Is 'Barbieboete' wel verzekerd?

Euro's via Pixabay 2018

(door Peter Hartman, RiskFit Innovation) Juist van een ziekenhuis mag worden verwacht dat de persoonlijke en medische gegevens van een patiënt optimaal worden beschermd. Hoe anders blijkt de praktijk in het Haga Ziekenhuis (HZ). Jan en alleman konden de gegevens van Barbie inzien en velen hebben dat ook kennelijk gedaan. Hoe is dat mogelijk en waarom komt dit ziekenhuis haar verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG) niet na? Na uitgebreid onderzoek van de Autoriteit Persoonsgegevens (AP) stellen zij vast dat het nogal rammelt aan de privacybescherming. Reden waarom zij dit ziekenhuis een bestuurlijke boete hebben opgelegd van 460.000 euro.

Hard oordeel

Aanleiding voor het onderzoek is een melding van een datalek van het HZ op 4 april 2018. Het betreft een datalek waarbij door het HZ is geconstateerd dat 85 van haar medewerkers de medische gegevens van een patiënt hebben ingezien toen deze was opgenomen in het HZ, zonder daartoe bevoegd te zijn. Daar hebben deze medewerkers overigens een officiële waarschuwing voor gekregen.

De AP constateert na het onderzoek dat het HZ onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Het HZ handelt hierdoor in strijd met artikel 32 , eerste lid, aanhef, van de AVG. Dit artikel bepaalt dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om een op het risico voor betrokkene afgestemd beveiligingsniveau te waarborgen.

Uit het door het HZ zelf opgestelde rapport 'Onderzoek onrechtmatige inzage patiëntdossier' van mei 2018, blijkt dat de directie van het HZ op de hoogte was van de onbevoegde inzage van dit patiëntendossier. De aanbevolen maatregelen in dit rapport zijn echter niet adequaat geïmplementeerd. Daarom is de AP van oordeel dat het HZ in elk geval bijzonder nalatig is geweest in het treffen van deze elementaire maatregelen. Dit is niet alleen slecht voor de reputatie van dit ziekenhuis, maar geeft patiënten ook geen veilig gevoel. Hopelijk trekt het HZ maar mogelijk ook andere ziekenhuizen lessen uit dit kwalijke incident. Er zijn namelijk ook tips over andere ziekenhuizen bij de AP binnengekomen.

Stok achter de deur

Het HZ heeft uiteraard aangekondigd nu wel passende actie te nemen. Men verzet zich niet tegen de boete, maar vecht wel de hoogte daarvan aan. Op het moment dat de boete werd opgelegd, voldeed het ziekenhuis, ondanks de bevindingen van de AP, nog steeds niet aan de AVG. Daarom heeft de AP naast de bestuurlijke boete een last onder dwangsom opgelegd. Wanneer het ziekenhuis de overtreding van de AVG niet binnen vijftien weken beëindigt, volgt een dwangsom van 100.000 euro voor elke twee weken dat de overtreding voortduurt, met een maximum van 300.000 euro. Dus een behoorlijke stok achter de deur om alsnog orde op zaken te stellen.

Cyberverzekering

In de meeste Europese landen is het verzekeren van dit soort boetes niet toegestaan. In Nederland is dit niet expliciet verboden, hoewel de vraag is of dit de toets van onze ethische regels kan doorstaan. Toekomstige jurisprudentie zal dit mogelijk duidelijk maken. De Nederlandse cyberverzekeringen bieden over het algemeen een dekking voor dit soort boetes. Die dekking is vaak ongeconditioneerd en tot het maximum verzekerde bedrag van de polis. Dat is natuurlijk een prettige gedachte voor de verzekerde en een goed verkoopargument voor een cyberverzekering. Maar is het in dit specifieke geval ook verdedigbaar dat deze boete wordt uitgekeerd? Niet alleen heeft het HZ de wet overtreden, maar duidelijk er met de pet naar gegooid als het gaat om privacybescherming. En als die boete al zou moeten worden betaald, hoe zit het dan met de mogelijke vervolgdwangsom van maximaal 300.000 euro als het na vijftien weken nog niet is opgelost?

Lijkt mij voor cyberverzekeraars een goed moment om aan de hand van deze case vast te stellen hoe zij dit beoordelen in het kader van hun boetedekking. Daarbij dient niet alleen het belang van het HZ mee te wegen, maar ook het algemene belang van de overige cyberverzekerden die mogelijk consequenties ondervinden van de beslissing inzake het al dan niet vergoeden van deze boete en of dwangsom. En hoe leg je dit uit aan die andere verzekerden die wel hebben geïnvesteerd in een optimale privacybescherming? Deze boetedekking mag geen beloning worden voor bedrijven die zeer onzorgvuldig omgaan met persoonlijke gegevens en beveiligingsmaatregelen. De verzekeringswereld kent namelijk hetzelfde credo als de medische wereld: 'Voorkomen is beter dan genezen!'

Reactie toevoegen

Reacties

Ferd latour - Nee 30 augustus 2019

Begrijp ik nu goed dat je boetes die je krijgt omdat je wet en regels breekt kunt verzekeren? Als dat zo is is het onbehoorlijk en ontoelaatbaar. Per direct verbieden. Er mag hier geen willekeur zijn. Ook bij verkeersboetes of andere straffen geen verzekering die dat mag dekken m. i. Toch? Niet dan?

Meer over

AVG niet van toepassing op overleden personen

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op de gegevens van overleden personen. In dit opzicht vormt de AVG aldus geen beletsel voor...

Voor bescherming gezondheidsgegevens gelden zeer hoge eisen

Heeft u een of meer bekende Nederlanders als klant? Let er dan extra goed op dat u zich houdt aan de AVG. De Autoriteit Persoonsgegevens (AP) heeft het Haga Ziekenhuis...

SIVI: nieuwe verzuimstandaarden

SIVI heeft de essentiële informatie voor verzuimprocessen vastgelegd in twee nieuwe verzuimstandaarden, die alle ketenpartijen in staat stellen te voldoen aan...

Hoekstra: AP moet oordelen over gebruik klantgegevens

Het is aan de AP als toezichthouder om te oordelen over de rechtmatigheid van het voorgenomen gebruik van klantgegevens in individuele gevallen, zoals nu door ING....

Verwerken BSN onder AVG

Een financieel adviseur met het BSN van een klant alleen verwerken als dit voor het verrichten van een rechtshandeling noodzakelijk is en de klant de adviseur hiervoor...

AVG vertaald naar de dagelijkse adviespraktijk

Bettie Hoogsteen van Adfiz stond tijdens de bijeenkomst 'AVG één jaar later, waar staan we nu?' uitgebreid stil bij de verantwoordingsplicht...

Bijeenkomst 'AVG één jaar later; waar staan we nu?' op 23 mei

Tijdens de bijeenkomst 'AVG één jaar later; waar staan we nu?' op 23 mei presenteert DPO Network de uitkomsten van het AVG-onderzoek dat zij onder...

Meldingen datalekken 2018 verdubbeld

Het aantal meldingen van datalekken is fors toegenomen. Bij de Autoriteit Persoonsgegevens (AP) zijn in 2018 bijna 21.000 lekken gemeld, vergeleken met 10.000...

Automatisch delen klantinformatie wel degelijk mogelijk

Volgens Adfiz is automatisch delen van klantinformatie wel degelijk mogelijk onder de AVG. De organisatie roept adviseurs op er melding van te maken als aanbieders...

AVG steviger gehandhaafd na aanloopjaar

De Autoriteit Persoonsgegevens (AP) zet in 2019 steviger in op naleving van de AVG. Aldus de toezichthouder bij de publicatie van zijn jaarverslag op 4 april. AP-voorzitter...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

De bijdrage die Advieskeuze gaat leveren is het inzichtelijk maken welke financieel adviseurs daadwerkelijk en naar tevredenheid volgens consumenten actief aan klantbeheer doen.

Christian Bouter, Advieskeuze (nieuwe deelnemer Stichting Actief Klantbeheer)

Stelling

Financieel adviseur moet huiseigenaar beter informeren over financieren verduurzaming

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!

Is 'Barbieboete'​ wel verzekerd?

Reactie toevoegen

Reacties

Meer over

Is 'Barbieboete' wel verzekerd?