De boete opgelegd door AP vanwege onvoldoende maatregelen ter beveiliging van medische gegevens.

Toezicht AP op zorginstellingen

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de AVG. De AP heeft in haar Toezichtkader 2018-2019 aangegeven dat zij zich de komende periode onder andere zal richten op de beveiliging van medische gegevens in de gezondheidszorgsector.

 

Inmiddels heeft de AP al een aantal ziekenhuizen met een bezoek vereerd. Bij één van de ziekenhuizen heeft dit geresulteerd in een bestuurlijke boete van € 460.000,-. Het ziekenhuis zou onvoldoende passende maatregelen hebben genomen ter beveiliging van medische gegevens. Naast de bestuurlijke boete heeft de AP het ziekenhuis een last onder dwangsom opgelegd. Het ziekenhuis dient binnen vijftien weken na het besluit ervoor zorg te dragen dat:

  1. toegang tot medische gegevens uitsluitend mogelijk is met toepassing van twee-factor authenticatie, en
  2. logbestanden regelmatig worden gecontroleerd op onrechtmatige toegang of onrechtmatig gebruik van medische gegevens.

 

Indien het ziekenhuis binnen vijftien weken hieraan niet voldoet, dan verbeurt het ziekenhuis een dwangsom van € 100.000,- voor iedere twee weken na afloop van de vijftien weken termijn dat het ziekenhuis niet voldoet aan de last onder dwangsom tot een maximum van € 300.000,-.
Het ziekenhuis kan tegen deze bestuurlijke boete en last onder dwangsom nog bezwaar en beroep aantekenen.

Passend beveiligingsniveau: zware beveiligingsmaatregelen noodzakelijk

Zorginstellingen dienen op grond van de AVG ‘passende technische en organisatorische maatregelen’ te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Dat betekent dat de maatregelen in verhouding dienen te staan tot het soort gegevens en de bijbehorende risico’s. Aangezien bij een zorginstelling medische gegevens worden verwerkt die behoren tot een bijzondere categorie van persoonsgegevens, wordt het verwerken van deze gegevens in een elektronisch patiëntendossier (EPD) als risicovol aangemerkt. Daarom wordt van zorginstellingen bij de bescherming van medische gegevens verwacht dat zij zware beveiligingsmaatregelen treffen.

NEN 7510, 7512 en 7513

Op grond van het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ dienen zorgaanbieders overeenkomstig het bepaalde in de NEN normen 7510 en 7512 zorg te dragen voor een veilig en zorgvuldig gebruik van een zorginformatiesysteem (zoals een EPD) en dat de logging voldoet aan het bepaalde in NEN 7513. Deze NEN normen geven invulling aan de uitwerking van een passend beveiligingsniveau. In de NEN 7510 is onder meer bepaald:

  • dat een EPD de identiteit van degene die het EPD gebruikt behoort vast te stellen. Dit behoort te worden gedaan door middel van authenticatie, waarbij ten minste twee factoren betrokken worden. Dit betekent dat voor toegang tot een EPD authenticatie dient plaats te vinden door iets wat een gebruiker weet, zoals een wachtwoord, én iets wat een gebruiker heeft, zoals een token. Op deze manier wordt met twee factoren gewaarborgd dat alleen gebruikers die daartoe bevoegd zijn, ook toegang krijgen tot een EPD met medische gegevens.
  • dat logbestanden dienen te worden gemaakt van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. Deze logbestanden dienen te worden bewaard en regelmatig te worden beoordeeld. De beoordeling van logbestanden is relevant, aangezien aan de hand daarvan kan worden achterhaald wie toegang had tot een patiëntendossier en of diegene daartoe wel bevoegd was.

Standpunt AP

De AP heeft onderzocht of het ziekenhuis aan deze bepalingen uit NEN 7510 en 7513 voldoet.

 

Gebruikers van het EPD kunnen in het onderzochte ziekenhuis zowel met een personeelspas en een wachtwoord inloggen als zonder personeelspas. Doordat het ook mogelijk is met één factor de identiteit van de gebruiker vast te stellen, realiseert het ziekenhuis volgens de AP geen passend beveiligingsniveau. Dit is van belang voor de praktijk omdat veel zorginstellingen nog niet (volledig) gebruik maken van twee-factor authenticatie.

 

Het ziekenhuis heeft volgens de AP een autorisatiebeleid waarbij eens per twee maanden één patiëntendossier wordt gecontroleerd. In 2018 heeft het ziekenhuis volgens de AP maar één proactieve steekproef uitgevoerd. Daarmee heeft het ziekenhuis niet conform haar eigen autorisatiebeleid gehandeld. Bovendien is volgens de AP zowel de door het ziekenhuis feitelijk uitgevoerde controle als de omvang van de controle zoals opgenomen in het autorisatiebeleid van het ziekenhuis onvoldoende. De AP verwijst voor de invulling van de norm over controle van de logging naar een rapport van het College Bescherming Persoonsgegevens (de voorganger van de AP) uit 2013 naar aanleiding van een onderzoek bij negen zorginstellingen. In dat rapport wordt aangegeven dat er sprake dient te zijn van een ‘systematische, consequente controle van alle logging’. Een steekproefsgewijze controle en/of controle op basis van klachten is volgens de AP dan ook niet voldoende.

 

Voor zorginstellingen is onduidelijk hoeveel patiëntendossiers bij een dergelijke controle betrokken dienen te worden. Volgens de AP dient daarvoor gekeken te worden naar de omvang van een zorginstelling, het aantal patiënten dat wordt behandeld en daarmee gepaard gaand de schaal op basis waarvan medische gegevens worden verwerkt. De door de AP genoemde criteria zijn echter weinig concreet, zodat zorginstellingen in de praktijk nog altijd niet goed weten wanneer ze voldoen aan de norm met betrekking tot de controle van logbestanden. Wel is van belang om steeds volgens het eigen autorisatiebeleid te handelen.

Hoe kunnen we u helpen?

Heeft u hierover vragen, neemt u dan contact op met de experts van de Marktgroep Zorg van Nysingh, die u hierover kunnen adviseren.
Wij begeleiden zorginstellingen bij een onderzoek van de AP, adviseren over het toepassen van de NEN normen en tekenen zo nodig bezwaar en beroep voor u aan.