog tegen het besluit van de AP in gaan. De AP laat met het besluit in ieder geval zien dat zij het handhaven en borgen van de privacy van ziekenhuispatiënten erg serieus neemt. Een duidelijke boodschap én waarschuwing voor anderen.

 

Heeft u alles op orde wat betreft de AVG? Of wilt u een en ander laten aanpassen of checken? Neem dan gerust vrijblijvend contact op met een van onze advocaten. Wij zijn u graag van dienst.