Nieuws

Torenhoge boete voor Amsterdams ziekenhuis om schenden privacy patiënten

Het Amsterdamse ziekenhuis OLVG krijgt een boete van 440 duizend euro; het heeft de privacy van patiënten geschonden. Het is de tweede keer dat een ziekenhuis door de Autoriteit Persoonsgegevens wordt bestraft, omdat medewerkers te gemakkelijk konden rondneuzen in medische dossiers. Eerder kreeg het Haagse Haga Ziekenhuis een boete van 460 duizend euro.

Het OLVG West in Amsterdam. Beeld EPA
Het OLVG West in Amsterdam.Beeld EPA

Het OLVG krijgt de boete voor een gebrek aan strenge privacymaatregelen tussen 2018 en 2020. Het ziekenhuis controleerde niet vaak genoeg of medewerkers zich onterecht toegang verschaften tot medische dossiers, en had bovendien geen tweefactor-authenticatie ingesteld. Daarom was toegang tot de medische dossiers te gemakkelijk en te slecht beveiligd.

De zaak in het OLVG kwam aan het rollen door filosofiestudente Laura. Zij had via het flexbureau van het ziekenhuis - een van de grootste van Nederland - een bijbaantje, en merkte al snel dat zij zonder beperkingen de medische dossiers van vriendinnen en bekende Nederlanders kon inzien.

Dat mag niet. De Autoriteit Persoonsgegevens (AP) ziet er in Nederland op toe dat de privacy door (zorg)instellingen goed wordt bewaakt. De gouden regel is: alleen wanneer het voor de behandeling van de patiënt noodzakelijk is, moeten artsen, verpleegkundigen of andere medewerkers een medisch dossier kunnen inkijken. Ziekenhuizen moeten dat organisatorisch en technisch goed regelen. Dat betekent bijvoorbeeld dat er een noodoplossing is als een patiënt met acute problemen wordt binnengebracht: de break-the-glass-optie heet dat. Op die manier kunnen artsen toch patiënten helpen met wie zij geen vaste behandelrelatie hebben, mocht de situatie daar om vragen.

Jaren onterecht toegang

De filosofiestudente, die op de polikliniek de telefoon opnam en afspraken inplande, trok bij de leiding van het ziekenhuis in augustus 2018 aan de bel. Die beloofde beterschap, maar de te ruime instellingen voor werkstudenten bleven bestaan. Zij konden voor hun werkzaamheden niet alleen bij de patiënten van de afdeling waar zij voor werkten, maar bij álle patiënten die de afgelopen 15 jaar het ziekenhuis hadden bezocht. Die fout bleek al jaren praktijk.

Privacy in de zorg is al jaren een probleem. De zorg staat in de top drie van sectoren waar de Autoriteit Persoonsgegeven de meeste klachten over krijgt, en dan met name over patiëntengegevens die niet goed genoeg zijn afgeschermd. Onlangs bleek dat die problemen nog lang niet voorbij zijn: ook de coronatest-systemen van de GGD blijken verre van optimaal beschermd. Medewerkers konden zelfs de gegevens van miljoenen Nederlanders exporteren en op internet te koop aanbieden.

Het goed regelen wie van de ruim 6.000 OLVG-medewerkers tot welke patiëntendossiers toegang mogen hebben is ingewikkeld, zeggen experts, maar niet onmogelijk. Mensen wisselen van baan, invallers moeten op het laatste moment zieke collega’s vervangen, en patiënten met acute klachten kunnen op elk moment van de dag op een andere afdeling terechtkomen. Het ziekenhuis zei twee jaar geleden tegen de Volkskrant, toen de zaak in de openbaarheid kwam, dat het juist daarom continu zoekt naar de optimale balans tussen patiëntveiligheid en privacy.

Tijdens het onderzoek heeft het OLVG verbeteringen doorgevoerd, meldt de Autoriteit Persoonsgegevens. Het ziekenhuis gaat niet in bezwaar of beroep tegen de boete.

LEES OOK:

De medische dossiers van honderdduizenden patiënten van het OLVG in Amsterdam waren jarenlang toegankelijk voor medewerkers die ze niet mochten inzien. Daar werd gretig gebruik van gemaakt. Hoe kon het grootste ziekenhuis van Nederland zo slordig zijn? Een reconstructie.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden