Autoriteit Persoonsgegevens legt eerste boete onder de AVG op aan HagaZiekenhuis

19-07-2019

De Autoriteit Persoonsgegevens ("AP") heeft aan Stichting HagaZiekenhuis ("HagaZiekenhuis") een bestuurlijke boete opgelegd van € 460.000,--, in combinatie met een dwangsom, omdat de beveiliging van het HagaZiekenhuis niet voldoet aan de Algemene verordening gegevensbescherming (AVG).

De aanleiding van het onderzoek van de AP was een datalek dat op 4 april 2018 door het HagaZiekenhuis aan de AP is gemeld. 85 medewerkers van het HagaZiekenhuis bleken het medische dossier van een bekende Nederlander te hebben ingezien. Hierop startte de AP een onderzoek, dat zich voornamelijk richtte op de vraag of het HagaZiekenhuis de medische dossiers van haar patiënten passend heeft beveiligd.

Uit het onderzoek bleek dat in de periode van januari 2018 tot op heden niet voldoende passende beveiligingsmaatregelen door het HagaZiekenhuis zijn genomen, omdat (i) niet in alle gevallen gebruik werd gemaakt van tweefactor authenticatie, en (ii) logbestanden niet regelmatig werden gecontroleerd.

De AP heeft besloten een boete van € 460.000,-- op te leggen aan het HagaZiekenhuis. Deze boete is hoger dan de basisboete van EUR 310.000,-- op grond van de Boetebeleidsregels 2019. Deze basisboete mag worden verlaagd of verhoogd door de AP afhankelijk van de omstandigheden, zoals uiteengezet in de Boetebeleidsregels. Gelet op de ernst van de voortdurende overtreding en de nalatige aard van de inbreuk is de AP van mening dat de basisboete met € 150.000,-- moet worden verhoogd.

Het HagaZiekenhuis heeft voorts tot en met 1 oktober 2019 de tijd om haar beveiliging te verbeteren. De AP heeft voorts een dwangsom van € 100.000,-- opgelegd voor elke twee weken na 2 oktober 2019, dat niet aan het vereiste beveiligingsniveau is voldaan, met een maximum van € 300.000,--.

De Raad van Bestuur van het HagaZiekenhuis heeft besloten in bezwaar te gaan tegen dit boetebesluit, waarbij zij niet de boete zelf maar de hoogte daarvan aanvecht. Tevens geeft het HagaZiekenhuis aan in ieder geval vóór 2 oktober 2019 te zullen voldoen aan de vereiste beveiligingsmaatregelen.

Dit is een Legal Update van Elze 't Hart

Download als pdf

Specialist(en)