Nieuws Privacywet

Haga Ziekenhuis krijgt hoge boete na onbevoegd inkijken patiëntendossier Barbie

De Autoriteit Persoonsgegevens heeft voor het eerst een boete uitgedeeld als gevolg van de nieuwe strenge privacywetgeving AVG. Het Haagse Haga Ziekenhuis heeft de twijfelachtige eer.

Samantha de Jong , beter bekend als Barbie. Beeld ANP Kippa

Maar liefst 460 duizend euro bedraagt de boete die door de Autoriteit Persoonsgegevens (AP) is uitgedeeld aan het Haga Ziekenhuis in Den Haag. Het ziekenhuis heeft zijn interne beveiliging van patiëntendossiers niet op orde, stelt de toezichthouder na onderzoek. Dat onderzoek werd ingesteld nadat bleek dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van realityster Samantha de Jong – beter bekend als Barbie – hadden ingezien.

Vorig jaar werd uit eigen onderzoek van het ziekenhuis duidelijk dat de ongeveer 2.800 artsen en verpleegkundigen via het elektronisch patiëntendossier toegang hadden tot alle gegevens van alle patiënten die ooit in het ziekenhuis waren geweest. Tientallen medewerkers zouden daadwerkelijk van die mogelijkheid gebruik hebben gemaakt. Zo kregen ze ook toegang tot het dossier van De Jong, die begin 2018 in het ziekenhuis terechtkwam na een overdosis drugs.

‘Kwalijk’

Aleid Wolfsen, voorzitter van de AP, noemt het ‘een kwalijke zaak’ dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Daarbij past volgens hem een ferme boete. Wolfsen: ‘De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent.’

Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn, stelt de autoriteit. Het Haga Ziekenhuis heeft volgens de AP weliswaar een aantal goede maatregelen genomen (zo heeft niet iedereen meer toegang tot alle dossiers en krijgen medewerkers een training), maar die zijn onvoldoende. Zo heeft het ziekenhuis niet op regelmatige basis gecontroleerd wie welk dossier raadpleegde. Op deze manier had het ziekenhuis tijdig kunnen signaleren wanneer iemand onbevoegd een dossier inkeek en daartegen maatregelen kunnen nemen. Logging gebeurt nu nog handmatig, een volgens het ziekenhuis ‘tijdrovende’ procedure.

Dwangsom

Verder moet het ziekenhuis verplichten dat bij elke inlogpoging niet alleen een wachtwoord wordt ingevoerd, maar ook een persoonlijke pincode. Het ziekenhuis zegt momenteel al aanpassingen op dit vlak door te voeren. Het blijft overigens niet bij de boete van 460 duizend euro. Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren, legt de AP het Haga ziekenhuis tegelijkertijd een last onder dwangsom op. Als het ziekenhuis zijn beveiliging niet voor 2 oktober 2019 op orde heeft, moet het elke twee weken honderdduizend euro betalen. Dat kan oplopen tot een maximum van 300 duizend euro.

Het ziekenhuis legt zicht niet neer bij de uitspraak van de autoriteit en gaat in beroep tegen de boete. 

Niet alleen het Haga ging in de fout; de medische dossiers van honderdduizenden patiënten van het OLVG in Amsterdam waren jarenlang toegankelijk voor medewerkers die ze niet mochten inzien. Hoe kon het grootste ziekenhuis van Nederland zo slordig zijn?

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden