Het HagaZiekenhuis in Den Haag heeft de beveiliging van patiëntendossiers nog steeds niet op orde. Dat oordeelt de Autoriteit Persoonsgegevens. Het ziekenhuis krijgt daarvoor een boete van 460.000 euro en een dwangsom voor als er geen actie komt.

Vorig jaar onthulde EenVandaag, na een tip via Publeaks, dat tientallen medewerkers van het HagaZiekenhuis ongeoorloofd snuffelden in de medische gegevens van reality-ster Samantha de Jong, beter bekend als 'Barbie'. Het ziekenhuis zei vervolgens maatregelen te nemen om patiëntgegevens beter te beschermen, maar dat blijkt volgens de toezichthouder onvoldoende uitgevoerd.

Zorgelijke situatie

Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, is na onderzoek behoorlijk geschrokken: "Wat we hebben aangetroffen is een zeer zorgelijke situatie. De beveiliging is is echt onder de maat. Er wordt niet goed gecontroleerd, mensen kunnen te gemakkelijk bij die medische dossiers."

Volgens het onderzoek worden er in het ziekenhuis nu steekproeven gehouden. Alleen is dat aantal, zes in 2019, veel te laag. "Dit moet je regelmatig en goed controleren. Dat laatste gebeurde echt mondjesmaat, echt dik onder de maat", zegt Wolfsen.

De Autoriteit Persoonsgegevens geeft Haga Ziekenhuis een recordboete.

Onvoldoende beveiligingsmaatregelen

Volgens de toezichthouder moet het HagaZiekenhuis alle technische en organisatorische maatregelen nemen om ervoor te zorgen dat patiëntgegevens veilig zijn, maar is dat op twee onderdelen onvoldoende gedaan.

Zo moet het ziekenhuis regelmatig controleren wie welk dossier raadpleegt. Alleen zo kan het ziekenhuis tijdig signaleren wanneer iemand onbevoegd toch een dossier inkijkt. Ook moet er een beveiliging komen in twee stappen, zoals een wachtwoord in combinatie met een personeelspas.

Aanscherpen patiëntendossiers

Het HagaZiekenhuis laat in een reactie weten de interne beveiliging van patiëntendossiers aan te scherpen. "Veel is op orde. De eis om de authenticatie aan te scherpen, voeren we nu in. De toezichthouder eist ook dat we meer controles van wie er inlogt gaan uitvoeren. Dat doen we tot nu toe handmatig en dat is tijdrovend", zegt directievoorzitter Carla van de Wiel.

Ze vindt het zuur dat het opgelegde boetebedrag van 460.000 euro nu niet aan patiëntenzorg kan worden besteed. Het ziekenhuis doet er nu alles aan om de dwangsom te vermijden.

Lees ook

Steekproef HagaZiekenhuis

Het balletje kwam aan het rollen toen tijdens een steekproef bij het HagaZiekenhuis bleek dat medewerkers het dossier van BN'er Samantha de Jong hadden geraadpleegd toen zij daar behandeld werd. In totaal bleken 85 medewerkers het dossier onrechtmatig te hebben bekeken.

Het is onduidelijk of de betreffende medewerkers wel of geen geen behandel- of zorgrelatie met de patiënt hadden. De medewerkers die het dossier van Barbie bekeken, hebben dit via het ziekenhuisinformatiesysteem Chipsoft gedaan. Dat mag alleen als je een medische betrokkenheid hebt bij die patiënt.

Bij meer ziekenhuizen problemen

De Autoriteit Persoonsgegevens heeft door tips het vermoeden dat er bij meer ziekenhuizen niet goed wordt omgegaan met digitale patiëntdossiers. "Ja, die indruk hebben we wel. Ik hoop echt dat hier ook een waarschuwing vanuit gaat, dat alle ziekenhuizen die het nog niet op orde hebben dat zo snel mogelijk doen. Het is echt een serieus onderwerp", zegt Wolfsen.

De dwangsom voor het HagaZiekenhuis kan oplopen tot 300.000 euro als men niet snel actie onderneemt.

Vragen? Stel ze!

Heb je nog vragen of wil je reageren? Stuur ons dan hier een berichtje in onze chat. Elke donderdag vertellen we in de Doe mee-nieuwsbrief wat we met alle reacties doen. Wil je die in je mail? Meld je dan hier aan.