Iedere organisatie moet passende maatregelen nemen om persoonsgegevens te beschermen. Doe je dat niet of onvoldoende? Dan riskeer je een (hoge) boete. Dat dit risico reëel is, blijkt op 16 juli 2019 als naar buiten komt dat de Autoriteit Persoonsgegevens (de ‘AP’) het HagaZiekenhuis de eerste AVG boetein Nederland oplegt. Wat deed het HagaZiekenhuis fout? En, belangrijker, hoe voorkom je dat jouw organisatie een AVG boete opgelegd krijgt?
Artikel 32 AVG geschonden
De ‘Barbie-gate’ is je vast niet ontgaan. De AP was een onderzoek gestart naar aanleiding van het datalek binnen het HagaZiekenhuis, waarbij tientallen medewerkers onbevoegd toegang hadden tot het dossier van realityster ‘Barbie’. Conclusie van het onderzoek is dat de gegevensbeveiliging van het ziekenhuis op een aantal punten beneden peil is.
- Zo was er geen sprake van een privacybeleid die voorschrijft dat er met een tweefactorauthenticatie moet worden ingelogd. Medewerkers konden daarom inloggen met alleen (de kennis van) een gebruikersnaam en wachtwoord.
- Daarnaast hanteerde het ziekenhuis geen beleid waarbij de logging systematisch en risicogericht wordt gecontroleerd. (Ook) op dat punt voldeed hun beleid niet aan de gestelde vereisten.
Het HagaZiekenhuis heeft de AVG dus geschonden en dat komt de instelling duur te staan. De AP heeft namelijk een boete van €460.000 én een dwangsom van €300.000 opgelegd.
AVG boete voorkomen? Stel een privacybeleid op
Ook jouw organisatie moet maatregelen nemen ter bescherming van de persoonsgegevens die worden verwerkt binnen jouw organisatie. En bij een controle van de AP, moet je bovendien kunnen aantonen dat je passende maatregelen hebt genomen. Hierbij is een privacybeleid een goed hulpmiddel. In een dergelijk beleid beschrijf je welke maatregelen jouw organisatie heeft genomen om persoonsgegevens te beschermen. Daarmee laat je bovendien meteen zien dat jouw organisatie zich ook bezighoudt met de bescherming van persoonsgegevens. Bepaalde organisaties, zoals ziekenhuizen, zijn verplicht om een privacybeleid op te stellen.
Arbeidsrechtelijke maatregelen na schending privacybeleid
Wordt het privacybeleid geschonden door (één van) jouw werknemers? Dan kun je arbeidsrechtelijke maatregelen nemen. In sommige gevallen is ontslag (op staande voet) zelfs gerechtvaardigd. De medewerkers van het HagaZiekenhuis die zich onbevoegd toegang hadden verschaft tot het dossier van ‘Barbie’ kwamen weg met een waarschuwing. Wel geeft het ziekenhuis aan dat bij een volgende (AVG)overtreding, ontslag op staande voet volgt.
Tips bij het opstellen van een privacybeleid
Verplicht of niet: het opstellen van een privacybeleid is dus zeer aan te raden. Ik geef je enkele tips mee.
- Beschrijf welke concrete maatregelen je hebt genomen om de toegang tot persoonsgegevens te beschermen. Leg daarom vast welke (groep) medewerkers in welke situatie toegang hebben tot bepaalde persoonsgegevens;
- Benoem bovendien welke maatregelen je neemt om onbevoegde toegang te voorkomen. Denk bijvoorbeeld aan tweefactorauthenticatie;
- Het is heel belangrijk dat je als organisatie blijft monitoren of de maatregelen nog steeds adequaat zijn. Stel daarom beleid op om de beveiligingsmaatregelen periodiek te testen, te beoordelen en evalueren. Hoe belangrijk deze controle is, laat de casus van het HagaZiekenhuis wel zien.