Rechtbank Den Haag, 31-03-2021, ECLI:NL:RBDHA:2021:3090, AWB - 20 _ 1516
Rechtbank Den Haag, 31-03-2021, ECLI:NL:RBDHA:2021:3090, AWB - 20 _ 1516
Gegevens
- Instantie
- Rechtbank Den Haag
- Datum uitspraak
- 31 maart 2021
- Datum publicatie
- 15 april 2021
- ECLI
- ECLI:NL:RBDHA:2021:3090
- Zaaknummer
- AWB - 20 _ 1516
Inhoudsindicatie
De Autoriteit Persoonsgegevens heeft aan een ziekenhuis een bestuurlijke boete van € 460.000,- en een last onder dwangsom opgelegd. Het ziekenhuis had volgens de Autoriteit Persoonsgegevens artikel 32 van de Algemene Verordening gegevensbescherming (AVG) overtreden, omdat er niet genoeg maatregelen waren genomen om de persoonsgegevens van patiënten te beschermen. Zo had het ziekenhuis de zogenoemde tweefactor authenticatie moeten invoeren en heeft het ziekenhuis de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd. De rechtbank is van oordeel dat de Autoriteit Persoonsgegevens een boete en een last onder dwangsom mocht opleggen. Wel was de boete volgens de rechtbank te hoog. Het basisboetebedrag van € 310.000,- acht de rechtbank op zichzelf niet onredelijk. De rechtbank is het ook eens met de Autoriteit Persoonsgegevens dat het boetebedrag verhoogd mocht worden vanwege de aard, ernst en duur van de overtreding en de opzettelijke/nalatige aard van de overtreding. Met deze twee boeteverhogende omstandigheden (tweemaal € 75.000,-) was het totale boetebedrag vastgesteld op € 460.000,-. De rechtbank vindt dit bedrag echter in dit geval te hoog en ziet aanleiding de boete te matigen tot € 350.000,-. De rechtbank vindt het namelijk van belang dat het ziekenhuis wel een aantal maatregelen heeft genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier worden ingezien door onbevoegde medewerkers. Ook heeft het ziekenhuis nog tijdens de bezwaarfase alsnog de tweefactor authenticatie ingevoerd en de logging geïntensiveerd. De door het ziekenhuis getroffen maatregelen tonen volgens de rechtbank in ieder geval de bereidwilligheid om met de problematiek in de organisatie aan de slag te gaan en nuanceren de nalatigheid die het ziekenhuis wordt verweten.
Uitspraak
Bestuursrecht
zaaknummer: SGR 20/1516
(gemachtigden: mr. W.R. Kastelein, mr. A.C. Beijering-Beck en mr. R. Ketting),
en
(gemachtigden: mr. E. Nijhof en mr. J.M.A. Koster).
Procesverloop
Bij besluit van 18 juni 2019 (het primaire besluit) heeft verweerder aan eiseres een boete en een last onder dwangsom opgelegd.
Bij besluit van 15 januari 2020 (het bestreden besluit) heeft verweerder het bezwaar van eiseres ongegrond verklaard.
Eiseres heeft tegen het bestreden besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft plaatsgevonden op 3 februari 2021.
Namens eiseres zijn verschenen [A] (voorzitter Raad van Bestuur) en [B] (jurist van de Raad van Bestuur) en de gemachtigden mr. W.R. Kastelein en
mr. A.C. Beijering-Beck.
Verweerder heeft zich laten vertegenwoordigen door zijn gemachtigden.
Overwegingen
1. De relevante wet- en regelgeving is opgenomen in de bijlage bij deze uitspraak. Deze bijlage is onderdeel van de uitspraak.
2. Op 4 april 2018 heeft eiseres een melding gedaan van een datalek aan verweerder. Het datalek had betrekking op onrechtmatige inzage in een patiëntendossier van een bekende Nederlander. Naar aanleiding van die melding heeft verweerder bij brief van 23 april 2018 een schriftelijk informatieverzoek verstuurd aan eiseres. Verweerder heeft naar aanleiding van de door eiseres toegezonden informatie met toepassing van artikel 58, eerste lid, aanhef en onder b, van de Algemene Verordening Gegevensbescherming (AVG) besloten nader onderzoek te doen naar, voor zover hier van belang, de toegang tot patiëntgegevens in de digitale patiëntendossiers bij eiseres. De resultaten van het nader onderzoek zijn vastgelegd in het onderzoeksrapport “Toegang tot digitale patiëntdossiers door medewerkers van het [eiseres] , Voorlopige bevindingen” van januari 2019. Verweerder heeft geconcludeerd dat eiseres (vanaf januari 2018) onvoldoende passende maatregelen heeft genomen als bedoeld in artikel 32, eerste lid, van de AVG. In de eerste plaats heeft verweerder aan eiseres tegengeworpen dat geen sprake was van tweefactor authenticatie. Het was voor gebruikers van het ziekenhuisinformatiesysteem mogelijk om toegang krijgen tot de gegevens in de digitale patiëntendossiers met alleen iets wat een gebruiker weet (namelijk een gebruikersnaam en wachtwoord). In dat geval wordt gebruik gemaakt van éénfactor authenticatie. Het ziekenhuisinformatiesysteem van eiseres had niet de ingebouwde verplichting, maar alleen de mogelijkheid om met tweefactor authenticatie in te loggen. Verder heeft verweerder aan de besluiten ten grondslag gelegd dat eiseres de logging van de toegang tot de patiëntendossiers niet regelmatig gecontroleerd heeft. Logging houdt in dat een zorginstelling structureel bijhoudt wie wanneer welk patiëntendossier heeft geraadpleegd zodat onbevoegde toegang kan worden gedetecteerd en zo nodig maatregelen genomen kunnen worden. Het beleid van eiseres voorzag in een aselecte steekproef van jaarlijks zes patiëntdossiers. In de relevante periode waarop het onderzoek van verweerder zag is er proactief één controle op ongeautoriseerde inzage geweest en zes controles op verzoek van patiënten en medewerkers. Eén controle in de periode van januari 2018 tot en met oktober 2018 kan, afgezet tegen het aantal patiëntbezoeken dat eiseres jaarlijks krijgt (in 2017 afgerond 381.500) en het aantal medewerkers dat (potentieel) toegang tot de patiëntendossiers heeft, volgens verweerder niet worden beschouwd als regelmatige controle. De in die periode door eiseres uitgevoerde reactieve controles kunnen evenmin worden beschouwd als regelmatige controle. Ook de zes (proactieve) controles op de logging die eiseres heeft aangekondigd en uitgevoerd in 2019 acht verweerder, wederom afgezet tegen het aantal patiëntbezoeken en het aantal medewerkers, onvoldoende om als regelmatig te kunnen worden aangemerkt.
Verweerder heeft daarom aan eiseres een bestuurlijke boete opgelegd. De hoogte van de bestuurlijke boete is vastgesteld op € 460.000,-. Hierbij heeft verweerder zich gebaseerd op de Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (Boetebeleidsregels 2019). Ook is een last onder dwangsom opgelegd vanwege dezelfde overtreding. De last strekt ertoe dat eiseres de toegang tot haar ziekenhuisinformatiesysteem uitsluitend mogelijk maakt met toepassing van tweefactor authenticatie, en dat de logbestanden regelmatig worden gecontroleerd op onrechtmatige toegang of onrechtmatig gebruik van patiëntgegevens. De begunstigingstermijn is 15 weken. De hoogte van de dwangsom is door verweerder vastgesteld op € 100.000,- voor iedere twee weken na afloop van de begunstigingstermijn, tot een maximumbedrag van in totaal € 300.000,-. Verweerder heeft de boete en de last onder dwangsom in bezwaar gehandhaafd.
Het nemo tenetur-beginsel
3. Eiseres voert aan dat sprake is van strijd met het nemo tenetur-beginsel.
Op grond van vaste rechtspraak geldt dat indien gedurende een procedure sprake is van de (redelijke verwachting van) een criminal charge, althans wanneer niet kan worden uitgesloten dat het materiaal tevens in verband met een criminal charge tegen de verstrekker zal worden gebruikt, het nemo tenetur-beginsel eraan in de weg staat dat het in de procedure verkregen wilsafhankelijke materiaal wordt gebruikt voor een bestuursrechtelijke bestraffing door middel van beboeting. Eiseres heeft hierbij verwezen naar de uitspraak van de Hoge Raad van 12 juli 2013, ECLI:NL:HR:2013:BZ3640. De datalekmelding en de informatie in de datalekmelding betreffen informatie die niet los van de wil van eiseres bestaat. Eiseres heeft het materiaal samengesteld om te voldoen aan de verplichting van artikel 33, eerste lid, van de AVG. Het hele onderzoek van verweerder is gebaseerd op de door eiseres op grond van de AVG gedane melding. Ondanks vermelding van de zinsnede dat eiseres niet verplicht is te antwoorden op vragen waarmee zij zichzelf kan belasten, is haar feitelijk geen keus gelaten. Ook is deze formulering zodanig algemeen en vaag dat niet duidelijk is dat daarmee op een boete wordt gedoeld. Dat betekent dat ook de informatie die verweerder heeft verkregen met haar verzoek om inlichtingen van 12 oktober 2018 is verkregen onder dwang.
4. Er bestaat geen grond voor het oordeel dat de door verweerder verkregen informatie niet ten grondslag mocht worden gelegd aan de boete vanwege schending van het nemo tenetur-beginsel. Dit beginsel, dat onder meer besloten ligt in artikel 6 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), houdt in dat niemand is gehouden tegen zichzelf te getuigen of een bekentenis af te leggen. De rechtbank stelt vast dat verweerder de boete en de last onder dwangsom niet heeft gebaseerd op de informatie in de datalekmelding. Wel heeft verweerder naar aanleiding van de datalekmelding bij brief van 23 april 2018 informatie opgevraagd bij eiseres over de resultaten van het interne onderzoek en de al dan niet getroffen verbetermaatregelen. Verweerder heeft terecht gesteld dat de rapportage van het interne onderzoek dat eiseres heeft ingediend, wilsonafhankelijk materiaal betreft. Het gaat om een onderzoek dat reeds vóór de datalekmelding en het verzoek om de rapportage was gestart. Ook het overzicht van getroffen maatregelen in dit onderzoek betreft naar het oordeel van de rechtbank wilsonafhankelijk materiaal. Zoals verweerder stelt, vergde het schriftelijke inlichtingenverzoek van 23 april 2018 niet van eiseres alsnog bewijs te verzamelen, maar slechts om de resultaten van het gedane onderzoek beschikbaar te stellen aan verweerder. Er is dan ook sprake van een andere situatie dan in de door eiseres genoemde uitspraak. Bestaand wilsonafhankelijk materiaal dat beschikbaar is gesteld ter naleving van een inlichtingenvordering, levert volgens vaste rechtspraak geen schending van artikel 6 van het EVRM op (zie bijvoorbeeld de uitspraak van het College van Beroep voor het bedrijfsleven, 4 september 2018, ECLI:NL:CBB:2018:444). In de ontvangen informatie heeft verweerder vervolgens aanleiding gezien een onderzoek te starten naar de naleving van artikel 32 van de AVG. In dat kader is op 12 oktober 2018 een inlichtingenverzoek gedaan, waarbij is verzocht om documenten en vragen zijn gesteld. Naar het oordeel van de rechtbank is eiseres met het gebruik van het woord “cautie” in combinatie met de zinsnede “u bent niet verplicht te antwoorden op vragen waarmee u uzelf of uw organisatie kunt belasten” in de brief van 12 oktober 2018 voldoende duidelijk gewezen op haar zwijgrecht.