Reflectie Haga Ziekenhuis

Het boetebesluit is gebaseerd op twee bevindingen:

a)      HagaZiekenhuis heeft (vanaf januari 2018 tot 18 juni 2019) de toegang tot bijzondere persoonsgegevens niet beveiligd met tweefactor authentificatie.

b)      HagaZiekenhuis heeft (vanaf januari 2018 tot 18 juni 2019) de logbestanden met een lage frequentie en met een beperkte steekproef gecontroleerd.

Deze eisen van tweefactor authentificatie en hoogfrequent controleren van logbestanden zijn geformuleerd in c.q. abstraheerbaar vanuit NEN 7510 respectievelijk NEN 7513. Dat HagaZiekenhuis aan NEN 7510 en NEN 7513 moet voldoen staat niet expliciet in de Algemene Verordening Gegevensbescherming (AVG), noch in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Dat HagaZiekenhuis aan deze twee normen moet voldoen is bepaald in artikel 3 van Besluit elektronische gegevensverwerking door zorgaanbieders van 10 november 2017 (verder te noemen Besluit). De toezichthoudende bevoegdheid van de Autoriteit Persoonsgegevens (AP) alsmede de bevoegdheid tot het opleggen van boetes en andere sanctiemaatregelen is verankerd in de AVG c.q. UAVG. De vraag waarop hier gereflecteerd wordt is of de AP krachtens de bevoegdheid die aan de AP is verleend door de AVG/UAVG aan organisaties die gegevens verwerken die vallen onder de definitie van persoonsgegevens c.q. bijzondere persoonsgegevens zoals gegeven in de AVG artikel 4 respectievelijk artikel 9 aan HagaZiekenhuis een boete kan opleggen vanwege het niet voldoen aan eisen die geformuleerd zijn in NEN 7510 respectievelijk NEN 7513. De werkhypothese bij deze reflectie is: “De AP is niet bevoegd tot het opleggen van boetes aan organisaties in de zorg voor het niet voldoen aan eisen die geformuleerd zijn in NEN 7510 of NEN 7513.”

Vermits deze werkhypothese indruist tegen vigerende intuïties en opvattingen is het opportuun de stelligheid waarmee deze intuïties en opvattingen bij gelegenheid geëxpliciteerd worden enigermate in te dammen door te wijzen op de analytische verdedigbaarheid van een nog wat meer gewaagde hypothese, sc. dat de AP aan de AVG/UAVG in het geheel geen boetebevoegdheid kan ontlenen. Deze meer gewaagde hypothese laat zich verankeren in het feit dat de AVG incoherent is wat betreft het primaire object van de AVG, de persoonsgegevens. Artikel 4, lid 1 definieert ‘persoonsgegevens’ als volgt:

1) “persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Deze definitie is analytisch inadequaat. Het maatschappelijk gangbare, intuïtief inzichtelijke begrip ‘persoonsgegevens’ wordt gedefinieerd in termen van het begrip ‘informatie’. Voor het begrip ‘informatie’ geldt dat dit weliswaar gangbaar is in het dagelijks taalgebruik doch dat uitlatingen waarin dit begrip voorkomt zelden of nooit consistent zijn. Dit verklaart het bestaan van een discipline genaamd ‘informatietheorie’. In deze discipline wordt getracht het begrip ‘informatie’ dusdanig te verduidelijken dat er zinvolle uitspraken over informatie, in enige betekenis van die term, gedaan kunnen worden. De AVG committeert zich evenwel nergens tot een specifieke betekenis van de term ‘informatie’. Dit heeft tot gevolg dat doorheen de AVG, en in alle teksten die daarvan zijn afgeleid of daarop zijn gebaseerd, het begrip ‘informatie’ latent inconsistent is. Zoals toegelicht in hoofdstuk 2 van mijn boekje “Hoe symbolen onze privacy beschermen, anamnese van een stukje wetgeving” (Uitgeverij Diagan, 2018) hinkelt de AVG heen en weer tussen twee interpretaties van het begrip ‘informatie’ die niet met elkaar te verenigen zijn. Dit rechtvaardigt het – binnen zekere logische en redelijkheidsgrenzen – de AVG aan te merken als een geval van inconsistente wetgeving. Indien we een toezichthoudende instantie – of een rechter – zouden toestaan boetebevoegdheid te ontlenen aan een stukje inconsistente wetgeving, zouden we afscheid nemen van wat zelfs door boreale denkers als Paul Cliteur en Thierry Bidet aangemerkt zou worden als het fundamentele beginsel is van de rechtstaat: dat de rechterlijke macht gelijke gevallen, gelijk moet behandelen. Vanuit rechtstatelijke optiek laat het zich derhalve verdedigen dat de AP aan de AVG geen boetebevoegdheid kan ontlenen.

De voorgaande alinea is enkel geschreven teneinde bij u als lezer de stelligheid waarmee u ervan overtuigd zult zijn dat de AP een boete kan opleggen aan HagaZiekenhuis enigermate in de week te zetten, en uw geest open te zetten voor althans de veel zwakkere werkhypothese die hier aan de orde is,

Omwille van de opbouw van deze reflectie veronderstellen we in eerste instantie dat de bevindingen van de AP – dat HagaZiekenhuis niet voldoet aan NEN 7510 en NEN 7513 – juist zijn. De AP is niet ingesteld om toe te zien op de mate waarin (zorg)instellingen voldoen aan NEN 7510 en NEN 7513. In de tekst van het Besluit wordt gesteld dat het Besluit genomen is “gelet op de Wet Bescherming Persoonsgegevens”. Laat ons, uit coulance, ervan uitgaan dat wetgever wenst en desgevraagd zou persisteren in de wens dat de verwijzing naar de inmiddels ingetrokken WBP geïnterpreteerd wordt als een verwijzing naar de AVG. De verplichting die het Besluit aan zorginstellingen oplegt te voldoen aan NEN 7510 en NEN 7513 houdt – zo besluiten wij de wetgever te verstaan – verband met de AVG. De wetgever heeft het Besluit genomen met de AVG, voorheen de WBP, in het achterhoofd. Daaruit volgt niet, noch expliciet noch impliciet, dat de boetebevoegdheid die de AVG/UAVG aan de AP toekent schendingen van NEN 7510 of schendingen van NEN 7513 omvat. Dat er een wet is waarin de term ‘Persoonsgegevens’ voorkomt en een autoriteit met een naam waarin de term ‘Persoonsgegevens’ voorkomt, impliceert niet dat alle regels en bepalingen die voor persoonsgegevens gelden onder het gezag en de bevoegdheid van de aldus benoemde autoriteit vallen. Het is zeer wel denkbaar dat de wetgever, met de AVG in het achterhoofd, maatregelen of besluiten neemt waarvan de uitvoering en het eventueel sanctionerend toezicht wordt gedelegeerd aan een ander orgaan dan de AP. In de context van de AVG is dit ook opportuun. Anders dreigt de situatie – die door de kwestie rond de kinderopvangtoeslag onlangs plotsklaps feitelijk is geworden – dat de Autoriteit Persoonsgegevens zich gaat mengen in kwesties die redelijkerwijs vallen in het domein van de College van de Rechten voor de Mens, voorheen Commissie Gelijke Behandeling, enkel en alleen omdat bij elke vorm van discriminatie persoonsgegevens een rol spelen.

Hoe legt de AP het verband tussen de boetebevoegdheid en de bevindingen bij HagaZiekenhuis? In de versie van het boetebesluit die de AP op 16 juli 2019 gepubliceerd heeft op de website, doet de AP dat in de aanhef van paragraaf 4.2.:

“Ingevolge artikel 58, tweede lid, aanhef en onder i en artikel 83, vierde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, is de AP bevoegd aan het HagaZiekenhuis in geval van een overtreding van artikel 32, eerste lid, van de AVG een bestuurlijke boete op te leggen tot € 10.000.000 of tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.” (p. 17/25)

Deze passage kan een lezer verwarren omdat er de suggestie vanuit gaat dat in het derde lid van artikel 14 iets staat dat inhoudelijk aanvullend is op de artikel 58 en 83 van de AVG. Dat is niet het geval. De functie van artikel 14 is aan de EU te melden dat de Nederlandse overheid gehoor geeft aan artikel 83 van de AVG door aan de AP boetebevoegdheden toe te kennen. Het vierde lid van artikel 83 van de AVG stelt:

  1. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:

a) de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43;

b) de verplichtingen van het certificeringsorgaan overeenkomstig de artikelen 42 en 43;

c) de verplichtingen van het toezichthoudend orgaan overeenkomstig artikel 41, lid 4.

Artikel 83 van de AVG verwijst naar artikel 58, tweede lid van de AVG, dat sub i terugverwijst naar artikel 83:

  1. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;

b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;

c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;

d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

e) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;

f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;

g) het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19;

h) een certificering intrekken of het certificeringsorgaan gelasten een uit hoofde van de artikelen 42 en 43 afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan;

i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83;

en

j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.

Dit heen en weer verwijzen kan zonder verlies aan analytische rijkdom afgedaan worden als het soort ‘spielerei’ waarmee wetgevende organisaties zich onledig plegen te houden. De inhoudelijk relevante bepaling is het eerste lid van artikel 32 van de AVG:

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: a) de pseudonimisering en versleuteling van persoonsgegevens;

b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

De AP meent dat uit de bevindingen (a) en (b) volgt dat HagaZiekenhuis niet voldaan heeft aan lid 1 van artikel 32 van de AVG. Daarbij kan de AP niet de eisen sub a of sub c op het oog hebben. De AP zal hier denken aan de bepaling sub b voor wat betreft bevinding (a) en de bepaling sub d voor wat betreft bevinding (d). In lid 1 van artikel 32 wordt evenwel niet gespecificeerd hoe de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten gegarandeerd moeten zijn noch wat verstaan moet worden onder ‘gezette tijdstippen’ of hoe diepgaand te controleprocedure moet zijn. Het laat zich in principe verdedigen dat HagaZiekenhuis, ondanks het feit dat niet in elke toegangsroute twee factoren gebruikt worden, en ondanks het feit dat de evaluatie qua periodisering en qua diepgang niet aansluit bij de eisen die de AP hiervoor meent te mogen hanteren, voldaan heeft aan de vereisten van lid 1 van artikel 32.

Ogenschijnlijk laat het gat tussen de bevindingen en boetebesluit zich vlot dichten door de passus “rekening houdend met de stand van de techniek enzovoorts”. Gaan we ervan uit dat NEN de stand van de techniek omschrijft, en onderschrijven we de bevinding van de AP dat HagaZiekenhuis niet aan de NEN voldoet, dan volgt daaruit dat HagaZiekenhuis niet aan het eerste lid van artikel 32 van de AVG voldoet. Die sprong wordt – zoals hierboven aangegeven – gecompliceerd doordat de wetgever aan de AP niet expliciet de taak of bevoegdheid heeft toegekend toezicht te houden op de mate waarin zorginstellingen het Besluit navolgen. De AP lijkt zich hier niet expliciet te kunnen beroepen op het Besluit, want dat is in relatie tot de bevoegdheden van de AP te vaag. Anderzijds kan de AP niet expliciet stellen dat de NEN een relevante, accurate omschrijving geeft van de stand van de techniek en de boete langs die route verankeren omdat de NEN, voor zover het een accurate karakterisering geeft van de stand van de techniek, niet ingaat op de trade-off die plaats moet vinden tussen de stand van de techniek, de uitvoeringskosten, de aard en de omvang van de verwerkingsdoeleinden en de ernst van de risico’s voor rechten en vrijheden van personen. Het is zeer wel mogelijk dat tweefactor authentificatie prima aansluit bij de stand van de techniek doch in strijd is met de context van een zorginstelling waar het immers niet de bedoeling zal zijn dat de zorgverlener niet kan beschikken over medische informatie over een patiënt omdat de zorgverlener in kwestie toevallig zijn pasje niet bij zich heeft.

Wie het boetebesluit en het rapport van de AP erop na leest, kan vaststellen dat de AP hierin geen heldere strategie volgt. Soms roept de AP de autoriteit van NEN in via het Besluit in (par. 2.3.2; par. 3.3; par 3.4), maar bij die gelegenheden wordt niet duidelijk of de AP de boete toekent op basis van een schending van vereisten in het Besluit of op basis van een schending van de vereisten in artikel 32 van de AVG, die door de AP geïnterpreteerd worden vanuit de vereisten in het Besluit. Close-reading van het boetebesluit sluit zelfs niet uit dat de AP geen onderscheid maakt tussen de ene interpretatie en de andere interpretatie.

Voor wie de moeite neemt het boetebesluit te lezen, kan uit paragraaf 4.2. opmaken dat HagaZiekenhuis twijfels heeft geuit over de rol die de AP in de onderbouwing van de boete toekent aan NEN. De twijfels die HagaZiekenhuis geuit heeft, zij biet onredelijk. De onderbouwing van het boetebesluit is gammel.

Laat ons echter abstraheren van abstracte quasi-juridische details. Relevanter is de vraag of de AP de rechten en vrijheden van enige burger dient door HagaZiekenhuis een boete op te leggen. Het antwoord op die vraag is volborstig ontkennend:

–          Tweefactor authentificatie is theoretisch een mooi concept maar het verstoort primaire processen in de praktijk, zowel in de zorg, als in het onderwijs, als in andere sectoren waar persoonsgegevens of bijzondere persoonsgegevens in geding zijn. Het is een illusie te denken dat de werkelijkheid ooit de theorie zal volgen. Op elke werkvloer waar tweefactor authentificatie door de organisatie feitelijk als een verplichting aan het personeel is opgelegd, zoeken en vinden personeelsleden wegen om het oogmerk van tweefactor authentificatie te frustreren, meestal door simpelweg een pasje uit te lenen aan een collega die de inloggegevens bij een andere gelegenheid al gekregen heeft.

–          Tweefactor authentificatie noch het zeer regelmatig en zeer diepgaand controleren van de logbestanden zou de aanleiding tot het onderzoek van de AP hebben kunnen voorkomen.  Die aanleiding was dat medewerkers van het HagaZiekenhuis die vanuit hoofde van hun taak of functie niets van doen hadden met een in sommige teksten niet met naam en toenaam benoemde ‘bekende Nederlander’ – die ene Britt schijnt te zijn die bij sommige bevolkingsgroepen bekend schijnt te zijn als personage of als individu in een reality-soap – min of meer medische gegevens over deze persoon schijnen te hebben geraadpleegd. Daargelaten of min of meer medische gegevens van een persoon of personage uit een reality soap vanuit maatschappelijk oogpunt beschermingswaardig zijn, is de AP in gebreke gebleven ter zake de vraag of medewerkers van het HagaZiekenhuis die vanuit hoofde van hun taak of functie niets van doen hadden met deze persoon of dit personage deze informatie (in enige betekenis van de term ‘informatie’) niet hadden kunnen verwerven nadat zij zich met tweefactor authentificatie op het systeem van HagaZiekenhuis hadden aangemeld, of zonder dat zij zich op enigerlei wijze op het systeem van HagaZiekenhuis hadden aangemeld.

Trieststemmend is voorts dat de aandacht voor het zogenaamde ‘datalek’ bij HagaZiekenhuis en het boetebesluit van de AP onrust kan geven bij patienten van HagaZiekenhuis die niet behoren tot de categorie over-extraverte Nederlanders. Zij hebben nu in de krant kunnen lezen dat de AP niet alleen van mening is dat HagaZiekenhuis niet voldaan heeft aan een stukje esoterische, inconsistente wetgeving, maar dat het mogelijk is dat de buurman – die werkzaam is bij HagaZiekenhuis – het medisch dossier mee heeft kunnen lezen.

Het gaat vast nog een hele tijd duren totdat de Autoriteit Persoonsgegevens beseft dat de AP mensen die privacy op prijs stellen geen dienst bewijst door met pontificale borstklopperij boetebesluiten in persberichten te verpakken.

In de verwachting met deze reflectie uw inzicht in de privacy-puinberg verdiept te hebben.