Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren legt de AP het HagaZiekenhuis tegelijkertijd een last onder dwangsom op. Als het HagaZiekenhuis de beveiliging niet voor 2 oktober 2019 verbeterd heeft, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het Haagse ziekenhuis heeft inmiddels aangegeven maatregelen te nemen.
“De AP vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent”, zegt Aleid Wolfsen, voorzitter van de AP.
De AP liet in april van dit jaar een onderzoek instellen naar mogelijke privacy-schending in het HagaZiekenhuis (Den Haag). De toezichthouder wilde weten of er ongeoorloofd door medewerkers van het ziekenhuis is gekeken in het medisch dossier van reality-ster Samantha de Jong (Barbie). Dat er via het elektronisch patiëntendossier (EPD) van Chipsoft inzage is geweest in het dossier van de vrouw, bleek al uit onderzoek van het ziekenhuis zelf.
Onvoldoende maatregelen op twee punten
Volgens het AP heeft het HagaZiekenhuis op twee onderdelen onvoldoende beveiligingsmaatregelen getroffen. Ten eerste moet het ziekenhuis regelmatig controleren wie welk dossier raadpleegt. Op deze manier kan het ziekenhuis tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en daartegen maatregelen nemen.
Daarnaast hoort bij een goede beveiliging authenticatie waarbij ten minste twee factoren betrokken worden. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.
Slimme software
Het HagaZiekenhuis maakt gebruik van zogeheten twee factor-authenticatie. Medewerkers loggen in met een gebruikersnaam en wachtwoord of met hun persoonlijke personeelspas en pincode. Die pincode moet nu al elke vier uur opnieuw worden ingetikt. De AP vindt dat te weinig. Daarom wordt de authenticatie zo aangepast, dat medewerkers bij elke inlog ook hun persoonlijke pincode moeten intikken en het niet meer mogelijk is om zonder pas in te loggen. De eerste aanpassingen zijn al doorgevoerd.
"Veel is op orde. De eis om de authenticatie aan te scherpen, voeren we nu in. De AP eist ook dat we meer controles van de logging gaan uitvoeren. Dat doen we tot nu toe handmatig en dat is tijdrovend. Daar zoeken we nu slimme software voor om het sneller en vaker te kunnen doen. Daarnaast blijven we natuurlijk onze medewerkers continu informeren over het belang van de bescherming van patiëntgegevens”, laat directievoorzitter van het HagaZiekenhuis Carla van de Wiel weten.
Van De Wiel zegt het ‘zuur’ te vinden dat het opgelegde boetebedrag nu niet aan patiëntenzorg kan worden besteed. Het ziekenhuis doet er naar eigen zeggen nu alles aan om de dwangsom waarmee de AP dreigt, te vermijden.
