Artikel 11 februari 2021

OLVG krijgt forse boete aan de broek

De Autoriteit Persoonsgegevens (AP) legt een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis heeft tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. De zorginstelling erkent dat het zijn zaakjes niet op orde had, maar is teleurgesteld over het handelen van de AP en de hoogte van de boete.

De AP startte een onderzoek na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk. De AP concludeerde daarop dat het OLVG structureel niet goed omging met de toegang tot medische dossiers.

De autoriteiten constateerde twee overtredingen. Een ziekenhuis moet bijhouden en regelmatig controleren wie welk dossier raadpleegt. Zo kan het ziekenhuis tijdig signaleren wanneer iemand een dossier raadpleegt terwijl dat niet mag en daartegen maatregelen nemen. Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang.

Bij een goede beveiliging hoort authenticatie met ten minste twee factoren. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas. Het OLVG maakte in het ziekenhuis geen gebruik van deze tweefactor-authenticatie. Inloggen buiten het ziekenhuis ging wel via tweefactor-authenticatie.

Tijdens het onderzoek van de AP heeft het OLVG verbeteringen doorgevoerd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld. Naast deze technische maatregelen komt er binnen OLVG extra aandacht voor privacy en het omgaan met gevoelige informatie, zoals een cursus voor het personeel en expliciete aandacht voor privacybescherming in het introductieprogramma voor nieuwe medewerkers.

Lees het volledige artikel op computable.nl

Ook interessant