HagaZiekenhuis opnieuw de fout in met de AVG
Het HagaZiekenhuis, dat een jaar geleden de twijfelachtige eer had om als eerste een coronaboete te krijgen, heeft opnieuw de AVG overtreden. Ditmaal is het ziekenhuis zelf met het incident naar buiten getreden. Het betreft het delen van gegevens van 6493 patiënten met een bedrijf.
Het HagaZiekenhuis heeft twee jaar lang gegevens van patiënten van de KNO-afdeling gedeeld met een bedrijf. Volgens de AVG (Algemene Verordening Gegevensbescherming) is dat niet toegestaan, omdat het medische en dus gevoelige persoonsgegevens betreft. De patiënten moesten voor een consult een vragenlijst invullen, die was ontwikkeld door het bedrijf Outcome Measurement. Met de antwoorden kon een specialist sneller een diagnose vaststellen, zo verklaart het ziekenhuis in een persbericht. De antwoorden werden echter niet alleen in het patiëntendossier, maar ook in een database van Outcome Measurement opgeslagen.
Meerdere overtredingen
Het ‘lek’ kwam aan het licht toen het ziekenhuis onderzocht of de methode ook door andere poliklinieken kon worden gebruikt. Toen bleek dat de methode niet aan de AVG-regels voldeed. Niet alleen werden de gegevens met een externe partij gedeeld, maar ook werd niet goed uitgelegd hoe de ingevulde gegevens worden gebruikt en werd de patiënten niet duidelijk genoeg gevraagd om toestemming voor het gebruik van de gegevens. Verder ontbrak de door de AVG verplicht gestelde verwerkingsovereenkomst tussen het ziekenhuis en Outcome Measurement, dat overigens deels eigendom is van een van de specialisten van het ziekenhuis. HagaZiekenhuis stopte daarop direct met het gebruik van de vragenlijst en schakelde een externe partij in voor onderzoek naar hoe het verkeerd heeft kunnen gaan. Alle betrokken patiënten zijn geïnformeerd over het gebeurde. In 2019 kreeg het HagaZiekenhuis als eerste organisatie in Nederland een privacyboete, nadat gebleken was dat medewerkers medische dossiers van bekende Nederlanders hadden geraadpleegd. Een ander incident betrof een medewerker die papieren met patiëntgegevens als boodschappenlijstje gebruikte en die in een winkelwagentje had laten liggen.