Autoriteit Persoonsgegevens deelt AVG-boete van 460.000 euro uit aan ziekenhuis

De Autoriteit Persoonsgegevens heeft een boete van 460.000 euro opgelegd aan het Haagse HagaZiekenhuis vanwege de slechte beveiliging van patiëntendossiers. Ook krijgt het ziekenhuis een last onder dwangsom. Het is de eerste boete onder de AVG.

Het HagaZiekenhuis in Den Haag heeft volgens de privacytoezichthouder de interne beveiliging niet op orde. Daarom krijgt het ziekenhuis een boete van 460.000 euro voor het overtreden van de Algemene Verordening Gegevensbescherming. Het is de eerste boete die in Nederland onder de AVG wordt uitgedeeld.

De AP begon een onderzoek toen medewerkers van het ziekenhuis het patiëntendossier van realityster Samantha de Jong, ook bekend als Barbie, bekeken. De toezichthouder keek in het onderzoek hoe de situatie sindsdien is veranderd. De beveiliging van de patiëntendossiers is volgens de privacywaakhond niet genoeg verbeterd. "We kijken doorgaans naar vijf verschillende criteria voor beveiliging", zegt een woordvoerder. "In het geval van het HagaZiekenhuis bleek dat niet regelmatig en systematisch in de logs werd bekeken wie toegang tot dossiers kreeg, al werden die logs wel aangemaakt. Daarnaast bleek er geen tweestapsverificatie op de toegang te zitten."

Het ziekenhuis heeft naast de boete ook een last onder dwangsom opgelegd gekregen. Die 'voorwaardelijke boete' is volgens de AP bedoeld om ervoor te zorgen dat het ziekenhuis de beveiliging in de toekomst verbetert. Het ziekenhuis moet dat vóór 2 oktober doen, anders krijgt het iedere twee weken een boete van 100.000 euro. Daarvoor geldt wel een maximum van 300.000 euro. Volgens de toezichthouder heeft het ziekenhuis al aangegeven maatregelen te nemen.

Naar aanleiding van de situatie heeft het ziekenhuis vorig jaar 85 medewerkers een officiële waarschuwing gegeven. Desondanks is de toegang tot de patiëntendossiers niet genoeg verbeterd. Het ziekenhuis heeft zelf ook onderzoek gedaan naar de situatie. In de afgelopen maanden hadden nog eens twee medewerkers toegang tot 'het dossier van een patiënt', waarmee het ziekenhuis misschien dat van De Jong bedoelt.

IT Banen

Deel je skills voor jouw droombaan Meld je aan!

Informatica studeren bij de Open Universiteit

Reacties (182)

kakanox
16 juli 2019 10:56

Ik zou het op prijs stellen als verantwoordelijk managers in dit geval een berisping krijgen. En niet alleen dat, maar ook training. Misschien zou een overheidsinstelling ook snel onder curatele gesteld moeten kunnen worden ivm dit soort issues.

Die boete? Lijkt me dat we daar weinig mee opschieten. Uiteindelijk betalen we 'm toch zelf...

asing
@kakanox • 16 juli 2019 11:11

Het blijft modderen tot een organisatie een CISO op C-level aanstelt met mandaat. Daarnaast moet er op C-level geconstateerd worden dat het een probleem is en dat er actie moet worden ondernomen. Dat is het enige wat helpt.

Als beheerder/lage manager omhoog schoppen is echt zinloos. Net als een Security Officer aanstellen die valt onder de ICT manager. Dat wordt dan ook een blaffende hond zonder tanden.

Wat ze nu doen ik een boete van bijna een half miljoen neerleggen. Dat is voor een ziekenhuis een heel groot bedrag. Meestal keren ze ieder dubbeltje 3 keer om. Dus dit bericht met de boete landt wel op c-level. Dat doet ineens wel pijn dus nu zullen ze het één en ander in gang gaan stellen.

kakanox
@asing • 16 juli 2019 11:15

Zit wat in idd, maar het gevolg is toch dat de prijs van dat ziekenhuis simpelweg een beetje omhoog gaat. Daar heb ik moeite mee, want gezondheidszorg is hier al niet heel goedkoop.

asing
@kakanox • 16 juli 2019 11:47

Maak je daarover maar geen zorgen. De zorg wordt ingekocht door de verzekeraars. Die zitten ook op hun geld dus proberen het zo goedkoop mogelijk in te kopen. Kostenefficiënt werken wordt vanaf die kant gestimuleerd. Als een ziekenhuis teveel geld wil voor een bepaalde behandeling dan vergoed de verzekeraar die behandeling in dat ziekenhuis niet meer. Mag je als patiënt ergens anders heen. Het werkt natuurlijk niet als alle ziekenhuizen duurder worden.

Ik zie twee echt grote factoren die de prijs flink opdrijven. De eerste is de vergrijzing en de toenemende leeftijd waardoor er veel langer zorg nodig is. De tweede is de ontwikkeling van medicijnen. Die worden duur in de markt gezet en als je wilt genezen mag je gewoon betalen. In 2019 wordt 2.1 miljard uitgegeven aan medicijnen. Dat is al 10 euro per maand per Nederlander. Dat als ze alle 17 miljoen betalen, wat ze niet doen.

ralpharma
@asing • 16 juli 2019 14:27

Zit wat in idd, maar het gevolg is toch dat de prijs van dat ziekenhuis simpelweg een beetje omhoog gaat. Daar heb ik moeite mee, want gezondheidszorg is hier al niet heel goedkoop.

Dat ligt eraan hoe je het bekijkt. In 2018 gaven we in Nederland bijna 100 miljard uit aan zorg. Maar daar zit dan ook alles bij inbegrepen: kinderopvang, gehandicaptenzorg, ziekenhuiszorg, maatschappelijke opvang etc.
Dat komt per Nederland neer op een kleine 6000 euro per jaar, zeg 500 euro per maand. Daar merken we zelf maar beperkt wat van, want we betalen hiervan alleen de zorgpremie en het eigen risico (gesteld dat we 18+ zijn) en dat betekend dat zo'n driekwart afkomstig is uit belastingen en inkomensafhankelijke premies.
Hiermee zijn de zorgkosten in Nederland ongeveer 10% van het BNP is dat veel als gezondheid je grootste goed is? Dat moet ieder uiteraard voor zich betalen, maar in de VS (duurste zorgland ter wereld) bedragen de zorgkosten bijna 20% van het BNP

Maak je daarover maar geen zorgen. De zorg wordt ingekocht door de verzekeraars. Die zitten ook op hun geld dus proberen het zo goedkoop mogelijk in te kopen. Kostenefficiënt werken wordt vanaf die kant gestimuleerd. Als een ziekenhuis teveel geld wil voor een bepaalde behandeling dan vergoed de verzekeraar die behandeling in dat ziekenhuis niet meer. Mag je als patiënt ergens anders heen. Het werkt natuurlijk niet als alle ziekenhuizen duurder worden.

Dit klopt deels. De zorgverzekeraar is alleen verantwoordelijk voor de zorg die onder de Zorgverzekeringswet (ZVW) valt en dat is circa zo'n 40% van de totale zorgkosten. Verder heb je gelijk: het zijn vooral verzekeraars en die dekken risico's af...

Maar er is wel degelijk maatwerk nodig, alleen is maatwerk per definitie duurder. Moet de maatschappij daar dan altijd voor opdraaien? Je mag er als patiënt altijd heen, maar dan heb je kans op een (forse) eigen bijdrage. Of je kiest voor de toekomst een verzekeraar die je daarin meer vrijheid gunt, waarbij je een hogere premie betaalt.

Ik vergelijk het wel eens met een pak. Als ik confectie wil kan ik naar C&A gaan en ben ik voor € 100,- klaar. Moet ik alleen niet klagen dat dit pak er over 1-2 jaar niet meer uitziet en begint te rafelen. Koop ik maatwerk van Hugo Boss, dan plak ik er een nulletje achter maar kan het pak 5-10 jaar mee...

Ik zie twee echt grote factoren die de prijs flink opdrijven. De eerste is de vergrijzing en de toenemende leeftijd waardoor er veel langer zorg nodig is. De tweede is de ontwikkeling van medicijnen. Die worden duur in de markt gezet en als je wilt genezen mag je gewoon betalen. In 2019 wordt 2.1 miljard uitgegeven aan medicijnen. Dat is al 10 euro per maand per Nederlander. Dat als ze alle 17 miljoen betalen, wat ze niet doen.

Ook dit is niet helemaal compleet. Vergrijzing klopt, maar de leeftijd neemt (sinds heel kort) niet verder toe. Blijft dealniettemin een groot probleem. Verder zijn veel aandoeningen tegenwoordig niet meer levensbeëindigend maar leiden tot beperkingen met duurdere zorg als gevolg (de dood is goedkoop).

De kosten zitten totaal niet in de medicatie.Je geeft terecht aan dat 2,1 miljard aan medicatie wordt uitgegeven. Dat is dus zo'n 2% van het totale budget: zouden een hoop landen voor tekenen. Een vergelijking met de geestelijke gezondheidszorg (dus psychiatrie en verslavingszorg) 10x zoveel (zit geen pil bij): ruim 22 miljard.

Wel klopt het dat er middelen duur in de markt worden gezet (maar dat geldt enkel voor nieuwe middelen, de oude middelen (totaal 75% van wat er gebruikt wordt) neemt maar 20% van de kosten voor zijn rekening), maar dat is vooral in Nederland een groeiend probleem. Duitsland heeft daar minder last van en niet alleen omdat ze veel groter zijn. Ontwikkelkosten van een geneesmiddel zijn 800 miljoen tot 1 miljard euro. Een beetje winst moet gemaakt worden, want anders is er geen investeringsruimte.
Veel kleine farmaceuten met zeer goede ideeën, zoeken investeerders bij verschillende tussenstappen om hun product een succes te maken (ze zijn simpelweg te klein). Iedere investeerder wil daarbij zijn dividend vergroten dus doet alleen mee als de prijs keer 5, 10 of 20 gaat. Na 3 van dat soort stappen is het middel dan dus veel en veel te duur geworden. Die investeerders zijn vaak grote financiële instellingen of big pharma en die hebben puur bedrijfsmatige belangen.

Het maatschappelijk belang ligt bij de overheid en er is geen wet die hen verbiedt te investeren in deze kleine (maar goede ideeën) met als mooiste resultaat dat je de prijs meebepaalt en als bijvangst wat dividend terug kan laten vloeien naar de schatkist. Duitsland doet dit op grotere schaal en is daarom ook plaatsbepalend aan de onderhandelingstafel. Nederland komt pas aan tafel als de grote jongens al een handje klap hebben. Qua vermogen kan Nederland prima hetzelfde investeren als Duitsland: er zit goed rendement op de therapie van tegenwoordig.

Grote vraag: waarom gebeurt het dan niet?
Nederland is bang dat het huishoudboekje gevaar loopt en de 100 miljard binnen enkele jaren verdubbeld of vervijfvoudigd. Dat gaat sowieso wel gebeuren, maar je kunt wel kiezen hoe je dat geld wilt besteden. Met herverdeling van het budget voor geneesmiddelen kan je méér kwaliteit kopen, tegen een lagere prijs en onder betere condities. Maar dan moet je er tijd insteken en een beetje (verantwoord) risico nemen en dat durft de overheid niet.

tristan009
@asing • 16 juli 2019 14:06

Ik weet niet helemaal waar jij jouw getallen m.b.t. geneesmiddelen uit 2019 vandaan haalt. In 2017 zijn de intramurale geneesmiddel uitgaven op 2,1 miljard uitgekomen, maar dan laat je extramurale kosten buiten beschouwing. En je hebt het zelf over 10 euro per maand, per persoon aan geneesmiddel kosten, terwijl het totaal gemiddelde van zorguitgaven per maand per persoon rond de 490 euro ligt. Hoe zie jij geneesmiddelen dan als een van de echt grote factoren die de prijs opdrijven? En ook als je de extramurale geneesmiddel kosten hier bij optelt, kom je totaal op ongeveer 30 euro per maand, per persoon. En dan nog is het ten opzichte van de totale zorgkosten van 490 euro per maand per persoon niet een enorm deel. Alleen maar roepen zonder daadwerkelijk de data te bekijken is geen goed idee.

Als je de publicatie van het CBS bekijkt, dan zie je dat in 2018 de grootste groeiende kosten in de zorg (kinderopvang niet meegerekend) verpleging/verzorging en huisartsenzorg zijn. De kosten van geneesmiddelen stijgen minder snel dan het zorg gemiddelde.

Decipher666
@kakanox • 16 juli 2019 11:55

Dat is niet geheel juist omdat de zorg inkopen door de grote corporaties allang gedaan zijn. Dat betekend dat behandelingen tegen een bepaald tarief uitgevoerd dienen te worden. Simpelweg de prijs verhogen zit er dan ook niet in. Er zal dus wel degelijk gesneden moeten worden in andere zaken waarbij het senior management deze boete wel degelijk gaat voelen.

kakanox
@Decipher666 • 16 juli 2019 12:51

Nu doe je net alsof ziekenhuizen niet met meerjarige budgetten en reserves werken.
Als de pot dit jaar leeg loopt door een boete moet die volgend jaar aangevuld worden.

Thijsmans

@kakanox • 16 juli 2019 13:22

Dat is wat kort door de bocht, gezien voor een boel handelingen de tarieven bij wet zijn bepaald. Misschien dat de vrije tarieven worden verhoogd, maar dan krijgt het ziekenhuis weer te maken met zorgverzekeraars. Het lijkt mij waarschijnlijker dat de boete wordt betaald uit reserves.

[Reactie gewijzigd door Thijsmans op 16 juli 2019 13:23]

kakanox
@Thijsmans • 16 juli 2019 13:28

Reserves -> een beetje CFO vult die weer aan. Kijk even wat er bij onze overheid gebeurd is de afgelopen jaren: Bezuinigen. M.a.w.: De patiënt betaalt...

MSalters
@kakanox • 16 juli 2019 14:30

Inderdad, bezuinigen, maar dat is omdat het ziekenhuis de tarieven niet vaststelt. En de patient betaalt niet, maar de verzekeraar.

kakanox
@MSalters • 16 juli 2019 14:32

Dus de verzekeraar is gratis? ;-)

kakanox
@leuk_he • 16 juli 2019 20:09

Klopt, en daarom zal een CFO de reserves proberen te herstellen.. dus de patiënt betaalt.
Zeker als het een ingecalculeerd risico wordt.

Overigens ligt de verantwoording nog altijd bij de overtredende medewerkers, zeker niet bij Barbie.

anboni
@asing • 16 juli 2019 12:18

Door de boete bij 'het ziekenhuis' neer te leggen, raak je direct wat het ziekenhuis zou moeten doen: die half miljoen is domweg niet meer beschikbaar voor zorg. Waarschijnlijk wordt het tijd om voor structurele AVG-gerelateerde gebreken de mensen op C-level en daarboven (Raad van Bestuur/Toezicht/Commissarissen/whatever) hoofdelijk aansprakelijk te stellen.

The Third Man

@anboni • 16 juli 2019 12:47

Een groot nadeel aan persoonlijk aansprakelijk stellen is dat je een wegloop krijgt naar topfuncties die dat risico niet kennen, met dus het probleem dat je of minder kundig personeel op die plek moet aanstellen, of nog meer loon moet betalen zodat een kundig persoon zich alsnog genoeg betaald acht. Dat lost voor niemand wat op en creeert ook nog eens een angstcultuur wat mensen weer inperkt 'want anders rolt mijn kop / ga ik failliet'. Kortom een maatregel die vooral de onderbuik tevreden stemt doet tekort aan het rationele nut ervan.

PhilipsFan
@The Third Man • 16 juli 2019 13:55

Met andere woorden: mensen die hun werk niet goed doen en daar opeens verantwoordelijk voor worden gehouden, gaan ergens anders werken waar ze nog steeds kunnen wegkomen met het niet goed doen van hun werk. Wat een rare wereld leven we toch in.

Het lijkt me dat we er snel voor moeten zorgen dat hooggeplaatste personen in bedrijven eens echt verantwoordelijk worden gehouden voor de beslissingen die ze nemen. Ik zie werkelijk overal om me heen managers de raarste beslissingen nemen en daar gewoon mee weg komen. Bedrijf verliest een vermogen door een domme beslissing die iedereen op de werkvloer al zag aankomen, maar de betrokken manager wordt ofwel weggepromoveerd of vloeit af en krijgt een riante vertrekpremie. Waar precies diende een manager ook alweer voor? Want op deze manier zuigen ze alleen maar geld weg zonder daar iets voor te doen...

The Third Man

@PhilipsFan • 16 juli 2019 14:14

Met andere woorden: mensen die hun werk niet goed doen en daar opeens verantwoordelijk voor worden gehouden, gaan ergens anders werken waar ze nog steeds kunnen wegkomen met het niet goed doen van hun werk. Wat een rare wereld leven we toch in.

Dit is nou een stroman-argument: je kiest zelf een simpelere uitleg van de situatie en valt die vervolgens aan. Het is in het geheel niet zo dat men nu niet verantwoordelijk wordt gehouden, je leest wekelijks wel van een opstappende chief of andere topman bij een groot bedrijf. Wat anboni noemt is het hoofdelijk aansprakelijk stellen, dus dat de schade op de persoon verhaald kan worden in plaats van het bedrijf. Daarmee heb je dus naast het bestaande risico van een ontslag etc ook nog eens het financiele risico, en dat is een dubbele manier van vervolgen met vertrekkende gevolgen.

In je tweede alinea neem je afstand van een probleem waar ik denk iedereen wel afstand van neemt, net als dat criminelen nog uitkering trekken in de gevangenis of dat gevaarlijke TBS'ers toch op verlof gaan. Dat is echter een voorbeeld van een probleem in de bedrijven waar dit gebeurt, het is niet zo dat dit normaal is of als normaal wordt ervaren. Je leest echter vooral in het nieuws als het op zo'n manier gebeurt, want dat is sensatie en schandalig etc. Vervolgens maak je dan de fout door dat als 'gewoon' aan te nemen alsof elke TBS'er sowieso met verlof wordt gestuurd of dat elke crimineel bakken geld krijgt in de gevangenis.

Vizzie
@PhilipsFan • 16 juli 2019 14:09

Leuk om dat zo te stellen maar het lijkt me niet echt prettig als iedereen die gewoon z’n best doet maar iets niet goed geregeld krijgt in z’n organisatie daar persoonlijk voor bestraft wordt i.p.v. de organisatie.

Er zullen vast voorbeelden zijn zoals jij beschrijft, maar er zijn er ook zat managers die domweg het veld moeten ruimen als ze hun werk niet goed doen.

Enige waar ik wel echt een probleem zie is in de absolute top, daar duiken mensen die het grootste broddelwerk af lijken te leveren soms na een paar dagen weer ergens anders op in een topfunctie terwijl ze toch echt wel een brevet van onvermogen verdiend hebben.

MSalters
@PhilipsFan • 16 juli 2019 14:27

Met andere woorden: mensen die hun werk niet goed doen en daar opeens verantwoordelijk voor worden gehouden, gaan ergens anders werken

Klopt, maar dat is het probleem niet. Ook CTO's die hun werk wél goed doen, gaan vertrekken naar het bedrijfsleven. Want wil jij het risico lopen dat een niet-technische rechter jouw werk moet beoordelen?

Fijinees
@The Third Man • 16 juli 2019 18:29

Wat mij betreft moet iedere topfunctie een vorm van aansprakelijkheid hebben. Zowel bestuurlijk als commercieel. En dan niet met een aftreden, maar daadwerkelijke schade moet verhaald kunnen worden.

Je zit hoog, met een dik salaris. En bij problemen kun je alles afschuiven? Want mijn mindere heeft niets gezegd? Jij hebt als verantwoordelijke een foute beslissing genomen? Dan op de blaren zitten.

Morkatog
@anboni • 16 juli 2019 16:39

Het is prachtig hoe vaak mensen in dat soort lagen vinden dat ze veel betaald moeten krijgen omdat ze veel verantwoordelijkheid hebben, maar ondertussen zijn ze er blijkbaar niet voor aansprakelijk. Laat ze dan maar gratis werken wat mij betreft.

proditaki
@asing • 16 juli 2019 13:16

Wij hebben inderdaad een security officer met mandaat die niet "beperkt" wordt door een manager.

asing
@proditaki • 16 juli 2019 13:41

Als hij met de CEO, CFO en de CIO etc aan tafel zit dan is dat in ieder geval goed geregeld.

The Zep Man

Privacy

@kakanox • 16 juli 2019 11:06

Ik zou het op prijs stellen als verantwoordelijk managers in dit geval een berisping krijgen.

Zo voorkom je niet dat iemand naar voren geschoven wordt om de blaam op zich te nemen. Een aanvullende oplossing is iets baseren op de Sarbanes-Oxley Act:

Bijzonder aan de wetgeving is het feit dat voor de hoofddirecties gevangenisstraffen en geldboetes dreigen wanneer zij niet aan de voorwaarden van deugdelijk ondernemingsbestuur voldoen.

Dit zou ook prima op informatiebeheer in een bedrijf kunnen slaan. Natuurlijk kan iets overmacht zijn, maar laat een rechter dat maar beoordelen.

Straf de uitvoerende, en vanaf het leidinggevende niveau daarboven tot en met het hoogste niveau iedereen. Alleen dan is het in ieders belang om goed met informatie van anderen om te gaan.

En ja, dit kan ook inhouden dat bijvoorbeeld een minister persoonlijk verantwoordelijk en aansprakelijk wordt gesteld voor iets dat niet op orde is in zijn eigen ministerie (in de tijd dat die minister is/was), als een rechter dat zo beoordeelt.

[Reactie gewijzigd door The Zep Man op 16 juli 2019 11:19]

MSalters
@The Zep Man • 16 juli 2019 14:36

Geweldig idee, dat je aansprakelijk wordt voor het gekluns van je ondergeschikten, en zelfs de gevangenis in kunt.

De CFO en CEO zijn onder Sarbanes-Oxley verantwoordelijk voor de jaarrekening, maar die moesten ze toch al richting de aandeelhouders verantwoorden. En ze zijn daarin ook niet eens verantwoordelijk voor de kleine details waarvoor ondergeschikten verantwoordelijk zijn, maar alleen voor de hoofdlijnen. Evengoed is het een wet door juristen voor juristen, want elke CEO en CFO heeft een legertje advocaten nodig om zichzelf in te dekken.

Met jouw voorstel heb je dus voor elke IT'er twee juristen nodig om elke handeling te beoordelen en vast te leggen. Dat gaat ons bedrijfsleven vast rendabel maken, en bedrijven it de hele EU hierheen lokken.

beau-key
@The Zep Man • 16 juli 2019 14:53

"Straf de uitvoerende, en vanaf het leidinggevende niveau daarboven tot en met het hoogste niveau iedereen." => nee, stel alleen de hoogste rang verantwoordelijk. Dat daalt dan vanzelf af naar lagere regionen (vergelijk SarOx).

"...bijvoorbeeld een minister persoonlijk..." => nee, volgens mij is de minister is een politieke rol en hij/zij kan nooit hoofdelijk aansprakelijk gesteld worden. Hij/zij kan worden weggestuurd of biezen pakken.

i-chat
@kakanox • 16 juli 2019 11:05

erger nog, dit is 4 en een halve ton die ze beter in het oplossen van het probleem hadden kunnen steken, nu gaat het naar de staatskas zodat we er andere potjes (van de vvd) mee kunnen vullen.

het 'sluiten van het ziekenhuis totdat het gefixt is zou een veel betere straf zijn, vooral als daardoor de 'verantwoordelijken' geen (of minder) loon krijgen gedurende die periode.

Luchtbakker
@i-chat • 16 juli 2019 11:10

het 'sluiten van het ziekenhuis totdat het gefixt is zou een veel betere straf zijn, vooral als daardoor de 'verantwoordelijken' geen (of minder) loon krijgen gedurende die periode.

Hiermee zadel je onnodig mensen op met andermans probleem. Hier maak je geen vrienden mee en zet je mogelijk onnodig levens op het spel.

Edgarz
@i-chat • 16 juli 2019 11:15

Ziekenhuizen sluiten, dat lost het probleem echt op...

Ik begrijp dat je "privacy" belangrijk vindt, maar persoonlijk vind ik de primaire taak van een ziekenhuis net iets belangrijker...

mvds

@i-chat • 16 juli 2019 11:14

De verantwoordelijken op non-actief zetten lijkt mij dan beter, dan straf je alleen de verantwoordelijken ipv ook de patiënten die dan uit moeten wijken naar een ander ziekenhuis

Arjant2
@mvds • 16 juli 2019 12:17

Eerst maar eens uitzoeken wie verantwoordelijk is dan.
Want waar ligt de verantwoordelijkheid/schuld.
Er wordt enorm geknepen in de budgetten vanuit de verzekeraars, dus elk dubbeltje wordt al omgedraaid in de meeste ziekenhuizen. En zeker niet om goed te praten, dit moet echt wel goed geregeld worden, maar kost ook gewoon geld. En veel ziekenhuizen draaien al op het randje en dan wordt (misschien een verkeerde?) afweging gemaakt tussen geld besteden aan zorg of aan privacy.

marcel50506
@i-chat • 16 juli 2019 11:18

erger nog, dit is 4 en een halve ton die ze beter in het oplossen van het probleem hadden kunnen steken, nu gaat het naar de staatskas zodat we er andere potjes (van de vvd) mee kunnen vullen.

Zou je hetzelfde zeggen als ik een boete krijg omdat mijn auto niet APK-gekeurd is? Nu ik die boete moet betalen heb ik minder geld om mijn auto op orde te krijgen!

_{En ik geloof daarnaast overigens niet dat de financiering van politieke partijen afhankelijk is van de hoogte van dit soort boetes, maar dat terzijde}

divvid
@marcel50506 • 16 juli 2019 11:42

ja en nee, jouw auto is een privé bezit, bedoelt voor privé gebruik. Een ziekenhuis dient algemeen nut, commercieel of niet, en met de boete schaad je het algemeen belang en een kwetsbare laag van de bevolking (Haga staat nou niet in een wijk waar mensen het voor het kiezen hebben)

Veel beter zou het zijn als de 'boete' zou bestaan uit het juridisch gijzelen van de hoogste verantwoordelijke totdat het probleem adquaat is opgelost. Ik weet zeker dat de betrokken bestuurder(s) dan héél snel zorgen dat de security op orde is.

dirk161
@marcel50506 • 16 juli 2019 12:21

Jij betaalt die boete uit eigen zak.
Bij een zorginstelling komt de rekening indirect bij de patient te liggen, terwijl de verantwoordelijken zelf geen consequenties ondervinden.

marcel50506
@dirk161 • 16 juli 2019 13:00

Jij betaalt die boete uit eigen zak.
Bij een zorginstelling komt de rekening indirect bij de patient te liggen, terwijl de verantwoordelijken zelf geen consequenties ondervinden.

Maar dat zou betekenen dat het onjuist is om welk bedrijf dan ook een boete op te leggen, de rekening moet immers altijd ergens door betaald worden, dit zal meestal neerkomen op 'doorschuiven' naar de klant van het bedrijf.

Vervang in mijn voorbeeld mijn auto met een bus van een vervoersbedrijf, daar zal de rekening ook bij de klanten van het busbedrijf komen te liggen.

Overigens zal het intern niet zo zijn dat de verantwoordelijken geen consequenties ondervinden. Immers zullen de aandeelhouders niet willen dat dit nog een keer gebeurd (juist door die boete), en aandringen op interne maatregelen.

MSalters
@dirk161 • 16 juli 2019 14:39

Bij een zorginstelling komt de rekening indirect bij de patient te liggen

De bulk van de kosten van zorginstellingen komen in Nederland uit de belastigheffing. Zorgpremies (ook door iedereen betaald) komen daar een eind achter; het eigen risico (betaald door de patient) is maar een klein deel. Een verhoging van de kosten maakt bovendien niet uit voor die patienten die toch al aan de grens van hun eigen risico zaten.

bbob

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@i-chat • 16 juli 2019 11:18

Echt waar ziekenhuis sluiten. Je kan je zeker niet voorstellen wat de impact daarvan is voor patiënten, operaties en ga zo maar door.

Nu gaat het naar de staatskas, klopt die er dan weer iets mee doet. Schijnbaar heb je het nodig de vvd erbij te halen. Die potje zijn met huidige regering tot echt vvd cda d66 en cu om het verhaal compleet te maken.

De 4.5 ton zouden ze idd beter in oplossing kunnen gestoken kunnen worden maar zou werkt het niet met een boete. Dat had men eerder moeten doen. Dan iedereen die daar werkt zo bij dossiers kan komen is een slechte zaak. Sowieso zou men dossiers al niet voor iedereen toegankelijk moeten kunnen maken. Met toegangspas inloggen zodat alles gelogt wordt.
Als 1 dossier door veel mensen benaderd wordt met alarmbellen.

Maar ja het is te laat daarom de boete en datum waarop het wel moet werken.

Vraag me alleen af of het in andere ziekenhuizen veel beter is.

Iblies
@bbob • 16 juli 2019 12:07

Oplossing ...

https://www.nrc.nl/nieuws...a-na-ict-debacle-a3967185

Minister Carola Schouten (Landbouw, CU) stelt onder meer een externe commissie in die zich bezig moet houden met de ict en het management van de toezichthouder.

Alleen is het water naar de zee dragen.

Consequent ontloopt een partij de dans,
en dat zijn de partijen die deze systemen moeten opzetten. Net zoals in de politiek zijn dat maar enkele partijen dit soort systemen kunnen ontwerpen en uitwerken. En telkens schrijven zij bakken met geld bij, zonder een fatsoenlijk werkend product af te leveren.

Mijn inziens moet de overheid eens achter de geldstromen aan en waarvoor betaald wordt.
Klinkt ongelooflijk simpel,
maar net zoals bij een huis betaal je dergelijke bedragen niet in een keer. Dat doe je in stappen.
Als de prijs wordt vertig-voudigd, gaat daar overleg aan vooraf, moet dat worden gerechtvaardigd, en is alles gedocumenteerd. Dan weet je ook een stuk sneller waar de oorzaak ligt.

bbob

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@Iblies • 16 juli 2019 13:21

Klinkt eenvoudig maar zo is het niet. Partijen die deze systemen opzetten doen dat in opdracht van. We praten nu nog over systemen van voor de AVG, die moeten dus omgebouwd worden.

Je zou we een soort CE keurmerk voor software kunnen eisen. Dus nieuwe software moet gewoon voldoen aan de wettelijke AVG eisen bijv. Voldoet dat niet mag je het niet op de markt brengen of moet je het wijzigen zodat het voldoet.

Iblies
@bbob • 17 juli 2019 13:24

Partijen die deze systemen opzetten doen dat in opdracht van.

Nou nee, er is een aanbesteding.

Moment dat je een opdracht aanpakt op basis van een aanbesteding,
en gedurende dat proces klopt daar helemaal niets van, dan moet je jezelf ook afvragen of dat wel zo verstandig is om mee te blijven gaan in die discussies van politici en managers. De kans dat het een fatsoenlijk werkend product wordt slinkt aanzienlijk.

Daarnaast mag de vraag worden opgeworpen of de aanbesteding nog enige rechtsgeldigheid heeft als de inhoud van de opdracht kwa inhoud en omvang dusdanig anders is geworden dat er een nieuwe aanbesteding moet worden uitgeschreven.

Follow the money is de befaamde uitspraak, en op basis daarvan kunnen er koppen rollen, of bij de overheid of bij de bedrijven die een (niet-realistisch) offerte uitbrengen. Hoe je het wend of keert namelijk, het geld komt niet uit de lucht vallen en moet worden verantwoord bij beide partijen.

MSalters
@bbob • 16 juli 2019 14:48

Leuk, maar kijk nu eens naar waar het hier fout gaat. "nleek dat niet regelmatig en systematisch in de logs werd bekeken." Dat is ICT-beleid, geen techniek. Dat los je niet met een CE-keur op.

Een tweede punt is dat je in dit soort omgevingen Single-Sign On wil hebben (SSO). Maar met SSO kun je dus niet op applicatie-nivo afdwingen dat er Two-Factor authentication (2FA) gebruikt wordt, terwijl de commerciële SSO oplossingen niet afdwingen dat er altijd 2FA gebruikt wordt. 2FA is hier alleen nodig omdat het medische toepassingen betreft. Het gebrek aan 2FA is dan dus een configuratie-probleem van de SSO inrichting. Wederom iets wat je niet met een CE keur van de software oplost.

Overigens is er iets als een "CE keurmerk voor medische software". Dat is de Medical Device Directive, en dat komt bovenop een CE merk.

ijdod

@MSalters • 16 juli 2019 21:27

Vergeet ook niet de eindgebruikers. Die zitten niet te wachten op 2FA, of extra hindernissen die hun werk belemmeren.

RoestVrijStaal
@bbob • 16 juli 2019 13:58

De 4.5 ton zouden ze idd beter in oplossing kunnen gestoken kunnen worden maar zou werkt het niet met een boete. Dat had men eerder moeten doen.

Die €450 000 zou kunnen verdwijnen in een subsidie aan een stichting (of andere organisatie) die ziekenhuizen (of andere bedrijfstakken) wil stimuleren / trainen om privacybewuster te werken

bbob

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@RoestVrijStaal • 16 juli 2019 14:00

Zou kunnen maar zo werken boeten niet. De overheid krijgt het geld, komt in de begroting en wijst het dan toe.

Daarbij ziekenhuizen zijn meestal geen overheidsbedrijven maar zelfstandige bedrijven, die moeten hierin zelf voorzien.

saintgein
@i-chat • 16 juli 2019 11:08

Het lastige is dat het al zo druk is in ziekenhuizen. Een tijd een ziekenhuis sluiten lijkt me daarom niet de juiste oplossing. Daar heb je alleen de mensen mee die het ziekenhuis nodig hebben.

629110
@i-chat • 16 juli 2019 11:11

Sluiten van de ziekenhuizen ? Dus laat er maar enkele doden vallen omdat het niet AVG proof is ?

kakanox
@i-chat • 16 juli 2019 11:14

Ik denk dat je daarmee vooral de patiënten straft. Potentieel jezelf ;-)

saintgein
@kakanox • 16 juli 2019 11:04

Daarom zou een boete voor de verantwoordelijken in dit verhaal veel beter passen. We leven immers in een doorbereken maatschappij. Nu maken de managers fouten en kan zoals je zegt de gewone man ervoor opdraaien.

kakanox
@saintgein • 16 juli 2019 11:19

Ik denk dat dat niet echt werkt. Het is algemeen bekend dat je als staflid (bijv. IT, niet de schoonmaakploeg) in een ziekenhuis beduidend slechter verdient dan als staflid in een willekeurige dienstverlenende organisatie.

Zou jij slechter willen verdienen om te functioneren met beperkte middelen, terwijl je daardoor - mogelijk buiten je eigen schuld - ook risico loopt op een persoonlijke boete?

Je moet wel heel erg on a mission zijn, wil je daarvoor niet passen. Aan de andere kant: Dat er nog agenten rondlopen in dit land verbaast me ook telkens weer.

saintgein
@kakanox • 16 juli 2019 11:33

De mensen die deze stafleden aansturen zijn dan in principe de verantwoordelijken. Zij weten goed dat AVG belangrijk is, en moeten daarvoor adequaat handelen door trainingen te regelen en zorg te dragen voor deze gegevens. AVG zegt dan ook dat er in elke organisatie een functionaris gegevensbescherming moet zijn. Maarja, het gaat om IT, dus een fout op dit gebied zit in een klein hoekje. Moeilijk verhaal.

Ik denk overigens dat media aandacht zoals dit al een enorme straf is voor een Ziekenhuis.

ijdod

@saintgein • 16 juli 2019 21:29

> Zij weten goed dat AVG belangrijk is
Realiteit is dat dit vaak medici zijn. Die vinden het zorgprocess, in die afweging, vaak belangrijker...

kakanox
@saintgein • 16 juli 2019 11:46

Ik denk overigens dat media aandacht zoals dit al een enorme straf is voor een Ziekenhuis.

Zou je denken? Ik denk dat een reisorganisatie er meer onder lijdt. Ben zelf behoorlijk privacy geek, maar als ik morgen voor een ingreep naar het Haga gestuurd word denk ik hier hooguit even aan...

saintgein
@kakanox • 16 juli 2019 12:01

Fair enough, bij ziekenhuizen is het inderdaad vaak meer te doen of er plaats is en of bepaalde behandelingen er worden uitgevoerd.

bbob

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@saintgein • 16 juli 2019 11:27

Helaas werkt het zo het bedrijf in dit geval ziekenhuis is aansprakelijk. Het is namelijk niet te doen om te kijken wie er uiteindelijk persoonlijk aansprakelijk is.
Als het echt 1 of 2 personen zijn die compleet gefaald hebben zou het ziekenhuis maar moeten kijken of ze dit op 1 persoon kunnen verhalen. Dat is echter moeilijk qua bewijs voor elkaar te krijgen dus is gewoon een organisatie die de boete krijgt.

Maar kijk eens hoeveel fouten politici maken, die betalen wij ook.
Hoeveel fouten maken gemeentes die met geld smijten, dat betalen wij ook.
Triest maar zo werkt het helaas.

saintgein
@bbob • 16 juli 2019 11:35

Daar heb je gelijk in hoor. Ik hoop dat we daar ooit nog eens verbetering in zullen zien, al is het maar dat de regering de normale mens hierop compenseert, door ze extra's te geven uit de potten die hierdoor ontstaan. Maar dat zie ik niet zo snel gebeuren haha.

bbob

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@saintgein • 16 juli 2019 13:19

Je hebt het over extra's uit de potten. Onze overheid heeft nog steeds een staatsschuld. die aflossen is ook prioriteit. Men hudige rentestanden zal dat echter geen probleem moeten zijn en rentelasten zijn daarom al lager.

Neemt niet weg dat oude boeren ook wisten dat je potjes moet hebben als het even tegenzit.

saintgein
@bbob • 16 juli 2019 13:37

De grap is dat de staatsschuld in principe ook de schuld is van de overheid aan de bevolking.

bbob

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

@saintgein • 16 juli 2019 13:40

In sommige landen is dat deels pensioenschuld van overheden, maar niet alle schuld is schuld aan de bevolking. China bezit bijv groot deel van amerikaanse overheidsschuld, banken bezitten dat. Je kan stellen de bevolking bezit dan weer de banken. Maar toch complex.

Maar kijk naar landen met weinig of geen overheidsschuld en begrotingsoverschot, die doen het niet slecht.

saintgein
@bbob • 16 juli 2019 13:42

Dat klopt, de Nederlandse regering vraagt op die manier stiekem erg veel van de bevolking. En elke keer komt er weer wat bovenop in de vorm van een bepaalde belasting of wetgeving. Maargoed, nu gaan we weer te ver offtopic uiteraard.

tweazer
@saintgein • 16 juli 2019 11:12

Tja de nieuwsgierige medewerker veroorzaakt de (imago)schade. Het slachtoffer Samantha, krijgt die ook iets van die boete, of gaat acm haar pand wat opvrolijken dankzij de niet begrote middelen, wellicht a la uwv ?

Wim-Bart
@saintgein • 16 juli 2019 13:02

Daarom zou een boete voor de verantwoordelijken in dit verhaal veel beter passen. We leven immers in een doorbereken maatschappij. Nu maken de managers fouten en kan zoals je zegt de gewone man ervoor opdraaien.

Heeft geen zin, want dan wordt de manager van een afdeling gestraft terwijl zijn verbeteringsvoorstel door hoger management steeds wordt afgewezen vanwege "geld". Je moet deze boete dan ook zien in de context van "wanneer we 2 ton besteed hadden voor security, hadden we deze boete van 4,5-7 ton niet gehad". Waarbij andere ziekenhuizen en bedrijven nu gaan denken "o wacht even, ze delen echt boetes uit".

oef!

@kakanox • 16 juli 2019 11:04

Een ziekenhuis is geen overheidsinstelling maar privaat bezit, kun je je nog herinneren dat er vorig jaar een ziekenhuis failliet ging?

Het management zal hier vast op aangesproken zijn, zij zullen sowieso kenbaar moeten maken dat het ongeautoriseerd inzien van dossiers niet mag. Qua techniek is het voor iedereen koffiedik kijken, het is heel goed mogelijk dat de betreffende applicatie geen 2fa ondersteunt of geen overzichtelijke logging aanbiedt. In dat geval is men sterk afhankelijk van de software leverancier.

MSalters
@oef! • 16 juli 2019 14:55

Ziekenhuizen zijn moeilijke dingen. Het zijn publiekrechtelijke organisaties, waarva de overheid bepaald heeft dat ze geen winst mogen uitkeren. Bij een dreigend faillisement is het dus compleet onmogelijk om nieuwe aandeelhouders aan te trekken. Want die nieuwe aandeelhouders lopen wél het risico op aanhoudende verliezen, maar hebben niet de kans om dividend te krijgen bij een succesvolle herstructurering. Letterlijk dus een loterij met alleen nieten.

Ze ziet dus ook dat het Slotervaart ziekenhuis failliet ging, en dat vervolgens investeerders best het gebouw wilden kopen. Want dat mogen die investeerders wél met winst verhuren aan een nieuw ziekenhuis.

flippy
@kakanox • 16 juli 2019 13:35

de verantwoordelijke managers horen net als de rest van de werknemers die dossiers inkijken waar ze niks te zoeken hebben direct ontslagen te worden. het gebrek aan lik op stuk beleid ligt aan de grondslag voor dit probleem. als mensen weten dat ze direct ontslagen worden zullen ze het niet eens proberen bij BN'ers of zelfs hun eigen collega-dossiers. het is overal een aanmodderbeleid en "niet meer doen he". er is slechts in extreem zeldzame gevallen meer gebeurt dan een tik op de vingers.

kakanox
@flippy • 16 juli 2019 14:21

Dat lijkt er meer op idd... Misschien alleen een stevige financiële tik op de vingers bij zelf kijken zonder noodzaak, tenzij iemand de fout zelf meldt en aannemelijk maakt dat het per abuis gebeurde. Bij datalekken n.a.v. de ingekeken gegevens alle medewerkers die er zonder reden in gekeken hebben sowieso wieberen.

[Reactie gewijzigd door kakanox op 16 juli 2019 14:22]

K-aroq
@kakanox • 16 juli 2019 20:53

Waarom alleen de managers? Het zijn de (volwassen, goed opgeleide) medewerkers op de werkvloer die dossiers van onder andere Samantha de Jong hebben ingekeken. Het zou te gek voor woorden zijn als deze mensen ermee wegkomen omdat een manager niet gezegd zou hebben dat ze dat niet mochten doen. Ze hebben allemaal de eed afgelegd die o.a. over dit soort zaken gaan.

lucatoni
16 juli 2019 11:12

Ik ben redelijk verrast, goed dat er ook sancties worden verstrekt wanneer organisaties zich niet houden aan de regels. Ik dacht echter dat de Autoriteit Persoonsgegevens te weinig resources had om te handhaven. Daarnaast heb ik het rapport gelezen, en heb ik wel vraagtekens bij een aantal stukken. Zelf een auditor van beroep:
- Het niet (volledig) voldoen aan een NEN 7510-2 norm direct betekend dat je ook niet aan de AVG normen voldoet. Volgens mij staat er in de AVG niet dat je per definitie aan NEN 7510 moet houden. En NEN 7510 is specifiek voor de zorg. Waar gaat de AVG op toetsen wanneer het een andere instelling is? Is het dan niet meten met 2 verschillende maten?
- Nergens wordt gesproken over doelstellingen (zoals NEN 7510 die wel kent) . Doelstelling haal je dmv meerdere werkende beheersmaatregelen (preventief om te voorkomen en detectief om fouten te detecteren). Je kan beargumenteren dat wanneer er meerdere preventieve maatregelen hebt genomen en deze werken, je geen detectieve maatregelen meer nodig hebt om je doelstelling te behalen.

hmr
@lucatoni • 16 juli 2019 11:35

Onder de Wbp was NEN 7510 al verplicht voor zorginstellingen (zie: https://zoek.officielebekendmakingen.nl/stb-2017-446.html)

Daarnaast bevat de AVG een algemene verplichting passende technische en organisatorische
maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen (art. 32 AVG).

Omdat NEN 7510 wettelijk verplicht is voor de zorg (het is een van de weinige daadwerkelijk verplichte beveiligingsnormen in Nederland) lijkt mij het niet toepassen van deze beveiligingsnorm direct een schending van art. 32 AVG. En dus beboetbaar.

De AP zegt zelf over NEN 7510:

^{Huidige regels

Hoewel de NEN 7510 niet letterlijk in de AVG genoemd staat, blijven beveiligingsstandaarden belangrijk. Net zoals dat onder de huidige regels het geval is.

Op dit moment geldt bijvoorbeeld dat u aan de NEN 7510 moet voldoen als u in de zorg het burgerservicenummer (BSN) verwerkt.

Daarnaast staat in de huidige beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens (AP) dat verantwoordelijken de beveiligingsstandaarden moeten volgen. Als voorbeeld van zo’n standaard noemt de AP de NEN 7510.

zie: https://autoriteitpersoon...d/zorgverleners-en-de-avg}

[Reactie gewijzigd door hmr op 16 juli 2019 11:37]

GeoBeo
@hmr • 16 juli 2019 12:38

Op dit moment geldt bijvoorbeeld dat u aan de NEN 7510 moet voldoen als u in de zorg het burgerservicenummer (BSN) verwerkt.

Hier kan ik (als voormalig Nederlandse ZZP'er) dus echt niet bij.

De ene groep (ZZP'ers) wordt wettelijk gedwongen z'n BSN te publiceren op facturen en inkoop orders (in de vorm van BTW nummer) en de andere partij krijgt 100.000en EUR boete als dat nummer uitlekt?!

Verder staat daar natuurlijk gewoon dat de zorg ALTIJD aan de NEN 7510 moet voldoen. Je hoeft maar 1 factuur van een ZZP'er te ontvangen als zorginstelling en je bent aan de beurt... om maar wat te noemen.

MSalters
@GeoBeo • 16 juli 2019 14:59

Dat is natuurlijk geen sterk argument. De zorg heeft ook gewoon alle BSN van de medewerkers. NEN7510 gaat over de patientenn.

Tweekzor
@lucatoni • 16 juli 2019 11:44

- Het niet (volledig) voldoen aan een NEN 7510-2 norm direct betekend dat je ook niet aan de AVG normen voldoet. Volgens mij staat er in de AVG niet dat je per definitie aan NEN 7510 moet houden. En NEN 7510 is specifiek voor de zorg. Waar gaat de AVG op toetsen wanneer het een andere instelling is? Is het dan niet meten met 2 verschillende maten?

Ik haak even in op een specifiek stuk van jouw antwoord. Ik zit aan de andere kant van het beroep als defensive security. Meten met 2 maten hoeft niet slecht te zijn en is zelfs aan aangegeven in de wet dat dit gebeurd. Bedrijven worden namelijk geacht om "passende maatregelen" te nemen. Ondanks dat die tot nu toe nooit concreet waren gemaakt geeft dit mogelijk voor veel bedrijven (in de zorg) al meer richting, namelijk om te voldoen aan die normering.

Daarnaast is het meten met 2 maten ook heel logisch. Niet elk bedrijf verwerkt namelijk ook even gevoelige gegevens. Waar ik mijn patientendossier het liefst beschikbaar zie alleen op de afdeling waar ik moet zijn door mijn arts en zijn assistente, vind ik het minder erg als mijn adresgegevens van een aanvraag voor rolluiken bij een collega inzichtelijk komen die niet het werk uitvoert bij mij thuis. Het ene dossier bevat namelijk gegevens die erg privé kunnen zijn. Dan zou ik voor het ziekenhuis toch aanraden om computers te locken en unlocken met 2-factor zoals pasjes, afdelingen afsluiten met pasjes, etc. Als je dit voorstelt bij de monteur van rolluiken zullen ze terecht ook aangeven dat je gek bent en de investering veel te groot is daar voor.

PureLOOD
@lucatoni • 16 juli 2019 11:36

De NEN 7510 is dan wel weer min-of-meer verplicht (voor het verwerken voor BSN's): https://www.werkenmetnen7510.nl/vragen/20

Je zou kunnen zeggen dat passende beveiliging (vanuit de AVG), binnen de zorg dus impliceert dat je voldoet aan de 7510. Voor andere sectoren zijn er ook normen, hoewel deze lang niet altijd verplicht zijn, maar wel kunnen helpen met het inrichten van passende beveiliging (zoals de BIO of de ISO 27001)

Sibfg
@lucatoni • 16 juli 2019 12:42

Je hebt met je laatste alinea een terecht punt te pakken. De AVG stelt dat je tot passende maatregelen moet komen door toepassing van risicoanalyse en kosten-batenanalyse. Feitelijk stelt ook NEN-7510 hetzelfde (dan nog eens in combinatie met de PDCA-cyclus).
Wat je hier ziet is dat NEN-7510 deel 2 zogenaamde zorgspecifieke maatregelen kent in aanvulling op de systematiek van ISO-27002. Daarin staat hard de eis van 2FA genoemd. Daarmee laat je dus min of meer het basis principe los om op basis van risicoanalyse de mogelijke beheersingsmaatregelen te kiezen die invulling geven aan de hogere beveiligingsdoelstelling. De mogelijke maatregel wordt nu de (keiharde) norm.

Hiermee vervalt de AP in dezelfde fout als haar voorgangers. Destijds was er AV-23 "Beveiliging van persoonsgegevens" als aanvullende beveiligingsrichtlijn op de Wbp. Daar stond bijvoorbeeld in dat je voor kritieke gegevens maximaal 3 foutieve inlogpogingen mocht toestaan. Wellicht verstandig als wachtwoorden je enige authenticatiemiddel zijn. Ik heb toen echter ervaren dat een organisatie die 2FA toepaste (hardwaretokens met wachtwoord) niet door een audit op basis van AV-23 kwam omdat ze genoemde instelling op 5 hadden staan).

Dit laat onverlet dat dat er geen passende invulling is gegeven aan systematische controle op mogelijk misbruik van toegang tot patiëntdossiers (veel zorginstellingen worstelen hiermee).

Overigens is het te hopen dat het ziekenhuis bezwaar aantekent. Vorig jaar rond de invoering van de AVG begrepen van juristen dat de boetebevoegdheid van de AP op zodanige (afwijkende) wijze in ons recht verankerd is dat dit alleen al een mogelijkheid tot verweer zou bieden. Ben echter te weinig jurist om hiervan de details te kennen. Voor dit bedrag moet het mogelijk zijn een dergelijke jurist in te huren.

[Reactie gewijzigd door Sibfg op 16 juli 2019 13:28]

SeatRider
@Sibfg • 16 juli 2019 14:05

Wat je hier ziet is dat NEN-7510 deel 2 zogenaamde zorgspecifieke maatregelen kent in aanvulling op de systematiek van ISO-27002. Daarin staat hard de eis van 2FA genoemd. Daarmee laat je dus min of meer het basis principe los om op basis van risicoanalyse de mogelijke beheersingsmaatregelen te kiezen die invulling geven aan de hogere beveiligingsdoelstelling. De mogelijke maatregel wordt nu de (keiharde) norm.

Nee, het is een (keiharde) baseline, dus een ondergrens. Je mag altijd meer maatregelen treffen als dit op basis van je risicoanalyse (of common sense) noodzakelijk is.

Phyxion
16 juli 2019 11:22

Hoe zit het met andere ziekenhuizen die hetzelfde systeem gebruiken (ChipSoft)? Het lijkt mij dat die dan ook tegen vergelijkbare problemen lopen?

Pikoe
@Phyxion • 16 juli 2019 11:48

Het problem zit in principe niet bij Chipsoft, zolang je de rechten maar goed instelt.
Het HagaZiekenhuis had dat niet ingesteld, dus kon iedereen overal bij. Het handige van Chipsoft was dat je door hun logging wel meteen kon zien wie het dossier hadden geopend.

Ryack
@Pikoe • 16 juli 2019 12:55

Het is niet zo dat een ziekenhuis eventjes zelf HiX instelt. Daar heb je weken lang een batterij aan consultants voor over de vloer. Van je raad het al ChipSoft. En dan heb je nog de maanden aan overleg die daar vooraf gaan over hoe alles ingesteld moet gaan worden.

ijdod

@Ryack • 16 juli 2019 21:35

Klopt, maar veel van dat soort opties worden wel degelijk met het huis besproken. Het probleem is echter dat voor het huis het zorgproces (kan ik bij de data van de patient die ik behandel) veel tastbaarder is dan technocratische zaken als AVG en zo. 2FA zit het huis bijvoorbeeld ab-so-luut niet op te wachten, die vinden een screensaver al een hinderlijke verstoring van hun zorgworkflow.

Ryack
@ijdod • 17 juli 2019 08:37

Dat klopt. Maar je bent verplicht je aan de wet te houden. Wat betreft de inrichting mag je als consultant mag je daar best op wijzen. Maar het grootste probleem was volgens wat ik heb gehoord dat er geen goede procedure was ingericht voor het controleren van de logging. Dit komt 100% voor rekening van het Haga.

ijdod

@Ryack • 17 juli 2019 13:40

Zeker niet oneens, maar de afweging slaat veel makkelijker door naar het zorgproces. Ik vraag me overigens af hoeveel ziekenhuizen zich kapotgeschrokken zijn; Het is niet zo dat 2FA niet gebruikt wordt, maar zeker niet overal (in de context van werkplekken/accounts waarvandaan men in het EPD kan).

Het opmerkelijke is in het geval van het Haga dat eea aan het licht kwam juist *door* een audit van de logging. Ze kunnen het dus wel.

Ryack
@ijdod • 17 juli 2019 14:07

Niet zo zeer kapot geschrokken, maar het is wel een trigger om de procedures nog eens door te lichten.

Volgens mij was het zo dat enkele gegevens uit het medisch dossier waren gelekt. Daar op hebben ze een audit gedaan en kwam er naar boven dat er veel te veel mensen in dit dossier hadden zitten kijken.

ijdod

@Ryack • 17 juli 2019 19:23

Klinkt plausibel, verklaart dat punt wel.

Heb eens even huiswerk gedaan; want die 2FA zat me dwars... voor een NEN7510is 2FA verplicht, maar dat hoeft niet de 2FA te zijn waar we meestal aan denken. Als alleen geregistreerde devices op het netwerk kunnen komen (bv door netwerk authenticatie), en toegang tot de data beperkt is tot dat netwerk, is een beheerde ziekenhuis-PC als factor voldoende. De user/pass is dan de 2e factor.

TIL...

mashell
@Ryack • 16 juli 2019 15:49

Maar het blijkt dat als je daarop bespaard het alsnog toch duur wordt. De consultancy tarieven van Chipsoft kunnen weer wat verder omhoog...

Ryack
@mashell • 16 juli 2019 16:06

Breng ze nou niet op het idee. Ze zijn al duur genoeg.

joco
16 juli 2019 11:27

tja, mijn vriendin werkt in een ziekenhuis en het is een stuk lastiger geworden, zij kan niet direct bij zonder de arts, en dat is een stuk lastiger werken voor een Ok assistent..
Ik heb liever een "schending" van mijn privacy zodat tenminste alle relevante personen die in actie moeten komen omdat ik acuut een operatie moet ondergaan dan dat het een bureaucratische rompslomp wordt van mensen die moeten wachten op andere mensen (die nog bezig zijn met iets anders) voor dat ze verder kunnen met voorbereiden ...
We moeten het allemaal niet gaan overdrijven.

theturtle
@joco • 16 juli 2019 12:45

Maar - in het HAGA *kun* je er in een acute situatie bij (Noodknopprocedure). Er wordt alleen geen toezicht (achteraf) gehouden op de rechtmatigheid ervan (of dat iemand aan het snuffelen was). Om die reden is de boete en dwangsom opgelegd, want zowel volgens hun beleid, de relevante NEN-Norm, en de AVG (in aflopende mate van concreetheid) is dat wel verplicht.

locke960
@joco • 16 juli 2019 12:16

Schending van privacy is helemaal niet nodig, als je het goed doet.Ik kan wel een paar maatregelen bedenken die daarbij helpen:

In normale gevallen hangt de toegang af van de behandel relatie.
Op de spoedeisende hulp wordt je dossier automatisch geopend voor al het medische personeel op het moment dat je binnenkomt, geïdentificeerd en aangemeld wordt als noodgeval.
Noodprocedure voor alle andere gevallen: personeel kan zichzelf toegang verschaffen, maar dan worden automatisch de leidinggevende en de privacy officer geïnformeerd. Verklaring vereist.
Elke toegang wordt gelogd.
Logs worden geaudit. Vreemde patronen worden gezocht.
Patient zelf wordt geïnformeerd over toegangen. Alleen over 'wanneer' en 'waar' zonder naam van het personeelslid. Patient kan dus aan de bel trekken als deze de boel niet vertrouwd.

Hier zal best nog wel wat aan te verbeteren zijn, ik ben ook geen expert, maar het lijkt mij een aardig startpunt.

Het.Draakje
@locke960 • 16 juli 2019 15:53

Ik woon in het buitenland en heb dus geen dossier, maar kom nog wel regelmatig in Nederland. Nu wordt ik aangereden door een auto. Ik ben wel verzekerd, maar spoedeisende hulp heeft geen procedure om mij zonder dossier te helpen ?

Ik geloof er niets van.

Vanuit mijn ehbo tijd heb ik meegekregen (door de arts die ook bij de opleiding zat) dat er gewoon geopereerd wordt en daarna gaat men wel kijken of er complicatie's zijn. Een dossier is 'nice to have' maar absoluut geen noodzaak.

locke960
@Het.Draakje • 16 juli 2019 17:13

Ik zeg toch nergens dat je zonder dossier niet geholpen kunt worden

Dit gaat alleen over toegang tot jou gegevens als er wel een dossier is.

Geen dossier, geen probleem. Wel is het zo dat als jij binnenkomt, en er nog geen dossier is, er direct een wordt aangelegd natuurlijk.

Pikoe
@joco • 16 juli 2019 12:29

Mensen die acuut operaties zouden kunnen verrichten hebben rechten om ieders account in te zien door middel van een noodknop, die extra gelogd wordt.

F-I-X

@joco • 16 juli 2019 12:58

Het overdrijven doe je nu zelf een beetje..

De kans dat je in een ziekenhuis zelf met directe spoed een operatie nodig hebt is klein, tenzij je bi de SEH naar binnen komt.
Er is ruim genoeg tijd om een overplaatsing te regelen binnen het computer systeem en de behandeld artsen zijn nooit ver weg als er iemand acuut een probleem heeft.

Anoniem: 167912
16 juli 2019 12:19

Vreemd dat het ziekenhuis wordt gestraft en niet de overtreders zelf. Het is een verdedigbare stelling dat de gezondheidsgegevens van de patiënten ten alle tijde inzichtelijk moeten zijn voor de medewerkers van een ziekenhuis, als dat niet het geval is kan dat tot ernstige gevolgen leiden. Die medewerkers hebben zelf de verantwoordelijkheid correct met die inzage om te gaan.
Ik stel me overigens de vraag wie uiteindelijk beslist wie inzage krijgt en wie niet. Dat blijft toch altijd een zwak punt in hete systeem?

CAPSLOCK2000

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Privacy

@Anoniem: 167912 • 16 juli 2019 12:58

Het is een verdedigbare stelling dat de gezondheidsgegevens van de patiënten ten alle tijde inzichtelijk moeten zijn voor de medewerkers van een ziekenhuis, als dat niet het geval is kan dat tot ernstige gevolgen leiden.

De wet laat die ruimte niet. Sommige medewerkers mogen in noodsituaties overal bij, maar niet zomaar iedereen. Dat is niet altijd op technische gronden af te dwingen en daarom moet je ook bijhouden wie er welke gegevens bekijkt en achteraf controleren of daar geen gekke dingen zijn gebeurd. Dat laatste heeft het ziekenhuis niet gedaan en dat is in ieder geval verwijtbaar.

Die medewerkers hebben zelf de verantwoordelijkheid correct met die inzage om te gaan.

En het ziekenhuis heeft de verplichting om dat te controleren.

Ik stel me overigens de vraag wie uiteindelijk beslist wie inzage krijgt en wie niet. Dat blijft toch altijd een zwak punt in hete systeem?

In principe beslist de patient. Uiteraard zijn er wel uitzonderingen voor noodsituaties omdat ze geen toestemming kunnen vragen als je bewusteloos het ziekenhuis binnen wordt gedragen.

beantherio
@Anoniem: 167912 • 16 juli 2019 13:51

Vreemd dat het ziekenhuis wordt gestraft en niet de overtreders zelf.

De overtreding heeft een beroepsmatige context. De straf lijkt me dan in de eerste plaats voor de werkgever, waarbij die werkgever natuurlijk wel weer de mogelijk heeft om sancties te nemen tegen de betreffende werknemers.

Anoniem: 167912
@beantherio • 16 juli 2019 13:58

Maar zo werkt het toch niet?
Als ik tijdens de werkuren een boete krijg voor te snel rijden moet ik die gewoon zelf betalen.

beantherio
@Anoniem: 167912 • 18 juli 2019 09:22

Dit is natuurlijk geen snelheidsovertreding. En ik vermoed dat je daar in de regel ook geen boete van 460.000 euro voor krijgt.

Brilsmurfffje
16 juli 2019 11:17

"Het HagaZiekenhuis kwam er tijdens een routinecontrole achter dat tientallen medewerkers het dossier hebben ingezien. De medewerkers zijn niet betrokken bij de medische behandeling en zouden daarom het dossier niet mogen raadplegen. In totaal heeft Hagaziekenhuis rond vierduizend medewerkers."
uit:
nieuws: Tientallen medewerkers Haags ziekenhuis bekeken medisch dossier van b...

Hoe is dit dan geregeld in een ziekenhuis, of nog beter hoe zouden ze dit moeten aanpakken? Het lijkt mij niet meer dan logisch dat iedereen tot op zekere hoogte toegang heeft tot de gegevens van alle patiënten?

Een situatie waarbij iedere medische werknemen via een leidinggevende toestemming moet krijgen lijkt mij niet wenselijk. Je moet als medisch persoon discreet omgaan met de gegeven van patiënten en het verzaken hierin zou op de overtreder gerichte consequenties moeten hebben.

Op werk hebben wij een SharePoint omgeving, nu heb ik niet tot alle pagina's toegang. Gelukkig kan je via SharePoint gelukkig om toegang vragen. En vaak een dag later heb ik toegang tot de betreffende pagina. Enkel in een ziekenhuis kan je in veel gevallen niet een dag wachten op toegang.

joco
@Brilsmurfffje • 16 juli 2019 11:30

precies mijn gedachten...
Mijn vriendin werkt op de OK en ja het is nu zo dat zij niet de benodigde gegevens altijd heeft zonder dat de arts (of een andere hoger op) er eerst toestemming voor heeft gegeven
In mijn ogen slaan we door, dit is alleen maar een bureaucratische rompslomp, als ik daar acuut lig en ik ben acuut zorg/operatie nodig, dan wil ik dat niets daarvoor in de weg staat..

scsirob
@joco • 16 juli 2019 11:42

We slaan helemaal niet door. Medische gegevens zijn gevoelig en horen goed afgeschermd te worden. Er is een noodprocedure voor spoedgevallen, daar buiten moet toegang standaard onmogelijk zijn.

Als we die bureaucratische rompslomp laten varen en iedereen met toegang tot dat systeem alle dossiers in kan zien, dan is het wachten op de brief van jouw volgende verzekeraar die jou als klant weigert omdat 'iemand' gezien heeft dat jouw cholesterol hoger is dan de norm. Of die jou dekking weigert voor ziektes x, y en z, omdat ze via jouw dossier gezien hebben dat jouw BMI aan de hoge kant is.

andreetje
@scsirob • 16 juli 2019 12:48

Ziekenhuizen kennen sowieso geen privacy. Als je op een kamer van 4 ligt en de dokter komt voor de dagelijkse check, weet iedereen in de kamer hoe het zit.

Verzekeraars moeten onder de duim worden gehouden door politici. Wanneer verzekeraars argumenten op basis van illegaal verkregen informatie gebruiken, hebben we een ander probleem.

bzzzt
@scsirob • 16 juli 2019 13:32

... dan is het wachten op de brief van jouw volgende verzekeraar die jou als klant weigert omdat 'iemand' gezien heeft dat jouw cholesterol hoger is dan de norm. Of die jou dekking weigert voor ziektes x, y en z, omdat ze via jouw dossier gezien hebben dat jouw BMI aan de hoge kant is.

Alsof ze dat ooit gaan zeggen wanneer ze die gegevens uit twijfelachtige bron hebben. Dat zou nog enigszins transparant zijn, maar vermoedelijk krijg je een door een algoritme bepaald prijsvoorstel voor je verzekering zonder enige mogelijkheid om in te zien welke factoren daartoe hebben geleid.

joco
@scsirob • 16 juli 2019 12:01

dat zeg ik niet,,
ik zeg niet dat iedereen er maar zo bij moet kunnen, zeker niet van buiten af.
Grappige is dat jij de verzekeraar aanbrengt, laat die nu niet wel heel veel info hebben over je en over je kunnen krijgen.... dus das wel een slecht voorbeeld..

Maar ik heb het over de mensen in het ziekenhuis die allemaal direct te maken hebben met mijn dossier als ik daar lig, dan moet er geen beperking en rompslomp voor die mensen zijn, zij moeten effectief en efficient hun werk kunnen doen, daar moet niets voor in de weg staan.

bakbakbak
@joco • 16 juli 2019 12:30

Ik denk dat je het verzekeraarsvoorbeeld onderschat. Dat jouw verzekeraar het één en ander over je weet, betekent niet dat alle verzekeraars het één en ander over je weten. Dat zou namelijk betekenen dat als je overstapt naar een andere verzekeraar, deze voordat die je 'aanneemt' al kan weigeren op bepaalde ziektes of wat dan ook. Lijkt me niet dat je dat wilt.

hackerhater

@joco • 16 juli 2019 12:32

Naar mijn mening zouden er 2 lagen moeten zijn.
De eerste laag met info zoals allergieen, bloedgroep ed. Zeg maar het spul waar de OK/SEH bij zou moeten kunnen

De tweede laag wat veel strikter staat en de need-to-know informatie staat alleen toegankelijk voor de behandelende artsen.

F-I-X

@hackerhater • 16 juli 2019 12:54

Gaat niet werken...
Je wil als SEH ook graag weten als b.v een patient een psychisch probleem heeft (gehad) terwijl juist dat informatie is dat "need-to-know" is.
En zo zijn er nog veel meer onderdelen die erg gevoelig liggen maar wel bekend moeten zijn bij de zorgverleners.

Het.Draakje
@joco • 16 juli 2019 15:46

Als ik onder behandeling ben van arts a (en b en c) en lig op kamer 1.23 waar verpleegsters mij bepaalde medicijnen moeten toedienen dan wil ik inderdaad dat arts a, b en c mijn dossier kunnen inzien voor zover dat relevantie heeft voor mijn huidige toestand (de afdeling longziekte hoeft niet te weten dat ik vorige jaar, al dan niet succesvol, behandeld ben voor borderline syndrome).

De verpleegsters van mijn kamer moeten weten wanneer en welke medicijnen ze mij moeten geven en kunnen vanuit hun professie ongeveer weten wat de diagnose van de arts is. (Een zuster heeft uiteraard meerdere kamers tot haar werkterrein).

Indien artsen d,e en f ook op dezelfde afdeling werken dan kunnen ze het in de wandelgangen best over mij hebben maar ze hebben, behoudens noodgevallen (als a,b en c niet aanwezig zijn) geen toegang tot mijn dossier nodig.

Geen van bovengenoemde heeft toegang nodig tot mijn NAW terwijl de facturatie afdeling wel mijn NAW moet weten en welke medicatie (en aantal dagen verpleging) ik heb gehad. Waarvoor ik dat het gehad (m.a.w. het echte dossier) gaat ze niets aan.

Ieder ander, (artsen d,e,f, g, h etc, verpleegsters die andere kamers bedienen, ok personeel, facturatie afdeling) hebben in principe geen toegang nodig en moeten inzage dan ook verantwoorden.

joco
@Het.Draakje • 16 juli 2019 16:47

Probleem met dit is
waar ligt de scheidingslijn? Wat is wel relevant voor de verpleegsters om te weten als ik bv een bepaalde aanval krijg?

Maar goed dit gaat ook over het klaar zetten, efficient bezig zijn, het moet niet zo zijn dat een heel OK team een uur niks kan doen om dat de arts eerst iets "open" moet gaan zetten (maar die arts is druk bezig met een andere operatie). Want als dat zo is dan weet ik wat voor effect deze AVG gaat hebben.. de ziektekosten schieten weer omhoog voor iedereen.

Brilsmurfffje
@scsirob • 16 juli 2019 12:30

Nee, ik ben van mening dat de toegang juist mogelijk moet zijn, maar dat er getrackt wordt welke dossiers je aan het bekijken bent Verschaf jij jezelf zonder reden toegang dan volgen hierop sancties.

Een medisch persoon dient vertrouwelijk om te gaan met mijn medische gegevens en dient zichzelf te realiseren dat er ethische grenzen zijn die hij/zij zelf dient te respecteren.

Een zorgverzekering hoeft mijn dossiers helemaal niet te zien, die dient enkel mijn rekeningen te betalen of door te sturen naar mij. Doordat we de zorgverzekeringen in losse bedrijven hebben gegoten zijn die ineens geïnteresseerd in zoveel mogelijk gezonden patiënten. Maar goed dat is een hele andere discussie.

ijdod

@joco • 16 juli 2019 21:42

Dat klinkt me eerder als een ontwerpfout in de functieindeling (en daarbij horende rechten) dan een structureel issue. Er is immers per definitie een dossier van een OK-patient, al is 'ie mogelijk blanco ("John Doe"). Dan is het volkomen verdedigbaar dat zorgpersoneel met een OK functie daar standaard toegang toe heeft in het kader van de functie.

Naderhand kan je (en dat moet je ook, als ik zo de uitspraak lees) altijd nog checken of er een behandelrelatie was. (dus OK4 op zondagavond, dan zal het personeel van OK4 op zondagavond daar toegang toe mogen hebben. medewerker De vries van OK2 dinsdag niet... dus dat zou ergens een melding kunnen veroorzaken).

jip_86
@Brilsmurfffje • 16 juli 2019 11:29

Standaard krijg je toegang als je een behandelrelatie hebt. Daarbuiten is er een noodprocedure waar je een reden op moet geven waarom je dat dossier in moet.

joco
@jip_86 • 16 juli 2019 12:02

tja ik hoor andere verhalen van mensen die er direct mee te maken hebben elke dag.

Ryack
@jip_86 • 16 juli 2019 12:50

Deze noodprocedure wordt "breaking the glass" genoemd en is alleen beschikbaar voor een deel van de artsen.

K-aroq
@Brilsmurfffje • 16 juli 2019 20:57

Hoe is dit dan geregeld in een ziekenhuis, of nog beter hoe zouden ze dit moeten aanpakken? Het lijkt mij niet meer dan logisch dat iedereen tot op zekere hoogte toegang heeft tot de gegevens van alle patiënten?

In het algemeen wordt je in het ziekenhuis maar behandeld door een handjevol (of 2 handjesvol) mensen. Alleen die zouden inzicht moeten hebben. Je kunt al beginnen door toegang te beperken tot mensen die op de afdeling werken waar de patient ligt.

ijdod

@K-aroq • 16 juli 2019 21:45

Dat laatste. Er hebben netto best een hoop mensen belang bij (gedeeltelijke, dat is ook een optie) inzage in het dossier, op een gegeven afdeling. Naast de arts soms nog een AIOS, mogelijk een co-assistent... daarnaast nog divers verplegend personeel. En dat is dan zonder rekening te houden met zaken als verschuiven dan diensten, roosters, en andere zaken waardoor je opeens arts B krijgt ipv arts A.

vooviro
16 juli 2019 10:56

Kan dit alleen maar toejuichen, geen miezerige boetes zoals eerst van autoriteit persoongegevens , maar een flinke welke gevoeld wordt en zorgt voor verandering.

Vooruitgang waar ik van hou

[Reactie gewijzigd door vooviro op 16 juli 2019 10:57]

CH4OS
@vooviro • 16 juli 2019 11:01

En die de ziektekosten verzekering van iedereen omhoog jaagt, want nu moet er ook geanticipeerd worden op dergelijke boetes. Het HagaZiekenhuis is nu de eerste, maar wellicht gaan er meer volgen, ooit, misschien.

MSalters
@CH4OS • 16 juli 2019 15:03

Ik denk niet dat de verzekeraars zin hebben om deze boete te gaan betalen, dus die rekening zal gewoon terug gaan naar het ziekenhuis.

CH4OS
@MSalters • 16 juli 2019 15:20

Dan gooit het ziekenhuis de kosten toch op de medicijnen?

Sorry, maar ik zie het niet gebeuren dat de kosten niet doorberekend worden naar clienten, link- of rechtsom. De directie zal het in elk geval niet betalen.

MSalters
@CH4OS • 16 juli 2019 15:43

In Nederland werken we met Diagnose-Behandel Combinaties. Elke DBC heeft een code en een prijs; ziekenhuizen gaan daar zelf niet over. Ik kan er verder weinig aan doen dat je't niet gelooft.

CH4OS
@MSalters • 16 juli 2019 15:53

Ik ben daar - gezien een aantal reacties alhier - ook niet de enige in.

comecme
@MSalters • 16 juli 2019 19:40

Bij mijn weten onderhandelt een ziekenhuis met elke zorgverzekeraar over de prijs.

vooviro
@comecme • 19 juli 2019 05:03

Er is een afgesproken lijst welke nationaal is die afgesproken is door de zorgverzekeraars met elkaar wat ze wel en niet vergoeden maar ook hoeveel, er zijn geen afspraken per ziekenhuis, zorgverzekeraars in Nederland hebben veel macht, als een zorgverzekeraar het niet gaat doen of niet accepteert dan kan een ziekenhuis fluiten naar zijn centen hier heeft @MSalters gelijk in @CH4OS

[Reactie gewijzigd door vooviro op 19 juli 2019 05:05]

CH4OS
@vooviro • 19 juli 2019 10:36

Is het niet linksom, dan komt het wel rechtsom.

Uiteindelijk is de patiënt de dupe van een boete als deze.

Misschien is het op papier met de methodes die wij aandroegen onmogelijk, dat wil niet zeggen dat het dan niet gebruikt kan worden, want dan verhoog je de prijzen toch gewoon voor iedereen? Hebben andere ziekenhuizen ook meer inkomsten en financiële meevallers.

En anders zal men wel een andere loophole of maas vinden om het door te kunnen berekenen.
Hoe je het wend of keert, uiteindelijk wordt de boete terugbetaald, op welke slinkse manier dan ook, let maar op.

[Reactie gewijzigd door CH4OS op 19 juli 2019 10:40]

vooviro
@CH4OS • 19 juli 2019 17:11

Mwah, overheid werkt best goed op als controlerend orgaan, bijvoorbeeld, dit is de reden dat eigen risico een vast bedrag geworden is, als het aan de zorgverzekeraars lag dan was dit veel hoger.

K-aroq
@CH4OS • 16 juli 2019 20:57

Inhouden op het salaris van de mensen die zich misdragen?

CH4OS
@K-aroq • 17 juli 2019 01:50

En wie zijn dat dan? Het gaat erom dat het systeem lek is... Dat gaat niet weg als je enkel misbruik bestraft.

[Reactie gewijzigd door CH4OS op 17 juli 2019 01:51]

hiostu
@vooviro • 16 juli 2019 11:02

Hoewel ik zeker voorstander ben van boetes voor dit soort zaken, krijg ik toch een dubbel gevoel bij een boete voor een dergelijk ziekenhuis. Een ziekenhuis heeft vaak al niet een breed budget en zo'n boete kan voor grote problemen zorgen. Dit kan dus weer directe gevolgen hebben voor de patiënten en de zorg.

Ik vraag me af of je in dergelijke situaties niet beter alternatieve straffen op kunt leggen.

lonewolf2nd
@hiostu • 16 juli 2019 11:10

Lijkt mij wel beter ja. Bijvoorbeeld degene die er voor verantwoordelijk is ontslaan en iemand aannemen die het wel begrijpt en in orde maakt. Of deze zelfde persoon als hij/zij het begrijpt een verplichte cursus/opleiding laten doen, zodat het niet meer voorkomt. Zakt deze voor die cursus/opleiding dan alsnog ontslaan.

CAPSLOCK2000

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Privacy

@hiostu • 16 juli 2019 11:24

Ik vraag me af of je in dergelijke situaties niet beter alternatieve straffen op kunt leggen.

Heb je een voorstel voor een alternatieve straf? Ik kom niet verder dan de alle artsen papier laten prikken langs de snelweg, maar dat gaat ook over de rug van de patienten en zal meer directe problemen opleveren. Gratis "medicijnen" uitdelen lijkt me ook geen goed plan.

bakbakbak
@CAPSLOCK2000 • 16 juli 2019 12:29

Ik denk ook dat een alternatieve straf niet makkelijk is. Het zal namelijk altijd ingewikkelder en kostbaarder worden om dat te monitoren, administreren etc. Anderzijds, je zou kunnen kijken naar het gebruiken van een percentage van de boete om de heersende problemen privacy op te lossen. Bv 40% ofzo wanneer aantoonbaar gemaakt kan worden dat dit bedrage daadwerkelijk geïnvesteerd is in verbetering. Maarja, nog steeds vraagt dat veel monitoring, etc. laat staan als daar onenigheid ontstaat.

CAPSLOCK2000

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Privacy

@bakbakbak • 16 juli 2019 12:48

Ik denk ook dat een alternatieve straf niet makkelijk is. Het zal namelijk altijd ingewikkelder en kostbaarder worden om dat te monitoren, administreren etc. Anderzijds, je zou kunnen kijken naar het gebruiken van een percentage van de boete om de heersende problemen privacy op te lossen.

Ik heb daar even over zitten denken maar ben bang dat het contraproductief werkt, dan gaan organisaties hun investering in IT alleen maar verder uitstellen tot ze een boete krijgen, die dan relatief laag uitvalt omdat de kosten hun beveiliging er dan af mogen halen. Je zou allebei kunnen doen, een boete en een verplichte investering in IT, maar eigenlijk doen we dat al. Daar is die dwangsom van 300.000 euro voor. Als het ziekenhuis snel en adequaat reageert blijft het bij die 460.000, anders komt er nog eens 300.000 bij.

Luchtbakker
16 juli 2019 10:58

Uiteindelijk een boete dat door de gemeenschap betaald gaat worden. Ik snap dat een ziekenhuis zijn beveiliging op orde moet hebben, maar dit kost de verkeerde mensen geld.

Zwartoog
@Luchtbakker • 16 juli 2019 11:06

Maar zonder boete is er ook geen "pijnprikkel" waardoor het ziekenhuis de boel op orde gaat maken en houden.

En de AP is natuurlijk ook een overheidsorgaan. Geen idee waar die boete precies naartoe gaat, maar vloeit in ieder geval terug in de gemeenschap (of schatkist).

CH4OS
@Zwartoog • 16 juli 2019 15:55

Dus is het een gevalletje broekzak, vestzak. Een koekje van eigen deeg.

Ghost Dog
@Luchtbakker • 16 juli 2019 11:20

Met dat argument kan je dus nooit boetes geven aan niet-natuurlijke personen, want uiteindelijk betalen die alles...

jroz2001
@Luchtbakker • 16 juli 2019 11:49

Hoezo kost dit de gemeenschap geld? De consument betaalt over het algemeen geen cent aan het ziekenhuis. En een zorgverzekeraar gaat hierdoor ook echt niet meer voor een behandeling betalen.

comecme
@jroz2001 • 16 juli 2019 19:42

Waar komt het geld dan vandaan?

jroz2001
@comecme • 17 juli 2019 08:55

Uit een potje 'onvoorzien' bij het ziekenhuis? Zal ten koste gaan van de winst gok ik. Waarschijnlijk is de bonus voor directie ook gekoppeld aan een bepaalde prestatie. Minder winst is minder bonus? Een opknapbeurt voor een bepaalde afdeling uitstellen. Genoeg mogelijkheden waardoor jij en ik er geen cent aan mee zullen betalen.

K-aroq
@Luchtbakker • 16 juli 2019 21:00

In principe zou dit zo hoeven te zijn. Je moet hoogstens een CAO per organisatie i.p.v. per branche moeten invoeren.

De bedragen voor medische behandelingen liggen vast. Dan kan je als organisatie dus besparen op uitgaven, en dat zijn voor loonkosten. Bij forse overtredingen gewoon geen salarisverhoging (voor iedereen). UIteindelijk werken er allemaal mensen met een meer dan gemiddelde opleiding, dus die weten allemaal dondersgoed wat wel en niet kan en mag.

FiXeR.nl
@Luchtbakker • 16 juli 2019 11:08

In dat geval zullen we Ambtenaren ook maar geen snelheidsboetes meer geven? Als iets (indirect) uit gemeenschapsgeld wordt betaald is dat niet direct slecht. Zeker niet als het gaat om veiligheid en privacy. Gemeenschapsgeld mag nooit een vrijbrief zijn om zulke zaken slecht te regelen!

hiostu
@FiXeR.nl • 16 juli 2019 11:13

Een boete van een ambtenaar gaat van zijn eigen vermogen af. Dat wordt niet verhaald op gemeenschapsgeld, dus die vergelijking gaat mank. Het gaat hier direct om geld vanuit het budget van het ziekenhuis dat bedoeld is voor het verlenen van zorg.

PearlChoco
@hiostu • 16 juli 2019 11:19

Bovendien is 460.000 euro een behoorlijke som.
Ik weet niet hoe de financiele situatie van de Nederlands ziekenhuizen is, maar voor een Belgisch ziekenhuis zou dit onmiddellijk een stevige impact hebben.

Anoniem: 310408
@PearlChoco • 16 juli 2019 11:41

Het Haga staat zelfs op de lijst met ziekenhuizen waar faillissement niet onmogelijk is.

Meridius
16 juli 2019 11:01

Blijkbaar hebben de verantwoordelijke managers er geen voorrang aan gegeven en worden de verkeerde mensen nu gestraft, namelijk de consument.

Dat geld moet ergens vandaan komen en wordt waarschijnlijk 1-op-1 doorberekend via de zorgkosten met als gevolg dat het bestuur vrolijk verder gaat met hun bonussen.

Anoniem: 310408
@Meridius • 16 juli 2019 11:39

Dat geld moet ergens vandaan komen en wordt waarschijnlijk 1-op-1 doorberekend via de zorgkosten met als gevolg dat het bestuur vrolijk verder gaat met hun bonussen.

Gebeurt niet in dat ziekenhuis. Als je dit soort beschuldigingen doet moet je je eerst even oriënteren. Het Haga is een zwak ziekenhuis (door vele redenen) waar het management normaal verdient.

jroz2001
@Meridius • 16 juli 2019 11:47

Dat zal wel meevallen. De macht van verzekeraars is enorm. Het Haga ziekenhuis gaat echt niet meer vergoeding kunnen krijgen voor behandelingen om deze boete te kunnen betalen.

MicGlou
@jroz2001 • 16 juli 2019 12:01

Dan komt het dus op de rekening van de patiënt en de normale werknemer... want als de zorgverzekeraar niet nog meer gaat betalen en het geld moet toch ergens vandaan komen, dat betekent besparingen op de zorg en een stop op verdiende loonsverhogingen etc. Want reken maar dat niemand van bestuur, directie of management een percentage salaris gaat inleveren om de boete te kunnen betalen.

K-aroq
@MicGlou • 16 juli 2019 21:01

Het zijn die normale werknemers die de privacy hebben geschonden....

MicGlou
@K-aroq • 16 juli 2019 21:59

Nee... die hebben alleen maar gebruik gemaakt van de systemen. Het is gevoerd beleid, of beter gezegd het ontbreken daarvan, beleid waar door management etc op toegezien had moeten worden dat dit was doorgevoerd.

Jester-NL
16 juli 2019 11:34

Vreemd... Laat ik voorop stellen dat het gedrag van de medewerkers niet correct is. Wat mij bevreemd is dat de eerste boete die opgelegd wordt een boete is voor iets dat is gebeurd VOORDAT de AVG in werking is getreden.
Hier een stukje uit een (willekeurige) krant: https://www.nrc.nl/nieuws...k-dossier-barbie-a1600992
Dat is geplaatst op 26 april. En op de site van de Autoriteit Persoonsgegevens lees ik:

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing

Dat is op de kop af een maand later.
Nogmaals, het is buiten kijf dat er vreselijk fout gehandeld is in het ziekenhuis, maar volgens mij zou er hooguit op basis van de Wet bescherming persoonsgegevens (Wbp) een boete gegeven mogen worden.

theturtle
@Jester-NL • 16 juli 2019 12:43

Lees het boetebesluit, kan ik aanraden. De motivering waarom bepaalde zaken van toepassing zijn is echt lezenswaardig uitgewerkt. De overtreding duurde ook na 25 mei 2018 voort (nog steeds, vandaar de dwangsom), en de bepaling is materiëel niet gewijzigd ten opzichte van de Wbp.

ijdod

@theturtle • 16 juli 2019 22:02

Grappig is dat 'onderzoek ter plaatse' daar wordt afgekort tot OTP... wat in de context van 2FA ook gebruikt wordt voor een One Time Password