Het ziekenhuis was het slachtoffer van twee computeraanvallen: (i) de eerste in 2019 en (ii) de tweede in 2021. Naar aanleiding van de tweede aanval werd een onderzoek ingesteld door de inspectiedienst van de GBA. De inspecteurs die belast waren met de uitvoering van dit onderzoek waren van mening dat het ziekenhuis niet de nodige stappen had ondernomen om te voldoen aan de AVG, ondanks de eerste cyberaanval in 2019. Hoewel deze conclusie door het ziekenhuis werd betwist, oordeelde de geschillenkamer dat de bevindingen van de inspecteurs gegrond waren en legde het ziekenhuis een financiële boete op.

De beslissing is interessant voor ziekenhuizen, omdat de geschillenkamer in haar beslissing bepaalde technische of organisatorische beveiligingsmaatregelen specificeert die ziekenhuizen moeten toepassen. In de beslissing staat bijvoorbeeld dat de geschillenkamer van mening is dat een wachtwoord van minder dan 12 tekens niet robuust genoeg is voor gebruik in een ziekenhuisomgeving (zie punt 122 en 123 van de beslissing). Met betrekking tot de opleiding van personeel wordt gesteld dat ziekenhuismedewerkers een passende en regelmatige opleiding moeten krijgen (punt 99 van het besluit). Die opleiding moet aan een voldoende aantal medewerkers worden gegeven. In de bestreden beslissing oordeelt de geschillenkamer dat de opleidingsmaatregelen ontoereikend waren omdat "deze opleiding slechts voor een zeer klein deel van het personeel geldt (...)" (punt 104 van de beslissing; vrije vertaling). Ziekenhuizen houden hiermee best rekening bij het implementeren van organisatorische maatregelen in de toekomst. Andere aspecten van organisatorische maatregelen worden door de geschillenkamer in haar beslissing beoordeeld.

De geschillenkamer heeft zich ook uitgesproken over het juridisch statuut van het ziekenhuis. In België kan een "overheid" in de zin van de AVG en de wet van 30 juli 2018 niet worden beboet (op voorwaarde dat zij geen goederen of diensten op een markt aanbiedt) op grond van artikel 122, §2 van de wet van 30 juli 2018 "betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens". Het betrokken ziekenhuis - dat een VZW naar privaatrecht is - voerde aan dat het moest worden behandeld als een “overheid”. Dit argument werd niet gevolgd door de geschillenkamer. Om gelijkgesteld te worden met een “overheid” moet een ziekenhuis aantonen dat aan drie voorwaarden is voldaan (artikel 5, 3° van de wet van 30 juli 2018):

i. Het ziekenhuis moet specifiek zijn opgericht om te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn; en

ii. Het ziekenhuis moet rechtspersoonlijkheid hebben; en

iii. De activiteit van het ziekenhuis moet aan ten minste een van de volgende criteria voldoen:

a. voornamelijk gefinancierd worden door de federale staat, de gefedereerde entiteiten en de lokale overheden (of publiekrechtelijke rechtspersonen);

b. het beheer van het ziekenhuis moet onder toezicht van de overheid staan;

c. of meer dan de helft van de leden van het bestuurs-, leidinggevend of toezichthoudend orgaan door deze autoriteiten of organen is benoemd.

In haar beslissing oordeelde de geschillenkamer dat door het ziekenhuis niet was voldaan aan de eerste en derde voorwaarde om te kunnen worden gelijkgesteld met een overheidsinstantie. Naar onze mening is de analyse van de geschillenkamer op dit punt voor discussie vatbaar. Als het betrokken ziekenhuis tegen deze beslissing in beroep zou gaan, zal het interessant zijn om te zien of het Marktenhof het eens is met de conclusie van de contentieuze kamer (of niet).

Samenvattend kan worden gesteld dat de beslissing van de geschillenkamer, naast het aanzienlijke karakter van de opgelegde sanctie, nuttig is voor ziekenhuizen die willen bepalen of sommige van de huidige organisatorische en technische maatregelen voldoen aan de verwachtingen van de geschillenkamer. De uitspraak maakt het mogelijk om de verwachtingen van de geschillenkamer ten aanzien van de bescherming van persoonsgegevens in ziekenhuizen te kennen.

Guillaume Pomes