Boete voor OLVG

De Autoriteit Persoonsgegevens (AP) maakte op 11 februari bekend dat ze het OLVG in Amsterdam een bestuurlijke boete van 440.000 euro heeft opgelegd. 

Tekst: Katrijn van Berkum en Timo van Oosterhout

Het OLVG heeft in de periode tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Er was sprake van onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen. Inmiddels heeft het OLVG de vereiste verbeteringen doorgevoerd.
Er was sprake van twee overtredingen:

  • Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang.
  • Bij een goede beveiliging hoort authenticatie met ten minste twee factoren. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas. Het OLVG maakte in het ziekenhuis geen gebruik van deze tweefactor-authenticatie. Inloggen buiten het ziekenhuis ging wel via tweefactor-authenticatie.

Veel datalekken 

AP-vicevoorzitter Monique Verdier merkt op dat de AP juist in de zorg, waar de gevoeligste persoonsgegevens in de systemen staan, veel datalekken ziet. Volgens Verdier staat de zorg de afgelopen jaren steeds in de top 3 van sectoren met de meeste datalekken. Mensen moeten erop kunnen vertrouwen dat hun gegevens veilig zijn. Patiënten delen veel gegevens met zorginstellingen. Dat is ook nodig. Door de coronacrisis misschien wel meer dan ooit. 

De AP roept ziekenhuizen en andere zorginstellingen dan ook op heel goed na te gaan hoe zij de bescherming van de gegevens van patiënten geregeld hebben en deze waar nodig te verbeteren. Zie ook autoriteitpersoonsgegevens.nl.

Senior jurist Katrijn van Berkum en advocaat Timo van Oosterhout zijn werkzaam bij stichting VvAA Rechtsbijstand