image

Ziekenhuis OLVG krijgt 440.000 euro boete voor slechte beveiliging medische dossiers

donderdag 11 februari 2021, 07:47 door Redactie, 22 reacties

Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers. Er werd niet vaak genoeg gecontroleerd op onterechte inzage van medische dossiers en tweefactorauthenticatie voor het inloggen ontbrak. De dossiers bevatten naast medische gegevens informatie als burgerservicenummers, adressen en telefoonnummers.

Na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk, startte de Autoriteit Persoonsgegevens een onderzoek. Daaruit bleek dat het OLVG structureel niet goed omging met de toegang tot medische dossiers.

Het OLVG logde welke medewerker wanneer welk medisch dossier inzag, maar controleerde die logging niet vaak genoeg op onbevoegde toegang. Daarnaast maakte het ziekenhuis geen gebruik van tweefactorauthenticatie voor het inloggen binnen het ziekenhuis. Wanneer medewerkers buiten het ziekenhuis inlogden was tweefactorauthenticatie wel vereist.

"Juist in de zorg, waar de gevoeligste persoonsgegevens in de systemen staan, zien wij veel datalekken: de afgelopen jaren staat de zorg altijd in de top drie van sectoren met de meeste datalekken", zegt AP-vicevoorzitter Monique Verdier. "Terwijl de bescherming van patiëntgegevens cruciaal is. Patiënten delen veel gegevens met zorginstellingen en dat is ook nodig, de laatste tijd door de coronacrisis misschien wel meer dan ooit. Mensen moeten er dan wel op kunnen vertrouwen dat hun gegevens veilig zijn."

Volgens Verdier moeten patiënten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. "Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig en daarom legt de AP het OLVG nu deze boete op."

Het ziekenhuis heeft inmiddels maatregelen genomen. Zo wordt de logging structureel gecontroleerd en is tweefactorauthenticatie voor inloggen binnen het ziekenhuis verplicht. Het OLVG gaat niet in beroep tegen de boete. In 2019 kreeg het HagaZiekenhuis in Den Haag nog een boete van 460.000 euro opgelegd voor het onvoldoende beveiligen van patiëntendossiers.

Reacties (22)
11-02-2021, 07:54 door Anoniem
Dat is interessant, de AP is dus van mening dat intern ook 2FA/MFA verplicht is. Of ben ik de enige die daar verbaasd over is?

Na aanleiding van het DigiD-assesment debacle bij de GGD ben ik die normen nog eens doorgelopen. Daar staat dat 2FA op basis van source IP filtering (plus naam/wachtwoord) verplicht is voor beheersdiensten. Daar verbaasde ik mij dan weer over, dat source IP als 2FA gezien moet worden.

Zo lijkt het er op dat we (gelukkig!) toch nog naar een altijd 2FA wereld toe gaan. Hopelijk volgt snel daarna een ' phishing-resistente' vereiste, waar bij veel vormen van 2FA nog geen sprake van is.
11-02-2021, 08:08 door Anoniem
over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk
Het zal eens niet. Mooi dat ze een boete krijgen. Zoals gebruikelijk een factor 10 te laag.

Daarnaast: het is wederom informatie. Wat hebben de slachtoffers hieraan??
11-02-2021, 08:12 door [Account Verwijderd] - Bijgewerkt: 11-02-2021, 08:15
Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers.

Daar gaan onze premies weer. Rechtstreeks richting zwart gat. Ik heb dat nooit begrepen. In plaats dat de verantwoordelijke die boete krijgen. Nee, het ziekenhuis krijg een boete. Lees: het budget dat nodig is om dat ziekenhuis te kunnen laten draaien. Morgen is dat ziekenhuis failliet en Rutte staat weer te juichen. Weer iets op z'n hitlist wat ie kapot heeft gekregen. Oh wat zal ie weer trots zijn!
11-02-2021, 08:19 door [Account Verwijderd]
Door Rexodus:
Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers.

Daar gaan onze premies weer. Rechtstreeks richting zwart gat. Ik heb dat nooit begrepen. In plaats dat de verantwoordelijke die boete krijgen. Nee, het ziekenhuis krijg een boete. Lees: het budget dat nodig is om dat ziekenhuis te kunnen laten draaien. Morgen is dat ziekenhuis failliet en Rutte staat weer te juichen. Weer iets op z'n hitlist wat ie kapot heeft gekregen. Oh wat zal ie weer trots zijn!

Van de andere kant is dit natuurlijk heel normaal in een land waar je een boete krijgt omdat je niet kan betalen. Want met de zorgpremie gaat dat zo. Dan hebben ze in ieder geval de garantie dat je nooit meer uit de problemen komt. Wederom zullen z'n vrienden trots zijn. Maar hijzelf nog het meest natuurlijk.
11-02-2021, 08:28 door [Account Verwijderd]
Door Anoniem:
over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk
Het zal eens niet. Mooi dat ze een boete krijgen. Zoals gebruikelijk een factor 10 te laag.

Daarnaast: het is wederom informatie. Wat hebben de slachtoffers hieraan??

Schijnbaar niet beseffend dat WIJ dat zelf betalen. Maar goed....

/me gaat weer over tot de orde van de dag.
11-02-2021, 09:01 door Anoniem
Door Anoniem: Dat is interessant, de AP is dus van mening dat intern ook 2FA/MFA verplicht is. Of ben ik de enige die daar verbaasd over is?

Na aanleiding van het DigiD-assesment debacle bij de GGD ben ik die normen nog eens doorgelopen. Daar staat dat 2FA op basis van source IP filtering (plus naam/wachtwoord) verplicht is voor beheersdiensten. Daar verbaasde ik mij dan weer over, dat source IP als 2FA gezien moet worden.

Zo lijkt het er op dat we (gelukkig!) toch nog naar een altijd 2FA wereld toe gaan. Hopelijk volgt snel daarna een ' phishing-resistente' vereiste, waar bij veel vormen van 2FA nog geen sprake van is.

Zorginstellingen worden geacht conform NEN 7510 te werken. Beheersmaatregel 53 a) (9.4.1 Beperking toegang tot informatie) stelt: Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren de identiteit van gebruikers vast te stellen en dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden.
11-02-2021, 09:27 door dvanleur
Door Rexodus:
Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers.

Daar gaan onze premies weer. Rechtstreeks richting zwart gat. Ik heb dat nooit begrepen. In plaats dat de verantwoordelijke die boete krijgen. Nee, het ziekenhuis krijg een boete. Lees: het budget dat nodig is om dat ziekenhuis te kunnen laten draaien. Morgen is dat ziekenhuis failliet en Rutte staat weer te juichen. Weer iets op z'n hitlist wat ie kapot heeft gekregen. Oh wat zal ie weer trots zijn!

Wat heeft Rutte hiermee te maken? Het AP is een zelfstandige organisatie, en met deze boete heeft Rutte niks mee te maken. Er zijn in een raamwerk afspraken gemaakt over de patientendossiers en daar dient men zich aan te houden. En in dit geval krijgt de verantwoordelijke ook een boete, namelijk het ziekenhuis. Wie wil je anders een boete geven?
11-02-2021, 10:20 door Tintin and Milou
Door Rexodus:
Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers.

Daar gaan onze premies weer. Rechtstreeks richting zwart gat.
Waarom

Ik heb dat nooit begrepen
Dat blijkt ook wel uit je post.
[quote[In plaats dat de verantwoordelijke die boete krijgen. Nee, het ziekenhuis krijg een boete.[/quote]Wie zou er dan verantwoordelijkheid voor zijn volgens Rexodus?

Lees: het budget dat nodig is om dat ziekenhuis te kunnen laten draaien.
Klopt. Zo heeft een ziekenhuis vele potjes.

Morgen is dat ziekenhuis failliet
Als 400K het verschil uitmaakt, dan is het ziekenhuis niet gezond en het structuele problemen.

en Rutte staat weer te juichen,
Wanneer heeft Rutte precies staan juichen bij een failliet bedrijf of ziekenhuis? Ik kan mij dit namelijk niet herinneren.

[quote[Weer iets op z'n hitlist wat ie kapot heeft gekregen. [/quote]Heeft hij een hitlist? Nice... Is dat je mening of een feit? Want aan feiten ontbreekt het nog al in je post.

Oh wat zal ie weer trots zijn!
Ik hoop dat je trost bent op je post. Je hebt mij in ieder geval even laten lachen over je post.
11-02-2021, 10:20 door Anoniem
Dan heeft het ziekenhuis dus minder besteedbaar budget en zijn de patiënten van dat ziekenhuis uiteindelijk de dupe.
11-02-2021, 10:20 door [Account Verwijderd]
Door Rexodus:
Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers.

Daar gaan onze premies weer. Rechtstreeks richting zwart gat. Ik heb dat nooit begrepen. In plaats dat de verantwoordelijke die boete krijgen. Nee, het ziekenhuis krijg een boete. Lees: het budget dat nodig is om dat ziekenhuis te kunnen laten draaien. Morgen is dat ziekenhuis failliet en Rutte staat weer te juichen. Weer iets op z'n hitlist wat ie kapot heeft gekregen. Oh wat zal ie weer trots zijn!

Wat heeft dit nu met Rutte te maken?
Het toeslagenschandaal heeft met Rutte te maken. Dit totaal niets!
off topic:
17 maart ga ik stemmen en wel zodanig dat ik hoop dat de Rutte/VVD regeringsverantwoordelijkheid niet voor de derde keer wordt geprolongeerd.. Wat jij doet is ongebreideld ongefundeerd en bovenal nutteloos mopperen, waar die man totáál géén boodschap aan heeft. Hij lacht daarover. Ons stemgedrag kan bepalen of we dat VVD tronie voor de vierde keer als premier moeten slikken.
end off topic
11-02-2021, 11:50 door Anoniem
Door Rexodus:
Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers.

Daar gaan onze premies weer. Rechtstreeks richting zwart gat. Ik heb dat nooit begrepen. In plaats dat de verantwoordelijke die boete krijgen. Nee, het ziekenhuis krijg een boete.

Inderdaad.

Waarom verplicht men het ziekenhuis niet om hetzelfde bedrag uit te besteden aan, bijvoorbeeld, de (gratis) zorg van zieke kinderen? Dan heeft zo'n boete tenminste nog een maatschappelijk nut, zou je zeggen. Jammer, maar die vlieger niet op, want ook zo'n wijze van boetedoening heeft tot gevolg dat andere patienten dan minder geholpen zijn.

Misschien dat een inhouding op het salaris van de verantwoordelijke directieleden dan toch een betere oplossing is?
11-02-2021, 13:05 door [Account Verwijderd]
Door dvanleur:
Door Rexodus:
Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers.

Daar gaan onze premies weer. Rechtstreeks richting zwart gat. Ik heb dat nooit begrepen. In plaats dat de verantwoordelijke die boete krijgen. Nee, het ziekenhuis krijg een boete. Lees: het budget dat nodig is om dat ziekenhuis te kunnen laten draaien. Morgen is dat ziekenhuis failliet en Rutte staat weer te juichen. Weer iets op z'n hitlist wat ie kapot heeft gekregen. Oh wat zal ie weer trots zijn!

Wat heeft Rutte hiermee te maken? Het AP is een zelfstandige organisatie, en met deze boete heeft Rutte niks mee te maken. Er zijn in een raamwerk afspraken gemaakt over de patientendossiers en daar dient men zich aan te houden. En in dit geval krijgt de verantwoordelijke ook een boete, namelijk het ziekenhuis. Wie wil je anders een boete geven?

Alles heeft dat ermee te maken. Die zaadbal heeft het hele zorgstelsel om zeep geholpen. En oplossingen voor IT problemen zijn er ook niet gekomen sinds z'n financiële schrikbewind van de laatste 10 jaar.
11-02-2021, 13:55 door Anoniem
Door dvanleur:
Door Rexodus:
Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens een boete van 440.000 euro gekregen voor het onvoldoende beveiligen van medische dossiers.

Daar gaan onze premies weer. Rechtstreeks richting zwart gat. Ik heb dat nooit begrepen. In plaats dat de verantwoordelijke die boete krijgen. Nee, het ziekenhuis krijg een boete. Lees: het budget dat nodig is om dat ziekenhuis te kunnen laten draaien. Morgen is dat ziekenhuis failliet en Rutte staat weer te juichen. Weer iets op z'n hitlist wat ie kapot heeft gekregen. Oh wat zal ie weer trots zijn!

Wat heeft Rutte hiermee te maken? Het AP is een zelfstandige organisatie, en met deze boete heeft Rutte niks mee te maken. Er zijn in een raamwerk afspraken gemaakt over de patientendossiers en daar dient men zich aan te houden. En in dit geval krijgt de verantwoordelijke ook een boete, namelijk het ziekenhuis. Wie wil je anders een boete geven?


Aansprakelijkheid van de rechtspersoon en diens bestuurders

Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.
Meerdere verantwoordelijken of verwerkers kunnen hoofdelijk aansprakelijk zijn.

Voor aansprakelijkheid van de rechtspersoon jegens een derde moet op grond van de AVG dus sprake zijn van een
schending van de AVG. Niet-naleving van de AVG is een schending van een wettelijke plicht en kwalificeert daarmee
op grond van artikel 6:162 BW ook als een onrechtmatige daad van de rechtspersoon. Voor aansprakelijkheid
van een bestuurder moet echter sprake zijn van een onrechtmatige daad van de bestuurder zelf, en in de
meeste gevallen zal in dat kader de ernstigverwijtmaatstaf gelden.

De Autoriteit Persoonsgegevens kan de geldboete opleggen aan de organisatie/rechtspersoon, of direct aan de bestuurder(s). De rechtspersoon kan een aan haar opgelegde boete proberen te verhalen op haar bestuurder(s) vanwege onbehoorlijk bestuur (artikel 2:9 BW), bijvoorbeeld gelegen in het – ondanks bekendheid met een datalek – niet-conform de AVG handelen, waar een redelijk denkend bestuurder wel conform de AVG zou hebben gehandeld.

Op grond van artikel 82 van de AVG heeft eenieder die materiële of immateriële schade lijdt ten gevolge van een inbreuk op de AVG recht op schadevergoeding door de verwerkingsverantwoordelijke of de verwerker.
11-02-2021, 15:29 door Anoniem
Door Anoniem:
over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk
Het zal eens niet. Mooi dat ze een boete krijgen. Zoals gebruikelijk een factor 10 te laag.

Daarnaast: het is wederom informatie. Wat hebben de slachtoffers hieraan??

Twee dingen:

1. Het idee van de boetes is dat het goed beveiligen van de gegevens goedkoper moet zijn dan de boete. Dit was het manco van de WBP, de maximale boete was €5000, met als gevolg dat het betalen van de boete gewoonlijk goedkoper was dan de gegevens goed beveiligen. Met €440000 maakt het meer indruk, met als gevolg dat er een kans is dat het door andere ziekenhuizen nu wel goed beveiligd wordt.

2. @Anoniem 13:55u merkte al op dat er zoiets als een recht op schadevergoeding bestaat. Daarvoor zijn twee soorten bewijs nodig: Dat er een overtreding is geweest en dat er schade is geleden. Wat de eventuele slachtoffers hier aan hebben is dat er sowieso al een gezaghebbende uitspraak van de verantwoordelijke gegevensbeschermingsautoriteit ligt dat er een overtreding is geweest, zodat zij nog maar voor een soort bewijs hoeven te zorgen.
11-02-2021, 20:54 door Anoniem
Ik begrijp die boetes vaak ook niet. Heel vaak zijn die boetes veroorzaakt door de Overheid.
En dan krijgen allerlei instanties enorme boetes die naar de Overheid vloeien, terwijl WIJ de gedupeerden van dat geld HELEMAAL NIETS zien.

Maak het mij eens duidelijk,,,,
12-02-2021, 00:56 door Anoniem
Door Anoniem: Dat is interessant, de AP is dus van mening dat intern ook 2FA/MFA verplicht is. Of ben ik de enige die daar verbaasd over is?

Na aanleiding van het DigiD-assesment debacle bij de GGD ben ik die normen nog eens doorgelopen. Daar staat dat 2FA op basis van source IP filtering (plus naam/wachtwoord) verplicht is voor beheersdiensten. Daar verbaasde ik mij dan weer over, dat source IP als 2FA gezien moet worden.

Zo lijkt het er op dat we (gelukkig!) toch nog naar een altijd 2FA wereld toe gaan. Hopelijk volgt snel daarna een ' phishing-resistente' vereiste, waar bij veel vormen van 2FA nog geen sprake van is.

Het komt er idd op neer dat of MFA altijd aan moet als schoonmakers toegang hebben tot de ruimte, ook als ze geen toegang hebben tot de data of de schoonmaker enkel onder begeleiding mag poetsen zodat er “controle” is dat die de gegevens niet kan inzien, verplaatsen, enz.
12-02-2021, 05:53 door Anoniem
Door Anoniem: Ik begrijp die boetes vaak ook niet. Heel vaak zijn die boetes veroorzaakt door de Overheid.
En dan krijgen allerlei instanties enorme boetes die naar de Overheid vloeien, terwijl WIJ de gedupeerden van dat geld HELEMAAL NIETS zien.

Maak het mij eens duidelijk,,,,
Een boete is een straf, en een straf is iets anders dan een schadevergoeding.

Stel dat iemand door roekeloos te rijden een aanrijding veroorzaakt en jouw auto schade heeft. Dan kan die persoon daarvoor een boete krijgen (en wellicht een zwaardere straf), en daarnaast is die verantwoordelijk voor de schade aan jouw auto. Het zit er dik in dat die schade niet via het strafrecht wordt afgehandeld maar (als het niet helemaal door verzekeraars wordt afgehandeld) via een civiele procedure.

Dit is net zoiets. Het OLVG heeft als straf voor hun onzorgvuldigheid een boete gekregen. Als daarnaast mensen gedupeerd zijn, dus aantoonbare schade hebben opgelopen door die onzorgvuldigheid van het OLVG, dan kunnen ze bij OLVG die schade vergoed proberen te krijgen.
12-02-2021, 08:35 door Anoniem
Wat heeft de overheid nu met geen mfa te maken, ze hadden mfa off prem dus on prem is kwestie van een groep assigned, dat kost een ITer wat tijd, de ITer die toch al in dienst is. Dit aan zetten kost dus pakweg 50€.
12-02-2021, 09:13 door [Account Verwijderd]
Door Anoniem: Ik begrijp die boetes vaak ook niet. Heel vaak zijn die boetes veroorzaakt door de Overheid.
En dan krijgen allerlei instanties enorme boetes die naar de Overheid vloeien, terwijl WIJ de gedupeerden van dat geld HELEMAAL NIETS zien.

Maak het mij eens duidelijk,,,,


Als jij gedupeerd bent kun je een procedure aanspannen. Mits jij bewijzen hebt en dat ligt hier moeilijk. Bij een conflictsituatie in het verkeer ligt dat wat duidelijker. Bijvoorbeeld bij een aanrijding. Als de veroorzaker een WVW artikel (Wegenverkeerswetgeving) heeft overtreden en hierdoor de aanrijding veroorzaakte wordt hem/haar een boete ten laste gelegd wegens overtreding van de betreffende verkeersregel(s) én als hij/zij schade heeft veroorzaakt aan een benadeelde, is hij/zij daarvoor wettelijk aansprakelijk en zal zijn/haar WAV verzekering (Wettelijke Aansprakelijkheidsverzekering Voertuigen) de geleden schade aan de gedupeerde (deels) vergoeden.

Het probleem hier is zoals ik al zei dat het vaak uiterst moeilijk is te bepalen of er al immateriële schade is geleden en wie er deze immateriële schade heeft geleden. Weet jij van jezelf of je immateriële schade hebt geleden door een gegevenslek? Neen vaak niet. En dat is het lastige van deze problematiek.

Juist daarom zijn die boetes vaak zo hoog. Om de veroorzaker flink hard duidelijk te maken dat ze misschien heel veel mensen benadelen die nooit zullen of kunnen weten vanwege een hoge factor onzekerheid dat zij benadeeld kunnen worden totdat het gebeurt!
12-02-2021, 09:52 door Anoniem
Door Anoniem:
Door Anoniem: Ik begrijp die boetes vaak ook niet. Heel vaak zijn die boetes veroorzaakt door de Overheid.
En dan krijgen allerlei instanties enorme boetes die naar de Overheid vloeien, terwijl WIJ de gedupeerden van dat geld HELEMAAL NIETS zien.

Maak het mij eens duidelijk,,,,
Een boete is een straf, en een straf is iets anders dan een schadevergoeding.

Stel dat iemand door roekeloos te rijden een aanrijding veroorzaakt en jouw auto schade heeft. Dan kan die persoon daarvoor een boete krijgen (en wellicht een zwaardere straf), en daarnaast is die verantwoordelijk voor de schade aan jouw auto. Het zit er dik in dat die schade niet via het strafrecht wordt afgehandeld maar (als het niet helemaal door verzekeraars wordt afgehandeld) via een civiele procedure.

Dit is net zoiets. Het OLVG heeft als straf voor hun onzorgvuldigheid een boete gekregen. Als daarnaast mensen gedupeerd zijn, dus aantoonbare schade hebben opgelopen door die onzorgvuldigheid van het OLVG, dan kunnen ze bij OLVG die schade vergoed proberen te krijgen.

Sowieso, een ziekenhuis harkt ook geld binnen door ondrezoeken, lezingen, ontwikkling medicijn enz.dus het is wat kort door de bocht om te zeggen dat het ons geld is ;)
12-02-2021, 10:04 door Anoniem
Door Anoniem:
Door Anoniem: Dat is interessant, de AP is dus van mening dat intern ook 2FA/MFA verplicht is. Of ben ik de enige die daar verbaasd over is?

Na aanleiding van het DigiD-assesment debacle bij de GGD ben ik die normen nog eens doorgelopen. Daar staat dat 2FA op basis van source IP filtering (plus naam/wachtwoord) verplicht is voor beheersdiensten. Daar verbaasde ik mij dan weer over, dat source IP als 2FA gezien moet worden.

Zo lijkt het er op dat we (gelukkig!) toch nog naar een altijd 2FA wereld toe gaan. Hopelijk volgt snel daarna een ' phishing-resistente' vereiste, waar bij veel vormen van 2FA nog geen sprake van is.

Zorginstellingen worden geacht conform NEN 7510 te werken. Beheersmaatregel 53 a) (9.4.1 Beperking toegang tot informatie) stelt: Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren de identiteit van gebruikers vast te stellen en dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden.

True, maar de AP controleert en dus beboet geen organisaties in hoeverre NEN7510 is geïmplementeerd en wordt nagevolgd... toch? Zij stellen hier dat 2factor authenticatie een verplichte maatregel is bij verwerking medische gegevens.

Vraag... Is er geen alternatief voor 2factor authenticatie?
13-02-2021, 20:22 door Anoniem
Door Anoniem: True, maar de AP controleert en dus beboet geen organisaties in hoeverre NEN7510 is geïmplementeerd en wordt nagevolgd... toch?
Reken maar dat AP dat doet. Volg de link in het artikel naar het bericht op de website van AP en daar kan je rechtsboven een link naar een PDF met het boetebesluit vinden. Daarin staat:
OLVG heeft verder in haar Informatiebeveiligings- & privacybeleid aangegeven dat voornoemd beleid is gebaseerd op: 1) de Nederlandse norm voor informatiebeveiliging in de zorg, te weten: NEN 7510, NEN 7512 en NEN 7513 en 2) de actuele wet- en regelgeving, waaronder de AVG. OLVG streeft ernaar aantoonbaar te voldoen aan deze normen. OLVG heeft zich aldus ook zelfstandig gecommitteerd te voldoen aan bovenstaande NEN-normen, waarin is vastgesteld dat de identiteit van gebruikers moet worden vastgesteld door middel van tweefactor authenticatie.

Ten overvloede merkt de AP tot slot op dat specifiek ten aanzien van de bewoordingen ‘passende technische en organisatorische maatregelen’ - zoals opgenomen in artikel 32 AVG - sprake is van een voortzetting van wat ook al gold onder Richtlijn 95/46/EG en de Wet bescherming persoonsgegevens (Wbp). Van een materiële wijziging is geen sprake. Onder die omstandigheden ligt het voor de hand — ook met het oog op de rechtszekerheid — de in het verleden gevolgde invulling voort te zetten bij de uitleg van artikel 32, eerste lid, van de AVG. Dat betekent dat de reeds in het verleden gebezigde invulling via de in de NEN-normen vervatte eisen van tweefactor authenticatie en het regelmatig beoordelen van de logbestanden wordt gehandhaafd. Door de AP is ook steeds duidelijk uitgedragen dat de NEN 7510, als algemeen geaccepteerde beveiligingsstandaard binnen de praktijk van de informatiebeveiliging in de zorg, onder het AVG-regime een belangrijke norm voor informatiebeveiliging in de zorg blijft en deze richtlijnen gevolgd moeten worden.

Dit gebeurt veel vaker in oordelen van het AP. De AVG eist passende maatregelen maar werkt niet uit wat passend is. Om te beoordelen wat passend is kijkt AP daarom naar wetten en regelementen die voor bepaalde soorten organisaties concrete maatregelen voorschrijven, naar wat gangbaar en geaccepteerd is voor die organisaties, en naar wat ze zichzelf tot doel gesteld hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.