Reeds veelvuldig hebben wij in onze blogs benadrukt hoe belangrijk het is om toe te zien op een AVG-conforme verwerking van persoonsgegevens. Wie het niet goed doet, riskeert namelijk flinke boetes van de Autoriteit Persoonsgegevens. Het HagaZiekenhuis kreeg bijvoorbeeld eerder al een boete van 460.000 euro, omdat medewerkers te eenvoudig toegang hadden tot medische dossiers, de logs onvoldoende werden gecontroleerd en de toegang niet via tweestapsverificatie werd beveiligd. We waarschuwden er bovendien al voor dat slachtoffers ook nog eens om een schadevergoeding kunnen vragen. Dat gebeurde bijvoorbeeld bij een recente zaak waarbij het Bravis ziekenhuis in Roosendaal betrokken was (ECLI:NL:RBZWB:2022:5457).
Medewerkster verzamelt onrechtmatig medische gegevens van een patiënte
Bij deze zaak bekeek een medewerkster in een periode van iets minder dan vier jaar maar liefst 79 keer het dossier van een patiënte. Bovendien heeft de medewerkster de vergaarde medische informatie met derden gedeeld. Op deze manier kon de ex-man van de patiënte deze medische gegevens opnemen in een boek dat door de medewerkster in eigen beheer werd gepubliceerd. De medewerkster werd na de onthullingen door het ziekenhuis ontslagen.
Geen inbreuk op het need-to-knowbeginsel
Volgens de patiënte heeft het ziekenhuis onvoldoende maatregelen getroffen om haar geheime medische gegevens en adresgegevens te beschermen. De autorisaties van de medewerkers zouden volgens haar te ruim zijn geweest.
De rechtbank bevestigt dat medewerkers enkel toegang horen te hebben tot patiëntgegevens als ze een behandelingsovereenkomst met de patiënt hebben of als ze rechtstreeks bij de uitvoering van deze overeenkomst betrokken zijn. Bovendien moet de toegang dan beperkt zijn tot de gegevens die ook daadwerkelijk nodig zijn voor de uitvoering van de taken. Dit wordt ook wel eens het need-to-knowbeginsel genoemd.
Wat het need-to-knowbeginsel betreft, oordeelde de rechtbank echter dat het ziekenhuis niks kon worden verweten. De functie van de ontslagen medewerkster vereiste wel degelijk een verregaande en ruime toegang tot de patiëntendossiers.
Ziekenhuis had de logs beter moeten controleren
De rechtbank is wel van oordeel dat het ziekenhuis de toegang tot de dossiers onvoldoende heeft gecontroleerd. Er was niet eens een door het management vastgesteld controlebeleid. Zo volgde men de logs van medewerkers met een onbegrensde toegang tot de patiëntengegevens niet op. Er werden maandelijks slechts twee patiëntendossiers als steekproef gecontroleerd. Deze controle is veel te beperkt, is niet systematisch en is niet risicogestuurd. Op basis hiervan acht de rechtbank het ziekenhuis aansprakelijk voor de schade van de patiënte.
Aansprakelijkheid van de werkgever
Ten slotte geeft de rechtbank aan dat het ziekenhuis als werkgever aansprakelijk is voor het handelen van de medewerkster. Binnen ons recht is een werkgever als opdrachtnemer aansprakelijk voor het gedrag van zijn hulppersonen als deze hulppersonen bij de uitvoering van de opdracht schade aanbrengen aan de opdrachtgever. Een later ontslag brengt hier geen verandering in.
De rechtbank wijst op basis van het bovenstaande een immateriële schadevergoeding van 2.000 euro aan de patiënte toe. Bravis werd ook veroordeeld tot de proceskosten, te vermeerderen met de wettelijke rente. Andere door de patiënte gevraagde vergoedingen werden door de rechtbank afgewezen.
