Is 'Barbieboete' wel verzekerd?

Euro's via Pixabay 2018

(door Peter Hartman, RiskFit Innovation) Juist van een ziekenhuis mag worden verwacht dat de persoonlijke en medische gegevens van een patiënt optimaal worden beschermd. Hoe anders blijkt de praktijk in het Haga Ziekenhuis (HZ). Jan en alleman konden de gegevens van Barbie inzien en velen hebben dat ook kennelijk gedaan. Hoe is dat mogelijk en waarom komt dit ziekenhuis haar verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG) niet na? Na uitgebreid onderzoek van de Autoriteit Persoonsgegevens (AP) stellen zij vast dat het nogal rammelt aan de privacybescherming. Reden waarom zij dit ziekenhuis een bestuurlijke boete hebben opgelegd van 460.000 euro.

Hard oordeel

Aanleiding voor het onderzoek is een melding van een datalek van het HZ op 4 april 2018. Het betreft een datalek waarbij door het HZ is geconstateerd dat 85 van haar medewerkers de medische gegevens van een patiënt hebben ingezien toen deze was opgenomen in het HZ, zonder daartoe bevoegd te zijn. Daar hebben deze medewerkers overigens een officiële waarschuwing voor gekregen.

De AP constateert na het onderzoek dat het HZ onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Het HZ handelt hierdoor in strijd met artikel 32 , eerste lid, aanhef, van de AVG. Dit artikel bepaalt dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om een op het risico voor betrokkene afgestemd beveiligingsniveau te waarborgen.

Uit het door het HZ zelf opgestelde rapport 'Onderzoek onrechtmatige inzage patiëntdossier' van mei 2018, blijkt dat de directie van het HZ op de hoogte was van de onbevoegde inzage van dit patiëntendossier. De aanbevolen maatregelen in dit rapport zijn echter niet adequaat geïmplementeerd. Daarom is de AP van oordeel dat het HZ in elk geval bijzonder nalatig is geweest in het treffen van deze elementaire maatregelen. Dit is niet alleen slecht voor de reputatie van dit ziekenhuis, maar geeft patiënten ook geen veilig gevoel. Hopelijk trekt het HZ maar mogelijk ook andere ziekenhuizen lessen uit dit kwalijke incident. Er zijn namelijk ook tips over andere ziekenhuizen bij de AP binnengekomen.

Stok achter de deur

Het HZ heeft uiteraard aangekondigd nu wel passende actie te nemen. Men verzet zich niet tegen de boete, maar vecht wel de hoogte daarvan aan. Op het moment dat de boete werd opgelegd, voldeed het ziekenhuis, ondanks de bevindingen van de AP, nog steeds niet aan de AVG. Daarom heeft de AP naast de bestuurlijke boete een last onder dwangsom opgelegd. Wanneer het ziekenhuis de overtreding van de AVG niet binnen vijftien weken beëindigt, volgt een dwangsom van 100.000 euro voor elke twee weken dat de overtreding voortduurt, met een maximum van 300.000 euro. Dus een behoorlijke stok achter de deur om alsnog orde op zaken te stellen.

Cyberverzekering

In de meeste Europese landen is het verzekeren van dit soort boetes niet toegestaan. In Nederland is dit niet expliciet verboden, hoewel de vraag is of dit de toets van onze ethische regels kan doorstaan. Toekomstige jurisprudentie zal dit mogelijk duidelijk maken. De Nederlandse cyberverzekeringen bieden over het algemeen een dekking voor dit soort boetes. Die dekking is vaak ongeconditioneerd en tot het maximum verzekerde bedrag van de polis. Dat is natuurlijk een prettige gedachte voor de verzekerde en een goed verkoopargument voor een cyberverzekering. Maar is het in dit specifieke geval ook verdedigbaar dat deze boete wordt uitgekeerd? Niet alleen heeft het HZ de wet overtreden, maar duidelijk er met de pet naar gegooid als het gaat om privacybescherming. En als die boete al zou moeten worden betaald, hoe zit het dan met de mogelijke vervolgdwangsom van maximaal 300.000 euro als het na vijftien weken nog niet is opgelost?

Lijkt mij voor cyberverzekeraars een goed moment om aan de hand van deze case vast te stellen hoe zij dit beoordelen in het kader van hun boetedekking. Daarbij dient niet alleen het belang van het HZ mee te wegen, maar ook het algemene belang van de overige cyberverzekerden die mogelijk consequenties ondervinden van de beslissing inzake het al dan niet vergoeden van deze boete en of dwangsom. En hoe leg je dit uit aan die andere verzekerden die wel hebben geïnvesteerd in een optimale privacybescherming? Deze boetedekking mag geen beloning worden voor bedrijven die zeer onzorgvuldig omgaan met persoonlijke gegevens en beveiligingsmaatregelen. De verzekeringswereld kent namelijk hetzelfde credo als de medische wereld: 'Voorkomen is beter dan genezen!'

Reactie toevoegen

Reacties

Ferd latour - Nee 30 augustus 2019

Begrijp ik nu goed dat je boetes die je krijgt omdat je wet en regels breekt kunt verzekeren? Als dat zo is is het onbehoorlijk en ontoelaatbaar. Per direct verbieden. Er mag hier geen willekeur zijn. Ook bij verkeersboetes of andere straffen geen verzekering die dat mag dekken m. i. Toch? Niet dan?

Meer over

Vanaf 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens van betrokkenen. Adfiz geeft in een artikel in VVP 3 uitleg over het register...

In Nederland dekking voor AVG-boete niet vanzelfsprekend

In Nederland is dekking voor een AVG-boete niet vanzelfsprekend. Dat blijkt uit onderzoek van risico- en verzekeringsadviseur Aon en advocatenkantoor DLA Piper...

AVG-PraktijkPakket CFD beschikbaar

Binnen uren na het uitbrengen van het persbericht dat CFD haar AVG-PraktijkPakket beschikbaar heeft, werden al ruim 150 meldingen geregistreerd. Aldus CFD-voorzitter...

DFO: "Neem als adviseur cyberrisicopolis met oog op AVG"

Bureau DFO signaleert dat veel financieel advieskantoren op dit moment voor hun eigen bedrijfsvoering nog geen cyberrisicoverzekering hebben afgesloten. "Gelet op...

"Zie wat een ondernemerschap en verandervermogen adviseurs tonen!"

"De enkeling die nog niet begonnen is met het AVG-proof maken van zijn bedrijf wil ik zeggen: begin er vandaag nog aan." Aldus Enno Wiertsema in zijn column op www.adfiz.nl....

CFD komt met AVG-PraktijkPakket

CFD heeft speciaal voor het kleine en middelgrote intermediair het 'AVG-PraktijkPakket' ontwikkeld. Het pakket bestaat uit drie modules, die ieder individueel kunnen...

Helft mkb klaar voor privacywetgeving

Meer dan de helft van de ondernemers heeft het interne privacybeleid op orde en heeft dit beleid gedeeld met de medewerkers. Iets minder dan de helft van het mkb...

Adfiz stelt Privacy Portaal open voor hele markt

Adfiz stelt het online kennisdossier Privacy open voor de hele markt. Adfiz heeft de AVG die op 25 mei in werking treedt samen met een klankbordgroep van specialisten...

Adfiz en Verbond: verwerkersovereenkomsten niet nodig

Verzekeraars en intermediair moeten van alles doen om zich voor te bereiden op de Algemene Verordening Gegevensbescherming (Avg), maar ze hoeven onderling geen verwerkingsovereenkomsten...

AVG: welke informatie dienen adviseurs te verstrekken?

Vanaf 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens van betrokkenen. In dit stuk geven we uitleg over de informatie die je moet...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

De bijdrage die Advieskeuze gaat leveren is het inzichtelijk maken welke financieel adviseurs daadwerkelijk en naar tevredenheid volgens consumenten actief aan klantbeheer doen.

Christian Bouter, Advieskeuze (nieuwe deelnemer Stichting Actief Klantbeheer)

Stelling

Financieel adviseur moet huiseigenaar beter informeren over financieren verduurzaming

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!

Is 'Barbieboete'​ wel verzekerd?

Reactie toevoegen

Reacties

Meer over

Is 'Barbieboete' wel verzekerd?