Is 'Barbieboete' wel verzekerd?

Euro's via Pixabay 2018

(door Peter Hartman, RiskFit Innovation) Juist van een ziekenhuis mag worden verwacht dat de persoonlijke en medische gegevens van een patiënt optimaal worden beschermd. Hoe anders blijkt de praktijk in het Haga Ziekenhuis (HZ). Jan en alleman konden de gegevens van Barbie inzien en velen hebben dat ook kennelijk gedaan. Hoe is dat mogelijk en waarom komt dit ziekenhuis haar verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG) niet na? Na uitgebreid onderzoek van de Autoriteit Persoonsgegevens (AP) stellen zij vast dat het nogal rammelt aan de privacybescherming. Reden waarom zij dit ziekenhuis een bestuurlijke boete hebben opgelegd van 460.000 euro.

Hard oordeel

Aanleiding voor het onderzoek is een melding van een datalek van het HZ op 4 april 2018. Het betreft een datalek waarbij door het HZ is geconstateerd dat 85 van haar medewerkers de medische gegevens van een patiënt hebben ingezien toen deze was opgenomen in het HZ, zonder daartoe bevoegd te zijn. Daar hebben deze medewerkers overigens een officiële waarschuwing voor gekregen.

De AP constateert na het onderzoek dat het HZ onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Het HZ handelt hierdoor in strijd met artikel 32 , eerste lid, aanhef, van de AVG. Dit artikel bepaalt dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om een op het risico voor betrokkene afgestemd beveiligingsniveau te waarborgen.

Uit het door het HZ zelf opgestelde rapport 'Onderzoek onrechtmatige inzage patiëntdossier' van mei 2018, blijkt dat de directie van het HZ op de hoogte was van de onbevoegde inzage van dit patiëntendossier. De aanbevolen maatregelen in dit rapport zijn echter niet adequaat geïmplementeerd. Daarom is de AP van oordeel dat het HZ in elk geval bijzonder nalatig is geweest in het treffen van deze elementaire maatregelen. Dit is niet alleen slecht voor de reputatie van dit ziekenhuis, maar geeft patiënten ook geen veilig gevoel. Hopelijk trekt het HZ maar mogelijk ook andere ziekenhuizen lessen uit dit kwalijke incident. Er zijn namelijk ook tips over andere ziekenhuizen bij de AP binnengekomen.

Stok achter de deur

Het HZ heeft uiteraard aangekondigd nu wel passende actie te nemen. Men verzet zich niet tegen de boete, maar vecht wel de hoogte daarvan aan. Op het moment dat de boete werd opgelegd, voldeed het ziekenhuis, ondanks de bevindingen van de AP, nog steeds niet aan de AVG. Daarom heeft de AP naast de bestuurlijke boete een last onder dwangsom opgelegd. Wanneer het ziekenhuis de overtreding van de AVG niet binnen vijftien weken beëindigt, volgt een dwangsom van 100.000 euro voor elke twee weken dat de overtreding voortduurt, met een maximum van 300.000 euro. Dus een behoorlijke stok achter de deur om alsnog orde op zaken te stellen.

Cyberverzekering

In de meeste Europese landen is het verzekeren van dit soort boetes niet toegestaan. In Nederland is dit niet expliciet verboden, hoewel de vraag is of dit de toets van onze ethische regels kan doorstaan. Toekomstige jurisprudentie zal dit mogelijk duidelijk maken. De Nederlandse cyberverzekeringen bieden over het algemeen een dekking voor dit soort boetes. Die dekking is vaak ongeconditioneerd en tot het maximum verzekerde bedrag van de polis. Dat is natuurlijk een prettige gedachte voor de verzekerde en een goed verkoopargument voor een cyberverzekering. Maar is het in dit specifieke geval ook verdedigbaar dat deze boete wordt uitgekeerd? Niet alleen heeft het HZ de wet overtreden, maar duidelijk er met de pet naar gegooid als het gaat om privacybescherming. En als die boete al zou moeten worden betaald, hoe zit het dan met de mogelijke vervolgdwangsom van maximaal 300.000 euro als het na vijftien weken nog niet is opgelost?

Lijkt mij voor cyberverzekeraars een goed moment om aan de hand van deze case vast te stellen hoe zij dit beoordelen in het kader van hun boetedekking. Daarbij dient niet alleen het belang van het HZ mee te wegen, maar ook het algemene belang van de overige cyberverzekerden die mogelijk consequenties ondervinden van de beslissing inzake het al dan niet vergoeden van deze boete en of dwangsom. En hoe leg je dit uit aan die andere verzekerden die wel hebben geïnvesteerd in een optimale privacybescherming? Deze boetedekking mag geen beloning worden voor bedrijven die zeer onzorgvuldig omgaan met persoonlijke gegevens en beveiligingsmaatregelen. De verzekeringswereld kent namelijk hetzelfde credo als de medische wereld: 'Voorkomen is beter dan genezen!'

Reactie toevoegen

Reacties

Ferd latour - Nee 30 augustus 2019

Begrijp ik nu goed dat je boetes die je krijgt omdat je wet en regels breekt kunt verzekeren? Als dat zo is is het onbehoorlijk en ontoelaatbaar. Per direct verbieden. Er mag hier geen willekeur zijn. Ook bij verkeersboetes of andere straffen geen verzekering die dat mag dekken m. i. Toch? Niet dan?

Meer over

Meer grip op delen gegevens uit overheidsbestanden door burgers aan derden?

Het kabinet onderzoekt of er meer (juridische) kaders moeten komen bij de verstrekking van gegevens uit overheidsbestanden door burgers aan derden. Dit schrijft...

Geen aanvullende wetgeving verwerken gegevens bij ziekmelding

Minister Dekker vindt aanvullende wetgeving waar het gaat om het vragen naar en het verwerken van gegevens door de werkgever bij een ziekmelding vooralsnog niet...

Consumentenbond blij met optreden tegen cookiewalls

De Consumentenbond is blij dat de Autoriteit Persoonsgegevens (AP) gaat optreden tegen cookiewalls. Bedrijven mogen bezoekers die hun tracking cookies niet accepteren,...

AVG: hoe staan we er voor?

(door Gerrit van Rooij en Jan van den Berg, DPO Network) De Algemene Verordening Gegevensbescherming (AVG) is ruim een half jaar geleden van kracht gegaan....

DPO Network houdt enquête over AVG

DPO Network roept financieel adviseurs op mee te doen aan de enquête die zij momenteel houdt over de AVG. Vragen die worden gesteld, zijn onder meer: ‘Weet...

Banken en verzekeraars voldoen aan FG-verplichtingen na controle AP

Alle gecontroleerde Nederlandse banken en verzekeraars waarvoor de verplichtingen gelden, hebben een functionaris voor de gegevensbescherming (FG) aangesteld en...

AVG geeft niet per se recht op inzage in document zelf

De Algemene Verordening Gegevensbescherming (AVG) geeft geen recht op inzage in het document als zodanig. Dat stelt staatssecretaris Snel in antwoord op Kamervragen....

AVG vergt permanent aandacht

(Uit VVP 5 - 2018, door Adfiz) Sinds 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens. Inmiddels heeft u waarschijnlijk de nodige...

Gevolmachtigde draagt verwerkingsverantwoordelijkheid

Een gevolmachtigde moet beschouwd worden als een verwerkingsverantwoordelijke met alle daarbij behorende verplichtingen en verantwoordelijkheden. Dat stelt Ron Gardenier,...

Verantwoordelijkheid voor gevolmachtigde

Door Ron Gardenier (voorzitter NVGA) Vanaf 25 mei gelden er nieuwe regels voor het verwerken van persoonsgegevens. In de kern zijn de regels uit de Algemene...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

De bijdrage die Advieskeuze gaat leveren is het inzichtelijk maken welke financieel adviseurs daadwerkelijk en naar tevredenheid volgens consumenten actief aan klantbeheer doen.

Christian Bouter, Advieskeuze (nieuwe deelnemer Stichting Actief Klantbeheer)

Stelling

Financieel adviseur moet huiseigenaar beter informeren over financieren verduurzaming

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!

Is 'Barbieboete'​ wel verzekerd?

Reactie toevoegen

Reacties

Meer over

Is 'Barbieboete' wel verzekerd?