Blog Peter Hartman: Is ‘Barbieboete’​ wel verzekerd?

Juist van een ziekenhuis mag worden verwacht dat de persoonlijke en medische gegevens van een patiënt optimaal worden beschermd. Hoe anders blijkt de praktijk in het Haga Ziekenhuis (HZ). Jan en alleman konden de gegevens van Barbie inzien en velen hebben dat ook kennelijk gedaan. Hoe is dat mogelijk en waarom komt dit ziekenhuis haar verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG) niet na? Na uitgebreid onderzoek van de Autoriteit Persoonsgegevens (AP) stellen zij vast dat het nogal rammelt aan de privacybescherming. Reden waarom zij dit ziekenhuis een bestuurlijke boete hebben opgelegd van Euro 460.000,–.

Hard oordeel Autoriteit Persoonsgegevens

Aanleiding voor het onderzoek is een melding van een datalek van het HZ op 4 april 2018. Het betreft een datalek waarbij door het HZ is geconstateerd dat 85 van haar medewerkers de medische gegevens van een patiënt hebben ingezien toen deze was opgenomen in het HZ, zonder daartoe bevoegd te zijn. Daar hebben deze medewerkers overigens een officiële waarschuwing voor gekregen. De AP constateert na het onderzoek dat het HZ onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Het HZ handelt hierdoor in strijd met artikel 32 , eerste lid, aanhef, van de AVG. Dit artikel bepaalt dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om een op het risico voor betrokkene afgestemd beveiligingsniveau te waarborgen.

Uit het door het HZ zelf opgestelde rapport “Onderzoek onrechtmatige inzage patiëntdossier” van mei 2018, blijkt dat de directie van het HZ op de hoogte was van de onbevoegde inzage van dit patiëntendossier. De aanbevolen maatregelen in dit rapport zijn echter niet adequaat geïmplementeerd. Daarom is de AP van oordeel dat het HZ in elk geval bijzonder nalatig is geweest in het treffen van deze elementaire maatregelen. Dit is niet alleen slecht voor de reputatie van dit ziekenhuis, maar geeft patiënten ook geen veilig gevoel. Hopelijk trekt het HZ maar mogelijk ook andere ziekenhuizen lessen uit dit kwalijke incident. Er zijn namelijk ook tips over andere ziekenhuizen bij de AP binnengekomen.

Stok achter de deur

Het HZ heeft uiteraard aangekondigd nu wel passende actie te nemen. Men verzet zich niet tegen de boete, maar vecht wel de hoogte daarvan aan. Op het moment dat de boete werd opgelegd, voldeed het ziekenhuis, ondanks de bevindingen van de AP, nog steeds niet aan de AVG. Daarom heeft de AP naast de bestuurlijke boete een last onder dwangsom opgelegd. Wanneer het ziekenhuis de overtreding van de AVG niet binnen 15 weken beëindigt, volgt een dwangsom van € 100.000 voor elke twee weken dat de overtreding voortduurt, met een maximum van € 300.000. Dus een behoorlijke stok achter de deur om alsnog orde op zaken te stellen.

Cyberverzekering

In de meeste Europese landen is het verzekeren van dit soort boetes niet toegestaan. In Nederland is dit niet expliciet verboden, hoewel de vraag is of dit de toets van onze ethische regels kan doorstaan. Toekomstige jurisprudentie zal dit mogelijk duidelijk maken. De Nederlandse cyberverzekeringen bieden over het algemeen een dekking voor dit soort boetes. Die dekking is vaak ongeconditioneerd en tot het maximum verzekerde bedrag van de polis. Dat is natuurlijk een prettige gedachte voor de verzekerde en een goed verkoopargument voor een cyberverzekering. Maar is het in dit specifieke geval ook verdedigbaar dat deze boete wordt uitgekeerd? Niet alleen heeft het HZ de wet overtreden, maar duidelijk er met de pet naar gegooid als het gaat om privacybescherming. En als die boete al zou moeten worden betaald, hoe zit het dan met de mogelijke vervolgdwangsom van maximaal Euro 300.000,- als het na 15 weken nog niet is opgelost?

Lijkt mij voor cyberverzekeraars een goed moment om aan de hand van deze case vast te stellen hoe zij dit beoordelen in het kader van hun boetedekking. Daarbij dient niet alleen het belang van het HZ mee te wegen, maar ook het algemene belang van de overige cyberverzekerden die mogelijk consequenties ondervinden van de beslissing inzake het al dan niet vergoeden van deze boete en of dwangsom. En hoe leg je dit uit aan die andere verzekerden die wel hebben geïnvesteerd in een optimale privacybescherming? Deze boetedekking mag geen beloning worden voor bedrijven die zeer onzorgvuldig omgaan met persoonlijke gegevens en beveiligingsmaatregelen. De verzekeringswereld kent namelijk hetzelfde credo als de medische wereld: ‘Voorkomen is beter dan genezen!’

Door Peter Hartman

Risico & Innovatie adviseur

RiskFitInnovation