Het HagaZiekenhuis werd fors beboet nadat het dossier van 'Barbie' was gelekt. Wat maakt deze zaak zo interessant?
Voor wie het gemist heeft: het HagaZiekenhuis kreeg op 18 juni jongstleden een voor Nederlandse begrippen forse boete (450.000 euro) en een dwangsom opgelegd. De informatiebeveiliging is niet op orde. Dit kwam aan het licht nadat medewerkers het patiëntendossier van ‘Barbie’ (uit de TV-serie ‘Oh Oh Cherso’) hadden ingezien. Deze medewerkers hadden geen behandelrelatie met de bekende Nederlander.
Wat maakt deze zaak interessant? Het zijn niet zozeer de specifieke omstandigheden. Interessant is hoe de Autoriteit Persoonsgegevens (AP) een wat onderschat artikel uit de Algemene Verordening Gegevensbescherming (AVG) inzet als Zwitsers zakmes. En zij zijn daar niet de enige in. De Information Commissioner’s Office (ICO) in het Verenigd Koninkrijk deed dat al langer en is in het afgelopen jaar flink op oorlogspad geweest met ditzelfde artikel in de hand.
Passende maatregelen
Alvorens een blik te werpen op de praktijken aan de andere kant van de Noordzee eerst een paar interessante elementen uit de redenering van de Autoriteit Persoonsgegevens. De AP leunt zwaar op artikel 32 AVG én de NEN-7510 en NEN-7513 beveiligingsnormen. Deze zijn in de zorg verplicht via een Algemene Maatregel van Bestuur, op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Artikel 32 verplicht tot het nemen van ‘passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen’. De invulling van dat begrip ‘passend’ wordt tegen de meetlat van eerdergenoemde NEN-beveiligingsnormen gehouden. Het HagaZiekenhuis voldeed daarbij op twee punten niet:
• Gebruikershandelingen werden niet voldoende gemonitord op toegang tot patiëntendossiers waar zij eigenlijk niets mee te maken hadden;
• Er was geen sprake van tweefactor-authenticatie.
Vooral die laatste is nauwelijks verrassend. Al in 2001 heeft de toenmalige Registratiekamer het standpunt ingenomen dat men voor gezondheidsgegevens zwaardere authenticatiemiddelen moet overwegen dan inlognaam en wachtwoord. We zijn bijna twee decennia verder en met name tweefactor-authenticatie is spotgoedkoop, vergeleken met wat het in 2001 kostte. Gezaghebbende instituten als Nictiz bevelen dit al jaren aan. Het monitoren van (pogingen) tot toegang tot informatie waar zij niet gerechtigd waren, werd al in 2001 ten zeerste aanbevolen. Net als informatie met een lager risicoprofiel dan patiëntendossiers.
Wat opvalt in het onderzoeksrapport van de AP is vooral datgene waar de AP zijn vingers niet aan wil branden: zij hebben geen mening over hoe de autorisatiestructuren van het HagaZiekenhuis waren ingericht. Dat is niet onlogisch, want een toezichthouder die een mening heeft over welke informatie een zorgverlener voor zijn of haar werk nodig heeft, wordt al snel ervaren als bemoeizuchtig. Waar men wel een mening over heeft, is de interne toetsing van het HagaZiekenhuis van het gebruik van bevoegdheden tot inzage in patiëntendossiers. Eens per maand, en met een steekproefomvang van één gebruiker, werd gekeken naar inzagegedrag. Wat in een organisatie met ongeveer 3500 medewerkers betekent dat de pakkans van misbruik verwaarloosbaar is.
Dat is een patroon: de Europese privacytoezichthouders komen uit een situatie waarin zij vooral informeerden en nauwelijks handhavingsbevoegdheden hadden. Het gezag waarmee gehandhaafd wordt is vooral juridisch, en daarmee fragiel. Het is een stuk aantrekkelijker om vooral te handhaven op onderwerpen waar geen enkele discussie over mogelijk is. Artikel 32 AVG is een prachtige gereedschapskist. Na een datalek staat een organisatie op 1-0 achterstand omdat zij moet aantonen dat de genomen maatregelen ‘gepast’ waren in het licht van de risico’s en de kosten die bij de maatregelen gemoeid zijn. Er ontstaat in feite een omkering van de bewijslast. Helemaal als blijkt dat de in de sector gangbare, of zelfs verplichte, standaarden niet of onvolledig zijn toegepast. De lastige vragen over proportionaliteit, en soms zelfs de verwerkingsgrondslag, kun je dan buiten beschouwing laten.
Zwitsers zakmes
Meer nog dan onze eigen AP heeft de ICO in het Verenigd Koninkrijk het Zwitserse zakmes van artikel 32 AVG regelmatig ingezet. Meest recent door de aankondigingen van de intentie om megaboetes voor de Marriott hotelketen (99 miljoen pond sterling) en British Airways (180 miljoen pond sterling) uit te delen. Deze bedragen verbleken bij de boete voor het HagaZiekenhuis. Het gaat in het geval van Marriott om een datalek die 336 miljoen hotelgasten van een overgenomen dochteronderneming trof en meerdere jaren voortduurde. Expliciet verwijt ICO Marriott dat zij bij de overname onvoldoende naar de informatiebeveiliging hebben gekeken.
Krijgt als gevolg hiervan de due diligence bij fusies en overnames er een nieuwe dimensie bij?
In het geval van British Airways betrof het de boekingsdata van zo’n 500.000 passagiers, als gevolg van een kwetsbaar ingerichte boekingssite van British Airways. Laatstgenoemde maakte gebruik van derden. Deze zogenaamde content delivery networks zorgen voor meer statische elementen van de boekingssite, zonder de integriteit van de werkelijk naar gebruikers verzonden pagina-elementen te verifiëren. Criminelen waren succesvol binnengedrongen in de systemen van zo’n content delivery network en konden als gevolg daarvan meekijken met de boekingen van passagiers.
Ook hier is het patroon: de toezichthouder benadrukt die aspecten van de beveiligingsincidenten die het meest eenvoudig voorkomen. Ze laat zich niet uit over de vraag waarom hotels tot in lengte van dagen boekingsgegevens bewaren of over nut en noodzaak van boekingsdata bij vliegreisboekingen. Ze hoeven dat niet te doen om toch flink uit te pakken.
Mijn inschatting is dat deze invalshoek vaker terugkomt omdat het politieke en publieke draagvlak hiervoor aanwezig is. Voor de meeste organisaties geldt dat er niet alleen werk aan de winkel is op privacy en informatiebeveiligingsterrein, maar dat er een werkelijk compliance-prijskaartje aan het ontstaan is. Bestuurders mogen best de vraag stellen of er niet alleen beleid is, maar of dit ook gehandhaafd en geëvalueerd wordt. Beleid op papier is geduldig, beleid wat werkelijk tussen de oren van de medewerkers zit en nageleefd wordt, is wat de weg vraagt en waar toezichthouders op handhaven. Met zo nodig stevige dwangmiddelen.
Walter van Holst is adviseur bij PBLQ met een focus op gegevensbescherming, privacy, open standaarden en open source in de publieke sector.