Is 'Barbieboete' wel verzekerd?

Euro's via Pixabay 2018

(door Peter Hartman, RiskFit Innovation) Juist van een ziekenhuis mag worden verwacht dat de persoonlijke en medische gegevens van een patiënt optimaal worden beschermd. Hoe anders blijkt de praktijk in het Haga Ziekenhuis (HZ). Jan en alleman konden de gegevens van Barbie inzien en velen hebben dat ook kennelijk gedaan. Hoe is dat mogelijk en waarom komt dit ziekenhuis haar verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG) niet na? Na uitgebreid onderzoek van de Autoriteit Persoonsgegevens (AP) stellen zij vast dat het nogal rammelt aan de privacybescherming. Reden waarom zij dit ziekenhuis een bestuurlijke boete hebben opgelegd van 460.000 euro.

Hard oordeel

Aanleiding voor het onderzoek is een melding van een datalek van het HZ op 4 april 2018. Het betreft een datalek waarbij door het HZ is geconstateerd dat 85 van haar medewerkers de medische gegevens van een patiënt hebben ingezien toen deze was opgenomen in het HZ, zonder daartoe bevoegd te zijn. Daar hebben deze medewerkers overigens een officiële waarschuwing voor gekregen.

De AP constateert na het onderzoek dat het HZ onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Het HZ handelt hierdoor in strijd met artikel 32 , eerste lid, aanhef, van de AVG. Dit artikel bepaalt dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om een op het risico voor betrokkene afgestemd beveiligingsniveau te waarborgen.

Uit het door het HZ zelf opgestelde rapport 'Onderzoek onrechtmatige inzage patiëntdossier' van mei 2018, blijkt dat de directie van het HZ op de hoogte was van de onbevoegde inzage van dit patiëntendossier. De aanbevolen maatregelen in dit rapport zijn echter niet adequaat geïmplementeerd. Daarom is de AP van oordeel dat het HZ in elk geval bijzonder nalatig is geweest in het treffen van deze elementaire maatregelen. Dit is niet alleen slecht voor de reputatie van dit ziekenhuis, maar geeft patiënten ook geen veilig gevoel. Hopelijk trekt het HZ maar mogelijk ook andere ziekenhuizen lessen uit dit kwalijke incident. Er zijn namelijk ook tips over andere ziekenhuizen bij de AP binnengekomen.

Stok achter de deur

Het HZ heeft uiteraard aangekondigd nu wel passende actie te nemen. Men verzet zich niet tegen de boete, maar vecht wel de hoogte daarvan aan. Op het moment dat de boete werd opgelegd, voldeed het ziekenhuis, ondanks de bevindingen van de AP, nog steeds niet aan de AVG. Daarom heeft de AP naast de bestuurlijke boete een last onder dwangsom opgelegd. Wanneer het ziekenhuis de overtreding van de AVG niet binnen vijftien weken beëindigt, volgt een dwangsom van 100.000 euro voor elke twee weken dat de overtreding voortduurt, met een maximum van 300.000 euro. Dus een behoorlijke stok achter de deur om alsnog orde op zaken te stellen.

Cyberverzekering

In de meeste Europese landen is het verzekeren van dit soort boetes niet toegestaan. In Nederland is dit niet expliciet verboden, hoewel de vraag is of dit de toets van onze ethische regels kan doorstaan. Toekomstige jurisprudentie zal dit mogelijk duidelijk maken. De Nederlandse cyberverzekeringen bieden over het algemeen een dekking voor dit soort boetes. Die dekking is vaak ongeconditioneerd en tot het maximum verzekerde bedrag van de polis. Dat is natuurlijk een prettige gedachte voor de verzekerde en een goed verkoopargument voor een cyberverzekering. Maar is het in dit specifieke geval ook verdedigbaar dat deze boete wordt uitgekeerd? Niet alleen heeft het HZ de wet overtreden, maar duidelijk er met de pet naar gegooid als het gaat om privacybescherming. En als die boete al zou moeten worden betaald, hoe zit het dan met de mogelijke vervolgdwangsom van maximaal 300.000 euro als het na vijftien weken nog niet is opgelost?

Lijkt mij voor cyberverzekeraars een goed moment om aan de hand van deze case vast te stellen hoe zij dit beoordelen in het kader van hun boetedekking. Daarbij dient niet alleen het belang van het HZ mee te wegen, maar ook het algemene belang van de overige cyberverzekerden die mogelijk consequenties ondervinden van de beslissing inzake het al dan niet vergoeden van deze boete en of dwangsom. En hoe leg je dit uit aan die andere verzekerden die wel hebben geïnvesteerd in een optimale privacybescherming? Deze boetedekking mag geen beloning worden voor bedrijven die zeer onzorgvuldig omgaan met persoonlijke gegevens en beveiligingsmaatregelen. De verzekeringswereld kent namelijk hetzelfde credo als de medische wereld: 'Voorkomen is beter dan genezen!'

Reactie toevoegen

Reacties

Ferd latour - Nee 30 augustus 2019

Begrijp ik nu goed dat je boetes die je krijgt omdat je wet en regels breekt kunt verzekeren? Als dat zo is is het onbehoorlijk en ontoelaatbaar. Per direct verbieden. Er mag hier geen willekeur zijn. Ook bij verkeersboetes of andere straffen geen verzekering die dat mag dekken m. i. Toch? Niet dan?

Meer over

Strafrechtelijke veroordeling mocht worden genoemd maar niet verwerkt

(Rechtspraak) Promovendum mocht tegenover een klant refereren aan de strafrechtelijke veroordeling van de contra-expert die de klant wilde inschakelen. Promovendum...

Boete BKR wegens overtreden AVG was terecht

(Rechtspraak) De Autoriteit Persoonsgegevens heeft BKR terecht een boete opgelegd vanwege twee overtredingen van de AVG. Wel matigt de Rechtbank Gelderland de boete. De...

Privacy statements sites kleine financiële dienstverleners vaak niet op orde

Uit een steekproef van Stichting AVG blijkt dat bijna 30 procent van de geanalyseerde websites het privacy statement op de website niet op orde heeft. De steekproef...

Wft en AVG botsen

(Financieel adviseur Chris de Bruin, Bureau mr. de Bruin, in VVP 3-2022) Gij zult nazorg leveren! In dit artikel stel ik aan de orde welke (juridische) problemen...

Eigendomsbegrip niet gehanteerd voor persoonlijke gegevens

Een privaatrechtelijke borging van zeggenschap over persoonsgegevens levert de burger niet meer houvast op dan AVG en publiekrecht of consumentenbeschermingsrecht...

Onbewerkte kopie van ID-bewijs vastleggen in strijd met AVG

(Kifid-uitspraak GC 2022-0013) De bank mag voor het identificeren en verifiëren van de identiteit van een klant een onbewerkte kopie van het ID-bewijs verlangen....

PG: kredietregistratie niet aan juiste artikel getoetst

(Rechtspraak) Het bepaalde in art. 6 lid 1, aanhef en onder c, AVG leent zich volgens de Procureur-Generaal bij de Hoge Raad der Nederlanden - bij de huidige stand...

“Vaccinatieregistratie zorg is glijdende schaal”

De vakbonden zijn niet te spreken over het kabinetsvoornemen werkgevers in de zorg de mogelijkheid te geven om de vaccinatiestatus van werknemers te registeren....

Schending privacy leidt niet tot schadevergoeding

(Kifid-uitspraak GC 2021-0778) De adviseur heeft de privacy van de consumenten geschonden doordat hij na de beëindiging van de adviesovereenkomst contact heeft...

ARAG helpt horecaondernemers AVG-proof gasten te registreren

Om horecaondernemers te helpen gasten geheel in lijn met AVG-wetgeving te registreren, heeft ARAG samen met JanusID het initiatief genomen voor MijnGastenlijst.nl....

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Een succesvolle innovatie-adoptie beging met 'CEO-sponsorship'

Dennie van den Biggelaar (Onesurance) in VVP 2

Stelling

CFD adviseert terecht om niet te werken met een fijnmazig gemiddelde

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!

Is 'Barbieboete'​ wel verzekerd?

Reactie toevoegen

Reacties

Meer over

Is 'Barbieboete' wel verzekerd?