OLVG beboet voor slechte beveiliging dossiers

Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Dat kwam door onvoldoende controle op wie dossiers kon bekijken en ontoereikende beveiliging van de computersystemen.

De AP is het onderzoek gestart na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG, over werkstudenten en andere medewerkers die medische dossiers inzagen zonder dat dit nodig was voor hun werk.

Het OLVG hield wel automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging niet vaak genoeg op onbevoegde toegang. Ook maakte het ziekenhuis geen gebruik van de tweefactor-authenticatie, waarbij de identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier bijvoorbeeld wordt vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.

Tijdens het onderzoek van de AP heeft het OLVG verbeteringen doorgevoerd: het ziekenhuis controleert nu structureel de logging en heeft tweefactor-authenticatie geregeld. Het OLVG gaat niet in beroep tegen de boete van de AP.