Patiëntgegevens voldoende beveiligd?

Juristen en advocaten van VvAA ondersteunen leden bij uiteenlopende problemen.

Een zorgorganisatie heeft de toegang tot het elektronisch patiëntendossier beveiligd door de medewerkers een persoonsgebonden gebruikersnaam en wachtwoord te geven. Daarmee kunnen zij inloggen en dus het patiëntendossier inzien en bijhouden. De vraag is of hiermee wordt voldaan aan de eis van de AVG (Algemene Verordening Gegevensbescherming) dat persoonsgegevens voldoende beveiligd moeten zijn.

Antwoord

Shirin-Slabbers
Shirin Slabbers is juridisch adviseur gezondheidsrecht
bij VvAA Juridisch Advies en Rechtsbijstand

Het antwoord luidt ontkennend. Deze werkwijze kan de organisatie duur komen te staan, zoals het OLVG recentelijk heeft ondervonden. De Autoriteit Persoonsgegevens (AP) legde dit Amsterdamse ziekenhuis recentelijk een boete op van 440.000 euro. Op grond van artikel 32 van de AVG dient de verwerkingsverantwoordelijke (lees: de zorgorganisatie) passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Naarmate de gegevens een gevoeliger karakter hebben of de context waarin zij worden gebruikt een grotere bedreiging vormt voor de persoonlijke levenssfeer van betrokkenen, worden er zwaardere eisen gesteld aan de beveiliging van gegevens.

Gezien de gevoelige aard van gezondheidsgegevens moet bij de toegang tot persoonsgegevens in elektronische patiëntendossiers een tweefactor-authenticatie worden geregeld. De combinatie van een gebruikersnaam en wachtwoord wordt gezien als (slechts) één factor. Daarnaast moet worden gebruikgemaakt van een pas, token of andere tweede factor. Een dergelijke beveiligingsmaatregel acht de AP passend, gezien de huidige stand van de techniek en de uitvoeringskosten. Daarbij neemt de AP in aanmerking dat algemeen geaccepteerde beveiligingsstandaarden, zoals de Nederlandse norm voor informatiebeveiliging in de zorg (zie met name de NEN 7510, NEN 7512 en NEN 7513), tweefactorauthenticatie voorschrijven.

Het is niet voldoende dat de ruimte waar de computer staat niet voor onbevoegden toegankelijk is

Het is overigens niet voldoende dat de ruimte waar de computer staat niet voor onbevoegden toegankelijk is, bijvoorbeeld omdat iemand met een pas of sleutel moet binnenkomen. Indien de toegang tot de ruimte belast is met een authenticatie via een persoonlijke pas, maar de computer zelf niet met een tweefactor-authenticatie, dan is de kans groter dat medewerkers die wel bevoegd zijn tot de ruimte (zoals schoonmakers) maar niet tot de elektronische patiëntendossiers, toegang kunnen krijgen tot deze dossiers.

De tweede omissie die leidde tot genoemde boete, is dat het OLVG onvoldoende systematisch en frequent de logging van de medewerkers controleerde (kijken medewerkers zonder noodzaak in een medisch dossier?). Een steekproefsgewijze controle en/of controle op basis van klachten is niet voldoende. Volgens de AP volgt deze controleverplichting ook uit artikel 32 van de AVG.