skip to Main Content

Ziekenhuis OLVG beboet

11 februari 2021 – Nederland

Het ziekenhuis OLVG had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen, stelt de Autoriteit Persoonsgegevens (AP). De AP legt een boete van 440.000 euro op aan OLVG.

De AP legt uit dat: “Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen.”

Naast medische gegevens bevatten de dossiers complete NAW-gegevens van de betrokkenen. Gegevens waar het om gaat zijn: medische gegevens, BSN-nummers, voor- en achternamen, adressen en telefoonnummers.

Juist in de zorg, waar de meest gevoelige persoonsgegevens in systemen staan, worden veel datalekken gezien. Uit onderzoek dat de AP gedaan heeft bij OLVG zijn de volgende overtredingen gezien:

1. Het ziekenhuis heeft niet voldoende gecontroleerd wie welke dossiers raadpleegde (controle op logging).
2. Authenticatie dient plaats te vinden met ten minste twee factoren voor een goede beveiliging. Het OLVG maakte binnen het ziekenhuis geen gebruik van deze tweefactor-authenticatie. Buiten het ziekenhuis was deze tweefactor-authenticatie wel verplicht.

Bescherming van patiëntgegevens is cruciaal!

Genomen acties door het OLVG:
Nadat de AP het onderzoek had afgerond, kreeg het OLVG tijd om de aanbevolen maatregelen te implementeren. De volgende maatregelen zijn ondertussen getroffen:
– Structurele controle op logging (wie heeft toegang tot de medische dossiers gehad en waarom);
– Implementatie van tweefactor-authenticatie op medische dossiers.

Gevolgen voor de betrokkenen:
De gevolgen van ongeoorloofde toegang tot deze gegevens liggen bij het risico op identiteitsfraude en gerichte phishing.

Bron: Autoriteit Persoonsgegevens

Back To Top