image

Rechtbank verlaagt AVG-boete HagaZiekenhuis naar 350.000 euro

donderdag 15 april 2021, 10:23 door Redactie, 8 reacties

De rechtbank in Den Haag heeft de AVG-boete die de Autoriteit Persoonsgegevens in 2019 aan het HagaZiekenhuis oplegde verlaagd van 460.000 naar 350.000 euro. Het ziekenhuis kreeg de boete opgelegd wegens het slecht beveiligen van de medische dossiers van patiënten, waarmee het de Algemene verordening gegevensbescherming (AVG) had overtreden.

In 2018 kwam het HagaZiekenhuis in het nieuws nadat 85 medewerkers onrechtmatig het dossier van Samantha de Jong, beter bekend als Barbie, hadden ingezien. Zij hadden geen behandel- of zorgrelatie met De Jong, maar bekeken toch het dossier. De medewerkers kregen een officiële waarschuwing. Voor allen was dit de eerste waarschuwing.

Naar aanleiding van het incident stelde de Autoriteit Persoonsgegevens een onderzoek in. Uit het onderzoek van de privacytoezichthouder bleek dat de beveiliging van patiëntendossiers op twee punten te kort schoot. Het ziekenhuis controleerde niet regelmatig genoeg welke medewerkers welk dossiers inzagen. Daarnaast moest het ziekenhuis het authenticeren van gebruikers die toegang tot een medisch dossier willen beter regelen.

Het HagaZiekenhuis ging bij de Autoriteit Persoonsgegevens tegen de boete in beroep, maar het bezwaar werd vorig jaar door de toezichthouder ongegrond verklaard. Daarop stapte het ziekenhuis naar de rechter. Op de meeste punten wordt het verweer van het ziekenhuis door de rechter van tafel geveegd. Het ziekenhuis vindt echter gehoor wanneer het gaat over de hoogte van de boete.

De boete van de Autoriteit Persoonsgegevens bestaat uit een basisboete van 310.000 euro die vanwege de "aard, ernst en duur van de inbreuk" met twee keer 75.000 euro is verhoogd, tot een bedrag van 460.000 euro. De rechter stelt dat de AP in haar recht staat om de basisboete te verhogen, maar vindt dat een verhoging met tweemaal 75.000 euro tot een boetebedrag leidt dat niet evenredig is.

Daarbij houdt de rechter rekening met het feit dat het ziekenhuis wel maatregelen heeft genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier werden ingezien door onbevoegde medewerkers, zoals onder meer de invoering van een extra waarschuwing die in beeld komt als een medewerker een dossier opent, de verplichtstelling van een e-learningcursus voor alle medewerkers die toegang hebben tot het elektronische patiëntendossier, de aanscherping van de arbeidsovereenkomsten en het waar mogelijk aanscherpen van autorisaties.

Tevens heeft het ziekenhuis nog tijdens de bezwaarfase maatregelen genomen om te voldoen aan de AVG, zoals de implementatie van tweefactorauthenticatie en het intensiveren van de logging. Volgens de rechter laten deze maatregelen zien dat het ziekenhuis bereid was om met de problemen in de organisatie aan de slag te gaan en nuanceert dit de nalatigheid die het ziekenhuis wordt verweten. De Autoriteit Persoonsgegevens heeft hier echter geen rekening mee gehouden, ging de rechter verder. Die stelt dat de opgelegde boete in dit geval leidt tot een onevenredige sanctie en dat matiging van de boete tot een bedrag van 350.000 euro passend en geboden is. "Verweerder heeft de boete ten onrechte niet gematigd", concludeert de rechter.

Reacties (8)
15-04-2021, 11:48 door Anoniem
Een interessant inkijkje in het mechanisme.
15-04-2021, 11:56 door Anoniem
Jeetje, hoeveel advocatenkosten zijn er gemaakt om 110 000 euro minder boete te moeten betalen? En was dat de herhaalde exposure in de media (zoals hier, nu op security.nl) ook waard? Niet erg zakelijke beslissing van de RvB van Haga...
15-04-2021, 12:08 door Anoniem
Huh? Niet evenredig? Die boete is een schijntje van wat het zou moeten zijn!

Maar ja, het zijn maar gegevens van burgers en het is een show voor de bühne, dus zo kan het ook wel.
15-04-2021, 13:58 door Eric-Jan H te D
En over een tijdje: Haga ziekenhuis failliet door bete AP.

Ik vind dat dit soort instellingen "schuldig zonder strafoplegging" moeten krijgen en onder verscherpt toezicht moeten worden geplaatst zolang er geen afdoende maatregelen zijn genomen. Die boete wordt tenslotte uiteindelijk door de patiënten en door ons allemaal via de premies betaald. en niet door eigenaren en aandeelhouders; zoals bij een commercieel bedrijf.
15-04-2021, 16:16 door Anoniem
Door Anoniem: Een interessant inkijkje in het mechanisme.

Zeker. Mee eens.
Volgens de rechter laten deze maatregelen zien dat het ziekenhuis bereid was om met de problemen in de organisatie aan de slag te gaan en nuanceert dit de nalatigheid die het ziekenhuis wordt verweten. De Autoriteit Persoonsgegevens heeft hier echter geen rekening mee gehouden
Een partij die na een fout de juiste meld-procedure opvolgt, loopt kennelijk ook nog eens het risico om via bestuursrecht een boete opgelegd te krijgen. Ook als de partij juist werkt om zijn leven te beteren.

........ Ook het overzicht van getroffen maatregelen in dit onderzoek betreft naar het oordeel van de rechtbank wilsonafhankelijk materiaal. Zoals verweerder stelt, vergde het schriftelijke inlichtingenverzoek van 23 april 2018 niet van eiseres alsnog bewijs te verzamelen, maar slechts om de resultaten van het gedane onderzoek beschikbaar te stellen aan verweerder. ........... Bestaand wilsonafhankelijk materiaal dat beschikbaar is gesteld ter naleving van een inlichtingenvordering, levert volgens vaste rechtspraak geen schending van artikel 6 van het EVRM op (zie bijvoorbeeld de uitspraak van het College van Beroep voor het bedrijfsleven, 4 september 2018, ECLI:NL:CBB:2018:444). In de ontvangen informatie heeft verweerder vervolgens aanleiding gezien een onderzoek te starten naar de naleving van artikel 32 van de AVG. In dat kader is op 12 oktober 2018 een inlichtingenverzoek gedaan, waarbij is verzocht om documenten en vragen zijn gesteld. Naar het oordeel van de rechtbank is eiseres met het gebruik van het woord “cautie” in combinatie met de zinsnede “u bent niet verplicht te antwoorden op vragen waarmee u uzelf of uw organisatie kunt belasten” in de brief van 12 oktober 2018 voldoende duidelijk gewezen op haar zwijgrecht.
Interessant is welke beoordelingsruimte een bestuursorgaan gebruikt om vervolg informatie te vragen?
Bij de hoorzittingen van de toeslagen affaire werd gesteld dat de eiser niet altijd echt duidelijk maakt of die echt recht heeft om eventueel alsnog zelf in private informatie te gaan snuffelen.
Het is natuurlijk waterig als een bestuursorgaan niet duidelijk maakt of de informatie wordt gevraagd ter oriëntatie of in verband met concreet spelende verdachtmakingen.
Op de achtergrond speelt natuurlijk vaker dat zowel bij personen als bedrijven een reëele en legitieme vrees een dienst even binnen komt vallen.
Dat in het tumult er ook nog eens een puinzooi van de administratie kan worden gecreëerd doordat men gehaast en lukraak allerlei mappen wil optrekken.
Iets waar ook iemand als ondernemer Erik de Vlieger over heeft kunnen getuigen nadat hij destijds onterecht als verdacht werd aangewezen.
En zo zijn er vele voorbeelden waarbij mensen misschien uit vrees gehaast zaken aanleveren terwijl ze ondertussen juist ook nog druk bezig waren de fout te herstellen en van de schrikt te bekomen.
Hoe de rechter in dit vonnis de zaak niet nog fundamenteler belicht is mijn inziens een gemis.

9. De rechtbank stelt voorop dat verweerder op grond van artikel 6, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming bevoegd is om een nadere uitwerking van en invulling te geven aan artikel 32 van de AVG. De rechtbank is verder van oordeel dat verweerder eiseres mocht tegenwerpen dat zij zich niet aan de NEN-normen heeft gehouden. Hierbij wordt in aanmerking genomen dat eiseres in haar eigen informatiebeveiligingsbeleid zelf heeft gekozen voor een invulling van passende technische en organisatorische maatregelen door middel van toepassing van de NEN-normen. De NEN-normen zijn algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, zoals ook blijkt uit de vastlegging daarvan in de Begz. Daarbij komt dat de eis van tweefactor authenticatie en de eis van de controle op de logging ook onder het oude regime van de Wet bescherming persoonsgegevens (Wbp) werden gezien als passende maatregelen, hetgeen ook aan eiseres bekend kon zijn. Bovendien is niet gebleken van andere maatregelen die eiseres zou hebben getroffen die de tweefactor authenticatie en regelmatige controle op de logging overbodig zouden maken.
De rechter snapt kennelijk niet hoe weinig tot effectief niets aantoonbaars 2-factor authenticatie toevoegt.
De kans dat er via een backdoor in software iets ontvreemd kan worden is met alle zero-days van afgelopen jaren al enorm.
Dat de pogingen en halve pogingen daartoe ook niet zondermeer allemaal in de logging tot uitdrukking hoeven te komen benadrukte de minister van veiligheid-justitie in de eerde verhandelingen ten bate van memorie van toelichting over de AVG.
Kennelijk is deze rechter dat ook nog eens ontgaan!!
Daarmee houdt de rechter 2-factor authenticatie op technisch dubieuze gronden voor meer/beter terwijl dat helemaal niet aantoonbaar is.
De 2-factor authenticatie met logging legt ook enkel de bevestigde gevallen vast, niet de gemiste of omzeilde gevallen, zo benadrukte de minister van veiligheid-justitie nog eens extra!
Ook zijn niet alle publicaties onder de NEN bibliotheek een norm met de betekenis van "juridisch moeten".
Dit betekent dat de rechter ook moet nagaan of wel/gedeeltelijk/geen 2-factor authenticatie met toepassing van de NEN-publicatie voldoende vergelijkbaar in effect als maatregel kan zijn geweest.
De AVG moest immers geen dwangbuis worden maar wettelijke bepalingen dat zowel intelligent gebruik van beveiliging bevorderde als een raamwerk waar daarbij op gelet moet worden, aldus de minister in de toelichting.
Dan moet de rechter dat laatste niet tot hoofddoel maken en het "intelligent"-aspect vergeten!
Een rechter bij een bezwaar behandeling moet verplicht ook ALLE onderliggende informatie betrekken.
Wat de rechter weer wel terecht oppakt - naar aanwijzing van de minister in diens memorie van toelichting - is dat het belangrijke mate gaat over zijn de "begrip ‘passende technische en organisatorische maatregelen’" en "de verwerkingsrisico’s" juist getroffen en ingeschat.
Hierbij wordt in aanmerking genomen dat eiseres zich, zoals verweerder stelt, als professionele partij kan vergewissen van de juiste toepassing van de normen.
In elk geval kon voor eiseres duidelijk zijn dat het in haar beleid opgenomen aantal van zes controles niet voldeed aan de norm, gelet op het aantal patiëntbezoeken en het aantal medewerkers.
Het aantal controles is - zoals de minister ook heeft gesteld - altijd een belangrijk issue. Welke norm je ook volgt / toepast.

Ter zitting heeft eiseres er in dit verband op gewezen dat het de taak van verweerder is te bevorderen dat gedragscodes worden opgesteld die bijdragen tot de juiste toepassing van de AVG, maar dat het de ziekenhuizen zelf zijn die het initiatief hebben genomen om een gedragscode op te stellen. Verweerder heeft echter terecht gesteld dat de gedragscode een instrument van de sector zelf is en niet van verweerder. Verweerder kan een voorgelegde gedragscode alleen goedkeuren. Of er een gedragscode is opgesteld, is dan ook niet bepalend voor de vraag of verweerder handhavend mocht optreden.

Verder is de opgelegde basisboete van € 310.000,- bijzonder hoog vergeleken met boetes die in het buitenland zijn opgelegd. Ten onrechte is de boete verhoogd vanwege de “aard, ernst en duur van de inbreuk” en “de nalatige aard”.
Best wel vaag tot irrelevante vergelijking om het buitenland als criterium te hanteren. Keek de rechter soms naar de hoogte van boetes in de VS, Ierland en Frankrijk of naar elders?

Ook komt de onderbouwing van de eerste verhoging op hetzelfde neer als de onderbouwing van de tweede verhoging. Verweerder heeft de boete ten onrechte niet verlaagd wegens schadebeperkende maatregelen als bedoeld in artikel 7, aanhef en onder c, van de Boetebeleidsregels 2019. Ook had de boete moeten worden verlaagd vanwege de financiële draagkracht van eiseres.
En in welke categorie plaatst de rechter het ziekenhuis dan qua financiële draagkracht?
In de categorie financieel zieltogend?
Dit komt sterk door onvoldoende vooruitziende blik bij de inkoop strategie op haar inboedel en medische apparatuur!
Verder werd een halve sterfhuis constructie gehanteerd bij dit ziekenhuis.
Zo merkte ik dat meerdere type behandelingen niet op die locatie mochten uitvoeren omdat ze als ziekenhuisgroep naar elkaar moesten doorverwijzen. Door nogal onpraktische knippen in de processen te leggen werd de exploitatie van het HagaZiekenhuis werd enorm geknepen. Dit als bekende sanering-fusie aanpak.
Dus ja, dan wordt je wel financieel zieltogend maar heeft het bestuur daar ZELF de hand in gehad.
Net zoals Vestia directeuren en bestuur ZELF ook kozen de enorme financieel bestuurlijke risico's aan te gaan die hen opbrak.
Ik denk dat het op z'n plaats is dat nu dit allemaal is vast komen te staan en de rechter een knip heeft gelegd in wat wel/niet niet terecht voor conto van het ziekenhuis valt en wat niet uit hoofde van de AVG kan worden gevorderd dat de andere autoriteiten zich nader oriënteren met minister Ferd Grapperhaus op stappen vanuit ander bestuurlijk kader.
Hetzij voor uitbrengen van een circulaire, hetzij voor stappen met terugwerkende kracht omtrent datgeen dat het toezicht bij dit Hagaziekenhuis mag worden verweten, omwille van de normen van code Tabaksblat.
De boardroom van ziekenhuizen en grotere instellingen is immers lang niet altijd bij de les of gaat in gevallen weer vrij hysterisch om met verplichtingen die ze het liefste vooral niet zelf ter hand nemen door betere vakkennis op dit vlak op te doen voor meer werkbare en meer treffende werkwijzen maar de last afschuiven naar MT lagen.

Ik denk verder dat de ernst en het belang van zaak tot zaak anders kan liggen.
Welke punten sprongen er qua mechanisme voor jou uit?
15-04-2021, 23:32 door Anoniem
Bizar. Hoezo een boete help die mensen het op orde krijgen. Die boete moet opgebracht worden door ons allemaal. Of in ieder geval de verzekerden waar Haga preferente contracten mee heeft.
16-04-2021, 06:38 door [Account Verwijderd]
Door Eric-Jan H te D: En over een tijdje: Haga ziekenhuis failliet door boete AP.

Ik vind dat dit soort instellingen "schuldig zonder strafoplegging" moeten krijgen en onder verscherpt toezicht moeten worden geplaatst zolang er geen afdoende maatregelen zijn genomen. Die boete wordt tenslotte uiteindelijk door de patiënten en door ons allemaal via de premies betaald. en niet door eigenaren en aandeelhouders; zoals bij een commercieel bedrijf.

Ik ben het geheel met je eens.
Er is daar niemand van de directie of toezicht die hier voor 1 euro benadeeld of gekort wordt op zijn of haar inkomen.
Dat hele bedrag gaat gewoon van het jaarlijkse budget af met als gevolg dat ze patienten naar huis moeten sturen omdat het geld op is. Aan een boete.
Maak er maar een soort van artikel 12 ziekenhuis van en zet ze onder een strakke controle.
De enige die nu benadeeld worden zijn de patienten zelf.
Schreeuwen om een hogere boete lijkkt mij niet slim als veel mensern afhankelijk zijn van wat ze jaarlijks te besteden hebben.
16-04-2021, 10:58 door Anoniem
Door Anoniem: Bizar. Hoezo een boete help die mensen het op orde krijgen. Die boete moet opgebracht worden door ons allemaal. Of in ieder geval de verzekerden waar Haga preferente contracten mee heeft.
Dan moet je kijken naar de alternatieven.
Ik denk dat de inspectie sowieso de diverse opties heeft afgewogen.
Als je aanleiding ziet voor het opleggen van een bestuurlijke maatregel dan komen daar echt wel wat grondige overwegingen bij kijken.
Dat gebeurt in elk geval meer weloverwogen en onderbouwd dan laat ons zeggen de ene bijeenkomst met ruim 40 personen op het plein tegenover de sociëteit de Witte als politie door laten pruttelen maar een andere demonstratie / eenmans manifestatie in diezelfde buurt weer niet.
De reuk van willekeur in handhaving speelt bij dit ziekenhuis data saga in elk geval dus niet dermate in het oog springend.
Als de toezichthouder een ziekenhuis onder scherper toezicht zou plaatsen - wat ook nadelig kan zijn voor reguliere medische behandelingen - dan moeten alle voors en tegens, de mate en de alternatieven daarvan worden overwogen.
Dat is vooraf al gedaan met de handhaving beleidsregels 2019 dat de rechter ook in het vonnis noemt.
In eerdere bijdragen tijdje terug over dit voorval is al het nodige opgemerkt over het dilemma op de werkvloer van ziekenhuizen.
De sneltrein vaart die er soms niet in zit, de pogingen om mensen aan de balie alsnog zo snel mogelijk te helpen houden overeind dat automatisering an sich al niet helemaal de belofte van meer efficiëntie heeft ingelost.
En om duidelijke aanleidingen. Die winst gaan ze sowieso niet alsnog behalen. Vraag is wel of de verwachtingen daarover zullen worden bijgesteld en de mensen in de ziekenhuizen iets meer tijd krijgen per handeling.
Soms kan 15% meer tijd op een handeling van 3 minuten in de praktijk al net het verschil betekenen zo zag ik zelf bij een ziekenhuis in Woerden.

Valt er daarnaast in de omgang met inloggegevens en het inloggen te winnen?
Als je al capaciteit tekorten hebt bij de gezondheidsinspectie, concrete automatisering hiaten/kwesties in account- en kwaliteit management gesprekken niet bij de directies van ziekenhuizen (net als bij bepaalde andere grote organisaties met belangrijke nuts functies, waaronder de ING) niet leiden tot ombuiging dan is de vraag wat vinden die lui een makkelijker excuus?

En wat werkt beter?
Het moet zo van die en die inspectie, ja ik weet dat het niet gaat werken?
Of.....
Hè gatver, ik heb een boete met mijn organisatie opgelopen, die staat en kan ik organisatorisch en boekhoudkundig niet afschuiven of her-framen, laten we sowieso geen nieuwe boete proberen op te lopen.
Niet uit vermijdingangst maar door meer verantwoordelijkheid te nemen voor dergelijke situaties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.