Het nieuws dat het HagaZiekenhuis in Den Haag een boete van 460.000 euro is opgelegd door de Autoriteit Persoonsgegevens (AP) en dat het ziekenhuis daartegen in beroep gaat, is gisteren breed uitgemeten in de pers. Voor privacy-deskundigen, bestuurders, advocaten en overige liefhebbers bevat het onderzoeksverslag veel piketpalen die de contouren van het AP-beleid scherper neerzetten.
Het ziekenhuis kreeg de boete omdat uit onderzoek naar voren kwam dat de beveiliging van patiëntendossiers niet op alle punten in orde is. De aanleiding voor het AP-onderzoek was dat tientallen ziekenhuismedewerkers het medische dossier van realityster Samantha de Jong, ook bekend als Barbie, in hadden gezien.
Op 4 april 2018 heeft het HagaZiekenhuis een melding van een datalek bij de AP gedaan. Het datalek had betrekking op onrechtmatige inzage in een patiëntendossier van Barbie. In de melding maakt HagaZiekenhuis kenbaar dat zij in afwachting van het interne onderzoek naar onrechtmatige inzage van dit patiëntendossier beveiligingsmaatregelen zal treffen. De AP heeft nu geoordeeld dat die maatregelen nog niet voldoende zijn. Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren legt de AP het Hagaziekenhuis een dwangsom op. Als het HagaZiekenhuis de beveiliging niet voor 2 oktober 2019 verbeterd heeft, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro.
Inkijk in de uitvoering van privacybeleid door ziekenhuis
Het volledige rapport van de AP toont een inkijk in de manier waarop dit ziekenhuis omgaat met wet- en regelgeving rond privacy. Patiënten die een ziekenhuis bezoeken moeten er volgens de AP op kunnen vertrouwen dat er vertrouwelijk met hun persoonsgegevens wordt omgegaan en dat er maatregelen zijn genomen om te voorkomen dat medewerkers, die geen behandelrelatie hebben met de patiënt (of die de gegevens niet nodig hebben), onbevoegd in het persoonlijke (medische) dossier kijken.
De AP concludeert dat bij Het HagaZiekenhuis de autorisatie van medewerkers en het beleid voor het instellen van die autorisaties zorgvuldig is ingericht en dat daarbij de juiste uitgangspunten worden gehanteerd. Met andere woorden: het beleid was er wél, ongetwijfeld keurig beschreven in een imposante (digitale) ordner.
Het HagaZiekenhuis logt ook alle toegang tot patiëntdossiers en de logbestanden bieden de mogelijkheid om achteraf vast te stellen of sprake is geweest van misbruik. Hiermee voldoet het HagaZiekenhuis volgens de AP aan hetgeen hierover in de toetsingskaders NEN 7510 en 7513 is aangegeven. Daarmee is ook hier volgens de AP sprake van “passende maatregelen ten aanzien van logging zoals vereist is ingevolge artikel 32 van de AVG.”
Wat kan er nog misgaan? Nou, dit dus.
Wat kan er nog misgaan, zou je zeggen, met al die goed ingerichte technische en organisatorische maatregelen? Het antwoord is van een verpletterende eenvoud. Het ziekenhuis controleert volgens de AP niet regelmatig genoeg wie welk dossier raadpleegt. Zo kon het ziekenhuis niet tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en daartegen maatregelen nemen. Er moest een gevalletje Barbie aan te pas komen om dit boven water te krijgen. Het HagaZiekenhuis suggereert in een reactie dat de controle van al die logbestanden (in 2017 ging het om 28.500 opnamen, 158.000 eerste polikliniekbezoeken, 52.000 eerste hulp consulten en 143.000 verpleegdagen) veel werk is, en dat men slechts steekproefsgewijs een beperkt aantal patiëntendossiers kan controleren op onterecht inzage.
De NEN-normen kennen een fraaie algemene term: ziekenhuizen moeten “de huidige stand van de techniek” toepassen om hun beveiligingsbeleid met “passende maatregelen” uit te voeren.
Die “huidige stand van de techniek” is een kwestie van interpretatie, bijvoorbeeld door de AP in dit geval. Die heeft, lijkt me, heel terecht beoordeeld dat de beperkte technische ondersteuning die het ziekenhuis naar eigen zeggen heeft om de controle van logging uit te voeren of te ondersteunen geen excuus is. Mijn interpretatie van deze AP zienswijze is: er zijn op de markt goede technische alternatieven voor handmatige steekproeven beschikbaar, en die moet je dan ook gebruiken. Of anders veertig FTE uitzendkrachten aannemen, een leegstaande ziekenhuisvleugel inrichten, en alle logbestanden met de hand gaan doorspitten. Hoewel: die uitzendkrachten hebben geen behandelrelatie, dus dat zal wel niet mogen.
De AP is talking business
Ik ken zo uit mijn hoofd al een paar ziekenhuizen die morgen bij een bezoek van de AP precies hetzelfde risico lopen als het HagaZiekenhuis. Dat geldt ook voor een andere overtreding die de AP constateerde: namelijk dat medewerkers alleen met gebruikersnaam en wachtwoord mogen inloggen in medische dossier, dus zonder de verplichte tweede factor, zoals een UZI-pas, een SMS, een dongel of een chipkaart. Deze bij de wet verplichte two-factor authenticatie is in deze casus eigenlijk een bijvangst, omdat die niet zo relevant is voor de Barbie-zaak (of deze niet had voorkomen). Maar het wel een schot voor de boeg van de AP naar andere ziekenhuizen: we’re watching you.
Nu eens afwachten wat het beroep van HagaZiekenhuis gaat opleveren. Ik ben trouwens ook benieuwd hoe de volgende vergadering van de Raad van Commissarissen zal verlopen.
Trackbacks & Pingbacks
-
[…] geen gelijke tred houden met de risico’s. Het kost nauwelijks moeite om recente voorbeelden te vinden van gevallen waarbij gegevens van honderdduizenden of zelfs miljoenen patiënten op […]
-
[…] aan strenge wetgeving gebonden. Maar zoals de VvAA-leden aangeven, blijven risico’s aanwezig: ‘Het lekt altijd.’ En: ‘Digitale beveiliging blijkt keer op keer door hackers te kunnen worden doorbroken. Soms […]
Plaats een Reactie
Meepraten?Draag gerust bij!
Geef een antwoord
wellicht ook interessant
Er zijn twee maatregelen die een 'barbie-incident' zouden moeten voorkomen:
- goede autorisaties
- goede bewustwording van de medewerkers
De AP stelt in de bevindingen vast dat beiden aan de normen voldeden. Toch vond het incident plaats.
We moeten ons heel hard achter de oren gaan krabben over hoe dat kan: een beveiligingsbeleid dat voldoet aan de normen blijk dus niet effectief te zijn.
(En interessant dat de AP het Hagaziekenhuis alsnog pakt op twee minder relevante zaken.)
Toch nog een nuance (maar achter de oren krabben moet natuurlijk):
De nadruk in het AP-rapport ligt op het ontbreken van 2-factor authenticatie, maar vooral gebrekkige controle achteraf op de logbestanden, waarin overtredingen tegen het autorisatiebeleid zouden moeten worden geconstateerd.
Maar het probleem ligt natuurlijk eerder. De zogeheten noodknopprocedure, waarin een medewerker moet aangeven waarom hij/zij toegang wil tot een specialisme waar men geen rechten voor heeft, zou in de geest van het (volgens AP correcte) autorisatiebeleid een uitzondering moeten zijn. Leveranciers als Chipsoft en Epic zouden op applicatie-niveau deze 'red flag' moeten kunnen tonen in een dashboard. Epic kan ze in ieder geval exporteren naar andere applicaties, die alarm zouden kunnen slaan.
Maar in de praktijk klikken medewerkers die noodknop-melding (als die er al is) in sommige ziekenhuizen kennelijk net zo makkelijk weg als een cookiemelding op een website. Dan is het niet raar dat de zoektocht naar overtredingen in logbestanden tijdrovender wordt, hoewel je zou verwachten dat je makkelijk zou kunnen filteren op noodknop-verdachte logregels. Maar wanneer dat er duizenden of tienduizenden zijn, tja. Dan gaat er duidelijk iets mis met de technische maatregelen die zijn genomen om het autorisatiebeleid te implementeren. Dat het beleid op zich klopt, daar kan de AP gelijk in hebben.
Maar de AP zegt eigenlijk niets over passende technische maatregelen om realtime (en dus niet achteraf op basis van logbestanden) overtredingen te signaleren. En dat is inderdaad wel een curieuze conclusie van de AP. Eigenlijk zeggen ze: je hebt een beleid en een cultuur waarbij er kennelijk op grote schaal overtredingen mogelijk zijn. Toch zien we daar geen probleem in. Het probleem is dat je achteraf niet controleert op overtredingen. De kern van het probleem lijkt niet te worden aangepakt, terwijl hier wel degelijk passende technische maatregelen voor zijn. Maar die vragen wel veel van de inrichtingen van je automatisering en processen, namelijk dat de noodknopprocedure ook echt een uitzondering is.
Probleem is dat 2-factor authenticatie dit niet had voorkomen, er was namelijk geen onbevoegde toegang tot de systemen, wel tot het dossier, waar geen behandelrelatie mee was. Dus de 2-factor authenticatie is leuk dat dat vereist wordt, maar voorkomt nooit onbevoegde toegang, alle medewerkers hebben bevoegd toegang tot het EPD volgens de autorisaties die zijn vastgesteld. Er moet dus vooral betere controle komen op het break-the-glass toegang tot dossiers waar geen behandelrelatie meer is.