Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Rechter verlaagt AVG-boete HagaZiekenhuis tot 350.000 euro

De rechtbank in Den Haag heeft de AVG-boete die de Autoriteit Persoonsgegevens oplegde aan het HagaZiekenhuis verlaagd van 460.000 euro tot 350.000 euro. Volgens de rechter heeft de privacyautoriteit onterecht de basisboete twee keer verhoogd.

De rechtbank oordeelt dat de boete terecht is gegeven, alleen dat deze onterecht door de Autoriteit Persoonsgegevens is verhoogd met 150.000 euro. De basisboete is namelijk 310.000 euro, waar de AP twee verhogingen van 75.000 euro bovenop heeft gelegd. De autoriteit deed dit vanwege de aard, ernst, duur en opzettelijke of nalatige aard van de privacyinbreuk. Die basisboete noemt de rechter niet onredelijk. Ook weegt de rechter mee dat het ziekenhuis toen de boete werd opgelegd al aan de privacyveiligheid van de organisatie werkte.

Het onderzoek van de AP startte toen bleek dat begin 2018 tientallen medewerkers van het Haagse ziekenhuis het medisch dossier van een BN'er hadden ingezien. De AP zegt dat tussen januari 2018 en juni 2019, vlak voor de eerste boete van 460.000 euro werd opgelegd, het ziekenhuis 'geen passende beveiligingsmaatregelen' zou hebben getroffen om patiënten te beschermen tegen dergelijke privacyinbreuken. Het ziekenhuis zou bijvoorbeeld geen tweefactorauthenticatie hebben gebruikt. Daarnaast controleerde het ziekenhuis ook niet genoeg of werknemers in de patiëntendata snuffelden.

De rechter is het met de AP eens dat de boete op deze gronden verhoogd mocht worden. Volgens de rechtbank is het rechtvaardig om de boete te verhogen vanwege de duur van privacyinbreuk, omdat het ziekenhuis ruim een jaar lang geen maatregelen nam. Daardoor is ook meteen de nalatigheid van de privacyinbreuk aangetoond, omdat het ziekenhuis volgens de rechtbank niet snel genoeg initiatief toonde om de maatregelen alsnog te nemen.

Tegelijkertijd zorgt die dubbele verhoging volgens de rechtbank wel voor een boete die niet evenredig is. Het ziekenhuis had namelijk wel andere maatregelen genomen om te voorkomen dat het digitale patiëntendossier door onbevoegde werknemers ingezien kon worden. Er verschijnt onder meer een extra waarschuwing als medewerkers een dossier openen, werknemers met toegang tot het patiëntendossier moeten verplicht een cursus ondergaan, de arbeidsovereenkomsten zijn aangescherpt en de autorisaties zijn 'waar mogelijk' aangescherpt.

Volgens de AP was het ziekenhuis wettelijk verplicht om deze maatregelen door te voeren en zouden ze daarom geen rol mogen spelen bij het bepalen van een boetebedrag. Of de maatregelen wettelijk verplicht waren of niet, maakt volgens de rechtbank niet uit. Daarnaast heeft het ziekenhuis tijdens de bezwaarfase van het boetebedrag alsnog de tweefactorauthenticatie ingevoerd en logging geïntensiveerd. Overigens had het ziekenhuis deze twee maatregelen sowieso moeten invoeren; naast de boete legde de AP een last onder dwangsom op van maximaal 300.000 euro.

Met die twee maatregelen toonde het ziekenhuis volgens de rechtbank de bereidheid 'om met de problematiek in de organisatie aan de slag te gaan'. De maatregelen zouden de nalatigheid van het ziekenhuis nuanceren. De AP heeft hier volgens de rechter onterecht geen rekening mee gehouden. Daarom verlaagt de rechtbank de boete tot 350.000 euro.

De AVG-boete die het ziekenhuis kreeg opgelegd was de eerste AVG-boete. Het ziekenhuis gaf destijds al aan in beroep te gaan tegen de hoogte van die boete. Directievoorzitter Carla van de Wiel noemde het destijds 'zuur' dat het boetebedrag niet aan patiëntenzorg kon worden besteed.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

15-04-2021 • 13:21

105 Linkedin

Reacties (105)

Wijzig sortering
Wat voor zin heeft het als overheid om een ziekenhuis te beboeten? Als je de schuldigen niet bestraft, maar het ziekenhuis en dit uit het potje van het ziekenhuis moet komen, dan straf je slechts de patiënten. Ergens moet dat geld vandaan komen en zal er ergens op bezuinigd moeten worden. Dit moet ingehouden worden op het salaris van de top.

[Reactie gewijzigd door HerrPino op 15 april 2021 13:57]

Wat voor zin heeft het als overheid om een ziekenhuis te beboeten? Als je de schuldigen niet bestraft, maar het ziekenhuis en dit uit het potje van het ziekenhuis moet komen, dan straf je slechts de patiënten. Ergens moet dat geld vandaan komen en zal er ergens op bezuinigd moeten worden. Dit moet ingehouden worden op het salaris van de top.
Dat argument kun je natuurlijk op vrijwel elke organisatie loslaten. Als je de AH beboet verhogen ze de prijs van de kaas met een paar cent en betaalt iedereen alsnog eraan mee.
Het verschil is dat je, door het beboeten van een organisatie, de uiteindelijke eigenaren beboet. In het geval van Albert Heijn zijn dat rijke mensen en aandeelhouders. Die worden dan misschien bereid om de wandaden van hun organisatie van boven af aan te pakken. Maar bij (semi-)overheidsorganisaties is de overheid uiteindelijk de baas, en beboet die zichzelf, in zekere zin. Dat kun je wel nuanceren, doordat zo'n boeten misschien wel ook het ziekenhuisbestuur, of hogere bestuurslagen, motiveert om er iets aan te doen; maar het is toch een stuk minder motivatie dan voor rijke mensen met aandelen.
Het spijt me, maar alsof iedereen met aandelen rijk is... ook ik heb wat aandelen voor de sport en hopelijk wat rendement, maar om mezelf nu rijk te noemen... en jouw en mijn pensioen komt ook (mede) dankzij aandelen tot stand. Die nuance wil ik toch even maken in deze discussie.
Maar bij de Jumbo is de kaas dan een paar centen goedkoper.
Je moet wel redelijk hardcore zijn als je dat als consument in de kaasgaten hebt. Kaas kost best veel geld, die paar centen zou ik persoonlijk afronden.
Ja, is leuk verzonnen. Maar als je als bestuurder van een ziekenhuis ineens persoonlijk aansprakelijk kunt worden gesteld voor de overtredingen van het ziekenhuis, vind je maar weinig mensen die zo'n positie willen bekleden. En de mensen die je vindt, wil je er niet hebben
Dan verreken je het niet op het salaris, maar de jaarlijkse bonus. Die is namelijk, doorgaans, prestatiegericht. Er moet toch iemand verantwoordelijk gehouden worden, anders zou elk overheidsorgaan kunnen doen wat ze willen. Want ja, als je het de instantie kwalijk neemt heeft dat alleen maar een negatief effect op de dienstverlening naar de burgers. Dat is nu net wat je wil voorkomen in een democratische samenleving.

Aangezien de bonus geen onderdeel is van het salaris kun je die dus prima inkorten of niet uitbetalen.
Ziekenhuisbestuurders of zorgbestuurders in het algemeen vallen onder de Wet normering topinkomens (WNT) evt met overgangsregime. Er is geen ziekenhuisbestuurder die een 'bonus' krijgt. De WNT is max 209.000, hiertoe wordt bijvoorbeeld ook de leaseauto, pensioenpremies, onkostenvergoedingen en betalingen op termijn toe gerekend. Als je het salaris wilt weten van bestuurders in een ziekenhuis in jouw omgeving kun je dit vinden in de jaarrekening. https://wetten.overheid.n...01/#Paragraaf2_Artikel2.3

Je kunt beter als arts (kaak, ortho, anesthesioloog) of zzp adviseur in de zorg gaan werken.
Er is geen jaarlijkse bonus bij ziekenhuisbestuurders. 1 op de 10 krijgt een bonus. Die wordt toegekend voor bijv. het succesvol managen van de fusie of een groot project.
En dus moet het falen van IT'ers (althans als het echt een open deur is) maar door patienten en overheid betaald worden? Dit is gewoon falend beleid en daar mogen de beleidmakers voor beboet in mijn ogen. Dan geef je ook een signaal af.
Bovendien hoef je met die top-mensen in mijn optiek weinig medelijden te hebben. Als je goed verdient is je levensstijl daar waarschijnlijk ook naar, en dat mag. Maar als je een paar miljoen binnengeharkt hebt, kan je daar al prima mee vooruit. Dus korten voor een tijdje kan best.
Anderzijds... de uitvoerende IT afdeling is in eerste instantie verantwoordelijk voor het systeem. Maar hoe je het ook went of keert, de boete wordt met ons eigen geld en premies betaald, zolang je niemand persoonlijk aansprakelijk steld in een overheidsinstelling. Dus misschien moet je maar helemaal niet beboeten? Lastig.
Dit soort dingen zijn maar zelden falen van de IT'ers. Ik werk voor een ziekenhuis, en de IT'ers willen heel veel, maar als management niet wil, dan gebeurt het gewoon niet.

Als men ergens boven je besluit dat 'break the glass' niet geactiveerd mag worden, of als men geen resources beschikbaar stelt voor het controleren van de logging, of als men geen resources beschikbaar stelt voor het implementeren van 2FA, of...

Dat wil niet zeggen dat IT'ers geen blaam kan treffen in dit soort zaken; dat soort gevallen zijn er absoluut, maar het gaat hier niet om een webserver waar SSL3 nog aan staat of een webserver die middels URL-manipulatie andermans dossiers prijsgeeft. Vergis je niet hoeveel van de zaken die genoemd zijn in het nieuwsbericht op bestuurlijk vlak zitten in plaats van op uitvoerend vlak.
Klinkt als een gevalletje je case niet goed maken richting management. Daar gaat het voorbeeld van deze boete nu wel bij helpen bij vergelijkbare organisaties.
En dus moet het falen van IT'ers (althans als het echt een open deur is) maar door patienten en overheid betaald worden?...
Nee, je trapt nu in de val die mw. van de Wiel heeft open gezet.
Een beetje ziekenhuis heeft een jaarbegroting van tientallen miljoenen. Er is echt wel voldoende budget vrijheid om die drie en een halve ton te betalen, zonder dat de patiëntenzorg (en de zorg voor de privacy van de patiënten) in het geding komt
En waar komt die tientallen miljoenen vanaf? Premies (dus geld van ons allemaal) en van de overheid (dus geld van ons allemaal). Ze hebben zeker geld zat, maar het is allemaal geld van ons allemaal. Daar raak je praktisch niemand mee in het ziekenhuis.
... Daar raak je praktisch niemand mee in het ziekenhuis.
Jij wilt nog steeds iemand persoonlijk raken. Maar dan vraag ik me af: wie wil je dan raken? Alleen de directievoorzitter? De voltallige directie? De CIO? De systeembeheerders? De medewerkers die op zoek zijn gegaan naar patiënten informatie? De medewerkers die toevallig iets onder ogen kregen en zich niet konden beheersen? De medewerkers die toevallig iets onder ogen kregen en zich wel konden beheersen maar het niet gemeld hebben?
Deze boete raakt al die mensen en zorgt voor een stukje bewustwording: patiënten zijn mensen en die hebben recht op privacy.
Niet in hun directe salaris. Maar in hun riante bonus misschien?
Anyway, ik heb liever dat de verantwoordelijken ervoor opdraaien dan de gedupeerden. Die wáren immers al gedupeerd.

[Reactie gewijzigd door Rataplan_ op 15 april 2021 18:44]

Een begroting van tientallen miljoenen betekent nog niet dat er geld over blijft :)
Van mij mag de bestuurder weldegelijk aangesproken worden op het gebrekkige beleid, al wil ik daar niet direct een boete aanhangen. Wel aan herhaaldelijk wanbeleid, die hoeven mij apart ook niet ergens bij een andere grote instantie ingelijfd te worden.

Zelfde bij de werknemers, als je zo nodig in een privé dossier waar je niks hebt te zoeken moet neuzen ben je mij apart strafbaar en hoef je van mij ook niet meer in die functie aan de bak.

Ik ga gelukkig niet over de wet, weet ook wel dat ik een flinke mening kan hebben. ;)
Euh ... zo zijn er toch andere bedrijfstakken waar dit wel het geval is
Ehmm bij een gemidelde bestuurfuncties zit een deel persoonlijke aansprakelijkheid. Dit is bij deze bestuursfuncties dan ook meegenomen in het salaris. Als ceo van een bedrijf die stoute dingen doet kan je toch echt aansprakelijk worden gesteld.
Wie is er dan verantwoordelijk? Bestuurders worden flink gecompenseerd voor de verantwoordelijkheid die ze dragen. Als je niet verantwoordelijk bent voor de toko die je bestuurd, waarom krijg je dan een hoog salaris?
Voor wat betreft de AVG kan je als bestuurder al persoonlijk aansprakelijk worden gesteld via een bestuurlijke boete. Een middel dat m.i. vaker moet worden ingezet.

Je bent bestuurder en je moet je werk doen. Vind je het risico op een bestuurlijke boete te groot, dan weet je blijkbaar dat je ergens niet helemaal goed bezig bent. Iets met je verantwoordelijkheid nemen enzo...
En daarom neem je vaak als bestuurder ook een bestuursaansprakelijkheid verzekering.... (dan betalen we hem allemaal weer ;) )
"Houd het maar in op het salaris van de top" . Voorspelbare reactie, maar net zo dom nu als de vorige keer.

Dat soort argumenten draagt rechtstreks bij aan een excessief beloningsbeleid voor topmensen. "Ja, de CEO verdient 20 keer zo veel als de rest, maar als de rest van het personeel een fout maakt, dan komt de boete bij de CEO terecht".

De zorg klaagt nu al over de excessieve hoeveelheid papierwerk die ze moeten doen. Hoe erg denk je dat het wordt als de CEO persoonlijk aansprakelijk is? Reken maar dat elke medewerker dan elke beslissing onderbouwd op papier moet zetten. En doe je dat niet? In Nederland is het niet opvolgen van expliciete werkinstructies één van de snelste manier om ontslagen te worden, dus het personeel zal het wel doen, maar ze zullen klagen dat de CEO meer bezig is met papierwerk dan met patienten. Logisch alleen, want als het papierwerk maar in orde is dan krijgt de CEO geen boete. Dat de patient dood is, jammer dan.
"Houd het maar in op het salaris van de top" . Voorspelbare reactie, maar net zo dom nu als de vorige keer.
Niet echt, als je namelijk ooit in de IT hebt gewerkt weet je dat de managers en de CEO's/CTO's bepalen of er geld gaat naar Audit trailing, versterken van de inlog systemen of database encryptie.

Zie de comment van @Paul hierboven:
Dit soort dingen zijn maar zelden falen van de IT'ers. Ik werk voor een ziekenhuis, en de IT'ers willen heel veel, maar als management niet wil, dan gebeurt het gewoon niet.

Als men ergens boven je besluit dat 'break the glass' niet geactiveerd mag worden, of als men geen resources beschikbaar stelt voor het controleren van de logging, of als men geen resources beschikbaar stelt voor het implementeren van 2FA, of...

Dat wil niet zeggen dat IT'ers geen blaam kan treffen in dit soort zaken; dat soort gevallen zijn er absoluut, maar het gaat hier niet om een webserver waar SSL3 nog aan staat of een webserver die middels URL-manipulatie andermans dossiers prijsgeeft. Vergis je niet hoeveel van de zaken die genoemd zijn in het nieuwsbericht op bestuurlijk vlak zitten in plaats van op uitvoerend vlak.
Dus als het bestuurlijke vlak bepaald dat een beveiliging niet hoeft, dan mag diezelfde persoon of personen ook op de blaren zitten als er wel een lek plaatsvind.
Dus de oplossing is het bestuur niet de verantwoordelijkheid te laten dragen? Wat is dat nou weer voor een grap?
Als je tegenwoordig de verpleging bezig ziet in een ziekenhuis, lijken dat eerder boekhouders dan verplegers/sters.
30s tijd voor de patient, en vervolgens een hoop papierwerk om te loggen wat ze bij die patient gedaan hebben, waardoor er steeds minder tijd overblijft voor de verzorging van de patient.
Volgens mij worden deze mensen in vergelijking met vroeger, nu overstelpt met administratie en logging van iedere beweging die ze maken.
Precies dit! Dit soort boetes op deze manier drijven alleen de kosten/uitgaven van het ziekenhuis omhoog en worden weer verhaald op de patienten.

Enige manier is consequenties in de top af te dwingen. Salarissen omlaag en de komende X jaren bevriezen, bonussen verbieden etc.
Meer risico voor de top leidt tot hogere bonussen, want er is natuurlijk meer risico. In het bedrijfsleven hebben dit soort boetes directe impact op de top omdat een onverwacht verlies van 350k de bonussen van de directeuren kan afpakken. Dan moeten die arme directieleden met hun Tesla naar het werk in plaats van met de helikopter, daar zijn ze wel gevoelig voor. Als een boete van 350k een topman zijn miljoenenbonus kost, krijg je alleen maar meer geld voor patiëntenzorg!
EN het is eigenlijk hypocriet, want de overheid heeft zn eigen zaakjes ook niet op orde, maar die mogen wel rustig alle tijd nemen.
Wat voor zin heeft het als overheid om een ziekenhuis te beboeten? [...] Dit moet ingehouden worden op het salaris van de top.
En een beetje een maatschappelijk betrokken commerciële organisatie neemt dit soort dingen mee in de beloning van de topman. Tien jaar geleden heb ik bij de NS ervaren dat de top-prioriteit was: niet (negatief) in het nieuws komen. Dat was bijv. ook het moment dat het "verplicht een boete geven" terug gedraaid werd naar "naar inzicht van de conducteur" en langzaamaan het standaard schelden op de NS bij het publiek omsloeg naar schelden op de NS als het een beetje terecht was.

Hoe ze dit meten (marktonderzoek, krantenonderzoek, etc.) laat ik aan het bedrijf, maar ik blijf hopen dat bij een goede organisatie wel goed geregeld hebben.
Reken maar dat dit wel impact heeft. Niet meteen de euro's. Wel de berichtgeving eromheen. Zelfs breder in de zorg en IT sector wordt de haga casus bestudeerd en zorgt het opnieuw voor focus op privacy en hoe deze vorm te geven binnen zorginstellingen.

Als bestuurder, directeur, manager verantwoordelijk zijn voor een boete met deze financiële en publieke omvang is echt pittig en brengt echt wel iets op gang is mijn ervaring.
"Directievoorzitter Carla van de Wiel noemde het destijds 'zuur' dat het boetebedrag niet aan patiëntenzorg kon worden besteed."

Wel makkelijk om het zo maar op anderen af te schuiven dan. Geen idee wie dit mens is maar knap dat je met zo'n bord voor je kop directievoorzitter kan worden. Ze vindt het vast niet erg als half Nederland even haar privéinfo kan bekijken.

Edit: weet niet of ik het oorspronkelijk duidelijk had verwoord, maar ik bedoel natuurlijk te zeggen dat ze doet alsof deze boete patiëntenzorg in gevaar brengt, en dat het zogenaamd oneerlijk of niet nodig is, terwijl het natuurlijk hun eigen domme fout en ze zelf volledig schuldig zijn aan de praktijken die hier hebben plaatsgevonden. Bovendien denk ik dat dit VEEL meer kost dan alleen die 3,5 ton die zij nu even moeten pinnen (wat m.i. overigens niet eens bizar veel geld is voor hoe ernstig het is), als we het hebben over de schade die is aangericht aan de patiënten die zij nu voor de trein gooit door te stellen dat ze blijkbaar de moeite niet waard zijn om hun systeem aan de wet te laten voldoen. Een PR-antwoord is het zeker, maar óf ze vertelt bewust niet de hele waarheid (namelijk dat deze boete niet zomaar uit de lucht is komen vallen en dat het wel degelijk hun eigen schuld is dat "dit geld nu niet aan patiënten kan worden besteed" (in hoeverre dat natuurlijk überhaupt waar is)), óf ze is belachelijk incompetent omdat ze nog steeds de ernst van de situatie niet doorheeft.

[Reactie gewijzigd door ivarkentje op 15 april 2021 14:11]

Wel makkelijk om het zo maar op anderen af te schuiven dan.
Niet om een oordeel te vellen over de directie, maar hoe weet jij dat?
Leidinggevenden kunnen niet alles weten wat personeel in het geniep doet. Zij kunnen niet alles kundig controleren. Net zomin als Bill Gates destijds even de hele Windows code eventjes controleert of alles klopt en er geen bugs in zitten.
Dit is best wel een probleem bij grote organisaties. Dan is het gemakkelijk om de top aan te wijzen als schuldige, maar dat voelt toch niet rechtvaardig. Pas als het bewezen laks of incompetent beleid is van de top, kan je die verwijten. Rechtvaardig zou zijn om diegenen te vervolgen die willens en wetens wetten overtreden - in dit geval de dames en heren die de gevoelige informatie wederrechtelijk inzagen en doorspeelden aan anderen.
"Leidinggevenden kunnen niet alles weten wat personeel in het geniep doet."

Dat kan een minister ook niet van iedereen onder hem/haar, maar tóch zijn er in het verleden (en met name de afgelopen jaren) ministers opgestapt of weggestuurd om die reden.
En dat opstappen vind ik ook vaak onzin. Mensen maken fouten, soms had je iets moeten weten, maar ook vaak genoeg heb je gewoon vertrouwen in je personeel en blijkt dat vertrouwen geschonden te zijn. Dat laatste reken ik een leidinggevende (minister is ook maar een "baas") gewoon niet aan. Persoonlijk vind ik dan dat je gewoon je verantwoording moet nemen en zorgen dat het geen tweede keer gebeurd.

Deze directeur besefte zegt dat het zuur is dat het geld niet aan zorg kan worden besteed. Dat is natuurlijk waar. Maar waar voor mij het probleem zit, is dat het de indruk geeft dat deze directeur niet door heeft dat haar organisatie daar zelf schuldig aan is. Het had beter overgekomen als ze in dat zinnetje "door onze schuld" had toegevoegd. Je kunt namelijk je afvragen of ze genoeg waarborgen hadden, maar uiteindelijk was het gewoon personeel dat dingen deed waarvan ieder redelijk mens weet (of kan weten) dat dit niet door de beugel kan. In mijn werk verwerk ik ook veel data die privacy gevoelig is, maar zowel in mijn contract als gewoon van mens tot mens, verwacht men dat ik professioneel omga met die toegang. Ik vraag niets op wat ik niet nodig heb en als het mensen raakt die ik ken of mee werk dan vraag ik rustig het werk als dat kan aan een ander over te dragen. Dat is gewoon professioneel gedrag en dat ziekenhuispersoneel vertoonde dat gedrag blijkbaar niet.
Mee eens, maar zelfs als personeel zich bewust misdraagt is het management verplicht hierop te reageren. Er moeten voldoende maatregelen worden getroffen zodat er alarmbellen afgaan als bepaalde personeelsleden opeens dossiers openen waar ze niets mee te maken hebben.
Door middel van logging e.d. is gedrag te controleren.
Er is een verschil tussen responsible en accountable. De mensen die het uiteindelijk veroorzaken zijn responsible, maar de persoon daarboven doorgaans accountable. Die verantwoordelijkheid neemt risico met zich mee, en doorgaans ook wat baten. Die mensen krijgen een goed salaris, maar hebben daarmee wel de accountibility om te zorgen dat ze mensen onder zich hebben die ze kunnen vertrouwen zodat ze goed hun werk doen.
*verantwoordelijk
*toerekenbaar
Maar leidinggevende op deze posities zijn wel altijd hoofdelijk verantwoordelijk. Zij behoren het te weten.
Precies, en dat opstappen heet dan ook met reden "politieke verantwoordelijkheid". Dat is expliciet om verwarring met "persoonlijke verantwoordelijkheid" te voorkomen.

Dat zie je ook terug in de juridische procedure. De persoonlijke verantwoordelijkheid van ministers is expliciet wettelijk geregeld, rechtzaken tegen een minister gaan direct naar de Hoge Raad (niet langs de kantonrechter en dan het gerechtshof) En de HR is dan verplicht om vervolging in te stellen; in normale cassatie-zaken beslist de HR zelf of ze de zaak aannemen. De politieke verantwoordelijkheid is een zaak van de Tweede Kamer.
Dus als leidinggevende heb je dus geen enkele verantwoordelijkheid? Bill Gates werd toen hij CEO van Microsoft ook gewoon persoonlijk afgerekend en hij heeft zich ook persoonlijk mogen verantwoorden bij de Amerikaanse overheid. Net als dat Mark Zuckerberg niet zo lang geleden zelf op de pijnbank zat als CEO van Facebook. Die 2 hebben echt niet zelf alle kutacties van hun bedrijven in gang gezet, maar nemen daardoor wel een beetje hun verantwoordelijkheid voor hun positie.

Ik vind het maar belachelijk dat mensen in posities waar ze verantwoordelijkheid krijgen en daar naar betaald worden, hun verantwoordelijkheid niet hoeven te nemen. Niet alleen in het bedrijfsleven, in de politiek is het ondertussen ook de norm. Vervolgen hoeft nou ook niet direct, maar als ze hun verantwoordelijkheid weigeren te nemen, is dat misschien de enige juiste weg.

We mogen wel iets meer voorbeeld nemen aan de VS, waar de hoogste pief zelf in de rechtbank zijn verhaal mag doen. Of zoals Japan waar een incompetent figuur zelf al acties onderneemt zoals door het stof gaan of aftreden. Deze verantwoordelijkheidloze cultuur in Nederland gaat van kwaad tot erger.
Bill Gates werd als CEO niet persoonlijk afgerekend. Er zijn wel degelijk CEO's persoonlijk afgerekend; het Enron schandaal is een goed voorbeeld. Gates hoefde alleen persoonlijk uitleg te geven. Financieel had Gates als aandeelhouder van Microsoft natuurlijk direct last van de boetes.

Juist omdat de wettelijke grondregel is dat de CEO niet verantwoordelijk is, hebben de Amerikanen de speciale uitzondering dat de CEO (en CFO) moeten tekenen voor de juistheid van het jaarverslag. Dát maakt ze aansprakelijk, en dat maakt ze ook alleen aansprakelijk voor wat er daar in staat.
Is het in Nederland niet zo dat je bij bestuurlijk falen wel degelijk (persoonlijk) verantwoordelijk gehouden kan worden ondanks beperkte aansprakelijkheid via de BV/NV? Niet dat dit in de praktijk ooit gebeurt, maar voor zover bij mij bekend kan het wel (wellicht heb ik het fout). Wellicht was Enron een goede kandidaat aangezien men daar willens en wetens de boel bedrogen heeft.

[Reactie gewijzigd door Sloerie op 15 april 2021 16:20]

Oh, zeker, je bent persoonlijk verwantwoordelijk voor grof persoonlijk falen. Dat is dan wel vooral civiel aansprakelijk; je moet echt richting faillisementsfraude wil je strafrechtelijk in de problemen komen.

Wat je echter niet bent, is persoonlijk aansprakelijk voor je werknemers.
Gates en Zuckerberg zijn wel als publiek gezicht negatief in de media gezet, beetje modern geschandpaald. Ze hebben zich ook -inhoudelijk- verdedigt en daarmee de wereld/maatschappij te woord gestaan.
Niet 1 of ander zuur PR zinnetje de wereld in gooien, de boete in principe betalen uit publieksgeld en dat daarmee de kous af is.
Ook Bill Gates en Mark Zuckerberg zijn niet persoonlijk beboet/gestraft voor de misstappen van hun bedrijf
Dat hoeft ook niet. Als CEO's atlijd maar persoonlijk aansprakelijk gesteld kunnen worden voor fouten of een verkeerde keuze, lost ook niets op.

Maar ze namen wel hun publieke verantwoordelijkheid. Ze wisten waar ze het over hadden, ze hebben zich goed met hun zaak beziggehouden(moest ook wel) en zijn ook als de hoogst verantwoordelijke wel een beetje aan de schandpaal genageld. Bill Gates heeft nog steeds een vrij negatief imago door alle fouten die Microsoft gemaakt heeft, ondanks dat hij al heel erg lang miljarden aan het spenderen is geweest om daadwerkelijk de wereldverbeterende filantropist uit te hangen.

Deze muts weet niet eens waar ze het over heeft en wijst maar in het rond. Dit zie ik hier in Nederland (Europa als geheel is er ook wel goed in) maar al te vaak gebeuren. Waarom mag deze muts niet publiekelijk zichzelf voor de rechter verantwoorden? Lekker boete betalen uit publieksgeld en zielig doen, niet eens de schuld in haar eigen organisatie zoeken.

[Reactie gewijzigd door batjes op 15 april 2021 16:44]

Ik ga ervan uit dat bij de implementatie van een ZIS ook mensen "hoger uit de boom" zijn betrokken. Dus hoger management die een lijst met punten opstelt waaraan een ZIS in deze organisatie moet voldoen.

Het lijkt mij één van de allereerste eisen van een ZIS: inzage in patiëntendossiers moet via RBAC toegang geregeld worden. 2FA / MFA moet mogelijk zijn.

En als dit bij de implementatie van dit ZIS bij het ziekenhuis destijds niet mogelijk is geweest is het de verantwoording van de leverancier én het ziekenhuis om dit als een openstaand actiepunt onder controle te houden en, wanneer de optie beschikbaar was gekomen, zsm te implementeren.

Dus ik vind het wel een verantwoordelijkheid van het ziekenhuis. En het dagelijks bestuur is dan wel verantwoordelijk...

Je bent als leidinggevende verantwoordelijk voor de acties van je personeel. Afschuiven met "ik wist het niet" is te eenvoudig en kan leiden tot opstappen of ontslag (@TheVivaldi was me net voor ;) )

[Reactie gewijzigd door nextware op 15 april 2021 16:00]

je stipt hier goed aan wat er vaak in deze discussies een beetje buiten beschouwing gelaten wordt.

ook zonder veel kennis te hebben van de technologie is het mogelijk om een lijst van eisen op te stellen van een software systeem. het gaat namelijk in dit geval niet eens om de implementatie van de software, het gaat om een volledig verkeerd beleid wat betreft persoonsgegevens.
Maar ze zijn wel verantwoordelijk om maatregelen te treffen welke dergelijke risico's minimaliseren, als er niets aan gedaan is en het wel een erkend risico was, ben je gewoon aansprakelijk.
Leidinggevenden kunnen dan wel niet alles weten wat het personeel al dan niet in het geniep doet, maar zijn claimen hun hoge salaris op het feit dat ze wel de verantwoordelijkheid dragen.
In dat licht is de reactie van @ivarkentje terecht.
Ik vind het vooral zuur dat haar salaris niet aan patientenzorg besteed wordt... Volgens mij kost zij meer dan zo'n boete, en levert ze minder op.

Uiteraard hoop ik dat deze boete eenmalig is, en dat ook andere ziekenhuizen ervan leren dat beveiliging van je gegevens een belangrijk deel is van je taak. Misschien voorkomt zoiets dat de volgende cryptolocker alle patientendossiers raakt, en dan heb je de 'kosten' er vrij vlot uit.

[Reactie gewijzigd door FreezeXJ op 15 april 2021 13:32]

Je opmerking maakte mij nieuwsgierig, wat verdient zo iemand nou eigenlijk?
In 2014 stond ze al in de top grootverdieners in de semi-publieke sector met een jaarsalaris van €188.195 https://www.ceome.nl/topv...n-semi-publieke-sector-2/
Met inflatie en het feit dat ze best wel eens van baan wisselde lijkt me het niet onredelijk om in te schatten dat ze nu tegen het maximale salaris van €201.000 euro aan loopt.

Ze kost dus niet meer dan de boete maar als ze zelf haar salaris even aanpast naar het modaal nederlandse inkomen (36.500) dan is die boete na 2 jaar weggewerkt!

Dus, kom op Carla. Bijt eens door die 'zure' appel heen!

/edit: correctie, modaal

[Reactie gewijzigd door dycell op 15 april 2021 15:17]

36.500 is modaal (niet gemiddeld zie Wikipedia: "Modaal inkomen is in de Nederlandse inkomenspolitiek 79% van het gemiddeld inkomen per arbeidsjaar")
Kleine correctie:
Zoals te zien bij het CPB:
Vanaf 2013 is het modale inkomen het meest voorkomende inkomen.
en:
Het wordt berekend als 79% van het gemiddelde inkomen per arbeidsjaar, waarbij de 79% bepaald is met een historische cijferreeks.
Het is dus niet gedefinieerd als 79% het wordt alleen zo berekend.
Ze krijgt wellicht 2 ton, maar vermoedelijk kost ze haar bedrijf meer dan dat, aan werkplek, overhead, auto-van-de-zaak, luxe etentjes die er echt bij horen, en management-overleg dat niet op de werkvloer kan... Bij normale medewerkers zijn de kosten vaak minstens zoveel als het salaris, en dat lijkt me voor bestuurslevel ook wel een mooie inschatting.
Topinkomens bestuurders (semi)publieke instellingen
In 2020 is het bezoldigingsmaximum € 201.000. Dit is inclusief:
  • brutosalaris;
  • vakantie-uitkering;
  • eindejaarsuitkering;
  • pensioenbijdrage;
  • belaste onkosten, zoals een belaste reiskostenvergoeding.
Maar ik ben het met je eens hoor, ze zullen er vast en zeker omheen werken op een of andere manier.
Ik vind het vooral zuur dat haar salaris niet aan patientenzorg besteed wordt... Volgens mij kost zij meer dan zo'n boete, en levert ze minder op.
Nou ... je weet toch wel dat we in NL kampen met een zwaar tekort aan goede bestuurders en kosten noch moeite moeten besparen om deze mensen binnen boord te houden??? /sarcasm off
Inderdaad.
Het is gewoon een gevalletje eigen schuld van het ziekenhuis.
Iedereen weet dat je niet zomaar in patientendossiers mag rondsnuffelen.
Er moeten dus de nodige maatregelen genomen worden om dit tegen te gaan.
Dit zal medewerkers ervan weerhouden “per ongeluk” het dossier van een patiënt te openen waar ze geen behandel relatie mee hebben.
Ik vraag mij eigenlijk ook af wat er mis wat met dat personeel. Ik verwerk ook privacy gevoelige data. Als ik iets niet wil is het daar meer zien dan absoluut nodig. Het is gewoon fout en soms leer je dingen over bekenden die je gewoon niet wil of hoort te weten. Je kijkt er gewoon niet naar. Dat had dat personeel ook zonder maatregels horen te weten. Het is gewoon professioneel gedrag of ethiek.
Precies. Ik heb 5 jaar in een ziekenhuis gewerkt, en ik had vanuit mijn positie toegang tot alle patiënt-data van alle patiënten in het EPD en in het PACS. Omdat mijn toegangspatroon tot patiëntendata zo willekeurig was (voor correcties en troubleshooting) is voor mij uiteindelijk zelfs de break-the-glass uitgezet. Tegenover een dergelijk vertrouwen staat (vind ik) de professionaliteit om daar geen misbruik van te maken. Niet al mijn collega's hadden diezelfde houding, weet ik echter... en blijkbaar hadden ze dat probleem in het HagaZiekenhuis ook.
Dat is wat ik bedoel.

U zegt ook dat sommigen van uw collega's niet altijd dezelfde houding hadden. Voor mij betekenden dat soort observaties altijd een paar stappen.

1. Zorgen dat je niets van hen hoort. Als ze er over praten ga je weg.
2. Je laat weten dat dit niet door de beugel kan.
3. De eerste keer waarschuw je hen, de tweede keer je leidinggevende.

Punt 3 noemen sommige mensen heel negatief "klikken", maar we hebben het hier wel over mensen hun meest privé gegevens.Dat is geen klikken het is een plicht, je profesionaliteit. Dat beschermt niet alleen jezelf. Het bescherm ook de club waarvoor je werkt en alle andere werknemers. Want als het fout gaat met die paar foute collega's heeft iedereen daar de gevolgen van.
Ik ben het 100% met je eens.
Zeker. Het gedrag van het personeel speelt ook mee.
Als het personeel echter zorgvuldig is opgeleid en weet wat ze wel en niet mogen doen neemt het misbruik wel af.
Zeker ok als ze weten dat ze altijd gepakt zullen gaan worden en ontslag dreigt.
Ondanks dat zal er toch een kleine groep medewerkers blijven bestaan die over de schreef gaan. Dit moet dus toch gecontroleerd worden. Je kunt niet uitsluiten dat medewerkers gechanteerd worden om bepaalde informatie op te zoeken.
Chantage en mensen die over de grens stappen zul je altijd hebben. Maar de meesten zouden gewoon zelf moeten kunnen beseffen dat hun gedrag niet kan, zelfs zonder opleiding. Dat moet al in je eerste opleiding zitten, die heb je van je ouders gehad en noemen ze opvoeden. Blijkbaar is daar wat mis gegaan bij die werknemers. De dreiging van ontslag zou gewoon niet nodig moeten zijn.
Je kunt altijd een paar rotte appels hebben, maar hier lijkt het schering en inslag te zijn geweest en dat is toch vreemd? In ieder geval in mijn hoofd.
Het ligt ook aan de opleiding, opvoeding en het gedrag van personen zelf.
Het is niet altijd boze opzet maar kan ook gewoon uit nieuwsgierigheid zijn ontstaan.
Desondanks mag het niet en moeten er technische maatregelen genomen worden om misbruik tegen te gaan. Hoe hoger de drempel is hoe minder nieuwsgierig men wordt.
Puur politiek antwoord idd.
Nog voor ik las "Directievoorzitter Carla van de Wiel noemde het destijds 'zuur' dat het boetebedrag niet aan patiëntenzorg kon worden besteed." dacht ik zelf ook al dat het wel erg is dat het niet besteed kan worden aan zorg.
Weet niet wat de inkomsten en bezit van geld is van een gemiddeld ziekenhuis, misschien is dit bedrag erg klein voor hun. Maar als je ziet wat voor operaties er evt van gedaan kunnen worden.
Kon er dan neit op een andere manier bestraft worden, voor 350.000 kostenloos mensen helpen, maar daar zal de verzekeraar alleen maar heel blij van worden denk :)
De boete wordt wel teruggehaald van de belastingbetaler uiteindelijk.

Al dit soort boetes tussen overheidsinstellingen (en ja, een hospitaal is bijna per definitie een overheidsinstelling want wij betalen ervoor) zijn gewoon een belasting zonder een directe belasting te heffen.

De kosten gaan omhoog, dus moet er nog een extra lijntje op de factuur en het is opgelost. Hoeveel heeft deze groep boetes uitgegeven aan zichzelf? Een paar miljoen tussen gemeentes en de hospitalen en andere diensten? Een euro of twee per Nederlander tenminste.

Als je echt verandering wil zien moet je echte straffen uitdelen. Ontslaan van de hoogste ranken die dit soort dingen toegelaten hebben. De boete bewijst dat ze verkeerd gevonden hebben, moest ik zo’n fout maken op de lagere ranken moet ik er ook uit.
Onzin. Ziekenhuizen kunnen al jarenlang niet "een lijntje op de factuur zetten". Zo werk het gewoon niet. Op de factuur staat een DBC, een Diagnose Behandel Combinatie. "Privacy boete" heeft geen DBC code.
Intern staat dit wel degelijk als een lijntje op de budgetten. Dan moet ofwel de kost omhoog of elders bespaard worden. Gegeven dat ons ziektesysteem grotendeels van de overheid betaald wordt ga je ofwel besparen ofwel belasting heffen. Ik weet ook wel dat ze dit niet op de factuur richting patient zetten, vroeger deden ze dit ook niet maar ze gaan wel degelijk die lijntjes in het budget moeten bijvullen, ofwel bij de patient, ofwel bij de burger.

Het systeem in Europa kon in de meeste streken al een redelijk kleine pandemie (percentage gezien was COVID echt niet zo slecht vergeleken met oa pest en ebola-varianten) niet aan en we lopen al jaren achter op de meeste andere Westerse en tegenwoordig ook veel Aziatische landen om nog grotere druk te zetten door via-via-via (vandaag is het AVG, morgen is het wel een ander overheidsapparaat) belastingen te heffen op een systeem dat al scheef loopt ipv de slechte directie te straffen.

Wat moet er nu eigenlijk gebeuren? Ofwel krijgen ze extra geld om die 350,000 bij te vullen (van de burger) ofwel moeten ze 350,000 besparen. En waar zullen ze die 350,000 besparen? Ja, bij 'kostenpost' IT en privacybescherming.
Het zou logischer zijn moest een deel van deze boete worden uitgegeven aan het probleem op te lossen. Hoe dit weer praktisch in zijn werk gaat is boven mijn petje.
"bijna per definitie" vind ik een redelijk briljante vinding. Betekenislozer dan dat vind je ze bijna niet..
ze zouden idd een boete moeten op leggen die % uit het salaris van het bestuur wordt betaald, dan raak je ze pas effectief terwijl je de zorg niet raakt.

Nu raak je alleen maar het volk zelf en zorg je voor minder goede zorg.

[Reactie gewijzigd door Scriptkid op 15 april 2021 13:47]

Je zou dat bedrag moeten terugvorderen van de directie die voor deze situatie gekozen heeft.
kostenloze zorg, voor wie, krijgen de mensen die hier last van hadden (zoals barbie), dan het geld van hun behandeling terug?

het is natuurlijk makkelijk om maar met popie-jopie oplossingen te komen, maar het feit is dat dit boete bedrag nu ook al naar een goed doel gaat: namelijk het belang van ons allemaal - lees de staatskas - en in tegenstelling tot de populaire overtuiging komt wat er in de staatskas zit doorgaans wel ten goede aan de maatschappij, ik bedoel alle covid-test, al het onderzoek daarnaar, de compensatie-regelingen voor bedrijven zodat ze jan en alleman niet hoeven ontslaan, scholen, ziekenhuizen, bejaardenhuizen het komt allemaal uit diezelfde pot. die nu met ruim 20 bijstandsuitkeringen is gestegen. Die hoeven we dan tenminste komend jaar niet uit belastingverhogingen te bekostigen.
Je vergeet voor het gemak even dat het garanderen van een minimum aan privacy, ook een onderdeel is van de patiëntenzorg. Net zo goed als bedden, ondersteken, beademingsapparatuur, etc, etc.
De directie van het ziekenhuis heeft jarenlang bezuinigd op het beveiligen van de privacy van haar patiënten. Dat was onterecht en nu wil de overheid dat geld terug
Wat menig persoon niet realiseert, is dat het HagaZiekenhuis is gebruikt om de tanden van de autoriteit persoonsgegevens te laten zien. Het ziekenhuis informatie systeem die het HagaZiekenhuis gebruikt wordt in tientallen zorginstellingen in Nederland- en België gebruikt. Ja, er vindt inzagelogging plaats in dit systeem en ja, er zijn methoden ingebouwd om ongeautoriseerd toegang tot patientdossier te voorkomen, echter is het controleren hierop niet gemakkelijk en daarbovenop erg tijdrovend.

Voor het HagaZiekenhuis hebben wij uiteindelijk een tool gebouwd die ze daarbij helpt. Wij koppelen inzages van medewerkers in dossiers aan andere gegevens, zoals opnames, agenda's, SEH-bezoeken en deelsystemen om inzages te verklaren. Bij afwijkingen wordt de privacy officer op de hoogte gebracht die met behulp van dashboards kan controleren wat er is gebeurd.

Vrij veel nieuwe klanten noemen letterlijk de casus uit dit artikel om boetes bij hen te voorkomen. Dit had menig ziekenhuis kunnen overkomen. Enerzijds kan je daarmee zeggen dat het goed is dat de boete is gegeven, ziekenhuizen gaan hierdoor bewuster kijken naar (onterechte)dossier inzages, anderzijds kan je zeggen dat HagaZiekenhuis pech had dat zij de eerste waren waarbij de scepter heeft moeten zwaaien. Zure appel, dus.

[Reactie gewijzigd door Hammetje op 15 april 2021 14:44]

Mooie salespitch, maar het meeste gebruikte EPD in Nederland kan prima worden afgeschermd om specialisten en verpleegkundigen niet teveel rechten te geven. Dan hoef je niet in een dashboard achteraf te kijken, maar dan wéét je gewoon dat een verpleegkundige van afdeling A4 niks te zoeken heeft bij een patiënt die ligt op afdeling B3. En je kunt prima inrichten dat de secretaresse van de chirurg niet kan kijken in het dossier van de patiënt van de neuroloog, waarbij de chirurgie geen dossier heeft lopen.

Dat is natuurlijk altijd een balanceer act tussen te restrictief en te losjes, maar sommige ziekenhuizen geven medewerkers (en zelfs externen) echt overal toegang toe. Een autorisatiematrix is daar echt abracadabra. Waarom moet een medewerker interne geneeskunde zomaar in de dossier van psychiatrie kunnen rondneuzen?

Niet achteraf controleren, gewoon aan de voorkant fatsoenlijk inrichten. Maar daarin is ChipSoft dan weer wat minder betrokken tijdens de implementatie (can't blame 'm trouwens, want de meeste ziekenhuizen weten zelf niet wat een medewerkers wel of niet zou mogen inzien, en hebben de zin/tijd niet om er moeite in te steken).
Ooit gehoord van intercollegiaal overleg, MDO's of, noem eens wat geks, een terroristische aanslag of pandemie waar acute zorg benodigd is? Inzages en rechten hebben weinig met elkaar te maken, het gaat erom of de zorgverlener werd verwacht zorg te verlenen. Daar is ook heel de constructie met noodknop-reden voor bedacht.

Je kan het een salespitch noemen, wat bij betreft noem je het een SCAM, het probleem is dat de leverancier die je noemt in staat is om het systeem zo te bouwen dat er beter op (onterechte)inzages gemonitord kan worden. Dat wordt nog te beperkt gedaan, daardoor is het ziekenhuis de klos. Vergeet trouwens ook niet dat een leverancier van zo'n ZIS lang niet altijd dit goed kán monitoren. Om een voorbeeld te noemen; zorgpersoneel die dossier inziet van buren of familie, daar kan je alleen op monitoren als je gegevens hebt van die medewerkers waarop je dat kan controleren. Tot op heden kan in HiX dat alleen voor artsen, daarnaast gebruiken ziekenhuizen deze opslagmogelijkheid niet. Een koppeling met een HR systeem is hier bijvoorbeeld ideaal, maar dat ligt buiten scope van een bedrijf die software maakt voor patientzorg.

[Reactie gewijzigd door Hammetje op 15 april 2021 14:51]

Ooit gehoord van intercollegiaal overleg, MDO's of, noem eens wat geks, een terroristische aanslag of pandemie waar acute zorg benodigd is? Inzages en rechten hebben weinig met elkaar te maken, het gaat erom of de zorgverlener werd verwacht zorg te verlenen. Daar is ook heel de constructie met noodknop-reden voor bedacht.

Zeker van gehoord, en prima op te lossen/te ondervangen. Inzages en rechten hebben juist alles met elkaar te maken. Immers, als ik het recht niet heb om een venster te openen, dan heb ik dus per definitie geen inzagemogelijkheid. Noodknoppen worden ook links en rechts voor oneigenlijke redenen gebruikt. Op veel afdelingen is de noodknop gewoon "doe maar ff een extra Enter". Nee potverdorie, dan is het toch geen noodprocedure meer? Als je zo vaak tegen een noodprocedure aanloopt, dan is je inrichting gewoon brak.

De software die jullie maken kan zeker een mooie aanvulling zijn, maar als je gaat werken vanuit brakke inrichting, dan krijg je alleen maar volstromende dashboards waar je weinig aan hebt.
Rechten in de applicatie worden gegeven aan de hand van de functie van de gebruiker, en wat deze mag. Daarbovenop dient voor inzage een behandelrelatie te zijn. Is die er niet en moet je wel bij het dossier, op wat voor reden dan ook, dan moet je daar via de noodknop-reden op aangeven waarom je daar bij moet. Ik snap dat je in de ideale wereld dit beter geregeld zou willen zien, maar dat kan gewoon niet zomaar. Het gaat er daarom juist om dat je al ziekenhuis de noodknopredenen onderzoekt.

Ik ben wel fan van jouw visie hoor; liever helemaal geen noodknop - in mijn optiek is dat (nog) niet mogelijk. Tot die tijd gaat het om (achteraf) controleren - voorkomen is helaas nog toekomstmuziek.
Achja, de beste stuurlui staan aan wal zullen we maar zeggen.
Het is juist goed om dit voorbeeld van misbruik publiek te maken.
Dit is meteen een wakeup call voor andere ziekenhuizen en instellingen.
Er bestaan al jaren tools om inzage te monitoren en hierop te reageren.
Dit hoeft dus niet opnieuw uitgevonden te worden want het is er al.
Hooguit is er wat fine tuning nodig.
Het is ook niet zo dat er de hele dag een privacy officer achter een monitor hoeft te gaan zitten wachten totdat een medewerker iets verkeerd doet. Dat kan geautomatiseerd worden.
Oeps, reply op verkeerde reactie.
nvm.

[Reactie gewijzigd door Hammetje op 15 april 2021 15:11]

Dus als je na de waarschuwing wel druk bezig om te verbeteren maar het nog steeds niet op orde hebt dan is verhoging van de boete (volgens de rechter) niet nodig?

Maar je hoe lang kun je dat volhouden? Het idee van de verhoging is om aan te sporen tot meer spoed.

En het voelt ook een beetje als: "Ja ik reed te hard maar ik was al aan het remmen toen ik de agent zag". Krijg je dan een lagere boete?
...
En het voelt ook een beetje als: "Ja ik reed te hard maar ik was al aan het remmen toen ik de agent zag". Krijg je dan een lagere boete?
Toch werkt het wel zo: als je niet geremd had, zou je een boete krijgen voor 150 km/h. Omdat je geremd hebt krijg je maar een boete voor 130 km/h
Niet helemaal waar je krijgt de boete gebaseerd op de snelheid op het moment van meting. Maar je hebt wel gelijk dat het geen goede analogie is - de boete wordt dan ook niet hoger als je hard blijft rijden (of zelfs harder gaat rijden).

De vergelijking moet zijn: als er 2 snelheids-controles zijn en bij de 1e controle rijd je 150 en de 2e controle rijd je 140 dan krijg je maar 1 boete omdat je toch wel minder hard reed... helaas is dat niet zo. Beide boetes worden volledig opgelegd ondanks je blijk van goede wil. O-)
Ook dat tweede is niet helemaal waar. Als je op de A2 tussen Amsterdam en Utrecht door de 5 trajectcontroles heen knalt krijg je alleen een boete voor de hoogste :)
Dat wist ik niet (scheelt weer).
Die boete wordt door ons allen via de ziekenkostenverzekering weer betaald.
Dat schiet niet echt op.
gelukkig gaat die boete ook weer naar een potje waar we allemaal iets aan hebben ;)
Beetje rondpompen van geld is dat. Met de nodige verspilling natuurlijk,
Ja (semi)overheids instaties die elkaar boetes opleggen... 8)7

Beter kan de verantwoordelijke intern aansprakelijk worden gesteld (dus niet via de rechter of zo). Dus in het werknemer-dossier komt een aantekening - teveel van dat soort aantekeningen => exit of salaris-verlaging. Maar dat lijkt een doodzonde; salaris verlaging terwijl het bedoeld was al beloning voor het geleverde werk. Welnu - dat geleverde werk valt nogal tegen.
Dat geeft motivatie om je werk goed te doen en is ook waarom het salaris hoger is (want meer verantwoordelijkheid).

Want nu wordt een boete gegeven die enkel betekent dat ze minder budget hebben en wie heeft last van een lager budget? Zelf moeten ze dan wat herzien qua budget toewijzing maar de patienten zijn uiteindelijk (weer) de dupe.

Totaal zot.
Directievoorzitter Carla van de Wiel noemde het destijds 'zuur' dat het boetebedrag niet aan patiëntenzorg kon worden besteed.

Het is nog veel zuurder voor de patienten / bekende Nederlanders dat jullie de beveiliging / logging enz een lange tijd niet op pijl hadden.

Even vooral in de spiegel kijken Carla.
Als ik kijk naar de werkhistorie van Carla van de Wiel dan zie ik eigenlijk een typische manager die ten koste van anderen casht. Het verbaast me echt helemaal niks dat zo'n iemand als zij zulke domme uitspraken doet, zo'n iemand als Carla zou toch eens hebben moeten geleerd om niet zo kinderachtig te zijn.
Achja, in the eye of the beholder. Wat jij vindt kan een ander anders over denken.
Die heeft al langgeleerde om gekke Henkie te spelen en pogingen tot emotionele chantage ter beperking van financiële schade te doen.
Persoonlijk vindt ik deze boete heel erg vreemd, als ik kijk naar het feit (ik laat even al het andere buiten beschouwing) dat is vastgelegd dat je niet zomaar in patientengegevens mag kijken. Dus een medewerker begaat een overtreding en de werkgever krijgt een forse boete.
Als ik dit doortrek naar een zakelijke auto dan krijg ik geen boete meer als ik te hard rij maar de werkgever, want die heeft er niet voor gezorgd dat ik niet meer te hard kan rijden? Of moet je dus gewoon zorgen dat je niet alleen te hard rijdt maar dat iedereen dat doet.
Als 1 persoon het had gedaan was die waarschijnlijk ontslagen, nu waren het er teveel dus niemand? Vervolgens wordt je als bestuurder hier afgebrand en zelfs liefst persoonlijk voor verantwoordelijk gehouden. Want men weet hier allemaal hoe het beter beveiligd kan worden. Maar kan men dan nog wel werken, en wat zijn de risico's als een arts niet bij gegevens kan?
Er nogal een dubbele moraal in het geheel. Ik gun het niemand, maar besef wel dat als je werkeloos bent je dan pas echt een heel stuk privacy moet opgeven. Persoonlijk denk ik dat er meer werk gemaakt moet worden van het ge-/ mis-bruik maken van gegevens dan het steeds krampachtiger alsmaar voorkomen van.
In deze misschien dus wel minder het ziekenhuis vervolgen, maar de krant die de gegevens publiceert (weet niet of dat gebeurt is).


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True