Leestijd: 12 minuten
Annotatie
Op 31 maart 2021 deed Rechtbank Den Haag een uitspraak over een boete die de Autoriteit Persoonsgegevens had gegeven aan het HagaZiekenhuis. Toen BN’er ‘Barbie’ in het ziekenhuis belandde trok dat de interesse van vele werknemers, die in haar patiëntendossier begonnen te snuffelen. Dat leverde een ernstige inbreuk op de privacy van Barbie op en tevens een hoge boete voor het ziekenhuis, omdat het tekort was geschoten in het nemen van passende beveiligingsmaatregelen. Het vonnis is op rechtspraak.nl te vinden en de annotatie van Koen Konings verscheen in Jurisprudentie Bescherming Persoonsgegevens (JBP 2021/45).
Achtergronden
In april 2018 kwam in het nieuws dat tientallen medewerkers van het HagaZiekenhuis in Den Haag uit nieuwsgierigheid het medische dossier hadden bekeken van Samantha de Jong, landelijk ook bekend als ‘Barbie’. Zij werd begin 2018 opgenomen na het innemen van een overdosis drugs, waarvan zij later publiekelijk aangaf dat het een mislukte zelfmoordpoging betrof. Het datalek kwam aan het licht via klokkenluiderswebsite Publeaks, die het nieuws doorspeelde aan EenVandaag (https://eenvandaag.avrotros.nl/item/tientallen-snuffelden-ongeoorloofd-in-medisch-dossier-barbie/, laatst geraadpleegd op 7 juni 2021).
Hoewel het onderhavige vonnis is geanonimiseerd, is het niet moeilijk om deze uitspraak te matchen met de reeds eerder door de Autoriteit Persoonsgegevens (hierna ook: ‘AP’) gepubliceerde boete aan het HagaZiekenhuis (https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-patiëntendossiers, laatst geraadpleegd op 7 juni 2021). Voor meer achtergronden over anonimisering van rechtspraak, zie onder meer Raad van discipline 11 januari 2019, ECLI:NL:TADRAMS:2019:9, JBP 2019/31 m.nt. K. Konings.
Datalek
Het wettelijk kader in deze zaak betreft nog de Wet bescherming persoonsgegevens (Wbp) met de daarin opgenomen wettelijke meldplicht van datalekken. Raapleging van een patiëntdosser door personeel dat niet bij de behandeling betrokken is, kwalificeert als een ‘datalek’ (een inbreuk op de beveiliging) als bedoeld in artikel 34a jo. 13 Wbp. Die kwalificatie zal op grond van de nu geldende Algemene Verordening Gegevensbescherming (AVG) niet anders zijn geweest (zie art. 4 sub 12 AVG).
Onderzoek en boetebesluit van de AP
Het verloop van de kwestie vanaf april 2018 laat zich lezen uit het onderzoeksrapport dat de AP publiceerde in maart 2019 (‘Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis’, te vinden via voornoemde hyperlink). Het HagaZiekenhuis deed op 4 april 2018 melding van het datalek, waarbij het constateerde dat 85 medewerkers onbevoegd het betreffende patiëntdossier hadden geraadpleegd. Na vragen van de AP kondigde het HagaZiekenhuis intern maatregelen aan. Vervolgens deed de AP onderzoek naar de situatie bij het HagaZiekenhuis in oktober 2018. Het onderzoek richtte zich op de vraag of het HagaZiekenhuis inmiddels voldoende beveiligingsmaatregelen ex art. 32 AVG had genomen om onbevoegde interne raadplegingen van patiëntgegevens te voorkomen. De AP richtte haar onderzoek op de punten van authenticatie (vaststellen identiteit van gebruikers), autorisaties (toegangscontrolebeleid), de logging van de toegang door gebruikers en de controle van die logging.
Bij haar controle betrok de AP nadrukkelijk de normen die voortvloeien uit NEN 7510-2:2017 en NEN 7513:2018. De eerste norm geldt voor de inrichting van de informatiebeveiliging in de zorg in het algemeen. De laatste norm betreft een nadere invulling met betrekking tot het vastleggen van acties op elektronische patiëntdossiers oftewel logging. De NEN-normen zijn voor de zorg verplicht op grond van het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ (Begz; Staatsblad 2017, 446).
De bevindingen van de AP laten zich als volgt samenvatten. Voor wat betreft autorisaties, logging en bewustwording van medewerkers ten aanzien van informatiebeveiliging, voldoet het HagaZiekenhuis aan de AVG. En dat geldt ook voor zijn register en de procedures rondom het melden van datalekken (art. 33 en 34 AVG). De AP constateert echter ook dat het ziekenhuis tekort is geschoten voor wat betreft de aspecten van authenticatie en controle van de logging en dat dit derhalve in strijd is met de plicht uit art. 32 lid 1 AVG om voor een passend beveiligingsniveau te zorgen. De twee tekortkomingen worden in de navolgende twee paragrafen besproken.
Mogelijke omzeiling van meerfactorauthenticatie
Voor wat betreft de authenticatie is voorgeschreven dat ten minste twee factoren moeten worden betrokken bij de authenticatie oftewel het vaststellen van de gebruiker die wenst in te loggen (norm 9.4.1 van NEN 7510-2:2017). In het HagaZiekenhuis was zo’n tweefactorauthenticatie procedure ingevoerd waarbij de personeelspas als extra factor gold. Dit kon echter worden omzeild wanneer bijvoorbeeld een medewerker zijn of haar personeelspas was vergeten. De authenticatie viel in dergelijke gevallen weer terug op éénfactor (het enkel weten van de combinatie van gebruikersnaam en wachtwoord). De AP oordeelt dat hiermee niet wordt voldaan aan het vereiste van tweefactorauthenticatie.
Onvoldoende controle van de logging
Het registreren of loggen van gebeurtenissen rondom (medische) persoonsgegevens is enkel zinvol als daar ook controle op wordt uitgeoefend. Voorgeschreven is dan ook dat logbestanden regelmatig behoren te worden beoordeeld (norm 12.4.1 van NEN 7510-2:2017). Zie het CBP rapport uit 2013: ‘Toegang tot digitale patiëntendossiers binnen zorginstellingen’ (https://autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-zorginstellingen-onzorgvuldig-met-medische-gegevens, laatst geraadpleegd 7 juni 2021). Hierbij werd ook de NEN 7510 als ijkpunt gebruikt en met name pagina’s 13 t/m 17 zijn relevant voor logging. Daaruit vloeide reeds de eis voort van ‘systematische controle’, die juist in casu ontbrak. Het HagaZiekenhuis controleerde namelijk slechts enkele dossiers per jaar. Zo waren in 2018 maar 7 dossiers gecontroleerd op logging. De controle was dus niet risicogericht, maar ook onvoldoende in omvang gelet op de schaal van de verwerkingen in het ziekenhuis.
Boetebesluit
Op 18 juni 2019 legde de AP naar aanleiding van haar voornoemde onderzoek aan het HagaZiekenhuis een bestuurlijke boete op, omdat het ziekenhuis in de periode van januari t/m oktober 2018 niet voldeed aan de vereisten van art. 32 AVG en tevens werd het ziekenhuis een last onder dwangsom opgelegd die zag op het stoppen van de voortdurende overtreding. De AP heeft dit boetebesluit openbaar gemaakt (www.autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties, laatst geraadpleegd op 7 juni 2021).
De boete valt conform het boetebeleid van de AP in categorie II (zie artikel 2.3 jo. Bijlage 1 Boetebeleidsregels 2019). De AP heeft de basisboete van € 310.000 verhoogd tot € 460.000 conform art. 6 en 7 Boetebeleidsregels 2019. Dit was vanwege de ernst van de structurele overtreding (verhoging met € 75.000 ex art. 7 aanhef en sub a van de Boetebeleidsregels 2019) alsmede de nalatige aard van de inbreuk (verhoging met nogmaals € 75.000,- ex art. 7 aanhef en sub b van de Boetebeleidsregels 2019). De AP zag geen aanleiding om de basisboete te matigen (ex art. 7 aanhef en sub c van de Boetebeleidsregels 2019).
Last onder dwangsom
Naast de boete legde de AP in haar boetebesluit ook een last onder dwangsom op. Als het HagaZiekenhuis binnen 15 weken niet haar tweefactorauthenticatie en regelmatige controle op orde zou hebben, dan zou het ziekenhuis iedere twee weken een dwangsom van € 100.000,- verbeuren tot een maximum van € 300.000. In een onderzoek ter plaatse van de AP op 17 oktober 2019 concludeert de AP dat het HagaZiekenhuis aan de last onder dwangsom heeft voldaan, maar wordt deze stok achter de deur – zo schrijft de AP op 2 december 2019 – verder niet opgeheven.
Principiële verweren in bezwaar en beroep
Het HagaZiekenhuis had ondertussen bezwaar ingesteld bij de AP tegen haar boetebesluit en de last onder dwangsom. De AP beslist op 15 januari 2020 – kort samengevat – dat zij geen aanleiding ziet om terug te komen op haar besluit. Het ziekenhuis had echter een aantal principiële rechtsbeginselen in stelling gebracht tegen het besluit. Deze spelen in zowel de beroeps- als bezwaarfase een rol en worden hierna per verweer behandeld, maar eerst een drietal verweren die nieuw waren in de beroepsfase.
Allereerst nemo tenetur prodere se ipsum, oftewel het beginsel dat niemand kan worden gedwongen om mee te werken aan de eigen veroordeling. Het HagaZiekenhuis baseerde dit verweer op het feit dat het zelf informatie aan de AP over haar informatiebeveiliging moest verstrekken (r.o. 3). De rechtbank maakt daar korte metten mee. Dit allereerst omdat de aan de AP geleverde informatie grotendeels wilsonafhankelijk is (want wettelijk verplicht) en dus buiten de reikwijdte van het nemo tenetur-beginsel valt. Anderzijds heeft de AP bij haar inlichtingenverzoek van 12 oktober 2018 met de woorden “cautie” en “u bent niet verplicht te antwoorden op vragen waarmee u uzelf of uw organisatie kunt belasten” voldoende duidelijk gewezen op het zwijgrecht (r.o. 4).
Het tweede, in deze zaak nieuwe principeverweer van het HagaZiekenhuis betreft de rechten van verdediging (art. 6 lid 2 EVRM en art. 49 lid 2 Handvest van de grondrechten van de EU). Het ziekenhuis stelt dat de schending hiervan ligt aan een uitbreiding van het onderzoek door de AP van ‘raadpleging door onbevoegde medewerkers’ naar ‘de verwerking van patiëntengegevens in het ziekenhuisinformatiesysteem’ (r.o. 5). De rechtbank ziet evenmin grond in dit verweer, nu de AP in haar brief van 12 oktober 2018 duidelijk kenbaar heeft gemaakt waar haar onderzoek zich in concreto op zou richten zodat het moeilijk valt in te zien hoe de rechten van de verdediging zouden zijn geschonden. Bovendien staat het de AP vrij om andere bewoordingen te gebruiken voor hetzelfde onderzoek, zonder dat daarmee direct een wijziging van de reikwijdte van het onderzoek is gegeven (r.o. 6).
Het derde, in dit beroep nieuwe verweer had het HagaZiekenhuis reeds in bezwaar naar voren gebracht ten aanzien van de boetehoogtes, maar niet in meer algemene zin zoals in beroep: het gelijkheidsbeginsel. De ongelijkheid zou volgens het ziekenhuis volgen uit twee andere besluiten waarbij de AP ten aanzien van zorgverzekeraars en het UWV slechts besloot tot een last onder dwangsom en géén boetes (r.o. 14). De AP heeft echter succesvol bepleit dat het geen gelijke gevallen betroffen, onder meer omdat beide gevallen nog onder de vigeur van de Wbp vielen waarbij boetes – anders dan bij de AVG – als ultimum remedium golden.
Juridische grondslag boetebesluit
In zowel bezwaar als beroep wierp het HagaZiekenhuis de grondslagkwestie op. Volgens haar kan de AP zich sinds de invoering van de AVG niet meer beroepen op de inkleuring van de ‘passende beveiligingsmaatregelen’ uit art. 32 AVG door de betreffende NEN-normen. Art. 26 Wbp, dat verwijst naar het Begz dat de NEN-normen voorschrijft, is immers sinds de invoering van de AVG vervallen. Bovendien zou uit de memorie van toelichting op de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) blijken dat materiële normen voor verwerkingen uit de AVG niet meer op nationaal niveau mogen worden vastgelegd (Kamerstukken II, 2017/18, 34 851, nr. 3, par. 2.4, p. 16-18).
De AP oordeelde in bezwaar dat zij enkel art. 32 lid 1 AVG ten grondslag heeft gelegd aan haar boetebesluit en dat het Begz en de betreffende NEN-normen enkel zijn gebruikt als concrete invulling/interpretatie van wat in dit geval als passende beveiligingsmaatregelen hebben te gelden.
De rechtbank volgt in beroep hierin de AP en concludeert verder nog dat de in de NEN-normen vervatte regels over tweefactorauthenticatie en regelmatige controle van de logging reeds jaren – ook onder de Wbp – reeds als passend werden beschouwd (r.o. 7-9). Een andere uitkomst zou uiteraard alleen maar leiden tot meer rechtsonzekerheid voor de zorgsector.
Legaliteitsbeginsel
Vervolgens haalde het HagaZiekenhuis in beide instanties het legaliteitsbeginsel of het lex certa-beginsel erbij. Ten aanzien van dit beginsel zou volgens het ziekenhuis uit art. 7 EVRM en art. 5:4 lid 2 Awb voortvloeien dat de gedragingen niet wettelijk verboden zouden zijn of op zijn minst dat de verboden niet voldoende duidelijk, voorzienbaar of kenbaar zijn geweest. Het HagaZiekenhuis bepleitte verder dat de open norm van art. 32 AVG (waaronder de vraag wat men moet verstaan onder ‘passende’ maatregelen) en – indien deze toch van toepassing zouden zijn – de NEN-normen (waaronder de vraag wat men moet verstaan onder ‘regelmatig’ controleren van de logging) te onduidelijk zouden zijn. Dit raakt dus eveneens het bestuursrechtelijke rechtszekerheidsbeginsel dat voortvloeit uit het legaliteitsbeginsel.
De AP bracht aan de hand van jurisprudentie de noodzaak én mogelijkheid naar voren voor wetgevers om met open normen te werken. Daar valt weinig op af te dingen. Verder benadrukte zij dat art. 32 lid 1 AVG onder onderdelen a-d de nodige concretiseringen bevat en dat verder lid 2 tezamen met overweging 83 van de considerans de belangen van de maatregelen nog eens concretiseren. Meer belangrijk is het argument dat met de enorme snelheid waarmee de techniek voortschrijdt de noodzaak tot het gebruik van open normen gegeven is. Daar kan men immers niet tegenaan reguleren met specifieke beveiligingsvoorschriften. De AVG heeft tot slot het uitgangspunt gehanteerd om bestaande doelstellingen en beginselen van de Privacyrichtlijn 95/46/EG overeind te houden (overweging 9 van de considerans), zodat de steeds in Nederland uitgedragen NEN-normen niet als een verrassing zouden moeten komen voor het HagaZiekenhuis.
Ten aanzien van de controle op de logging redeneert AP terecht dat slechts een handjevol steekproeven in geen goede verhouding staat tot de 381.500 patiëntbezoeken en de bijbehorende raadplegingen van dossiers. Dat de AP deze specifieke norm niet inkleurt of aantallen voorschrijft, maakt nog niet dat er sprake is van een schending van het legaliteits- of rechtszekerheidsbeginsel. Ook de invulling van de open norm ‘regelmatig’ in dit kader is om dezelfde redenen als hiervoor niet wenselijk en niet nodig.
De rechtbank volgt de AP en constateert dat de onderhavige open normen niet volledig open waren, maar inmiddels al voldoende geconcretiseerd. Belangrijk hierbij blijft dat het AVG-normenkader gebaseerd is op het voorgaande normenkader van de Privacyrichtlijn 95/46/EG en daarmee de Wbp. Volgens de rechtbank waren de normen voldoende duidelijk en had het ziekenhuis, als professionele partij, zich maar moeten vergewissen van de juiste toepassing van de normen. De AP kon volgens de rechtbank dus gewoon handhaven (r.o. 12).
Boetehoogte
In bezwaar deed het HagaZiekenhuis ten aanzien van de boetehoogtes voornamelijk een beroep op matiging omdat het ten aanzien van andere beveiligingsmaatregelen niet nalatig was en dus over het algemeen niet als ‘bijzonder nalatig’ kan worden aangemerkt. En verder dat beide boeteverhogingen dubbelop zouden zijn (dus in strijd met ne bis in idem). Tot slot dat de AP ten onrechte niet de boete heeft gematigd in het licht van de wél genomen maatregelen en de gestelde verminderde draagkracht (dus in strijd met het evenredigheidsbeginsel).
De AP hield in bezwaar echter strikt vast aan haar oordeel dat de boete louter betrekking heeft op de maatregelen die niet waren genomen en het feit dat de beide verhogingen geen doublures zijn, maar juist op verschillende boeteverhogende omstandigheden zien. De AP bleef ook bij haar besluit geen boetematiging toe te passen, hoewel ze de rechtsgronden daarvoor in de wetsgeschiedenis en jurisprudentie wel erkent. Aan de hand van de jaarrekening 2018 van het HagaZiekenhuis alsmede nadere verstrekte financiële informatie, bleek matiging door de AP niet aan de orde.
In beroep komt deze discussie weer terug, maar lijkt het HagaZiekenhuis de accenten hier en daar wat anders te leggen. De onderliggende principes zijn het evenredigheidsbeginsel en het zorgvuldigheidsbeginsel. De rechtbank gaat mee met de AP in het betoog dat de basisboete geen goed vergelijkingsmateriaal vormt voor vergelijkbare boetes in het buitenland en dat deze basisboete van € 310.000 ‘niet onredelijk’ is (r.o. 19). Met name het grote aantal patiënten en het type persoonsgegevens rechtvaardigde de eerste boeteverhoging (betreffende aarde, omvang en duur), terwijl het feit dat het HagaZiekenhuis na het beruchte datalek niet de juiste maatregelen heeft genomen de tweede boeteverhoging (betreffende nalatigheid) legitimeerde.
De boeteverhogingen waren dus gepast (r.o. 20). Maar de rechtbank toonde wél oog voor de maatregelen die het ziekenhuis reeds had genomen én de extra maatregelen die het in de bezwaarfase had genomen met name in relatie tot art. 7 aanhef en sub d van de Boetebeleidsregels 2019. De AP had hier volgens de rechtbank onterecht geen gewicht aan toegekend. De verhoogde boete wordt daarom weer enigszins gematigd tot € 350.000 (r.o. 20). Met een bedrijfsresultaat van ruim 1,8 miljoen euro in 2019 en de beschikking over ruim 30 miljoen euro, is matiging op grond van het financiële draagkrachtargument ook volgens de rechtbank niet aan de orde (r.o. 21).
Last onder dwangsom
Het HagaZiekenhuis kwam ook op tegen de hoogte van de last onder dwangsom, ondanks het feit dat al vaststond dat het had voldaan aan de last. De hoogte zou zich slecht verhouden tot de verweten gedraging en het besluit zou meerdere lasten opleggen, waarbij de dwangsom reeds wordt verbeurd bij schending van één van de lasten (beide strijdig met het evenredigheidsbeginsel). Verder staat de hoogte in slechte verhouding tot de dwangsommen die de AP sinds de inwerkingtreding aan anderen heeft opgelegd (dus in strijd met het gelijkheidsbeginsel).
De AP vroeg zich in haar beslissing op bezwaar af wat nu eigenlijk het belang van het ziekenhuis is, nu er geen dwangsommen zijn verbeurd. Maar los daarvan ziet de AP geen strijd met het evenredigheidsbeginsel en beroept zij zich op het uitgangspunt dat een voldoende prikkel dient uit te gaan van een dwangsom zodat de last daadwerkelijk wordt uitgevoerd. Ook was er volgens de AP geen plicht om dwangsommen per last te splitsen. Verder zag de AP ook geen strijdigheid met het gelijkheidsbeginsel, omdat de dwangsommen die aan andere ziekenhuizen zijn opgelegd dateren uit een andere tijdsgeest (namelijk 2009) en van vóór invoering van de AVG zijn. Oftewel, dit betroffen géén gelijke gevallen.
In beroep kon de AP haar argumenten herhalen en volgde de rechtbank haar op deze punten.
Conclusie
Hoewel de NEN-normen niet hebben te gelden als grondslagen op basis waarvan de AP mag beboeten, blijven zij in de zorg een cruciale rol spelen bij het interpreteren en concreet invullen van ‘passende’ beveiligingsmaatregelen uit art. 32 lid 1 AVG. Dat is ook niet verwonderlijk, nu het betreffende artikel begint met de woorden ‘Rekening houdend met de stand van de techniek’. Deze woorden resoneren uiteraard sterk met de van tijd tot tijd geüpdatete NEN-normen en het gebruik daarvan in de informatiebeveiligingspraktijk. De rappe ontwikkelingen op IT-gebied en informatiebeveiliging zijn natuurlijk ook van dien aard dat het hanteren van open normen een bittere noodzaak is.
De zorg blijft vooralsnog een zorgenkindje voor de AP, dus toezicht en handhaving blijven te verwachten binnen de zorgsector (zie ook de recente boete van de AP aan het OLVG van 11 februari 2021 vanwege de slechte beveiliging van patiëntendossiers). Zorgverleners kunnen dan bij twijfel over de open normen ook beter het advies van zowel de AP als de rechtbank ter harte nemen; als professionele partij dient u zich maar te vergewissen van de juiste toepassing van de regels. Ondanks het feit dat de normen vaak enigszins open zijn en de AP hier vooraf geen concrete invulling aan geeft, ligt de interpretatie van normen – ook gezien deze uitspraak – nadrukkelijk binnen de risicosfeer van de zorgverlener.
Naast de boetegrondslagen, die – ondanks de vele rechtsbeginselen waarnaar kan worden teruggegrepen – maar moeilijk aanvechtbaar bleken, boekte het HagaZiekenhuis in deze kwestie wel enige winst ten aanzien van de boetehoogte. De boete werd van € 460.000 teruggeschroefd naar een boete van € 350.000. Dit omdat de rechtbank de wél genomen maatregelen, conform art. 7 aanhef en sub d van de Boetebeleidsregels 2019, meewoog. Rechtsfilosofisch beschouwd kan een boetematiging vanwege goed gedrag uiteraard ook een goede prikkel vormen voor het naleven van regels. Het argument van financiële draagkracht werd in casu niet gehonoreerd, maar werd in het recentelijk gepubliceerde boetebesluit van 16 juni 2020 van de AP betreffende de PVV Overijssel wél toegepast door de AP (https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-pvv-overijssel-vanwege-niet-melden-datalek, laatst geraadpleegd op 7 juni 2021). Daar werd de boete van € 525.000 verlaagd tot slechts € 7.500. Zo kunnen er, zolang er geen Europese richtlijnen zijn voor boetehoogtes, in Nederland langzaam precedenten ontstaan die het aanvechten van boetes het overwegen waard maken. En dat maakt nieuwsgierig naar wat het OLVG zal gaan doen…