Boete opgelegd voor het datalek in het dossier ‘Barbie’ deels ongegrond verklaard

De rechtbank heeft onlangs uitspraak gedaan in het beroep van het HagaZiekenhuis gericht tegen de boete die de Autoriteit Persoonsgegevens (“AP”) had opgelegd, omdat het ziekenhuis de beveiliging van het elektronisch patiëntendossier niet op orde had. (Voor de feiten die hebben geleid tot het opleggen van de boete wordt verwezen naar de blog van collega, Suzan Wolters).

Verlaging boete

De rechtbank verlaagt de boete van 460.000 euro naar 350.000 euro vanwege het feit dat het ziekenhuis (onder andere) in de bezwaarfase een aantal maatregelen had getroffen, waarmee volgens de rechtbank het ziekenhuis in ieder geval de bereidwilligheid heeft getoond om met de problematiek aan de slag te gaan. Dit nuanceert volgens de rechtbank de nalatigheid die het ziekenhuis wordt verweten.

Grondslag voor de boeteoplegging

De boete is opgelegd voor overtreding van artikel 32 lid 1 AVG (onvoldoende passende beveiligingsmaatregelen door het ontbreken van tweefactorauthenticatie en onvoldoende controle op logging). De basisboete voor schending van artikel 32 lid 1 AVG is € 310.000. Afhankelijk van de omstandigheden kan die basisboete worden verhoogd of verlaagd (Boetebeleidsregels 2019, zie onder meer artikel 7).

Verhoging basisboete

In het geval van het HagaZiekenhuis heeft de AP de boete tweemaal verhoogd met € 75.000,-. Dit vanwege de aard, ernst en duur van de inbreuk (artikel 7, aanhef en onder a Boetebeleidsregels) en de opzettelijke/nalatige aard van de inbreuk (artikel 7 aanhef onder b Boetebeleidsregels).

De rechtbank is echter van oordeel dat de verhoging met tweemaal € 75.000,- bovenop de basisboete in dit geval tot een boetebedrag leidt dat niet evenredig is. De rechtbank betrekt bij haar oordeel dat het ziekenhuis wel maatregelen heeft genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier worden ingezien door onbevoegde medewerkers, zoals onder meer de invoering van een extra waarschuwing die in beeld komt als een medewerker een dossier opent, de verplichtstelling van een e-learningcursus voor alle medewerkers die toegang hebben tot het elektronische patiëntendossier, de aanscherping van de arbeidsovereenkomsten en het waar mogelijk aanscherpen van autorisaties.

Dat het ziekenhuis wettelijk verplicht was deze maatregelen te nemen, maakt volgens de rechtbank niet dat de invoering daarvan geen enkele rol kan spelen in het kader van de evenredigheid van de boete.

Artikel 7, aanhef en onder d, van de Boetebeleidsregels 2019 maakt het immers volgens de rechtbank expliciet mogelijk rekening te houden met andere maatregelen die in dit kader zijn getroffen. De rechtbank weegt daarnaast mee dat het ziekenhuis nog tijdens de bezwaarfase maatregelen had getroffen om te voldoen aan artikel 32 van de AVG door het invoeren van de tweefactor authenticatie en de logging te intensiveren.

Deze uitspraak geeft hiermee een inkijk in de omstandigheden die de AP dient mee te wegen bij de verhoging van de basisboete. De vraag is of deze uitspraak ook ruimte laat om de basisboete gematigd te krijgen, bijvoorbeeld in het geval het ziekenhuis meteen nadat zij het datalek had ontdekt ‘passende’ maatregelen had genomen.

Hiervoor is van belang dat de boeteoplegging een zogenoemde discretionaire bevoegdheid is van de AP. Zoals hiervoor al is aangegeven kan onder omstandigheden de AP de basisboete verhogen, maar ook verlagen. De AP dient alle feiten en omstandigheden van het geval mee te wegen bij het opleggen van de boete. De AP dient verder, ook al zijn bepaalde omstandigheden verdisconteerd in het boetebeleid dat ten grondslag ligt aan de basisboete, per geval te bekijken of er sprake is van omstandigheden die maken dat het opleggen van de (volledige) basisboete evenredig is. Dit volgt uit rechtspraak van de Afdeling bestuursrechtspraak van de Raad van State.

De rechtbank laat de basisboete in stand, ook omdat het ziekenhuis niets heeft ingebracht tegen de hoogte van de basisboete als beleidsmatig uitgangspunt. De rechtbank doelt hier op het feit dat een dergelijke boete in zijn algemeenheid passend is bij de overtreding van artikel 32 van de AVG.

Dit laat echter onverlet dat de AP alle getroffen maatregelen, zoals hier om te voldoen aan artikel 32 van de AVG, moet laten meewegen bij het opleggen van de basisboete.

Les voor de praktijk is dat het tijdig en in voldoende mate nemen van maatregelen, ook nadat het datalek is geconstateerd, tot substantiële verlaging van de (basis-)boete kan leiden. Het Privacyteam van Banning kan u hierbij helpen. Vragen? Neem dan gerust contact met ons op. Daarnaast verwijzen wij u naar checklist nummer 54 “Aandachtspunten bij onderzoek door een toezichthouder” uit “Checklist Privacy AVG – privacybeleid in 57 checklists”.