NL EN
  • Home»
  • Weblog »
  • Boete HagaZiekenhuis voor onvoldoende interne beveiliging patiëntendossiers

Boete HagaZiekenhuis voor onvoldoende interne beveiliging patiëntendossiers

De Autoriteit Persoonsgegevens (AP) heeft besloten aan het HagaZiekenhuis een boete van € 460.000,-- op te leggen, omdat het HagaZiekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Dit blijkt uit onderzoek van de AP. Dit onderzoek volgde toen bleek dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien.

Aanleiding onderzoek AP

Op 4 april 2018 heeft het HagaZiekenhuis een melding van een datalek bij de AP gedaan. Het datalek had betrekking op onrechtmatige inzage in een patiëntendossier van een bekende Nederlander. Uit intern onderzoek door het HagaZiekenhuis volgt dat in de onderzochte periode 197 medewerkers, waarvan 100 onrechtmatig, inzage hebben gehad in het patiëntendossier. Naar aanleiding hiervan heeft de AP in oktober 2018 besloten onder meer nader onderzoek te doen naar de beveiligingsmaatregelen van het HagaZiekenhuis.

Beveiligingsverplichting

AVG

Om de veiligheid te waarborgen en te voorkomen dat de verwerking van persoonsgegevensinbreuk maakt op de AVG, dient de verwerkingsverantwoordelijke op grond van artikel 32 van de AVG de aan de verwerking inherente risico’s te beoordelen en maatregelent e treffen om risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Gezondheidsgegevens behoren vanwege de gevoeligheid tot een bijzondere categorie van persoonsgegevens. Om deze reden gelden voor de bescherming van die gegevens zeer hoge eisen.

NEN 7510 en NEN 7513

Om te bepalen of beveiligingsmaatregelen passend zijn, dient in het voorliggende geval te worden aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, NEN7510 en NEN 7513.

NEN 7510 van december 2017 ziet op Medische informatica en Informatiebeveiliging in de zorg en bestaat uit twee delen: deel 1 (7510-1) bevat normatieve voorschriften voor het managementsysteem en deel 2 (7510-2) bevat de beheersmaatregelen. NEN 7513 ziet onder meer op logging. In NEN 7510 en 7513 staat centraal dat informatie in de zorg vaak vertrouwelijk van aard is. Als zorgorganisatie moeten er dus maatregelen getroffen worden om patiëntgegevens veilig te houden.

Tweefactor authenticatie

In NEN 7510-2 staat dat gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, de identiteit van gebruikers behoren vast te stellen. Dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden.

Uit het onderzoek van de AP volgt dat authenticatie in het HagaZiekenhuis tot het elektronisch patiëntendossier plaatsvindt met gebruikmaking van de personeelspas. In de andere situatie, inloggen zonder personeelspas, vindt authenticatie plaats op basis van een gebruikersnaam en wachtwoord, waarna het dossier geraadpleegd kan worden. De identiteit van de gebruiker om toegang te krijgen tot dit systeem kan in dit geval aldus plaatsvinden uitsluitend op basis van kennis (code of een wachtwoord), zonder bezit (personeelspas). Daarmee ontbreekt een noodzakelijk benodigde tweede factor die bijdraagt aan een passend beveiligingsniveau en wordt niet voldaan aan het vereiste van tweefactor authenticatie.

(controle) op logging

In NEN 7513 staat dat de logging in het algemeen het mogelijk moet maken dat achteraf onweerlegbaar vast te stellen is welke gebeurtenissen hebben plaatsgevonden op een patiëntendossier. Daartoe moeten alle systemen die gegevens bevatten die deel uitmaken van een patiëntdossier, daarover ten minste bijhouden:

·         welke gebeurtenis heeft plaatsgevonden;

·         datum en tijdstip van de gebeurtenis;

·         welke cliënt het betrof; - wie de gebruiker was;

·         wie de verantwoordelijke gebruiker was namens wie de gebruiker optrad.

De AP stelt vast dat het HagaZiekenhuis ook op dit punt geen passend beveiligingsbeleid heeft. Daarbij acht de AP van belang de schaal van de verwerking van gezondheidsgegevens door het ziekenhuis en het ontbreken van een regelmatige controle op raadpleging van het patiëntendossier, als gevolg waarvan medewerkers toegang kunnen verkrijgen tot meer gegevens dan waartoe zij in eerste instantie bevoegd zijn.

Slot

Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren legt de AP het Hagaziekenhuis tegelijkertijd een last onder dwangsom op. Als het HagaZiekenhuis de beveiliging niet voor 2 oktober 2019 verbeterd heeft, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft al aangegeven maatregelen te nemen.



PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIE (1)

Ewald maandag 5 augustus 2019 10:58

Het verhaal rondom de 2-factor authenticatie in het boetebesluit van de AP is opvallen om twee redenen.
1) Het onderzocht incident (onterechte toegang tot het dossier van een patiënt) zou niet voorkomen zijn geweest zelfs als 2FA consequent was ingeregeld. Het ging om medewerkers met een account en niet om hackers die een wachtwoord ontfutseld hadden.
2) Het artikel uit de NEN7510 deel II over 2FA kan niet zonder de uitleg uit deel I gelezen worden. Dit gaat nl. expliciet in op de term "behoren" en laat daar een keuze in vrij die op basis van risico analyse gedaan kan en moet worden. Dat is de reden dat er geen "moeten" staat. Van belang is dan natuurlijk wel dat die risico afweging gedaan is (bij voorkeur vastgelegd op papier). Maar dan blijft volgens de norm wel degelijk ruimte voor alternatieve keuzes.

NEN7510 deel 1, paragraaf 0.6.2:
De beheersmaatregelen in deel 2 volgen de tekst van NEN‐ISO/IEC 27002+C1+C2:2015 en
NEN‐EN‐ISO 27799:2016. In die laatste internationale norm zijn zorgspecifieke aanscherpingen van
het dwingende ‘moeten’ (‘shall’) voorzien op basis van een universele risicobeoordeling voor de zorg.
Aangezien in de systematiek van deze NEN 7510 een verklaring van toepasselijkheid (6.1.3 van deel 1)
de selectie van beheersmaatregelen bepaalt, is die formuleringswijze hier niet overgenomen. In deel 2
staan immers ‘best practices’ of richtlijnen om aan de doelvoorschriften te voldoen. Dit zijn mogelijke
keuzes, daarom worden in deel 2 de beheersmaatregelen niet‐normatief beschreven; er staat dus geen
‘moeten’, maar ‘behoren te’.

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.