Tweefactor authenticatie en de AVG

Beeldscherm met lock_web

Op 16 juli kwam het bericht naar buiten dat de Autoriteit Persoonsgegevens besloten heeft een boete op te leggen van €460.000,- aan het HagaZiekenhuis

Eén en ander vanwege het over de periode van januari 2018 tot 18 juni 2019 niet voldoen aan het vereiste van tweefactor authenticatie en het regelmatig beoordelen van logbestanden. 

Dit roept bij menig verantwoordelijke voor de informatiebeveiliging de vraag op of dan nu tweefactor authenticatie (2FA) een wettelijke verplichting is. De gehanteerde norm, NEN7510, zegt daarover:

‘Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren de identiteit van gebruikers vast te stellen en dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden’. 

NEN7510 maakt onderscheid tussen zaken die ‘moeten’ en zaken die ‘behoren’. Zoals je hierboven leest is 2FA één van de maatregelen die een zorginstelling dan ook niet ‘moet’ maar ‘behoort’ toe te passen. 

Waarom werd er dan toch een boete uitgedeeld voor het niet voldoen aan het vereiste van twee factor authenticatie?
Als je het boetebesluit van de Autoriteit Persoonsgegevens leest zie je dat daar een keten van beleidskeuzes aan ten grondslag ligt. Het belangrijkste onderdeel is dat de ReinierHagaGroep in het overkoepelende beleid meldt dat zij werken volgens de NEN7510 maar dat individuele ziekenhuizen afwijkend beleid kunnen bepalen. Het HagaZiekenhuis heeft geen afwijkend beleid gedefinieerd. En zo ontstaat een zelfopgelegde norm waaraan voldaan dient te worden. En omdat aan die zelfopgelegde norm niet werd voldaan achtte de AP zich bevoegd een boete te geven. Het HagaZiekenhuis gaat in beroep tegen de opgelegde boete. 

Kortom, geen paniek! Maar hou nog eens goed je beleid tegen het licht en weeg daarbij ook de NEN7510, 7512 en 7513 mee. Bepaal vervolgens passend beleid en voer dat uit. Kort samengevat: “Doen wat je zegt en zeggen wat je doet!”

Deel dit artikel

Neem contact op

Meer weten over 2FA? Bel met collega Patrick van Lonkhuijzen.

Patrick van Lonkhuijzen
Consultant
  • 06 55 72 12 81