Locations
On 11 February 2021, the Dutch DPA announced that it had imposed a fine of €440,000 on the Amsterdam Hospital, Onze Lieve Vrouwen Gasthuis (OLVG).
In the Dutch DPA's assessment, OLVG had not taken sufficient measures to prevent unlawful access to medical records and the security measures put into place were ineffective. The Dutch DPA started its investigation after receiving a complaint from a concerned citizen, receiving information from news outlets and after two reported data breaches of the OLVG regarding working students and other medical personnel having unauthorized access to data.The Dutch DPA attached particular importance to the fact that the OLVG had not imposed sufficient safeguards to protect patient's interests. Patients have the right to be assured that medical records are only accessed when it is necessary. The Dutch DPA considered the lack of sufficient safeguards to be very serious, justifying a high fine. These medical records include information on citizen service numbers, addresses and telephone numbers of patients. These types of personal data must be protected in an adequate manner to prevent identity fraud. Again, the OLVG imposed insufficient security measures to prevent this information from being accessible.
The Dutch DPA mentioned two violations specifically. First, the lack of regular checks to find out who is accessing medical records. The OLVG did not have an overview of which medical records had been accessed by whom and if access had been without prior authorization.
Second, the OLVG did not have two-factor authentication in place, which checks the identity of the user by using a password or code in combination with a staff pass. The OLVG only used two-factor authentication if someone logged in outside the hospital, not when someone logged in from within the hospital.
The OLVG is not the first healthcare organization to be fined by the Dutch DPA for insufficient security of medical records. Previously, the Haga hospital in The Hague was fined due to insufficient security measures where multiple employees accessed the medical records of a Dutch celebrity. In that case the Dutch DPA was of the same opinion, namely that the hospital should have monitored more closely which employees had access to the medical records. Again, the Dutch DPA noticed that the Haga hospital should have used two-factor authentication in order to prevent unauthorized access.
The high fines for these violations may have something to with the Dutch DPA's willingness to make a statement. In the Netherlands, the healthcare sector ranks as the third most affected sector when it comes to data breaches. Since medical data involves special categories of personal data, patients should be able to trust healthcare organizations and it is of concern that two major hospitals were unable to put sufficient security measures in place.
The OLVG hospital has already taken extra measures while the investigation was ongoing. The hospital is structurally monitoring the logging of its employees and is using two-factor authentication. The OLVG has chosen not to object or to appeal against the fine imposed by the Dutch DPA.
Conclusion
Healthcare organizations should take measures that only allow employees access to medical records of patients where they are directly involved in the treatment of that patient. However, there is a possibility for organizations to make use of an emergency procedure in case documents need to be accessed without prior authorization. Again, necessary safeguards need to be put into place to guarantee an adequate level of security. In time, improved authentication methods will be available, but in the short term, it is important to implement two-factor authentication as a measure and carefully monitor and record access to patient records.
If you have any questions, please be sure to get in touch.
Dutch
Privacy toezichthouder beboet voor de 2e keer een ziekenhuis wegens privacy misstanden
Vorige week, 11 februari 2021, heeft de Autoriteit Persoonsgegevens ("AP") een boete van 440.000 euro opgelegd aan het Amsterdamse ziekenhuis het Onze Lieve Vrouwen Gasthuis ("OLVG").
Het OLVG had onvoldoende maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Daarbij werd de beveiliging van het computersysteem ontoereikend bevonden. De AP is het onderzoek gestart na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk.
De AP hechtte vooral belang aan het feit dat het ziekenhuis de belangen van patiënten onvoldoende had gewaarborgd. Patiënten hebben het recht om zeker te zijn dat medewerkers alleen dossiers inzien wanneer dat noodzakelijk is. Het onvoldoende waarborgen van dit recht werd door de AP als zeer ernstig gezien waarbij een hoge geldboete gerechtvaardigd was. Daarbij is in medische dossiers ook informatie opgenomen over Burgerservicenummers, adressen en telefoonnummers. De persoonsgegevens moeten goed beveiligd zijn om identiteitsfraude tegen te gaan. Ook met het oog hierop had het OLVG onvoldoende maatregelen genomen.
De AP noemde specifiek twee overtredingen van het OLVG. Ten eerste, het ontbreken van regelmatige controle wie welk dossier raadpleegt, zodat het ziekenhuis tijdig zou opmerken wanneer iemand zonder autorisatie een dossier bekijkt. Ten tweede, er werd niet gewerkt met authenticatie van ten minste twee factoren, waarbij de identiteit van de gebruiker wordt vastgesteld met bijvoorbeeld een code of een wachtwoord in combinatie met een personeelspas. Het OLVG maakte enkel gebruik van tweefactor-authenticatie wanneer werd ingelogd buiten het ziekenhuis, niet wanneer inloggen vanuit het ziekenhuis gedaan werd.
Het OLVG is niet de eerste zorginstelling die een boete opgelegd kreeg voor het onvoldoende beveiligen van medische dossiers. Eerder al, in juli 2019, werd het Haga ziekenhuis in Den Haag ook beboet wegens onvoldoende beveiliging van medische dossiers. De onvoldoende beveiliging van het Haga ziekenhuis kwam aan het licht doordat het dossier van een bekende Nederlander door tientallen medewerkers werd ingezien. Ook hier vond de AP dat het ziekenhuis beter had moeten controleren wie welk dossier raadpleegt, om ervoor te zorgen dat onbevoegde medewerkers geen toegang hadden. Ook hier stelde de AP vast dat het Haga ziekenhuis onterecht geen gebruik maakte van tweefactor-authenticatie.
De hoge boetes voor deze overtredingen kunnen deels te maken hebben met het stellen van een voorbeeld. In Nederland staat de zorg in de top 3 van sectoren met de meeste datalekken. Juist wanneer het gaat om medische gegevens moeten patiënten erop kunnen vertrouwen dat ziekenhuizen en zorginstellingen hier goed mee omgaan. Dat grote instellingen als het OLVG en het Haga ziekenhuis hierin niet slagen is een zorgwekkende situatie.
Tijdens het onderzoek van de AP heeft het OLVG direct de verbeteringen doorgevoerd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld. Het ziekenhuis gaat niet in bezwaar of beroep tegen de boete van de AP.
Conclusie
Zorgorganisaties moeten maatregelen nemen waardoor alleen medewerkers die een behandelrelatie hebben met de patiënt daadwerkelijk toegang hebben tot patiëntgegevens. Er bestaat wel de mogelijkheid dat zorgorganisaties een noodprocedure instellen waarbij zonder voorafgaande autorisatie patiëntgegevens beschikbaar zijn. Deze procedures moeten met de nodige waarborgen zijn omkleed, zodat alleen in noodsituaties daar gebruik van gemaakt kan worden. Op den duur zullen verbeterde authenticatiemethoden beschikbaar zijn, maar op de korte termijn is het van belang om in ieder geval tweefactor-authenticatie in te stellen en de inzage in patiëntendossiers zorgvuldig vast te leggen.
Mocht u vragen hebben, neem dan vooral contact op.