Fine of € 460.000,- imposed on Dutch Haga Hospital by Dutch Data Protection Officer, the first Dutch fine under GDPR (July 19, 2019)

 in Privacy

This first fine under the GDPR is imposed on the Dutch Haga Hospital for having an insufficient internal security of patient records as stated by the DPA on July 19, 2019. The DPA started an investigation after it appeared that a large amount (about 200 employees) of hospital staff had unauthorized accessed the medical records of a Dutch celebrity. Personal was leaking medical information to the press as well.

The DPA came to the conclusion that the Haga Hospital had taken insufficient security measures with respect to authentication and the control of logging and did not have in place a proper two-factor authentication. The control of logs wasn’t not sufficient to meet the requirements of systematic, risk-oriented or intelligent control, seen the scale of data processing by the hospital. Control based on complaints is not enough the DPA judged.

If the hospital has not improved its security of patient records before October 2, 2019, it must pay another EUR 100,000 every two weeks with a maximum of EUR 300.000. A similar measure was already taken against the Dutch UWV (Employee Insurance Agency) as well on October 2018 not yet under the GDPR regime. The UWV must have in place two-factor authentication as well and before October 31, 2019 risking a fine of a maximum of € 150.000,- per month with a maximum of € 900,000,-.

This is a serious warning for hospitals in the Netherlands and the EU to ensure that patient information is secure. It is sad to see that a hospital has to pay fines to be used for health care.

Recente berichten
  • 21 november 2022

    Risicomanagement: voorkom uitval door burn-out

    Marion Hagenaars
    Mirjam Scheper
    Werkend Nederland heeft steeds meer te kampen met burn-out klachten. Dit kan leiden tot (langdurig) ziekteverzuim. Een hoofdpijndossier en kostenpost voor de werkgever. En daarnaast een peperdure levensles voor de werknemer. Uitval door burn-out klachten voorkomen is dan ook beter dan genezen. Maar hoe?
    Lees verder
  • 21 november 2022

    Disfunctioneren: doorgeschoten empowermentbeleid

    Marion Hagenaars
    Mirjam Scheper
    De voorwaarden voor ontslag bij disfunctioneren zijn in de wet duidelijk omschreven. Deze voorwaarden gelden ook als een werkgever een beleid voert dat niet gericht is op dossieropbouw met waarschuwingen en berispingen, maar op aanmoediging.
    Lees verder
  • 21 november 2022

    Monitoring e-mail werknemers: de voorwaarden

    Marion Hagenaars
    Mirjam Scheper
    Onrechtmatig verkregen bewijs door werkgevers brengt belangrijke risico's met zich mee. Dit blijkt ook uit een recente uitspraak van het Hof Arnhem-Leeuwarden. Wat zijn de voorwaarden voor vrije toegang tot de e-mailbox van een werknemer?
    Lees verder

Plaats een reactie

Top