Een interessant inkijkje in het mechanisme.

Jeetje, hoeveel advocatenkosten zijn er gemaakt om 110 000 euro minder boete te moeten betalen? En was dat de herhaalde exposure in de media (zoals hier, nu op security.nl) ook waard? Niet erg zakelijke beslissing van de RvB van Haga...

Huh? Niet evenredig? Die boete is een schijntje van wat het zou moeten zijn!

Maar ja, het zijn maar gegevens van burgers en het is een show voor de bühne, dus zo kan het ook wel.

En over een tijdje: Haga ziekenhuis failliet door bete AP.

Ik vind dat dit soort instellingen "schuldig zonder strafoplegging" moeten krijgen en onder verscherpt toezicht moeten worden geplaatst zolang er geen afdoende maatregelen zijn genomen. Die boete wordt tenslotte uiteindelijk door de patiënten en door ons allemaal via de premies betaald. en niet door eigenaren en aandeelhouders; zoals bij een commercieel bedrijf.

Zeker. Mee eens.
Een partij die na een fout de juiste meld-procedure opvolgt, loopt kennelijk ook nog eens het risico om via bestuursrecht een boete opgelegd te krijgen. Ook als de partij juist werkt om zijn leven te beteren.

Interessant is welke beoordelingsruimte een bestuursorgaan gebruikt om vervolg informatie te vragen?
Bij de hoorzittingen van de toeslagen affaire werd gesteld dat de eiser niet altijd echt duidelijk maakt of die echt recht heeft om eventueel alsnog zelf in private informatie te gaan snuffelen.
Het is natuurlijk waterig als een bestuursorgaan niet duidelijk maakt of de informatie wordt gevraagd ter oriëntatie of in verband met concreet spelende verdachtmakingen.
Op de achtergrond speelt natuurlijk vaker dat zowel bij personen als bedrijven een reëele en legitieme vrees een dienst even binnen komt vallen.
Dat in het tumult er ook nog eens een puinzooi van de administratie kan worden gecreëerd doordat men gehaast en lukraak allerlei mappen wil optrekken.
Iets waar ook iemand als ondernemer Erik de Vlieger over heeft kunnen getuigen nadat hij destijds onterecht als verdacht werd aangewezen.
En zo zijn er vele voorbeelden waarbij mensen misschien uit vrees gehaast zaken aanleveren terwijl ze ondertussen juist ook nog druk bezig waren de fout te herstellen en van de schrikt te bekomen.
Hoe de rechter in dit vonnis de zaak niet nog fundamenteler belicht is mijn inziens een gemis.

De rechter snapt kennelijk niet hoe weinig tot effectief niets aantoonbaars 2-factor authenticatie toevoegt.
De kans dat er via een backdoor in software iets ontvreemd kan worden is met alle zero-days van afgelopen jaren al enorm.
Dat de pogingen en halve pogingen daartoe ook niet zondermeer allemaal in de logging tot uitdrukking hoeven te komen benadrukte de minister van veiligheid-justitie in de eerde verhandelingen ten bate van memorie van toelichting over de AVG.
Kennelijk is deze rechter dat ook nog eens ontgaan!!
Daarmee houdt de rechter 2-factor authenticatie op technisch dubieuze gronden voor meer/beter terwijl dat helemaal niet aantoonbaar is.
De 2-factor authenticatie met logging legt ook enkel de bevestigde gevallen vast, niet de gemiste of omzeilde gevallen, zo benadrukte de minister van veiligheid-justitie nog eens extra!
Ook zijn niet alle publicaties onder de NEN bibliotheek een norm met de betekenis van "juridisch moeten".
Dit betekent dat de rechter ook moet nagaan of wel/gedeeltelijk/geen 2-factor authenticatie met toepassing van de NEN-publicatie voldoende vergelijkbaar in effect als maatregel kan zijn geweest.
De AVG moest immers geen dwangbuis worden maar wettelijke bepalingen dat zowel intelligent gebruik van beveiliging bevorderde als een raamwerk waar daarbij op gelet moet worden, aldus de minister in de toelichting.
Dan moet de rechter dat laatste niet tot hoofddoel maken en het "intelligent"-aspect vergeten!
Een rechter bij een bezwaar behandeling moet verplicht ook ALLE onderliggende informatie betrekken.
Wat de rechter weer wel terecht oppakt - naar aanwijzing van de minister in diens memorie van toelichting - is dat het belangrijke mate gaat over zijn de "begrip ‘passende technische en organisatorische maatregelen’" en "de verwerkingsrisico’s" juist getroffen en ingeschat.
Het aantal controles is - zoals de minister ook heeft gesteld - altijd een belangrijk issue. Welke norm je ook volgt / toepast.


Best wel vaag tot irrelevante vergelijking om het buitenland als criterium te hanteren. Keek de rechter soms naar de hoogte van boetes in de VS, Ierland en Frankrijk of naar elders?

En in welke categorie plaatst de rechter het ziekenhuis dan qua financiële draagkracht?
In de categorie financieel zieltogend?
Dit komt sterk door onvoldoende vooruitziende blik bij de inkoop strategie op haar inboedel en medische apparatuur!
Verder werd een halve sterfhuis constructie gehanteerd bij dit ziekenhuis.
Zo merkte ik dat meerdere type behandelingen niet op die locatie mochten uitvoeren omdat ze als ziekenhuisgroep naar elkaar moesten doorverwijzen. Door nogal onpraktische knippen in de processen te leggen werd de exploitatie van het HagaZiekenhuis werd enorm geknepen. Dit als bekende sanering-fusie aanpak.
Dus ja, dan wordt je wel financieel zieltogend maar heeft het bestuur daar ZELF de hand in gehad.
Net zoals Vestia directeuren en bestuur ZELF ook kozen de enorme financieel bestuurlijke risico's aan te gaan die hen opbrak.
Ik denk dat het op z'n plaats is dat nu dit allemaal is vast komen te staan en de rechter een knip heeft gelegd in wat wel/niet niet terecht voor conto van het ziekenhuis valt en wat niet uit hoofde van de AVG kan worden gevorderd dat de andere autoriteiten zich nader oriënteren met minister Ferd Grapperhaus op stappen vanuit ander bestuurlijk kader.
Hetzij voor uitbrengen van een circulaire, hetzij voor stappen met terugwerkende kracht omtrent datgeen dat het toezicht bij dit Hagaziekenhuis mag worden verweten, omwille van de normen van code Tabaksblat.
De boardroom van ziekenhuizen en grotere instellingen is immers lang niet altijd bij de les of gaat in gevallen weer vrij hysterisch om met verplichtingen die ze het liefste vooral niet zelf ter hand nemen door betere vakkennis op dit vlak op te doen voor meer werkbare en meer treffende werkwijzen maar de last afschuiven naar MT lagen.

Ik denk verder dat de ernst en het belang van zaak tot zaak anders kan liggen.
Welke punten sprongen er qua mechanisme voor jou uit?

Bizar. Hoezo een boete help die mensen het op orde krijgen. Die boete moet opgebracht worden door ons allemaal. Of in ieder geval de verzekerden waar Haga preferente contracten mee heeft.

Ik ben het geheel met je eens.
Er is daar niemand van de directie of toezicht die hier voor 1 euro benadeeld of gekort wordt op zijn of haar inkomen.
Dat hele bedrag gaat gewoon van het jaarlijkse budget af met als gevolg dat ze patienten naar huis moeten sturen omdat het geld op is. Aan een boete.
Maak er maar een soort van artikel 12 ziekenhuis van en zet ze onder een strakke controle.
De enige die nu benadeeld worden zijn de patienten zelf.
Schreeuwen om een hogere boete lijkkt mij niet slim als veel mensern afhankelijk zijn van wat ze jaarlijks te besteden hebben.

Dan moet je kijken naar de alternatieven.
Ik denk dat de inspectie sowieso de diverse opties heeft afgewogen.
Als je aanleiding ziet voor het opleggen van een bestuurlijke maatregel dan komen daar echt wel wat grondige overwegingen bij kijken.
Dat gebeurt in elk geval meer weloverwogen en onderbouwd dan laat ons zeggen de ene bijeenkomst met ruim 40 personen op het plein tegenover de sociëteit de Witte als politie door laten pruttelen maar een andere demonstratie / eenmans manifestatie in diezelfde buurt weer niet.
De reuk van willekeur in handhaving speelt bij dit ziekenhuis data saga in elk geval dus niet dermate in het oog springend.
Als de toezichthouder een ziekenhuis onder scherper toezicht zou plaatsen - wat ook nadelig kan zijn voor reguliere medische behandelingen - dan moeten alle voors en tegens, de mate en de alternatieven daarvan worden overwogen.
Dat is vooraf al gedaan met de handhaving beleidsregels 2019 dat de rechter ook in het vonnis noemt.
In eerdere bijdragen tijdje terug over dit voorval is al het nodige opgemerkt over het dilemma op de werkvloer van ziekenhuizen.
De sneltrein vaart die er soms niet in zit, de pogingen om mensen aan de balie alsnog zo snel mogelijk te helpen houden overeind dat automatisering an sich al niet helemaal de belofte van meer efficiëntie heeft ingelost.
En om duidelijke aanleidingen. Die winst gaan ze sowieso niet alsnog behalen. Vraag is wel of de verwachtingen daarover zullen worden bijgesteld en de mensen in de ziekenhuizen iets meer tijd krijgen per handeling.
Soms kan 15% meer tijd op een handeling van 3 minuten in de praktijk al net het verschil betekenen zo zag ik zelf bij een ziekenhuis in Woerden.

Valt er daarnaast in de omgang met inloggegevens en het inloggen te winnen?
Als je al capaciteit tekorten hebt bij de gezondheidsinspectie, concrete automatisering hiaten/kwesties in account- en kwaliteit management gesprekken niet bij de directies van ziekenhuizen (net als bij bepaalde andere grote organisaties met belangrijke nuts functies, waaronder de ING) niet leiden tot ombuiging dan is de vraag wat vinden die lui een makkelijker excuus?

En wat werkt beter?
Het moet zo van die en die inspectie, ja ik weet dat het niet gaat werken?
Of.....
Hè gatver, ik heb een boete met mijn organisatie opgelopen, die staat en kan ik organisatorisch en boekhoudkundig niet afschuiven of her-framen, laten we sowieso geen nieuwe boete proberen op te lopen.
Niet uit vermijdingangst maar door meer verantwoordelijkheid te nemen voor dergelijke situaties.