Voor bescherming gezondheidsgegevens gelden zeer hoge eisen

AVG hangslot via Pixabay

Heeft u een of meer bekende Nederlanders als klant? Let er dan extra goed op dat u zich houdt aan de AVG.

De Autoriteit Persoonsgegevens (AP) heeft het Haga Ziekenhuis een boete van 460.000 euro opgelegd wegens overtreding van artikel 32 van de Verordening.

De Autoriteit: “De overtreding duurde op structurele wijze voor een lange periode voort, gedurende welke periode een grote groep onbevoegden toegang kon krijgen tot gezondheidsgegevens van patiënten. Des te meer in het licht van het datalek van de bekende Nederlander, waarbij het Haga Ziekenhuis begin 2018 heeft geconstateerd dat een groot aantal medewerkers onbevoegde inzage hebben gehad in een patiëntendossier, had het op de weg van het HagaZiekenhuis gelegen om de normen - die mede zien op het voorkomen van dergelijke onbevoegde inzage - te implementeren en de overtreding van artikel 32 van de AVG spoedig te beëindigen.”

Nuttige informatie

Volgens het Verbond van Verzekeraars bevat het gepubliceerde onderzoeksrapport en het boetebesluit nuttige informatie voor verzekeraars over hoe de AP oordeelt over gegevensbescherming. Inderdaad wordt op z’n minst duidelijk dat de AP zeer streng is als het gaat om gezondheidsgegevens. Het boetebesluit leest letterlijk: “Gezondheidsgegevens behoren vanwege de gevoeligheid tot een bijzondere categorie van persoonsgegevens. Om deze reden gelden voor de bescherming van die gegevens zeer hoge eisen.”

In het voorliggende geval hanteert de AP algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, NEN-7510 en NEN 7513. Uit deze beveiligingsstandaarden vloeit voort dat ten aanzien van authenticatie bij de toegang tot ziekenhuisinformatiesystemen die specifiek zijn gericht op het verwerken van gevoelige informatie, de verantwoordelijke tenminste gebruik dient te maken van tweefactor authenticatie, teneinde de identiteit van gebruikers vast testellen. Verder dienen logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Het voorgaande volgt uit NEN 7510-2, waarin beveiligingsnormen zijn opgenomen die zien op een nadere invulling van artikel 32 van de AVG wat betreft de informatiebeveiliging in de zorg.

 

 

Reactie toevoegen

 
Meer over
PG: kredietregistratie niet aan juiste artikel getoetst

PG: kredietregistratie niet aan juiste artikel getoetst

(Rechtspraak) Het bepaalde in art. 6 lid 1, aanhef en onder c, AVG leent zich volgens de Procureur-Generaal bij de Hoge Raad der Nederlanden - bij de huidige stand...

“Vaccinatieregistratie zorg is glijdende schaal”

“Vaccinatieregistratie zorg is glijdende schaal”

De vakbonden zijn niet te spreken over het kabinetsvoornemen werkgevers in de zorg de mogelijkheid te geven om de vaccinatiestatus van werknemers te registeren....

Schending privacy leidt niet tot schadevergoeding

Schending privacy leidt niet tot schadevergoeding

(Kifid-uitspraak GC 2021-0778) De adviseur heeft de privacy van de consumenten geschonden doordat hij na de beëindiging van de adviesovereenkomst contact heeft...

ARAG helpt horecaondernemers AVG-proof gasten te registreren

ARAG helpt horecaondernemers AVG-proof gasten te registreren

Om horecaondernemers te helpen gasten geheel in lijn met AVG-wetgeving te registreren, heeft ARAG samen met JanusID het initiatief genomen voor MijnGastenlijst.nl....

Beleidsregels gegevensverwerking zieke werknemers voldoen

Beleidsregels gegevensverwerking zieke werknemers voldoen

De ervaringen met de beleidsregels van de Autoriteit Persoonsgegevens met betrekking tot de gegevensverwerking omtrent zieke werknemers zijn wisselend, blijkt uit...

Adfiz: model Datalekregister

Adfiz: model Datalekregister

Adfiz legt de laatste hand aan een model Datalekregister. Adfiz: “In de AVG staat dat je een overzicht moet bijhouden van alle datalekken die zich binnen je...

Banken pleiten voor balans tussen eigenaar en gebruiker van data

Banken pleiten voor balans tussen eigenaar en gebruiker van data

De NVB vindt dat voor een juiste balans tussen de verschillende partijen in de data-economie – de datagebruikers en -eigenaren – een nieuw wettelijk...

Banken pleiten voor mogelijk gebruik van biometrische gegevens financiële diensten

Banken pleiten voor mogelijk gebruik van biometrische gegevens financiële diensten

De Nederlandse Vereniging van Banken staat achter het wetsvoorstel Verzamelwet Gegevensbescherming. Dit voorstel is een aanpassing op de Uitvoeringswet AVG, die...

Uitkijken met doorverkopen persoonsgegevens

Uitkijken met doorverkopen persoonsgegevens

Onder de AVG is het uitkijken met het doorverkopen van persoonsgegevens. Doorverkoop kan in beginsel alleen rechtmatig zijn wanneer de betrokkene hier toestemming...

AP: meeste klachten gaan over schending privacyrecht

AP: meeste klachten gaan over schending privacyrecht

In 2019 dienden ruim 27.800 mensen een klacht in bij de Autoriteit Persoonsgegevens vanwege een mogelijke privacyschending. Dat is bijna 79 procent meer dan in 2018....