Schending AVG: ex-patiënte ontvangt schadevergoeding van ziekenhuis

22 sep 2022

Om patiënten goed te kunnen behandelen is het van groot belang dat zorgverleners over actuele medische persoonsgegevens van hun patiënten beschikken. Patiëntgegevens zijn vanwege hun aard echter uiterst gevoelig. Dit soort gegevens worden dan ook niet voor niets bestempeld als bijzondere persoonsgegevens in de zin van de Algemene Gegevens Verordening (AVG). Van zorginstellingen mag daarom verwacht worden dat er voldoende waarborgen zijn om zorgvuldige omgang met patiëntgegevens te garanderen.

Dat nog niet altijd met de benodigde zorg wordt omgegaan met patiëntgegevens, kwam naar voren in een recente zaak bij de rechtbank Zeeland-West-Brabant. Hier werd het Bravis ziekenhuis (Bravis) aansprakelijk gesteld, omdat zij nalatig zou zijn geweest ten aanzien van het op grond van de AVG vereiste controlebeleid omtrent patiëntgegevens. In onderstaande blog wordt de uitspraak van de rechtbank nader toegelicht.

Wat ging eraan vooraf?

De ex-partner van de eiseres heeft een boek geschreven over hun echtscheiding en echtscheidingsperikelen. Daarbij verschenen in het boek passages over medische gegevens van eiseres. De uitgever van het boek, een eenmanszaak, bleek een voormalig medewerker van Bravis te zijn. Vervolgens heeft eiseres contact opgenomen met Bravis en verzocht om inzage in de logging-gegevens van haar patiëntendossier. Daarbij kwam naar voren dat de voormalig medewerker gedurende een periode van vier jaar veelvuldig het patiëntendossier heeft ingezien.

Eiseres stelt dat de voormalig medewerker haar medische informatie onrechtmatig heeft ingezien en heeft doorgespeeld naar haar ex-partner. Zij is van mening dat Bravis onrechtmatig heeft gehandeld en aansprakelijk is voor de door haar geleden schade, omdat:

  • het ziekenhuis onvoldoende maatregelen heeft genomen om haar medische gegevens (en adresgegevens) te beschermen;
  • het ziekenhuis de logging-gegevens niet voor het kort geding aan eiseres heeft verstrekt, en;
  • het ziekenhuis onvoldoende onderzoek heeft verricht naar het datalek en naar wat er met de medische gegevens is gebeurd.

Oordeel van de rechtbank

De rechtbank is van mening dat Bravis (risico)aansprakelijk is voor het handelen van de voormalig medewerker en volgt eiseres in het betoog dat het ziekenhuis onvoldoende maatregelen heeft genomen om haar medische gegevens te beschermen. Volgens eiseres zou Bravis ten aanzien van zowel het autorisatie- als het controlebeleid in strijd handelen met artikel 32 AVG. Dit artikel schrijft voor dat organisaties passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen. De rechtbank gaat deels in de stelling van eiseres mee.

Autorisatie

Wat betreft de autorisatie oordeelt de rechtbank dat Bravis voldeed aan de daarvoor gestelde norm. Deze norm houdt in dat medewerkers uitsluitend toegang hebben tot patiëntgegevens, indien zij een behandelingsovereenkomst met de patiënt hebben of als zij rechtstreeks betrokken zijn in de uitvoering daarvan. De voormalig medewerker was van 1 januari 2007 tot 1 oktober 2017 werkzaam als secretaresse op de spoedeisende hulp. In die hoedanigheid had zij een volledige en ongelimiteerde toegang tot patiëntendossiers, waaronder het dossier van eiseres. De rechtbank is van oordeel dat, gelet op de aard van de functie, deze ruime toegang tot patiëntendossiers gerechtvaardigd en proportioneel was. Toen zij vanaf 15 juli 2016 tot 13 augustus 2018 (ook) als planner (en secretaresse) op de IC werkzaam geweest had zij géén (directe) toegang tot de patiëntgegevens van eiseres.

Controlebeleid

Wat betreft het controlebeleid is de rechtbank echter van oordeel dat Bravis niet aan de daarvoor geldende maatstaf heeft voldaan. De toepasselijke NEN-normen bepalen dat logbestanden regelmatig dienen te worden beoordeeld. Het uitgangspunt is dat er een systematische, consequente controle van alle logging plaatsvindt. Het ziekenhuis had echter geen vastgesteld controlebeleid. Om die reden gaf de functionaris gegevensbescherming zelf invulling aan hoe die controle plaatsvond. Dit had tot gevolg dat de logging van de patiëntendossiers die door medewerkers met onbegrensde toegang werden ingezien, geheel niet is gecontroleerd. Verder werden er iedere maand slechts twee patiëntendossiers steekproefsgewijs gecontroleerd. Daarmee kon volgens de rechtbank niet gesproken worden van een systematische en risicogerichte controle. Bovendien schoot deze controle ook tekort wat betreft de omvang, gelet op de hoeveelheid persoonsgegevens er door Bravis worden verwerkt.

De rechtbank oordeelt dan ook dat Bravis onrechtmatig heeft gehandeld jegens eiseres, nu in de periode van 24 juni 2014 tot en met 11 juni 2018 geen passende maatregelen zijn genomen ten aanzien van controle van de logging zoals vereist op basis van artikel 32 AVG. Voor de periode voorafgaand aan invoering van de AVG in mei 2018 oordeelt de rechtbank dat ook niet is voldaan aan artikel 13 Wbp, de voorganger van artikel 32 AVG.

Immateriële schade

Nu Bravis volgens de rechtbank aansprakelijk is op grond van onrechtmatige daad wegens het gebrek aan passende beveiligingsmaatregelen, komt zij toe aan beoordeling van de immateriële schadevergoeding die eiseres had gevorderd. Om in aanmerking te komen voor deze immateriële schadevergoeding, zou eiseres in deze zaak in haar eer of goede naam moeten zijn geschaad of op andere wijze in de persoon zijn aangetast.

De rechtbank stelt voorop dat niet is vast komen te staan dat zij in haar eer of goede naam is geschaad. Vandaar dat gekeken wordt of er sprake is van aantasting in de persoon ‘op andere wijze’. Eiseres heeft deze aantasting in de persoon niet met concrete gegevens onderbouwd. Om die reden moet de rechtbank beoordelen of de aard en de ernst van de normschending met zich meebrengt dat de nadelige gevolgen zo voor de hand liggen dat een aantasting in de persoon kan worden aangenomen.

De rechtbank is van mening dat dit in deze zaak aan de orde is. Er zijn immers fundamentele rechten van eiseres geschonden, namelijk een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer en op het recht op bescherming van persoonsgegevens. Bovendien draait het hier om een bijzondere categorie van persoonsgegevens, namelijk medische gegevens uit een patiëntendossier van een ziekenhuis. Deze patiëntgegevens zijn over een langdurige periode veelvuldig onrechtmatig ingezien en zijn gedurende deze periode ook onvoldoende beschermd. Vervolgens is deze medische informatie gedeeld met derden en gepubliceerd in een boek. Dat eiseres hier nadelige gevolgen van ondervindt, in de vorm van bijvoorbeeld angstklachten en het verlies van controle en de vertrouwelijkheid van haar persoonsgegevens, ligt volgens de rechtbank voor de hand.

Wegens schending van artikel 32 AVG wordt een relatief hoog bedrag van € 2.000,- aan immateriële schadevergoeding aan eiseres toegekend.

Conclusie

In deze zaak erkent de rechter dat patiëntgegevens gezien hun gevoelige aard een bijzondere categorie persoonsgegevens zijn. Bravis heeft deze gegevens voor een lange tijd niet afdoende beschermd waardoor een medewerker deze gegevens in die periode onrechtmatig in heeft kunnen zien. Op basis daarvan neemt de rechtbank, zonder nadere onderbouwing daarvan door eiseres, aan dat eiseres hiervan nadelige gevolgen ondervindt. Uiteindelijk wordt een immateriële schadevergoeding van € 2.000,- toegewezen. Het is dan ook zaak om als zorginstelling ervoor te zorgen dat systemen op een dergelijke wijze zijn ingericht dat zij aan bestaande normen en maatstaven, onder andere omtrent logging, voldoen.

Bent u een zorginstelling en heeft u vragen over het beschermen van persoonsgegevens? Of heeft u meer in het algemeen vragen over privacy?

Neem dan contact op met Stan Elsendoorn, Fred Droppert of Britt van den Branden.

Stan Elsendoorn nieuw 1Frederick Droppert nieuw 1Britt van den Branden nieuw 1

    Het Europees Hof schrapt het openbare UBO-register
    Lees meer
    De WNT en het arbeidsrecht: alles over de verloning van topfunctionarissen
    Lees meer
    Werknemer pakketdienst op staande voet ontslagen door betrokkenheid bij drugshandel
    Lees meer
    Hoe te handelen bij (seksueel) grensoverschrijdend gedrag op de werkvloer?
    Lees meer
    Psychische klachten zorgmedewerker
    Lees meer
    Geen gunningscriteria aanbesteding jeugdzorg: toch strijd met Jeugdwet (oud)
    Lees meer
    Verplichte digitalisatie van gegevensuitwisseling in de zorg
    Lees meer
    Werkgevers aansprakelijkheid voor bedrijfsuitje
    Lees meer
    Recht op inzage in een medisch advies van een beoordelend arts na een aansprakelijkheidsclaim?
    Lees meer
    Duik in ondiep water met helaas als gevolg een dwarsleasie. Is de schade verhaalbaar of is er sprake van eigen schuld?
    Lees meer
    Vijf tips voor het sluiten van SaaS-Overeenkomsten
    Lees meer
    Voor de inkoop van jeugdhulp moeten reële prijzen worden betaald
    Lees meer
    Inklokken, maar niet werken: reden voor ontslag
    Lees meer
    Zakelijke e-mail en privacy: wanneer mag je de mailbox van een werknemer controleren?
    Lees meer
    Alles over detachering en uitlenen van zelfstandigen (zzp’ers) en opdrachtnemers
    Lees meer
    Alles over detachering en uitlenen van werknemers
    Lees meer
    Lopende tuchtzaak tegen medisch specialist geen reden voor ontslag
    Lees meer
    Heeft het ziekenhuis patiënte wel voldoende geïnformeerd over de bijwerkingen van de chemokuur?
    Lees meer
    Digitale nieuwsbrieven en privacy: wat kan wel en niet?
    Lees meer
    ABRvS stelt AP in het ongelijk: boete VoetbalTV van tafel
    Lees meer
    Let op bij finale kwijting! De cao ziekenhuizen 2021-2023 stelt een andere eis voor
    Lees meer
    Zorg om inzet AI in de zorg
    Lees meer
    Compensatie transitievergoeding ook bij slapend dienstverband van vóór 1 juli 2015
    Lees meer
    Boete voor Italiaanse Deliveroo vanwege slechte gegevensbescherming
    Lees meer
    Medische behandeling met risico’s
    Lees meer
    Subsidie voor zorgpersoneel met longcovid in de maak
    Lees meer
    Gevolgen gemiste diagnose kanker
    Lees meer
    Alles over Wet implementatie EU-richtlijn transparante en voorspelbare arbeidsvoorwaarden
    Lees meer
    Nieuwe cao voor zorgpersoneel
    Lees meer
    Wat is vervangende toestemming medische behandeling?
    Lees meer
    Arbeidsrecht advocaat Marlies Hol over grensoverschrijdend gedrag op de werkvloer
    Lees meer
    Korting advocaatkosten voor MKB-ondernemers bij juridisch advies in 2022
    Lees meer
    Meer transparantie bij zorginkoop is noodzakelijk
    Lees meer
    Gebruik Google Analytics mogelijk in strijd met de AVG
    Lees meer
    Meer transparantie en verantwoording bij zorginkoop
    Lees meer
    Regeling transparantie zorginkoopproces gepubliceerd
    Lees meer
    European Data Protection Day: wat te doen bij een datalek?
    Lees meer
    Aanrijding in zorginstelling, wie is aansprakelijk?
    Lees meer
    De Governancecode Zorg 2022
    Lees meer
    Successful webinar 30% TAX RULE – TAX AND LABOUR LAW ISSUES
    Lees meer
    Val van operatietafel
    Lees meer
    Zorgverzekeraar moet dooronderhandelen én betaalovereenkomst sluiten
    Lees meer
    Ander werk voor werknemers door bedrijfssluiting
    Lees meer
    Philips apneu apparaten
    Lees meer
    Haantjesgedrag op de snelweg veroorzaakt letselschade
    Lees meer
    Sturing op seniorenhuisvesting is nodig!
    Lees meer
    (Senior) Medewerker IE/IT/Privacy
    Lees meer
    AMvB Reële prijs Wmo 2015 van toepassing op ‘open house’
    Lees meer
    Inkoopkader Wlz voor 2022 rechtmatig
    Lees meer
    Mag een werkgever in de zorg informeren naar vaccinatiestatus medewerkers?
    Lees meer
    Geen boete voor hogeschool na val van student
    Lees meer
    Handreiking vereenvoudigd aanbesteden in de zorg
    Lees meer
    Geen nadere duiding motiveringsplicht Wlz-inkoop
    Lees meer
    De Autoriteit Persoonsgegevens krijgt in 2022 geen extra budget
    Lees meer
    Uber-chauffeurs nu ook werknemers
    Lees meer
    Klein kind krijgt nier van rokende vijftigjarige getransplanteerd
    Lees meer
    Bestuurder of niet?
    Lees meer
    Confettikanon ontploft in winkel
    Lees meer
    Immateriële schadevergoeding bij schending privacy
    Lees meer
    Deskundigenonderzoek na vermeende medische fout bij knieoperatie
    Lees meer
    Een AI-systeem als baas?
    Lees meer
    Heeft nieuwe wet (WBTR) gevolgen voor zorginstellingen?
    Lees meer
    Cao-ontwikkelingen in de zorg
    Lees meer
    Leveranciersklem zorginformatiesystemen onder de loep van de ACM
    Lees meer
    Een toga; zo uniek als de advocaat die hem draagt
    Lees meer
    Gebruik van cookies in jouw webshop: Aan welke regels moet ik mij houden?
    Lees meer
    Verantwoordelijkheden en taken zorgverleners bij behandeling van 1 patiënt
    Lees meer
    Ouders aansprakelijk voor schade ten gevolge van een moord door 14 jarige zoon
    Lees meer
    Nieuwe regels registratie medisch-specialistische zorg vanaf 2022
    Lees meer
    Nieuwe gezondheidsclaim: wetenschappelijk bewijs vereist
    Lees meer
    Succesvol webinar Actualiteiten Arbeidsrecht
    Lees meer
    Worden toeslagen in de zorg doorbetaald bij vakantie en verlof?
    Lees meer
    Succesvol webinar legal voor AI startups/scale-ups
    Lees meer
    Schadevergoeding na hack persoonsgegevens?
    Lees meer
    Eenvoudiger aanbesteden in de jeugdzorg en Wmo in het verschiet?
    Lees meer
    Overtreding concurrentiebeding leidt tot boete € 51.800,-
    Lees meer
    Succesvol webinar Praktijkvoorbeelden van AI, E-Health en contractering in de zorg
    Lees meer
    Administratie in de zorg, onverminderd belangrijk!
    Lees meer
    Nooit geschoten is altijd mis: Tommy Hilfiger vs. Facebook uiteengezet
    Lees meer
    Verplichte taxatie tegen marktwaarde van zorgvastgoed
    Lees meer
    Reclame maken voor corona zelftesten
    Lees meer
    Kan de huisarts een patiënt definitief naar de deur verwijzen?
    Lees meer
    Factsheet uitwisseling medische gegevens gepubliceerd
    Lees meer
    In hoeverre hebben patiënten recht op inzage medisch dossier?
    Lees meer
    Onderbouwing van tarieven in sociaal domein
    Lees meer
    Aannemen van gift of diefstal? Reden voor ontslag op staande voet in de zorg
    Lees meer
    Vaccinatie Covid-19: Wie is aansprakelijk?
    Lees meer
    Zorgupdate: RVS adviseert aanpassingen zorgstelsel
    Lees meer
    Succesvol webinar AI in de Zorg
    Lees meer
    Hoezo kan ik geen eigenaar zijn van (zorg)data?
    Lees meer
    Heeft het wetsvoorstel Wtmo gevolgen voor zorginstellingen?
    Lees meer
    Cybersecurity in de zorg: dreigingen in beeld!
    Lees meer
    Werken met kennismigranten?
    Lees meer
    Aandachtspunten voor zorgwerkgevers bij mediation
    Lees meer
    Een webshop: mag alles zomaar of gelden er regels?
    Lees meer
    Letsel door zelfgemaakt vuurwerk, moet werkgever salaris doorbetalen?
    Lees meer
    Website zwarte lijst van zorgverleners op zwart
    Lees meer
    Moet een werkgever in tijden van corona een veilige werkplek garanderen?
    Lees meer
    Beslag door schuldeisers op zorgbonus mogelijk.
    Lees meer
    Sterkere werkgeversrol RvC ter versterking intern toezicht zorginstellingen
    Lees meer
    EU-detacheringsrichtlijn wegvervoersector
    Lees meer
    Mag je foto's van werknemers gebruiken?
    Lees meer
    Maatschappelijke BV voor maatschappelijke ondernemers
    Lees meer
    Dronken van desinfectiegel, is dat mogelijk?
    Lees meer
    Reële transparante tarieven vereist in zorgaanbesteding
    Lees meer
    Rechtbank geeft Autoriteit Persoonsgegevens rode kaart
    Lees meer
    Moet verzekering van ouders de schade van een 3 jarig kind vergoeden?
    Lees meer
    Belemmeringsverbod Waadi ook bij uitzending zzp’er
    Lees meer
    Schizofrene patiënt maakt betalingen over aan ‘vriendinnen’ in het buitenland.
    Lees meer
    Is nieuwe wet- of regelgeving nodig voor AI?
    Lees meer
    Wet toetreding zorgaanbieders (Wtza)
    Lees meer
    Wie betaalt het loon bij thuis-quarantaine?
    Lees meer
    Liegen op je cv leidt niet altijd tot ontslag!
    Lees meer
    Analyse kwaliteitsvraag in vervoersaanbestedingen
    Lees meer
    Een nieuwe golf? Maar dan claims van niet-corona patiënten?
    Lees meer
    Beleid zorgkantoren inkoop langdurige zorg onrechtmatig
    Lees meer
    AI & Privacy in de zorg, een gelukkig huwelijk?
    Lees meer
    Werkgeversaansprakelijkheid Covid-19
    Lees meer
    Wie is verantwoordelijk voor de analyse door een algoritme?
    Lees meer
    Mag ik een zelftest voor corona verkopen?
    Lees meer
    Een proeftijdbeding ná een stage? Volgens de kantonrechter is dat mogelijk.
    Lees meer
    Dierenarts gewond bij noodslachting stier. Veehouder aansprakelijk?
    Lees meer
    Gepubliceerde boetes of berispingen zorgpersoneel zijn openbaar
    Lees meer
    Hulp bij verwijderen van vervelende YouTube video’s: een stappenplan
    Lees meer
    Geen recht op transitievergoeding bij ontslag
    Lees meer
    Verzekeraars mogen geen standaard vergoeding hanteren bij een restitutiepolis
    Lees meer
    Hoge Raad: arts niet aansprakelijk voor gebruik ongeschikte medische hulpzaak
    Lees meer
    Rapport Aeternus: Trends en ontwikkelingen in de GGZ
    Lees meer
    Goed bestuur in de zorg: vernieuwd kader
    Lees meer
    Europees Hof verwijst EU-VS Privacy Shield naar de prullenbak. En nu?
    Lees meer
    Gevolgen letselschadeuitkering na beëindiging huwelijk.
    Lees meer
    Update zorg: juridische Factsheet Wabvpz
    Lees meer
    Eerste toewijzing cumulatiegrond voor ontbinding arbeidsovereenkomst
    Lees meer
    Strafregels of knielen, je kunt kiezen...
    Lees meer
    Overwerken door corona, moet ik daarmee instemmen?
    Lees meer
    Verlaagde transitievergoeding bij brede inzetbaarheid
    Lees meer
    Wetgever wil rol curator als verwerker van persoonsgegevens vastleggen
    Lees meer
    Aansprakelijkheid ziekenhuis bij plaatsing schouderprothese?
    Lees meer
    Nieuwe UAVG verduidelijkt omgang met medische gegevens in faillissement
    Lees meer
    Verwerking medische persoonsgegevens verduidelijkt in nieuwe UAVG
    Lees meer
    Het delen van data in de zorg: nieuwe mogelijkheden door blockchain?
    Lees meer
    Mondeling aanzeggen niet voortzetten tijdelijk arbeidscontract volstaat soms
    Lees meer
    Zorgupdate: NZa wil meer regie van zorgverzekeraars
    Lees meer
    Nieuw wetsartikel verplicht tot gratis inzage in elektronisch patiëntendossier
    Lees meer
    Inkoopprocedures in de zorg in coronatijd
    Lees meer
    De Wet Geneeskundige Behandelovereenkomst [WGBO] in een notendop
    Lees meer
    Een kritische blik op de Corona-apps van de overheid
    Lees meer
    Update: meer aanbestedingen in de zorg
    Lees meer
    De meedenkende, betalende Overheid: Werkgevers doe er uw voordeel mee!
    Lees meer
    Glaasje op? Laat je rijden. En stap niet in bij een chauffeur die ook gedronken heeft.
    Lees meer
    Overzicht nieuwe regels voor oproepkrachten per 1 januari 2020
    Lees meer
    Nieuw Intellectueel Eigendomsrecht/ IT recht advocatenkantoor in Eindhoven
    Lees meer
    5 TIPS: Wettelijke bewaartermijnen van persoonsgegevens
    Lees meer
    Hoever mag je gaan bij het nabootsen van een stijl/concept?
    Lees meer
    Adidas merk onderuit door nieuwe uitspraak
    Lees meer
    Aanvraag Tommy Hilfiger bescherming auteursrechten afgewezen
    Lees meer
    Inbreuk op merken in de beauty branche
    Lees meer
    Domeinnamen en merken: het wil nog wel eens botsen
    Lees meer
    Hoe bescherm ik mijn intellectuele eigendom bij een faillissement?
    Lees meer
    Privacyrecht
    Lees meer
    BG.legal participeert in onderzoek naar gebruik van big data en AI door zorginstellingen
    Lees meer
    Vacatures
    Lees meer
    BG.zorg
    Lees meer