Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers. Er werd niet vaak genoeg gecontroleerd op onterechte inzage van medische dossiers en tweefactorauthenticatie voor het inloggen ontbrak. De dossiers bevatten naast medische gegevens informatie als burgerservicenummers, adressen en telefoonnummers.
Na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk, startte de Autoriteit Persoonsgegevens een onderzoek. Daaruit bleek dat het OLVG structureel niet goed omging met de toegang tot medische dossiers.
Het OLVG logde welke medewerker wanneer welk medisch dossier inzag, maar controleerde die logging niet vaak genoeg op onbevoegde toegang. Daarnaast maakte het ziekenhuis geen gebruik van tweefactorauthenticatie voor het inloggen binnen het ziekenhuis. Wanneer medewerkers buiten het ziekenhuis inlogden was tweefactorauthenticatie wel vereist.
"Juist in de zorg, waar de gevoeligste persoonsgegevens in de systemen staan, zien wij veel datalekken: de afgelopen jaren staat de zorg altijd in de top drie van sectoren met de meeste datalekken", zegt AP-vicevoorzitter Monique Verdier. "Terwijl de bescherming van patiëntgegevens cruciaal is. Patiënten delen veel gegevens met zorginstellingen en dat is ook nodig, de laatste tijd door de coronacrisis misschien wel meer dan ooit. Mensen moeten er dan wel op kunnen vertrouwen dat hun gegevens veilig zijn."
Volgens Verdier moeten patiënten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. "Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig en daarom legt de AP het OLVG nu deze boete op."
Het ziekenhuis heeft inmiddels maatregelen genomen. Zo wordt de logging structureel gecontroleerd en is tweefactorauthenticatie voor inloggen binnen het ziekenhuis verplicht. Het OLVG gaat niet in beroep tegen de boete. In 2019 kreeg het HagaZiekenhuis in Den Haag nog een boete van 460.000 euro opgelegd voor het onvoldoende beveiligen van patiëntendossiers.
Deze posting is gelocked. Reageren is niet meer mogelijk.