Privacy boete voor het Haga ziekenhuis

De Autoriteit Persoonsgegevens (AP) – de privacypolitie die nog net niet onder ieders bed gaat kijken of daar misschien persoonsgegevens liggen – heeft de eerste echte heuse AVG-boete opgelegd. Aan het HagaZiekenhuis. Van 240.000 euro en centen.

De aanleiding voor het onderzoek van de AP was een zogenaamd ‘data-lek’: allerlei medewerkers hadden medische gegevens van een reality-soap-meisje (Britt of Barbie of iets anders met een ‘B’) ingekeken. De boete is echter niet opgelegd vanwege dat data-lek, maar vanwege het niet voldoen aan zogenaamde NEN-normen die de overheid aan zorginstellingen heeft opgelegd. Die Nen-normen schrijven onder meer voor dat er sprake moet zijn van tweefactor-authentificatie bij het inloggen, dus een gebruikersnaam en een wachtwoord plus nog iets anders, zoals een token, of een belletje van Microsoft, of het invoeren van een medewerkerspasje. Weliswaar deed HagaZiekenhuis aan tweefactor-authentificatie maar er was ook een snelle inlog-route met alleen een gebruikersnaam/wachtwoord-combinatie. Dat zullen ze bij HagaZiekenhuis gedaan hebben opdat een chirurg die zijn medewerkerspasje niet bij zich heeft (bijvoorbeeld omdat het in de vorige patiënt is blijven zitten) toch bij de patiëntgegevens kan en niet het verkeerde been afzet. Niet onlogisch, maar dus in strijd met de norm van de NEN die door de overheid verplicht is gesteld voor zorginstellingen.

De AP gaat straks in het jaarverslag vast hoog opgeven over dit bijzondere wapenfeit want daaruit blijkt volgens de AP niet alleen dat het bijzonder belangrijk is dat er een instantie is die onze privacy bewaakt, maar ook dat de AP dat bijzonder efficiënt doet. Want, kijk eens, wat een hoge boete!

Helaas voor de AP zou die boete bij de rechter sneuvelen. De AP mag boetes uitdelen op basis van artikel 32 van de AVG. De verplichting om de normen van de NEN staat in het Besluit elektronische gegevensverwerking door zorginstellingen (verder aangeduid met Besluit).Nergens in de Nederlandse wetgeving is zodanig verband gelegd tussen dit Besluit en artikel 32 van de AVG dat de AP daaruit de bevoegdheid kan afleiden tot het toekennen van boetes op basis van het Besluit. Hoewel de AP de boete heeft opgelegd onder verwijzing naar het Besluit en de normen van de NEN, zou een rechter moeten oordelen dat de AP strikt genomen niet de bevoegdheid had tot het opleggen van boetes op basis van bepalingen in dit Besluit.

Stel dat de boete aangevochten zou worden, dan zou de AP kunnen betogen dat dit juridische scherpslijperij is omdat artikel 32 van de AVG voorschrijft dat organisaties persoonsgegevens moeten beveiligen volgens de stand van de techniek. De normen van de NEN, aldus zou de AP benadrukken, omschrijven de stand van de techniek, HagaZiekenhuis voldoet niet aan de normen van de NEN, en dus voldoet HagaZiekenhuis niet aan artikel 32. Het maakt, zo horen we de AP tegen de rechter zeggen, dus niet zoveel uit dat nergens in de Nederlandse wetgeving expliciet aan de AP de boetebevoegdheid is toegekend voor zaken die niet voldoen aan de criteria die zijn vastgelegd in het Besluit. De beveiligingsmaatregelen van HagaZiekenhuis voldoen niet aan de stand van de techniek, en dus voldoet HagaZiekenhuis niet aan artikel 32 van de AVG. Punt!

De rechter zou zich hierdoor niet hoeven laten overtuigen. De term ‘stand van de techniek’ wordt in artikel 32 niet sectorspecifiek gehanteerd. Als de normen van de NEN de huidige stand van de techniek omschrijven, dan zou de AP deze norm kunnen loslaten op ELKE organisatie die persoonsgegevens verzamelt, ook op niet-zorginstellingen. De verwijzing naar het Besluit speelt dan dus eigenlijk in het geheel geen rol in de onderbouwing van de boete. Waarom heeft de AP dan toch verwezen naar dit Besluit?

De verklaring is te vinden in de tekst van artikel 32. In de aanhef van dat artikel staat “Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:” en dan komt er een lijstje met doelen waartoe er maatregelen genomen moeten worden. Deze aanhef maakt expliciet dat er bij het beoordelen van de vraag of een organisatie handelt in strijd met artikel 32 van de AVG gekeken moet worden naar een combinatie van factoren en omstandigheden. De stand van de techniek is slechts een van de relevante factoren. Artikel 32 staat de AP toe om, in het geval van HagaZiekenhuis, de afweging te maken dat HagaZiekenhuis weliswaar niet in alle gevallen tweefactor-authentificatie toepast, maar dat het toestaan van een uitzondering gerechtvaardigd is vanwege de context van de verwerkingsdoeleinden, bijvoorbeeld omdat die chirurg die zijn medewerkerspasje niet bij zich heeft toch in staat moet zijn patiëntgegevens te raadplegen…

Door het boetebesluit te steunen op het Besluit denkt de AP voorbij te kunnen gaan aan de nuancering die expliciet in de aanhef van artikel 32 is ingebouwd. Indien deze gedachtennietkronkel door de vingers wordt gezien, wordt een gevaarlijk precedent gecreëerd: onafhankelijke autoriteiten als de AP zouden zichzelf boetebevoegdheden kunnen toekennen zonder dat deze expliciet in de wet zijn verankerd.

Anderzijds, als de AP de omweg via het Besluit niet maakt, en de boete voor HagaZiekenhuis rechtstreeks baseert op het schenden van artikel 32 van de AVG vanwege het niet voldoen aan de stand van de techniek waarvan redelijkerwijs kan worden gesteld dat die in de normen van de NEN is omschreven, dan moeten ook veel niet-zorginstellingen zich boetezorgen gaan maken. De meeste organisaties en bedrijven die persoonsgegevens verwerken, hanteren geen tweefactor-authentificatie. In de rechtstreekse route kan de AP in 2019 zonder al te veel diepgravend onderzoek tienduizenden boetes uitdelen.

Dat zou een spectaculair jaarverslag opleveren!