HAGA uitspraak AP maakt NEN 7510 verplicht. Dat is een grote uitbreiding van de AVG eisen.

Privacy toezichthouder AP (Autoriteit Persoonsgegevens) doet uitspraak over het privacy beleid van het HAGA ziekenhuis en geeft € 460.000,-  boete.

De AP baseert haar uitspraak op de eisen de Nederlandse norm NEN 7510 e.v. Dat is een forse uitbreiding van de eisen van de AVG privacy wet.

Aanleiding is de ‘Barbie’ klacht. Tientallen medewerkers van het HAGA ziekenhuis keken in het patiëntendossier van Barbie terwijl ze daar niets te zoeken hadden.

De AP is wettelijk toezichthouder op de privacy in Nederland. Velen denken dat de AP (alleen) toezichthouder is op de privacywet AVG.

De AP uitspraak gebruikt echter het ‘besluit elektronische gegevensverwerking door zorgaanbieders’ om de forse boete op te leggen. In dat besluit is de norm NEN 7510 e.v. aangewezen. Daardoor wordt die norm wettelijk verplicht. De norm NEN 7510 e.v. bevat gedetailleerde eisen aan de databeveiliging.

Voor zorgverleners in Nederland is daarmee alleen voldoen aan de letter van de AVG wetgeving niet genoeg.

Bij een datalek of klacht verstrekt de AP haar boetes kennelijk op basis van de norm NEN 7510 e.v.
Verzwarende factor is in dit geval dat het HAGA ziekenhuis in haar beleid verwijst naar de norm NEN 7510 e.v. Volgens de AP geeft ze daar echter onvoldoende invulling aan.

Conclusie op basis van de AP – HAGA uitspraak:

Zorgverleners moeten hun AVG privacy management systeem inrichten op basis van de norm NEN 7510 e.v. om boetes als gevolg van (het niet voldoen aan) de AVG privacywetgeving te voorkomen.

De AP breidt de eisen van de AVG daarmee enorm uit. Zorgverleners in Nederland moeten hier rekening mee houden.

Namens onze licentiehouders in de zorg hebben we wel een aantal vragen:

  • We vragen ons af of dit is wat de Europese wetgever bedoeld heeft met de Europese Verordening (!) AVG
  • We vragen ons ook af of de zorgsector deze uitbreiding wil en of ze in staat is daaraan te voldoen
  • We vragen ons af of de zorgsector zich voldoende bewust is van het uitgebreide beoordelingskader van de overheid inzake privacy in de zorg.

Bijlage:

Citaat uit het boetebesluit van de AP (18 juni 2019):

‘……………3.3.4 Conclusie

Gelet op het voorgaande is de AP van oordeel dat het Haga Ziekenhuis artikel 32, eerste lid, van de AVG, gelezen in samenhang met artikel 3, tweede lid, van het Besluit elektronische gegevensverwerking door zorgaanbieders en het bepaalde onder 9.4.1 en onder 12.4.1 van NEN 7510-2,heeft overtreden, nu in de periode van januari 2018 tot op heden niet is voldaan aan het vereiste van tweefactor authenticatie en het regelmatig beoordelen van logbestanden. De overtreding duurt thans voort……….’

 

De aanpak van Waveland legal & dataveiligheid:  Wilt u weten wat die NEN 7510 voor u inhoud?

Waveland was hierop in 2017 al voorbereid. We hebben toen besloten dat we zorgverleners zouden helpen en begeleiden van de AVG (= Wiskit AVG ‘Comfort) naar een systeem op basis van de NEN 7510  (= Wiskit ‘Compleet’). Omdat het toen al in de wet stond maar weinigen dat weten.
Ga maar https://www.waveland.nuwww.waveland.nu/wiskit-zorg/   en zoek de praktijkondersteuning die bij u past.

Gemak voor Waveland Wiskit AVG licentiehouders: 

U kunt eenvoudig uw licentie zelf uitbreiden van Comfort (=AVG) naar Compleet (=NEN 7510).

Ga naar www.waveland.nu  en naar uw eigen licentie account en kies voor de Wiskit Compleet.

Uw AVG invoer gaat vanzelf onderdeel uitmaken van uw Wiskit ‘Compleet’  (NEN 7510 / ISO 27001)  (!)

U betaalt alleen het verschil in licentiekosten, dus het is een kleine extra investering.

Wilt u persoonlijk overleg over wat voor u de beste aanpak is? bel dan naar  +31 (0)299 796126 of stuur een mail naar info@waveland.nu

Nog mooier: gebruik uw ‘stel uw vraag’ button in uw Wiskit. U komt dat terecht in ons ‘ticket systeem’ waarmee de communicatie veel makkelijker gaat dan via gewone mails!
We moeten het elkaar makkelijker maken toch?

mr. Benedikt Marijnen, privacy jurist van Waveland