Voor bescherming gezondheidsgegevens gelden zeer hoge eisen

Heeft u een of meer bekende Nederlanders als klant? Let er dan extra goed op dat u zich houdt aan de AVG.

De Autoriteit Persoonsgegevens (AP) heeft het Haga Ziekenhuis een boete van 460.000 euro opgelegd wegens overtreding van artikel 32 van de Verordening.

De Autoriteit: “De overtreding duurde op structurele wijze voor een lange periode voort, gedurende welke periode een grote groep onbevoegden toegang kon krijgen tot gezondheidsgegevens van patiënten. Des te meer in het licht van het datalek van de bekende Nederlander, waarbij het Haga Ziekenhuis begin 2018 heeft geconstateerd dat een groot aantal medewerkers onbevoegde inzage hebben gehad in een patiëntendossier, had het op de weg van het HagaZiekenhuis gelegen om de normen - die mede zien op het voorkomen van dergelijke onbevoegde inzage - te implementeren en de overtreding van artikel 32 van de AVG spoedig te beëindigen.”

Nuttige informatie

Volgens het Verbond van Verzekeraars bevat het gepubliceerde onderzoeksrapport en het boetebesluit nuttige informatie voor verzekeraars over hoe de AP oordeelt over gegevensbescherming. Inderdaad wordt op z’n minst duidelijk dat de AP zeer streng is als het gaat om gezondheidsgegevens. Het boetebesluit leest letterlijk: “Gezondheidsgegevens behoren vanwege de gevoeligheid tot een bijzondere categorie van persoonsgegevens. Om deze reden gelden voor de bescherming van die gegevens zeer hoge eisen.”

In het voorliggende geval hanteert de AP algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, NEN-7510 en NEN 7513. Uit deze beveiligingsstandaarden vloeit voort dat ten aanzien van authenticatie bij de toegang tot ziekenhuisinformatiesystemen die specifiek zijn gericht op het verwerken van gevoelige informatie, de verantwoordelijke tenminste gebruik dient te maken van tweefactor authenticatie, teneinde de identiteit van gebruikers vast testellen. Verder dienen logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Het voorgaande volgt uit NEN 7510-2, waarin beveiligingsnormen zijn opgenomen die zien op een nadere invulling van artikel 32 van de AVG wat betreft de informatiebeveiliging in de zorg.

Reactie toevoegen

Meer over

"Geen valide reden voor schenden privacywet"

Er is geen enkele valide reden om niet te voldoen aan de privacywetgeving. Dat stelt minister Bruins in antwoord op Kamervragen over de toegang die marketingmedewerkers...

Ockto mag DUO toevoegen als databron

De minister is niet van plan ervoor te zorgen dat Ockto DUO niet toevoegt als databron. De minister in antwoord op Kamervragen: "Ockto is een private...

Is 'Barbieboete' wel verzekerd?

(door Peter Hartman, RiskFit Innovation) Juist van een ziekenhuis mag worden verwacht dat de persoonlijke en medische gegevens van een patiënt optimaal worden...

Nederland een van weinige landen waar AVG-boetes verzekerbaar zijn

Nederland is een van de weinige landen waar AVG-boetes verzekerbaar zijn, blijkt uit onderzoek door Aon en advocatenkantoor DLA Piper. Aon: "De Nederlandse wet...

AVG niet van toepassing op overleden personen

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op de gegevens van overleden personen. In dit opzicht vormt de AVG aldus geen beletsel voor...

SIVI: nieuwe verzuimstandaarden

SIVI heeft de essentiële informatie voor verzuimprocessen vastgelegd in twee nieuwe verzuimstandaarden, die alle ketenpartijen in staat stellen te voldoen aan...

Hoekstra: AP moet oordelen over gebruik klantgegevens

Het is aan de AP als toezichthouder om te oordelen over de rechtmatigheid van het voorgenomen gebruik van klantgegevens in individuele gevallen, zoals nu door ING....

Verwerken BSN onder AVG

Een financieel adviseur met het BSN van een klant alleen verwerken als dit voor het verrichten van een rechtshandeling noodzakelijk is en de klant de adviseur hiervoor...

AVG vertaald naar de dagelijkse adviespraktijk

Bettie Hoogsteen van Adfiz stond tijdens de bijeenkomst 'AVG één jaar later, waar staan we nu?' uitgebreid stil bij de verantwoordingsplicht...

Bijeenkomst 'AVG één jaar later; waar staan we nu?' op 23 mei

Tijdens de bijeenkomst 'AVG één jaar later; waar staan we nu?' op 23 mei presenteert DPO Network de uitkomsten van het AVG-onderzoek dat zij onder...

Events

VVP Kennisevent Inkomen

1 juli 2026 - 1 juli 2026

Lees meer

De Toekomst van Advies (Ondernemersdag en Finale Advies Awards)

1 oktober 2026 - 1 oktober 2026

Lees meer

Quote van de dag

Starten met AI is een keuze. Een keuze om nieuwsgierig te blijven.

Seada van den Herik (Onderlinge Nederland) in VVP 2-2026

Stelling

Inperken aflossingsvrij is terecht

Laatste reacties

VVP 2-2026

Weer volop krachtvoer voor financieel adviseurs in VVP 2-2026. Zo gaat Lindenhaeghe in Ken je vak! in op de vernieuwde AFM-leidraad hypotheekadvisering. Verder zijn er inspirerende bijdragen hoe je cultuur als bedrijf te verbeteren en hoe je ondernemerschap en klantgerichtheid te vergroten. “Echte klantgerichtheid begint bij nieuwsgierigheid. Durf te vragen.”

Lees ook het interview met Jos Baeten ter gelegenheid van zijn afscheid als CEO van a.s.r. Nederland. Baeten: “Buitenlandse partijen op de volmachtmarkt zijn bereid meer tekencommissie te betalen. Het risico is dat wetgever en toezichthouders gaan nadenken over het provisiestelsel.”

In het katern Financieel advies voor jongeren worden advieskansen belicht, kansen die opmerkelijk genoeg nog maar weinig worden gegrepen