OLVG beboet om onvoldoende beveiliging medische dossiers
De Autoriteit Persoonsgegevens (AP) legt een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Dat kwam door onvoldoende controle.
De AP is het onderzoek gestart na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk. De AP concludeerde na haar onderzoek dat het OLVG structureel niet goed omging met de toegang tot medische dossiers.
Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang.
Het OLVG maakte in het ziekenhuis geen gebruik van deze tweefactor-authenticatie. Inloggen buiten het ziekenhuis ging wel via tweefactor-authenticatie.
Tijdens het onderzoek van de AP heeft het OLVG verbeteringen doorgevoerd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld.
De AP is het onderzoek gestart na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk. De AP concludeerde na haar onderzoek dat het OLVG structureel niet goed omging met de toegang tot medische dossiers.
Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang.
Het OLVG maakte in het ziekenhuis geen gebruik van deze tweefactor-authenticatie. Inloggen buiten het ziekenhuis ging wel via tweefactor-authenticatie.
Tijdens het onderzoek van de AP heeft het OLVG verbeteringen doorgevoerd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld.
Geen opmerkingen: