Onderneming en Recht

Opnieuw hoge boete opgelegd na privacyschending

De Autoriteit Persoonsgegevens (AP) heeft het OLVG, een ziekenhuis in Amsterdam, een boete van maar liefst € 440.000 opgelegd na een grootschalige schending van de privacy. In de periode van 2018 tot en met 2020 zijn er namelijk onvoldoende maatregelen genomen om onbevoegde medewerkers de toegang tot medische dossiers te ontzeggen. Er werd niet gecontroleerd wie een dossier bekeken had en de computersystemen waren ook onvoldoende beveiligd. Omdat er niet alleen medische gegevens waren opgeslagen, maar ook burgerservicenummers, was het risico op identiteitsfraude en phishing groot, aldus de AP.

De AP acht het noodzakelijk dat regelmatig wordt gecontroleerd wie welk dossier raadpleegt – en dat er wordt opgetreden bij signalen dat iemand dit doet, terwijl daar geen noodzaak voor is. Alleen het kunnen controleren, bijvoorbeeld via logging, is daarbij niet voldoende. Daarnaast is een goed beveiligingssysteem bij dit soort gegevensverwerkingen ten minste uitgerust met een twee-factorauthenticatie, zodat er bij het inloggen bijvoorbeeld naast een wachtwoord ook een sms-code moet worden ingevoerd. Zowel wanneer er intern als extern wordt ingelogd. Inmiddels heeft het OLVG deze zaken op orde gebracht. Voor meer informatie kun je contact opnemen met mr. Melanie Hermes, Juridisch adviseur arbeids- en privacyrecht, tel. 038-456 1900, m.hermes@fiscount.nl