Boete voor ziekenhuis vanwege overtreden AVG

Rechtbank Den Haag 31 maart 2021, IT 3491; ECLI:NL:RBDHA:2021:3090 (Ziekenhuis tegen Autoriteit Persoonsgegevens) De Autoriteit Persoonsgegevens heeft aan een ziekenhuis een bestuurlijke boete van € 460.000,- en een last onder dwangsom opgelegd. Het ziekenhuis had volgens de Autoriteit Persoonsgegevens artikel 32 van de Algemene Verordening gegevensbescherming (AVG) overtreden, omdat er niet genoeg maatregelen waren genomen om de persoonsgegevens van patiënten te beschermen. Zo had het ziekenhuis de zogenoemde tweefactor authenticatie moeten invoeren en heeft het ziekenhuis de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd. De rechtbank is van oordeel dat de Autoriteit Persoonsgegevens een boete en een last onder dwangsom mocht opleggen. Wel was de boete volgens de rechtbank te hoog.

Het basisboetebedrag van € 310.000,- acht de rechtbank op zichzelf niet onredelijk. De rechtbank is het ook eens met de Autoriteit Persoonsgegevens dat het boetebedrag verhoogd mocht worden vanwege de aard, ernst en duur van de overtreding en de opzettelijke/nalatige aard van de overtreding. Met deze twee boeteverhogende omstandigheden (tweemaal € 75.000,-) was het totale boetebedrag vastgesteld op € 460.000,-. De rechtbank vindt dit bedrag echter in dit geval te hoog en ziet aanleiding de boete te matigen tot € 350.000,-. De rechtbank vindt het namelijk van belang dat het ziekenhuis wel een aantal maatregelen heeft genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier worden ingezien door onbevoegde medewerkers. Ook heeft het ziekenhuis nog tijdens de bezwaarfase alsnog de tweefactor authenticatie ingevoerd en de logging geïntensiveerd. De door het ziekenhuis getroffen maatregelen tonen volgens de rechtbank in ieder geval de bereidwilligheid om met de problematiek in de organisatie aan de slag te gaan en nuanceren de nalatigheid die het ziekenhuis wordt verweten.

12. De rechtbank is van oordeel dat geen sprake is van strijd met het legaliteitsbeginsel. Hiertoe wordt overwogen dat de AVG niet alleen van toepassing is in de zorg en dat de tekst dus voldoende algemeen moet zijn om voor alle verwerkingsverantwoordelijken en verwerkers te kunnen gebruiken. Verder stond het begrip ‘passende technische en organisatorische maatregelen’ ook in de Wbp, die eveneens was gebaseerd op Europese regelgeving, namelijk Richtlijn 95/46/EG. Naar het oordeel van de rechtbank heeft verweerder daarnaast terecht gesteld dat geen sprake is van een volledig open norm, omdat de norm nader wordt geconcretiseerd in het eerste lid ten aanzien van de passende maatregelen en in het tweede lid waar de verwerkingsrisico’s worden genoemd. Verder leidt de omstandigheid dat verweerder niet op voorhand kan aangeven wanneer sprake is van regelmatige controle van de logbestanden, naar het oordeel van de rechtbank niet tot de conclusie dat sprake is van een dermate open norm dat sprake is van strijd met het legaliteitsbeginsel. De norm is naar het oordeel van de rechtbank voldoende duidelijk. Hierbij wordt in aanmerking genomen dat eiseres zich, zoals verweerder stelt, als professionele partij kan vergewissen van de juiste toepassing van de normen. In elk geval kon voor eiseres duidelijk zijn dat het in haar beleid opgenomen aantal van zes controles niet voldeed aan de norm, gelet op het aantal patiëntbezoeken en het aantal medewerkers. Er bestaat dan ook geen grond voor het oordeel dat verweerder de norm had moeten verduidelijken voordat tot handhaving werd overgegaan. Ter zitting heeft eiseres er in dit verband op gewezen dat het de taak van verweerder is te bevorderen dat gedragscodes worden opgesteld die bijdragen tot de juiste toepassing van de AVG, maar dat het de ziekenhuizen zelf zijn die het initiatief hebben genomen om een gedragscode op te stellen. Verweerder heeft echter terecht gesteld dat de gedragscode een instrument van de sector zelf is en niet van verweerder. Verweerder kan een voorgelegde gedragscode alleen goedkeuren. Of er een gedragscode is opgesteld, is dan ook niet bepalend voor de vraag of verweerder handhavend mocht optreden.