Data Management

Hoe vermijd je de boetes onder de AVG?

Het was geen beste week voor de portemonnee van Haga’s. Kamerlid Van Haga kwam in het nieuws vanwege een boete van ruim 300 euro voor het onder invloed van alcohol besturen van een auto. De minister van onderwijs heeft het Haga Lyceum te kennen gegeven dat de geldkraan dichtgaat als de school het bestuur niet vervangt. Als klap op de vuurpijl heeft het HagaZiekenhuis de dubieuze eer om de allereerste echte boete onder de AVG te mogen ontvangen van maar liefst 460.000 euro! Sterker nog, als zij hun zaakjes niet op orde hebben voor 2 oktober dan komt daar elke week 100.000 euro bij (met een maximum van 300.000 euro). Dat betekent dus mogelijk een boete 760.000 euro voor de zorginstelling welke zij naar eigen zeggen liever aan zorg hadden besteed. Nogal wiedes lijkt me, maar waarvoor kregen zij deze boete eigenlijk?

Barbie en de Hagavloek

De naam lijkt dus niet geholpen te hebben met het vermijden van deze hoge boete, maar de oorspronkelijke aanleiding was de ongeoorloofde toegang tot patiëntgegevens van 85 medewerkers van het ziekenhuis. Dit kwam aan het licht door de opname van een bekende Nederlander, waarvan het patiëntendossier dus werd ingekeken zonder dat daar een medische noodzaak voor bestond. Dankzij een klokkenluider kwam het interne onderzoek in de media. Het ziekenhuis had overigens zelf al netjes een melding gedaan bij de Autoriteit Persoonsgegevens van het datalek en kondigde hierbij passende maatregelen aan. De AP startte hierop een onderzoek naar de schending van privacy en de nu aangekondigde boete is de uitkomst van dat onderzoek. Nu is het belangrijk om te begrijpen dat deze boete niet wordt gegeven voor het datalek zelf, maar omdat de AP van mening is dat de situatie sinds het datalek niet voldoende is verbeterd! Zo is de AVG ook geschreven, deze gaat er vanuit dat datalekken gebeuren, belangrijker is dat men passende maatregelen neemt. Wat dan precies passende maatregelen zijn is door deze uitspraak van de AP een klein beetje duidelijker geworden.

Als de koe verdronken is..

Uit het onderzoek van de AP is gebleken dat het HagaZiekenhuis de beveiliging op maar twee punten na prima op orde had. De dossiers waren adequaat beveiligd voor de buitenwereld, maar intern kon men met een gebruikersnaam en wachtwoord bij de data. Hiervan werden zelfs netjes logs bijgehouden, maar deze werden vervolgens weer onvoldoende gecontroleerd. Het ziekenhuis was van mening dat alles controleren onmogelijk was en is hierbij voorbijgegaan aan technische hulpmiddelen. Daarbij was er geen twee-factor-authenticatie (2FA) geïmplementeerd wat volgens de AP noodzakelijk is als het gaat om bijzondere persoonsgegevens zoals gezondheidsgegegevens. Het beleid was er dus wel bij het ziekenhuis, het werd alleen onvoldoende in de praktijk gebracht. De AP is dus van mening dat de zorginstelling eerder had kunnen bemerken dat er onrechtmatige toegang plaatsvond en daarbij had het voorkomen kunnen worden dankzij strengere technische maatregelen in de vorm van de 2FA welke het delen van accounts verder bemoeilijkt. Het HagaZiekenhuis heeft al te kennen gegeven tegen de hoogte van de boete in beroep te gaan. Zij besteden dat geld volgens de directievoorzitter liever aan patiëntenzorg en vinden de hoogte nogal ‘zuur’. Zij zijn op zoek naar software om het controleren van de logs te vergemakkelijken. Over een oplossing waar toegang alleen rechtmatig mogelijk is, wordt niet gesproken, waarschijnlijk omdat dit de kwaliteit van zorg in de weg zou staan.

Vermijden die boetes

Datalekken voorkomen gaat niet lukken natuurlijk, maar dit moet wel worden nagestreefd middels ‘passende technische en organisatorische’ maatregelen. Wat dit betekent is nog altijd vrij onduidelijk, maar dankzij deze uitspraak een beetje duidelijker. Bijzondere gegevens moeten extra beveiligd worden en minstens achter twee-factor-authenticatie verstopt worden. Daarbij moet privacybeleid ook daadwerkelijk uitgevoerd worden. Als men logt wie er toegang heeft tot persoonsgegevens moet dit ook worden gecontroleerd. Een organisatie moet dus niet alleen een mooi privacybeleid opstellen, maar ook zorgdragen voor de uitvoering ervan, mede omdat dit ook een preventieve werking heeft. Het simpelweg schrijven van een perfect plan is dus niet voldoende en men heeft dus ook de verantwoordelijkheid om op zoek te gaan naar technische hulpmiddelen. Het is namelijk geen excuus dat iets handmatig onbegonnen werk is als er een passende (software)oplossing voor bestaat.

De echte boete

Is het hek nu van de dam? Gaan we elke week lezen over een torenhoge boete? Krijgt uw organisatie de volgende boete omdat uw HR-medewerker een email stuurt aan een verkeerd adres? Zeer hoogstwaarschijnlijk niet. Als u stelselmatig onzorgvuldig met bijzondere persoonsgegevens omgaat én vervolgens geen passende maatregelen neemt als de AP hierop aanstuurt dan maakt u beduidend meer kans om uw pinpas te mogen trekken. De boete van 460.000 euro is extra zuur voor het HagaZiekenhuis aangezien zij volgens accountantskantoor BDO behoren tot dertien noodlijdende zorginstellingen, maar zij ontvingen daarnaast nog een belangrijke straf, namelijk imagoschade! Dit is ook een reëler risico voor uw organisatie. Toen ik laatst inlogde bij een niet nader te noemen webshop om een cadeau te kopen van de cadeaulijst van een bruiloft werd ik gepresenteerd met de gegevens van de vorige bezoeker (ons cadeau was duurder). Het neefje welke de shop had gebouwd was waarschijnlijk even vergeten een nieuwe sessie voor elke bezoeker te starten. Ik noem bewust de naam van de webshop niet omdat het probleem vrij snel verholpen was na inschakeling van professionele hulp. Waarschijnlijk zou u nog weinig vertrouwen hebben in de organisatie na dit datalek. Imagoschade zou een argument kunnen zijn van het HagaZiekenhuis om een lagere boete te bedingen en imagoschade zou voor elke organisatie reden genoeg moeten zijn om zorgvuldig om te gaan met de persoonsgegevens van medewerkers en klanten. Voor de bedrijven (kuch Facebook kuch) voor wie dat niet genoeg is zijn er dan altijd nog de torenhoge boetes, al lijkt dat deze bedrijven ook maar weinig te deren.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *