Sleutel

Boete

Het gaat om een bestuurlijke boete van 460.000 euro plus een last onder dwangsom. De last onder dwangsom gaat in per 1 oktober a.s. en betekent dat als de beveiliging dan nog niet op orde is, er elke twee weken een boete zal worden gegeven van 100.000 euro met een maximum van 300.000 euro.

Het onderzoek

Hoe ging het onderzoek door de Autoriteit Persoonsgegevens in zijn werk?

  • 4 april 2018: Haga ziekenhuis meldt datalek over onterechte inzage in dossier van Barbie. Dit n.a.v. een eigen onderzoek.
  • 23 april 2018: AP stuurt schriftelijk informatieverzoek aan Haga ziekenhuis.
  • 15 mei 2018: Haga ziekenhuis antwoordt en belooft maatregelen.
  • 31 oktober 2018: AP verricht met 4 medewerkers een aangekondigd ‘onderzoek ter plaatse’ in het ziekenhuis. Het systeem is onderzocht en verklaringen zijn afgenomen.
  • 19 november 2018: AP stuurt de weergave van de afgenomen verklaringen aan Haga ziekenhuis.
  • 29 november 2018: Haga ziekenhuis antwoordt.
  • 16 januari 2019: AP stuurt Rapport Voorlopige bevindingen aan Haga ziekenhuis.
  • 4 februari 2019: Haga ziekenhuis antwoordt.
  • 26 maart 2019: AP stuurt definitief rapport aan Haga ziekenhuis.
  • 4 april 2019: AP stuurt voornemen tot het opleggen van een boete en/of last onder dwangsom.
  • 18 april 2019: Haga ziekenhuis antwoordt.
  • 25 april 2019: Zitting bij AP waarbij Haga ziekenhuis haar zienswijze mondeling toelicht.
  • 16 mei 2019: AP stuurt verslag op van de zitting. Haga antwoordt geen opmerkingen te hebben.
  • 18 juni 2019: AP stuurt boetebesluit aan het Haga ziekenhuis.
  • 16 juli 2019: AP stuurt persbericht uit.

Controle

Wat zijn de vijf controlepunten van de AP?

  1. Authenticatie (Weet het systeem zeker dat jij het bent?)
  2. Autorisatie (Wie heeft waarop toegang?)
  3. Logging (Wie deed wat wanneer?)
  4. Controle van de logging (Wordt actief gezocht naar onterechte inzage?)
  5. Bewustwording

Ook heeft de AP gekeken naar het bijhouden van een register met datalekken en incidenten.

Overtredingen

Wat waren de overtredingen?

  1. Authenticatie: naast inloggen met inlogcode/wachtwoord, pasje en pincode is het ook mogelijk om in te loggen met alleen inlogcode/wachtwoord. Dit is zo geregeld voor als een medewerker bijv. zijn pasje is vergeten. Inloggen met alleen inlogcode/wachtwoord is maar één factor en is onvoldoende.
  2. Controle van de logging: de AP hanteert als uitgangspunt ‘systematische, consequente controle van alle logging’. Ook moeten ziekenhuizen streven naar een ‘intelligente analyse’ van de logging. Controle op basis van klachten en via enkele steekproeven per jaar is onvoldoende.

Uitkomsten

Wat leren we van het rapport?

  • Strakke handhaving met name op toegang tot dossiers en op bewustwording.
  • De tijd tussen rapportage en boete, dus de tijd om de gebreken op te heffen, was maar vijf maanden.
  • Ook intern het ziekenhuis is two-factor authenticatie (2FA, bijv. inlogcode/wachtwoord plus sms) nodig.
  • Een ‘intelligente logging’ is nodig.

Adviezen voor eigenlijk iedere zorgorganisatie

  • Overwegen 2FA ook intern te implementeren. Veel organisaties hebben 2FA bij externe toegang en 1FA intern. Nu is een ziekenhuis een open omgeving, maar ook in de jeugdzorg kan vaak iedereen naar binnen lopen. Sociale controle in de werkomgeving is m.i. onvoldoende als extra factor te zien. Tot dusver konden we wegkomen met sociale controle als extra factor, maar tegenwoordig ligt de lat hoger. Voorwaarde is wel dat medewerkers een telefoon hebben, die meenemen en het team een oplader en een reservetelefoon (met zo nodig de 2FA-app) heeft voor als er eentje stuk gaat. De eigen simkaart moet dan in de reservetelefoon worden gezet.  
  • Een intelligente logging ontwikkelen. Ik denk daarbij aan een export van de logging, gevolgd door een geautomatiseerde verbandscontrole op meerdere keren raadplegen in combinatie met niet-registreren. Dit is een verdacht patroon, in elk geval bij ambulante cliënten. Let daarnaast op mislukte inlogpogingen, onterechte inzage via de noodknop (breaking the glass procedure) en heb speciale aandacht voor extra gevoelige dossiers.
  • Informatiebeveiliging en privacy expliciet opnemen in het introductieprogramma voor nieuwe medewerkers.
  • Het informatiebeveiligingsbeleid in detail uitwerken, waar nodig maatregelen implementeren en het beleid auditen. Alleen dan kun je je voldoende verantwoorden.
  • Capaciteit c.q. uren vrijmaken voor het uitvoeren van audits zoals op de logging en op openstaande accounts van vertrokken medewerkers. Wat betreft de logging: helemaal mooi is het als de cliënt of ouder zelf online inzage heeft in de logging, dus zelf ziet wie de informatie van het kind bekeken en gemuteerd/geschreven heeft.
Haga

Reacties (0)

name authore here
`

E-mailadressen worden niet gebruikt voor commerciële doeleinden. Bekijk onze privacyverklaring voor meer informatie over het gebruik van jouw gegevens.