Nieuws
image

Spaans ziekenhuis krijgt 1,2 miljoen euro boete voor verlies van cd's patiënt

dinsdag 20 januari 2026, 13:56 door Redactie, 6 reacties

Een Spaans ziekenhuis heeft een boete van 1,2 miljoen euro gekregen wegens het kwijtraken van cd's van een patiënt met medische data. De patiënt bezocht eind 2021 het ziekenhuis om een MRI-scan te krijgen en had verschillende cd's met beelden van eerdere MRI-scans meegenomen. Het ziekenhuispersoneel kon zo de oude met de nieuwe beelden vergelijken.

Begin 2022 keerde de patiënt terug naar het ziekenhuis om zijn cd's op te halen. Het ziekenhuis liet weten dat de cd's niet konden worden gevonden. Vervolgens meldde het ziekenhuis via e-mail dat er beperkte fysieke opslagruimte is en dat niet opgehaalde spullen na een maand worden verwijderd. De cd's waren dan ook niet meer beschikbaar. Begin 2024 vroeg de patiënt het ziekenhuis nogmaals om zijn cd's. Het ziekenhuis herhaalde wederom dat het spullen na een maand weggooit of vernietigt. Daarop diende de patiënt een klacht in bij de Spaanse privacytoezichthouder AEPD.

De AEPD startte een onderzoek en stelde dat het ziekenhuis meerdere bepalingen van de AVG had overtreden. Volgens de toezichthouder hadden de cd's aan het medisch dossier van de patiënt moeten worden toegevoegd. Het ziekenhuis stelde dat de cd's geen medische documentatie waren geproduceerd door het ziekenhuis zelf, en dat daardoor de opslagtermijn die nationale gezondheidswetgeving verplicht niet van toepassing is. Ook zou de opslag van de cd' s in strijd zijn met het principe van dataminimalisatie.

Volgens de Spaanse toezichthouder heeft het ziekenhuis bepaling 6, 9 en 25 van de AVG overtreden door onrechtmatig de gezondheidsgegevens van de patiënt te vernietigen, zonder dat het hiervoor een geldige grondslag had. Daarnaast had het ziekenhuis geen databescherming by design en default geïmplementeerd. Tevens had het ziekenhuis de MRI-gegevens eerder verwijderd dan verplicht door de nationale gezondheidswetgeving. De cd's waren onderdeel van de patiëntgegevens, aldus de AEPD.

Het grootste deel van de boete, een bedrag van 1 miljoen euro, werd opgelegd wegens het overtreden van Artikel 25 van de AVG. Het ziekenhuis had geen procedures voor het verwerken van door patiënten aangedragen gegevens en geen databescherming by design en default geïmplementeerd (pdf).

Reacties (6)
Reageer met quote
20-01-2026, 17:16 door Anoniem
Daarrrrrrrrrrrrrrrr gaan we weer: Halve verhalen!

De grote vraag blijft, waar gaat het geld naartoe?


De patient, als schadevergoeding?

Of de Staat, als boete?
Reageer met quote
20-01-2026, 18:12 door Anoniem
De patient kan nu met veroordeling makkelijker een schade vergoeding opeisen.
Bv vervangende CD's....
Reageer met quote
20-01-2026, 18:28 door Anoniem
Een Spaans ziekenhuis heeft een boete van 1,2 miljoen euro gekregen wegens het kwijtraken van cd's van een patiënt met medische data.

Uiteraard! Laat de patient bloeden voor wat het personeel doet! Straf de dader nooit! Dat is zo 80's.

Als het ziekenhuis een boete krijgt, kan het dit negeren. Het ziekenhuis is een stapel stenen. Maar het zal wel gaan om de algemene kas. Niet de kas van de dader. Die krijgt gewoon een standbeeld en een loonsverhoging voor de gedane zaken en ze gaan over tot de orde van de dag.

Sluit wel een beetje aan bij het beleid als je in Nederland geen geld hebt om je verplichte en uit de kluiten gewassen ziektekostenverzekering te betalen. Een stel ultra slimme mensen van het binnenhof dachten dat het dan een goed idee zou zijn om boetes op te leggen. Die logica lees ik hierboven ook.

Wanneer keer het oude "normaal" weer terug? Je weet wel, dat algemeen gedrag dat voor 1990 heel normaal was. De tijd dat je nog enigsinds kon uitleggen waarom een besluit werd genomen op het binnenhof.
Reageer met quote
21-01-2026, 09:48 door Ism Majhool - Bijgewerkt: 21-01-2026, 09:53
Door Anoniem:
Een Spaans ziekenhuis heeft een boete van 1,2 miljoen euro gekregen wegens het kwijtraken van cd's van een patiënt met medische data.

Uiteraard! Laat de patient bloeden voor wat het personeel doet! Straf de dader nooit! Dat is zo 80's.

Als het ziekenhuis een boete krijgt, kan het dit negeren. Het ziekenhuis is een stapel stenen. Maar het zal wel gaan om de algemene kas. Niet de kas van de dader. Die krijgt gewoon een standbeeld en een loonsverhoging voor de gedane zaken en ze gaan over tot de orde van de dag.

Sluit wel een beetje aan bij het beleid als je in Nederland geen geld hebt om je verplichte en uit de kluiten gewassen ziektekostenverzekering te betalen. Een stel ultra slimme mensen van het binnenhof dachten dat het dan een goed idee zou zijn om boetes op te leggen. Die logica lees ik hierboven ook.

Wanneer keer het oude "normaal" weer terug? Je weet wel, dat algemeen gedrag dat voor 1990 heel normaal was. De tijd dat je nog enigsinds kon uitleggen waarom een besluit werd genomen op het binnenhof.

Ik weet niet in welke wereld jij leeft, maar dit soort uitspraken laat juist zien dat organisaties gewezen worden op hun verantwoordelijkheden en dat er gevolgen zijn als die niet worden genomen. Dat was er niet onder de Wbp. Inhoudelijk vind ik het trouwens kort door de bocht van de Spaanse toezichthouder.

Zijn de jaren 80 nou wel of niet goed? Want je spreekt jezelf tegen.
Reageer met quote
21-01-2026, 09:51 door Ism Majhool
Door Anoniem: Daarrrrrrrrrrrrrrrr gaan we weer: Halve verhalen!

De grote vraag blijft, waar gaat het geld naartoe?


De patient, als schadevergoeding?

Of de Staat, als boete?

Hoezo halve verhalen? Iemand met een beetje kennis van GDPR weet dat het om bestuurlijke boetes gaat en dat die terugvloeien in de algemene middelen. Kun je bijvoorbeeld toezicht op privacy van betalen, of zorg...

De grote vraag is of je als toezichthouder een boete van 1,2m wilt geven aan een zorgverlener! Welke impact heeft dat (op alle Europese) zorgverleners?
Reageer met quote
22-01-2026, 10:18 door EersteEnigeEchte M.J. - EEEMJ
Door Ism Majhool:
Door Anoniem: Daarrrrrrrrrrrrrrrr gaan we weer: Halve verhalen!

De grote vraag blijft, waar gaat het geld naartoe?

De patient, als schadevergoeding?

Of de Staat, als boete?

Hoezo halve verhalen? Iemand met een beetje kennis van GDPR weet dat het om bestuurlijke boetes gaat en dat die terugvloeien in de algemene middelen. Kun je bijvoorbeeld toezicht op privacy van betalen, of zorg...

De grote vraag is of je als toezichthouder een boete van 1,2m wilt geven aan een zorgverlener! Welke impact heeft dat (op alle Europese) zorgverleners?

Daarom moet er een strafrechtelijke wet(swijziging) komen met daarin boetes voor individuele medewerkers die in functie slordig en onrechtmatig omgaan met persoonsgegevens, maar ook voor medewerkers die met een vals beroep op de AVG weigeren bepaalde persoonsgegevens te verwerken of weigeren om de betrokkene inzage te geven.

Plus: een laagdrempelige mogelijkheid voor particulieren (betrokkenen, burgers) om op dit punt van de verwerkingsverantwoordelijke schadevergoeding te eisen, waarbij ze geen risico lopen van enorme advocatenkosten.

Plus: een wet(swijziging) die het voor medewerkers mogelijk maakt om te weigeren om mee te doen aan praktijken van hun werkgever waarmee de AVG wordt geschonden, totdat er in hoogste instantie een oordeel is geveld of die praktijk inderdaad onrechtmatig is. Een soort "privacy-klokkenluidersregeling". Dat zal nog niet genoeg zijn, maar het kan wel helpen.

M.J.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components