Door Anoniem: Een interessant inkijkje in het mechanisme.
Zeker. Mee eens.
Volgens de rechter laten deze maatregelen zien dat het ziekenhuis bereid was om met de problemen in de organisatie aan de slag te gaan en nuanceert dit de nalatigheid die het ziekenhuis wordt verweten. De Autoriteit Persoonsgegevens heeft hier echter geen rekening mee gehouden
Een partij die na een fout de juiste meld-procedure opvolgt, loopt kennelijk ook nog eens het risico om via bestuursrecht een boete opgelegd te krijgen. Ook als de partij juist werkt om zijn leven te beteren.
........ Ook het overzicht van getroffen maatregelen in dit onderzoek betreft naar het oordeel van de rechtbank wilsonafhankelijk materiaal. Zoals verweerder stelt, vergde het schriftelijke inlichtingenverzoek van 23 april 2018 niet van eiseres alsnog bewijs te verzamelen, maar slechts om de resultaten van het gedane onderzoek beschikbaar te stellen aan verweerder. ........... Bestaand wilsonafhankelijk materiaal dat beschikbaar is gesteld ter naleving van een inlichtingenvordering, levert volgens vaste rechtspraak geen schending van artikel 6 van het EVRM op (zie bijvoorbeeld de uitspraak van het College van Beroep voor het bedrijfsleven, 4 september 2018, ECLI:NL:CBB:2018:444). In de ontvangen informatie heeft verweerder vervolgens aanleiding gezien een onderzoek te starten naar de naleving van artikel 32 van de AVG. In dat kader is op 12 oktober 2018 een inlichtingenverzoek gedaan, waarbij is verzocht om documenten en vragen zijn gesteld. Naar het oordeel van de rechtbank is eiseres met het gebruik van het woord “cautie” in combinatie met de zinsnede “u bent niet verplicht te antwoorden op vragen waarmee u uzelf of uw organisatie kunt belasten” in de brief van 12 oktober 2018 voldoende duidelijk gewezen op haar zwijgrecht.
Interessant is welke beoordelingsruimte een bestuursorgaan gebruikt om vervolg informatie te vragen?
Bij de hoorzittingen van de toeslagen affaire werd gesteld dat de eiser niet altijd echt duidelijk maakt of die echt recht heeft om eventueel alsnog zelf in private informatie te gaan snuffelen.
Het is natuurlijk waterig als een bestuursorgaan niet duidelijk maakt of de informatie wordt gevraagd ter oriëntatie of in verband met concreet spelende verdachtmakingen.
Op de achtergrond speelt natuurlijk vaker dat zowel bij personen als bedrijven een reëele en legitieme vrees een dienst even binnen komt vallen.
Dat in het tumult er ook nog eens een puinzooi van de administratie kan worden gecreëerd doordat men gehaast en lukraak allerlei mappen wil optrekken.
Iets waar ook iemand als ondernemer Erik de Vlieger over heeft kunnen getuigen nadat hij destijds onterecht als verdacht werd aangewezen.
En zo zijn er vele voorbeelden waarbij mensen misschien uit vrees gehaast zaken aanleveren terwijl ze ondertussen juist ook nog druk bezig waren de fout te herstellen en van de schrikt te bekomen.
Hoe de rechter in dit vonnis de zaak niet nog fundamenteler belicht is mijn inziens een gemis.
9. De rechtbank stelt voorop dat verweerder op grond van artikel 6, tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming bevoegd is om een nadere uitwerking van en invulling te geven aan artikel 32 van de AVG. De rechtbank is verder van oordeel dat verweerder eiseres mocht tegenwerpen dat zij zich niet aan de NEN-normen heeft gehouden. Hierbij wordt in aanmerking genomen dat eiseres in haar eigen informatiebeveiligingsbeleid zelf heeft gekozen voor een invulling van passende technische en organisatorische maatregelen door middel van toepassing van de NEN-normen. De NEN-normen zijn algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, zoals ook blijkt uit de vastlegging daarvan in de Begz. Daarbij komt dat de eis van tweefactor authenticatie en de eis van de controle op de logging ook onder het oude regime van de Wet bescherming persoonsgegevens (Wbp) werden gezien als passende maatregelen, hetgeen ook aan eiseres bekend kon zijn. Bovendien is niet gebleken van andere maatregelen die eiseres zou hebben getroffen die de tweefactor authenticatie en regelmatige controle op de logging overbodig zouden maken.
De rechter snapt kennelijk niet hoe weinig tot effectief niets aantoonbaars 2-factor authenticatie toevoegt.
De kans dat er via een backdoor in software iets ontvreemd kan worden is met alle zero-days van afgelopen jaren al enorm.
Dat de pogingen en halve pogingen daartoe ook niet zondermeer allemaal in de logging tot uitdrukking hoeven te komen benadrukte de minister van veiligheid-justitie in de eerde verhandelingen ten bate van memorie van toelichting over de AVG.
Kennelijk is deze rechter dat ook nog eens ontgaan!!
Daarmee houdt de rechter 2-factor authenticatie op technisch dubieuze gronden voor meer/beter terwijl dat helemaal niet aantoonbaar is.
De 2-factor authenticatie met logging legt ook enkel de bevestigde gevallen vast, niet de gemiste of omzeilde gevallen, zo benadrukte de minister van veiligheid-justitie nog eens extra!
Ook zijn niet alle publicaties onder de NEN bibliotheek een norm met de betekenis van "juridisch moeten".
Dit betekent dat de rechter ook moet nagaan of wel/gedeeltelijk/geen 2-factor authenticatie met toepassing van de NEN-publicatie voldoende vergelijkbaar in effect als maatregel kan zijn geweest.
De AVG moest immers geen dwangbuis worden maar wettelijke bepalingen dat zowel intelligent gebruik van beveiliging bevorderde als een raamwerk waar daarbij op gelet moet worden, aldus de minister in de toelichting.
Dan moet de rechter dat laatste niet tot hoofddoel maken en het "intelligent"-aspect vergeten!
Een rechter bij een bezwaar behandeling moet verplicht ook ALLE onderliggende informatie betrekken.
Wat de rechter weer wel terecht oppakt - naar aanwijzing van de minister in diens memorie van toelichting - is dat het belangrijke mate gaat over zijn de "begrip ‘passende technische en organisatorische maatregelen’" en "de verwerkingsrisico’s" juist getroffen en ingeschat.
Hierbij wordt in aanmerking genomen dat eiseres zich, zoals verweerder stelt, als professionele partij kan vergewissen van de juiste toepassing van de normen.
In elk geval kon voor eiseres duidelijk zijn dat het in haar beleid opgenomen aantal van zes controles niet voldeed aan de norm, gelet op het aantal patiëntbezoeken en het aantal medewerkers.
Het aantal controles is - zoals de minister ook heeft gesteld - altijd een belangrijk issue. Welke norm je ook volgt / toepast.
Ter zitting heeft eiseres er in dit verband op gewezen dat het de taak van verweerder is te bevorderen dat gedragscodes worden opgesteld die bijdragen tot de juiste toepassing van de AVG, maar dat het de ziekenhuizen zelf zijn die het initiatief hebben genomen om een gedragscode op te stellen. Verweerder heeft echter terecht gesteld dat de gedragscode een instrument van de sector zelf is en niet van verweerder. Verweerder kan een voorgelegde gedragscode alleen goedkeuren. Of er een gedragscode is opgesteld, is dan ook niet bepalend voor de vraag of verweerder handhavend mocht optreden.
Verder is de opgelegde basisboete van € 310.000,- bijzonder hoog vergeleken met boetes die in het buitenland zijn opgelegd. Ten onrechte is de boete verhoogd vanwege de “aard, ernst en duur van de inbreuk” en “de nalatige aard”.
Best wel vaag tot irrelevante vergelijking om het buitenland als criterium te hanteren. Keek de rechter soms naar de hoogte van boetes in de VS, Ierland en Frankrijk of naar elders?
Ook komt de onderbouwing van de eerste verhoging op hetzelfde neer als de onderbouwing van de tweede verhoging. Verweerder heeft de boete ten onrechte niet verlaagd wegens schadebeperkende maatregelen als bedoeld in artikel 7, aanhef en onder c, van de Boetebeleidsregels 2019. Ook had de boete moeten worden verlaagd vanwege de financiële draagkracht van eiseres.
En in welke categorie plaatst de rechter het ziekenhuis dan qua financiële draagkracht?
In de categorie financieel zieltogend?
Dit komt sterk door onvoldoende vooruitziende blik bij de inkoop strategie op haar inboedel en medische apparatuur!
Verder werd een halve sterfhuis constructie gehanteerd bij dit ziekenhuis.
Zo merkte ik dat meerdere type behandelingen niet op die locatie mochten uitvoeren omdat ze als ziekenhuisgroep naar elkaar moesten doorverwijzen. Door nogal onpraktische knippen in de processen te leggen werd de exploitatie van het HagaZiekenhuis werd enorm geknepen. Dit als bekende sanering-fusie aanpak.
Dus ja, dan wordt je wel financieel zieltogend maar heeft het bestuur daar ZELF de hand in gehad.
Net zoals Vestia directeuren en bestuur ZELF ook kozen de enorme financieel bestuurlijke risico's aan te gaan die hen opbrak.
Ik denk dat het op z'n plaats is dat nu dit allemaal is vast komen te staan en de rechter een knip heeft gelegd in wat wel/niet niet terecht voor conto van het ziekenhuis valt en wat niet uit hoofde van de AVG kan worden gevorderd dat de andere autoriteiten zich nader oriënteren met minister Ferd Grapperhaus op stappen vanuit ander bestuurlijk kader.
Hetzij voor uitbrengen van een circulaire, hetzij voor stappen met terugwerkende kracht omtrent datgeen dat het toezicht bij dit Hagaziekenhuis mag worden verweten, omwille van de normen van code Tabaksblat.
De boardroom van ziekenhuizen en grotere instellingen is immers lang niet altijd bij de les of gaat in gevallen weer vrij hysterisch om met verplichtingen die ze het liefste vooral niet zelf ter hand nemen door betere vakkennis op dit vlak op te doen voor meer werkbare en meer treffende werkwijzen maar de last afschuiven naar MT lagen.
Ik denk verder dat de ernst en het belang van zaak tot zaak anders kan liggen.
Welke punten sprongen er qua mechanisme voor jou uit?