Schending AVG: ex-patiënte ontvangt schadevergoeding van ziekenhuis
Om patiënten goed te kunnen behandelen is het van groot belang dat zorgverleners over actuele medische persoonsgegevens van hun patiënten beschikken. Patiëntgegevens zijn vanwege hun aard echter uiterst gevoelig. Dit soort gegevens worden dan ook niet voor niets bestempeld als bijzondere persoonsgegevens in de zin van de Algemene Gegevens Verordening (AVG). Van zorginstellingen mag daarom verwacht worden dat er voldoende waarborgen zijn om zorgvuldige omgang met patiëntgegevens te garanderen.
Dat nog niet altijd met de benodigde zorg wordt omgegaan met patiëntgegevens, kwam naar voren in een recente zaak bij de rechtbank Zeeland-West-Brabant. Hier werd het Bravis ziekenhuis (Bravis) aansprakelijk gesteld, omdat zij nalatig zou zijn geweest ten aanzien van het op grond van de AVG vereiste controlebeleid omtrent patiëntgegevens. In onderstaande blog wordt de uitspraak van de rechtbank nader toegelicht.
Wat ging eraan vooraf?
De ex-partner van de eiseres heeft een boek geschreven over hun echtscheiding en echtscheidingsperikelen. Daarbij verschenen in het boek passages over medische gegevens van eiseres. De uitgever van het boek, een eenmanszaak, bleek een voormalig medewerker van Bravis te zijn. Vervolgens heeft eiseres contact opgenomen met Bravis en verzocht om inzage in de logging-gegevens van haar patiëntendossier. Daarbij kwam naar voren dat de voormalig medewerker gedurende een periode van vier jaar veelvuldig het patiëntendossier heeft ingezien.
Eiseres stelt dat de voormalig medewerker haar medische informatie onrechtmatig heeft ingezien en heeft doorgespeeld naar haar ex-partner. Zij is van mening dat Bravis onrechtmatig heeft gehandeld en aansprakelijk is voor de door haar geleden schade, omdat:
- het ziekenhuis onvoldoende maatregelen heeft genomen om haar medische gegevens (en adresgegevens) te beschermen;
- het ziekenhuis de logging-gegevens niet voor het kort geding aan eiseres heeft verstrekt, en;
- het ziekenhuis onvoldoende onderzoek heeft verricht naar het datalek en naar wat er met de medische gegevens is gebeurd.
Oordeel van de rechtbank
De rechtbank is van mening dat Bravis (risico)aansprakelijk is voor het handelen van de voormalig medewerker en volgt eiseres in het betoog dat het ziekenhuis onvoldoende maatregelen heeft genomen om haar medische gegevens te beschermen. Volgens eiseres zou Bravis ten aanzien van zowel het autorisatie- als het controlebeleid in strijd handelen met artikel 32 AVG. Dit artikel schrijft voor dat organisaties passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen. De rechtbank gaat deels in de stelling van eiseres mee.
Autorisatie
Wat betreft de autorisatie oordeelt de rechtbank dat Bravis voldeed aan de daarvoor gestelde norm. Deze norm houdt in dat medewerkers uitsluitend toegang hebben tot patiëntgegevens, indien zij een behandelingsovereenkomst met de patiënt hebben of als zij rechtstreeks betrokken zijn in de uitvoering daarvan. De voormalig medewerker was van 1 januari 2007 tot 1 oktober 2017 werkzaam als secretaresse op de spoedeisende hulp. In die hoedanigheid had zij een volledige en ongelimiteerde toegang tot patiëntendossiers, waaronder het dossier van eiseres. De rechtbank is van oordeel dat, gelet op de aard van de functie, deze ruime toegang tot patiëntendossiers gerechtvaardigd en proportioneel was. Toen zij vanaf 15 juli 2016 tot 13 augustus 2018 (ook) als planner (en secretaresse) op de IC werkzaam geweest had zij géén (directe) toegang tot de patiëntgegevens van eiseres.
Controlebeleid
Wat betreft het controlebeleid is de rechtbank echter van oordeel dat Bravis niet aan de daarvoor geldende maatstaf heeft voldaan. De toepasselijke NEN-normen bepalen dat logbestanden regelmatig dienen te worden beoordeeld. Het uitgangspunt is dat er een systematische, consequente controle van alle logging plaatsvindt. Het ziekenhuis had echter geen vastgesteld controlebeleid. Om die reden gaf de functionaris gegevensbescherming zelf invulling aan hoe die controle plaatsvond. Dit had tot gevolg dat de logging van de patiëntendossiers die door medewerkers met onbegrensde toegang werden ingezien, geheel niet is gecontroleerd. Verder werden er iedere maand slechts twee patiëntendossiers steekproefsgewijs gecontroleerd. Daarmee kon volgens de rechtbank niet gesproken worden van een systematische en risicogerichte controle. Bovendien schoot deze controle ook tekort wat betreft de omvang, gelet op de hoeveelheid persoonsgegevens er door Bravis worden verwerkt.
De rechtbank oordeelt dan ook dat Bravis onrechtmatig heeft gehandeld jegens eiseres, nu in de periode van 24 juni 2014 tot en met 11 juni 2018 geen passende maatregelen zijn genomen ten aanzien van controle van de logging zoals vereist op basis van artikel 32 AVG. Voor de periode voorafgaand aan invoering van de AVG in mei 2018 oordeelt de rechtbank dat ook niet is voldaan aan artikel 13 Wbp, de voorganger van artikel 32 AVG.
Immateriële schade
Nu Bravis volgens de rechtbank aansprakelijk is op grond van onrechtmatige daad wegens het gebrek aan passende beveiligingsmaatregelen, komt zij toe aan beoordeling van de immateriële schadevergoeding die eiseres had gevorderd. Om in aanmerking te komen voor deze immateriële schadevergoeding, zou eiseres in deze zaak in haar eer of goede naam moeten zijn geschaad of op andere wijze in de persoon zijn aangetast.
De rechtbank stelt voorop dat niet is vast komen te staan dat zij in haar eer of goede naam is geschaad. Vandaar dat gekeken wordt of er sprake is van aantasting in de persoon ‘op andere wijze’. Eiseres heeft deze aantasting in de persoon niet met concrete gegevens onderbouwd. Om die reden moet de rechtbank beoordelen of de aard en de ernst van de normschending met zich meebrengt dat de nadelige gevolgen zo voor de hand liggen dat een aantasting in de persoon kan worden aangenomen.
De rechtbank is van mening dat dit in deze zaak aan de orde is. Er zijn immers fundamentele rechten van eiseres geschonden, namelijk een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer en op het recht op bescherming van persoonsgegevens. Bovendien draait het hier om een bijzondere categorie van persoonsgegevens, namelijk medische gegevens uit een patiëntendossier van een ziekenhuis. Deze patiëntgegevens zijn over een langdurige periode veelvuldig onrechtmatig ingezien en zijn gedurende deze periode ook onvoldoende beschermd. Vervolgens is deze medische informatie gedeeld met derden en gepubliceerd in een boek. Dat eiseres hier nadelige gevolgen van ondervindt, in de vorm van bijvoorbeeld angstklachten en het verlies van controle en de vertrouwelijkheid van haar persoonsgegevens, ligt volgens de rechtbank voor de hand.
Wegens schending van artikel 32 AVG wordt een relatief hoog bedrag van € 2.000,- aan immateriële schadevergoeding aan eiseres toegekend.
Conclusie
In deze zaak erkent de rechter dat patiëntgegevens gezien hun gevoelige aard een bijzondere categorie persoonsgegevens zijn. Bravis heeft deze gegevens voor een lange tijd niet afdoende beschermd waardoor een medewerker deze gegevens in die periode onrechtmatig in heeft kunnen zien. Op basis daarvan neemt de rechtbank, zonder nadere onderbouwing daarvan door eiseres, aan dat eiseres hiervan nadelige gevolgen ondervindt. Uiteindelijk wordt een immateriële schadevergoeding van € 2.000,- toegewezen. Het is dan ook zaak om als zorginstelling ervoor te zorgen dat systemen op een dergelijke wijze zijn ingericht dat zij aan bestaande normen en maatstaven, onder andere omtrent logging, voldoen.
Bent u een zorginstelling en heeft u vragen over het beschermen van persoonsgegevens? Of heeft u meer in het algemeen vragen over privacy?
Neem dan contact op met Britt van den Branden.