440,000 EUR fine for Dutch hospital OLVG for access by unauthorized personnel to medical records

 in Privacy

On 11 February 2021 the Dutch Data Protection Authority imposed a fine of EUR 440.000, = on Amsterdam hospital OLVG for having no sufficient measures in place to prevent access to medical records by unauthorized personnel and therefore infringing article 32 (1) GDPR.

An investigation was started after the DPA received several complaints of potential violations.

The DPA concluded that OLVG systematically failed to adequately safeguard access to medical records and identified violations with regard to (1) authentication and (2) verification of logging.

Two-factor authentication was only implemented to log on from outside of OLVG’s network and personnel could stil have access within the OLVG network by using a username and password, which provided immediate access to all medical records. “Single Sign-On” appeared to be enabled making this full access possible.

The hospital stated moreover wrongly to be compliant with the applicable NEN standards in its privacy policy.

Hospitals are obliged to check which medical files have been consulted by whom and to check the logging on a regular basis, in order to be able to identify unauthorized access and to take measures accordingly. OLVG did not check and verify the logging often enough to the opinion of the Dutch DPA.

During the investigations of the DPA, OLVG implemented additional security measures, including two-factor authentication within its network and monitoring of logging on a structural basis.

However, the Dutch DPA concluded that OLVG violated Article 32(1) of the GDPR by failing to comply with the requirements for two-factor authentication and regular monitoring of logging for almost a year from May 2018, with a fine of EUR 440.000, = as result. OLVG declared not to appeal this decision.

The first fine (EUR 460.000, =) under the GDPR imposed by the Dutch DPA on July 19, 2019 was also for a hospital the Dutch Haga Hospital for having an insufficient internal security of patient records and no proper two-factor authentication and control of logging in place as well. That case was even worse because personnel was leaking medical information of a Dutch celebrity to the press which came into the ears of the DPA.

How sad is it that public financed hospitals are paying fines to be used for health care.

Recente berichten
  • 8 juni 2022

    Vakantiedagen tijdens ziekte, een hoofdpijndossier

    Marion Hagenaars
    “Op vakantie naar Ibiza als je ziek bent, zonder dat deze dagen worden afgeboekt, is dat niet gek?”, werd mij de week gevraagd. Met de zomervakantie in zicht een actueel vraagstuk.  Vakantiedagen, zo eenvoudig is het niet Vakantiedagen, het lijkt zo eenvoudig: je bouwt ze eerst op en daarna neem je ze op. Maar de
    Lees verder
  • 25 mei 2022

    Besmette persoonsgegevens – De Ziggo soap

    Sil Kingma
    Klanten van Ziggo ontvingen afgelopen week een email met de aankondiging dat zij de prijs van haar abonnement met 3,50 Euro gaat verlagen. Sympathiek zou je denken. Er bleek echter een addertje onder het gras te zitten.  In diezelfde email kondigde Ziggo aan haar algemene voorwaarden per 1 juli as eenzijdig aan te passen. Bij
    Lees verder
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder

Plaats een reactie

Top