De rechtbank in Den Haag heeft de AVG-boete die de Autoriteit Persoonsgegevens in 2019 aan het HagaZiekenhuis oplegde verlaagd van 460.000 naar 350.000 euro. Het ziekenhuis kreeg de boete opgelegd wegens het slecht beveiligen van de medische dossiers van patiënten, waarmee het de Algemene verordening gegevensbescherming (AVG) had overtreden.

In 2018 kwam het HagaZiekenhuis in het nieuws nadat 85 medewerkers onrechtmatig het dossier van Samantha de Jong, beter bekend als Barbie, hadden ingezien. Zij hadden geen behandel- of zorgrelatie met De Jong, maar bekeken toch het dossier. De medewerkers kregen een officiële waarschuwing. Voor allen was dit de eerste waarschuwing.

Naar aanleiding van het incident stelde de Autoriteit Persoonsgegevens een onderzoek in. Uit het onderzoek van de privacytoezichthouder bleek dat de beveiliging van patiëntendossiers op twee punten te kort schoot. Het ziekenhuis controleerde niet regelmatig genoeg welke medewerkers welk dossiers inzagen. Daarnaast moest het ziekenhuis het authenticeren van gebruikers die toegang tot een medisch dossier willen beter regelen.

Het HagaZiekenhuis ging bij de Autoriteit Persoonsgegevens tegen de boete in beroep, maar het bezwaar werd vorig jaar door de toezichthouder ongegrond verklaard. Daarop stapte het ziekenhuis naar de rechter. Op de meeste punten wordt het verweer van het ziekenhuis door de rechter van tafel geveegd. Het ziekenhuis vindt echter gehoor wanneer het gaat over de hoogte van de boete.

De boete van de Autoriteit Persoonsgegevens bestaat uit een basisboete van 310.000 euro die vanwege de “aard, ernst en duur van de inbreuk” met twee keer 75.000 euro is verhoogd, tot een bedrag van 460.000 euro. De rechter stelt dat de AP in haar recht staat om de basisboete te verhogen, maar vindt dat een verhoging met tweemaal 75.000 euro tot een boetebedrag leidt dat niet evenredig is.

Daarbij houdt de rechter rekening met het feit dat het ziekenhuis wel maatregelen heeft genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier werden ingezien door onbevoegde medewerkers, zoals onder meer de invoering van een extra waarschuwing die in beeld komt als een medewerker een dossier opent, de verplichtstelling van een e-learningcursus voor alle medewerkers die toegang hebben tot het elektronische patiëntendossier, de aanscherping van de arbeidsovereenkomsten en het waar mogelijk aanscherpen van autorisaties.

Tevens heeft het ziekenhuis nog tijdens de bezwaarfase maatregelen genomen om te voldoen aan de AVG, zoals de implementatie van tweefactorauthenticatie en het intensiveren van de logging. Volgens de rechter laten deze maatregelen zien dat het ziekenhuis bereid was om met de problemen in de organisatie aan de slag te gaan en nuanceert dit de nalatigheid die het ziekenhuis wordt verweten. De Autoriteit Persoonsgegevens heeft hier echter geen rekening mee gehouden, ging de rechter verder. Die stelt dat de opgelegde boete in dit geval leidt tot een onevenredige sanctie en dat matiging van de boete tot een bedrag van 350.000 euro passend en geboden is. “Verweerder heeft de boete ten onrechte niet gematigd”, concludeert de rechter.

Source