Het OLVG-ziekenhuis in Amsterdam heeft tussen 2018 en 2020 te weinig beveiligingsmaatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen.
Uit onderzoek van de Autoriteit Persoonsgegevens (AP) is gebleken dat er onvoldoende controle was op wie welk dossier bekeek. Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang.
Ook was de beveiliging van de computersystemen ontoereikend. Zo ontbrak tweefactor authenticatie voor gebruikers die toegang probeerden te krijgen tot een patiëntendossier. In het ziekenhuis hadden medewerkers geen tweefactor authenticatie. Inloggen buiten het ziekenhuis verliep wel via tweefactor authenticatie.
“Het OLVG nam te weinig beveiligingsmaatregelen om de beveiliging van persoonsgegevens te waarborgen”, zo constateert de AP. Dat is ernstig en daarom legt de AP het OLVG nu een boete van 440.000 euro op.
Volgens de AP moeten mensen erop kunnen vertrouwen dat hun gegevens bij het ziekenhuis veilig zijn. “Juist in de zorg, waar de gevoeligste persoonsgegevens in de systemen staan, zien wij veel datalekken: de afgelopen jaren staat de zorg altijd in de top 3 van sectoren met de meeste datalekken”, zegt AP-vicevoorzitter Monique Verdier. Zij roept ziekenhuizen en andere zorginstellingen op om heel goed na te gaan hoe zij de bescherming van de gegevens van patiënten geregeld hebben en deze te verbeteren waar dat nodig is.
Aanleiding voor het onderzoek was een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk. De AP concludeerde na haar onderzoek dat het OLVG structureel niet goed omging met de toegang tot medische dossiers.
