Boete OLVG voor onvoldoende beveiliging ingevolge de AVG

Studenten met een bijbaan bij het OLVG hebben, zo blijkt, jarenlang toegang tot de medische dossiers van patiënten van alle afdelingen. Er is daarmee sprake van toegang tot (bijzondere) persoonsgegevens. Ook blijkt dat die gegevens (bijvoorbeeld uit verveling) onbevoegd geraadpleegd worden, aldus NOS. Hiermee is sprake van een datalek in de zin van de Algemene Verordening Gegevensbescherming (“AVG”). OLVG nam in de zomer van 2018 naar eigen zeggen maatregelen om het datalek te dichten, maar dit blijkt onvoldoende. In februari 2019 kunnen de studenten namelijk nog steeds bij alle patiëntendossiers. Zowel in 2018 als in 2019 meldt OLVG het datalek bij de AP.

Naar aanleiding van de datalekmeldingen start de AP een onderzoek naar de beveiligingsmaatregelen van het OLVG. Het onderzoek richt zicht op de vraag of de technische en organisatorische maatregelen van OLVG ‘passend’ zijn om ongeoorloofde toegang tot elektronische patiëntendossiers te voorkomen.

Bij de toetsing of sprake is van een passend beveiligingsniveau beoordeelt de AP of de genomen maatregelen (voldoende) zijn afgestemd op de risico’s van de verwerkingsactiviteiten voor de rechten en vrijheden van betrokkenen. Hoe groter het risico, hoe zwaarder de eisen voor de beveiliging. Voor het bepalen van de risico’s weegt de AP de volgende omstandigheden mee.

• OLVG verwerkt bijzondere- en zeer gevoelige persoonsgegevens, namelijk gegevens over de gezondheid van patiënten; en
• In totaal verwerkt het OLVG een groot aantal persoonsgegevens van circa 500.000 patiënten.

De AP overweegt over de gegevens over de gezondheid: “Deze persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden.” Alhoewel het logisch klinkt dat het verwerken van complete patiëntendossiers een hoog risico met zich brengt, is het jammer dat de AP in dit besluit – met name in het licht van artikel 32 lid 2 AVG (1) – niet ingaat op wat precies die verwerkingsrisico’s zijn. Is dat een risico op fraude (door de aanwezigheid van het BSN in het patiëntendossier) en/of wellicht immateriële schade?

[1] Artikel 32 lid AVG luidt: “Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.”

In dit geval beoordeelt de AP dat OLVG de AVG heeft overtreden door onvoldoende passende maatregelen te hebben genomen. Zij had (I) tweefactor authenticatie moeten toepassen en (II) regelmatig logbestanden moeten beoordelen.

I.            Tweefactor authenticatie

Gezien de huidige stand van de techniek en de uitvoeringskosten afgewogen tegen het risico dat de verwerkingsactiviteiten met zich brengen, stelt de AP dat tweefactor authenticatie een passende maatregel is. OLVG maakt echter ten tijde van het onderzoek slechts gebruik van één factor authenticatie. De AP neemt in overweging dat het toepassen van tweefactor authenticatie als maatregel is opgenomen in algemeen geaccepteerde beveiligingstandaarden, waaraan OLVG zelf stelt zich te conformeren. Specifiek wordt verwezen naar de Nederlandse norm voor informatiebeveiliging in de zorg (NEN 7510, NEN 7512 en NEN 7513).

II.            Regelmatige controle logbestanden

In haar informatiebeveiligingsbeleid en loggingsbeleid stelt OLVG dat zij gebruik maakt van logging en dat de logbestanden “periodiek worden gecontroleerd op indicaties van onregelmatigheden of fouten zodat deze waar nodig bij voorkeur vroegtijdig kunnen worden ondervangen.” Zowel steekproefsgewijs als op incidentbasis zou deze controle plaats moeten vinden. Uit het onderzoek van de AP blijkt echter dat in de periode van januari 2018 t/m mei 2019 twee steekproeven en acht incidentele controles zijn uitgevoerd. Dit AP acht dit, gezien de risico’s van de verwerkingsactiviteiten, in een periode van 15,5 maanden onvoldoende. Opvallend is dat uit het boetebesluit blijkt dat slechts één keer en pas op 13 maart 2019 (na de tweede datalekmelding), een rapport is opgemaakt met een steekproef naar ‘break- the-glass’ (2) gebruik door de studenten. Het regelmatig controleren van logging wordt door de AP in dit geval ook beoordeeld als een passende maatregel gezien de stand van de techniek en de bijbehorende uitvoeringskosten. 

[2]Met ‘break-the-glass’ wordt ook wel gerefereerd aan noodknopprocedure, waarbij toegang tot gegevens kan worden geforceerd

Of dit de laatste boete is die de AP uitdeelt voor het ontbreken van twee factorauthenticatie en (controle op) logging is onzeker. Zo kwam een andere zorginstelling eind 2020 in de media omdat een secretaresse onbeperkt toegang had tot medische dossiers. Dit kwam aan het licht omdat de secretaresse het medisch dossier van de ex-vrouw van haar partner (en diens familie) raadpleegde om haar partner te voorzien van informatie over zijn ‘wraakroman’. In totaal bleek de secretaresse in vier jaar tijd 347 keer zichzelf onrechtmatig toegang te hebben verschaft tot het medisch dossier. Voor een zorginstelling moge het in ieder geval duidelijk zijn dat deze twee maatregelen essentieel zijn voor een goede bescherming van persoonsgegevens.

Twijfelt u of uw organisatie passende beveiligingsmaatregelen toepast? Neem contact op met Emiel de Joode voor meer informatie.