Ziekenhuis OLVG beboet

11 februari 2021 – Nederland

Het ziekenhuis OLVG had tussen 2018 en 202 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen stelt het Autoriteit Persoonsgegevens (AP). De AP legt een boete van 440.000 euro op aan OLVG.

De AP legt uit dat: “Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen.”

Naast medische gegevens bevatten de dossiers complete NAW gegevens van de betrokkene. Gegevens waar het omgaat is: medische gegevens, BSN, voor- achternaam, adressen, telefoonnummers.

Juist in de zorg, waar de meest gevoelige persoonsgegevens in systemen staan worden veel datalekken gezien. Uit onderzoek dat de AP gedaan heeft bij OLVG zijn de volgende overtredingen gezien:

  1. Het ziekenhuis heeft geen controle ingeregeld op wie welke dossiers raadpleegt (controle op logging).
  2. Authenticatie dient plaats te vinden met ten minste twee factoren voor een goede beveiliging. Het OLVG maakte in het ziekenhuis geen gebruik van deze tweefactor-authenticatie, buiten het ziekenhuis was deze tweefactor-authenticatie wel verplicht.

Bescherming van patiëntgegevens is cruciaal!

Genomen acties door het OLVG:
Nadat de AP het onderzoek had afgerond kreeg OLVG tijd om de aanbevolen maatregelen te implementeren. De volgende maatregelen zijn ondertussen getroffen:
Structureel controle op logging (wie heeft toegang tot de medische dossiers gehad en waarom) Implementatie van tweefactor-authenticatie op medische dossiers

Gevolg voor de betrokkene:
De gevolgen van ongeoorloofde toegang tot deze gegevens is vanwege het risico op identiteitsfraude en gerichte phishing.

Back To Top