Privacy
Hoge boete voor OLVG om privacy-lek
Het OLVG-ziekenhuis betaalt een boete van ruim vier ton aan de Autoriteit Persoonsgegevens vanwege een datalek. Dat is inmiddels verholpen, aldus het OLVG.
Het Amsterdamse ziekenhuis OLVG accepteert de boete van 440.000 euro die het heeft opgelegd gekregen van de Autoriteit Persoonsgegevens (AP). “Een hoge boete moet natuurlijk een afschrikreactie veroorzaken, maar dit bedrag is wel ontzettend veel voor een ziekenhuis”, zegt woordvoerder Elles in ’t Hout van het OLVG, dat meerdere vestigingen heeft, met in totaal zesduizend medewerkers. “En dat kunnen we nu niet aan zorg besteden.”
Volgens de AP heeft het ziekenhuis tussen 2018 en 2020 te weinig maatregelen genomen om toegang van onbevoegde medewerkers tot medische dossiers te voorkomen. Enkele tientallen werkstudenten die bij de administratie hielpen, bleken in patiëntendossiers te kunnen. Een moeder van een werkstudente had hierover zomer 2018 aan de bel getrokken, maar toch wist het ziekenhuis in februari van het volgende jaar nog steeds het datalek niet te herstellen. Daarop stapte de moeder naar de AP.
Die oordeelde dat het OLVG twee zaken moest verbeteren. Controle op het inkijken van patiëntendossiers en het invoeren van een zogeheten tweefactorautorisatie voor behandelaars. “Dat eerste is in 2019 direct opgelost. We zagen al wie wanneer een dossier raadpleegt, en dat kan de patiënt via ‘mijn OLVG’ nu zelf ook zien. En we houden vaker steekproeven op dit proces”, aldus de OLVG-woordvoerder. Ook is met de betrokken studenten gesproken en moeten nieuwe werkstudenten een privacyclausule tekenen.
Dilemma
Het invoeren van de techniek voor een dubbele autorisatie (behalve het wachtwoord ook een scancontrole met personeelspas of token) duurde technisch veel langer en was pas in maart vorig jaar af. Doordat de rapportageprocedure van de AP lang duurt, werd het boetebedrag pas gisteren bekendgemaakt.
“Je moet erop kunnen vertrouwen dat wat jij met de dokter bespreekt, in de spreekkamer blijft”, zegt AP-vicevoorzitter Monique Verdier. “Je moet er toch niet aan denken dat mensen die daar helemaal niets te zoeken hebben, zomaar in de aantekeningen van de dokter over jou en jouw ziekte kunnen rondneuzen. Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor de behandeling.”
In ’t Hout benadrukt het dilemma in de zorg. “Natuurlijk kijk je niet onnodig in dossiers. Alleen medische behandelaars kunnen dat. Enerzijds moeten wij de dossiers afdoende afschermen. Anderzijds moeten ze goed toegankelijk zijn wanneer dat nodig is. In een noodgeval moet een arts direct weten wat voor medicatie iemand gebruikt.”
Voorzitter Maurice van den Bosch van de raad van bestuur van het ziekenhuis is teleurgesteld dat het OLVG niet de kans kreeg de geconstateerde tekortkomingen op te lossen, alvorens een boete opgelegd te krijgen.
Lees ook:
Datalek GGD’en zorgt voor vertraging testuitslagen
Door extra veiligheidsmaatregelen bij de GGD’en lopen coronatestuitslagen vertraging op. Ook bron- en contactonderzoek zal langzamer verlopen. De GGD’s treffen de maatregelen vanwege het datalek dat deze week werd ontdekt.
