Bloglarımızda kişisel verilerin GDPR uyumlu şekilde işlenmesinin ne kadar önemli olduğunu sık sık vurguladık. Bunu yapmayanlar, Hollanda Veri Koruma Kurumu'ndan önemli miktarda para cezası alma riskiyle karşı karşıyadır. Örneğin, HagaZiekenhuis daha önce 460.000 € para cezası almıştı çünkü çalışanların tıbbi kayıtlara çok kolay erişimi vardı, kayıtlar yeterince izlenmiyordu ve erişim iki faktörlü kimlik doğrulama ile güvence altına alınmamıştı. Dahası, mağdurların tazminat da talep edebileceği konusunda daha önce de uyarıda bulunduk. Bu durum, örneğin, Roosendaal'daki Bravis Hastanesi'ni içeren yakın tarihli bir davada (ECLI:NL:RBZWB:2022:5457) yaşandı.
Çalışan, hastadan yasa dışı olarak tıbbi veri topluyor
Bu olayda, bir çalışan yaklaşık dört yıllık bir süre içinde bir hastanın dosyasını en az 79 kez incelemiştir. Dahası, çalışan topladığı tıbbi bilgileri üçüncü şahıslarla paylaşmıştır. Bu sayede, hastanın eski kocası bu tıbbi verileri çalışanın kendi yayınladığı bir kitaba dahil edebilmiştir. Bu ifşaatların ardından hastane çalışanı işten çıkarmıştır.
Bilgiye erişim zorunluluğu ilkesinin ihlali söz konusu değildir
Hastanın iddiasına göre, hastane gizli tıbbi ve adres bilgilerini korumak için yetersiz önlemler almıştır. Çalışanların yetkilerinin çok geniş kapsamlı olduğunu iddia etmektedir.
Mahkeme, çalışanların hasta verilerine yalnızca hasta ile bir tedavi anlaşmaları varsa veya bu anlaşmanın uygulanmasında doğrudan yer alıyorlarsa erişebilmeleri gerektiğini teyit etmektedir. Ayrıca, erişim, görevlerin yerine getirilmesi için gerçekten gerekli olan verilerle sınırlı olmalıdır. Bu, bazen "bilme gerekliliği ilkesi" olarak da adlandırılır.
Ancak, bilgiye erişim gerekliliği ilkesiyle ilgili olarak mahkeme, hastanenin suçlanamayacağına hükmetti. İşten çıkarılan çalışanın pozisyonu, hasta dosyalarına kapsamlı ve geniş erişim gerektiriyordu.
Hastane kayıtları daha iyi incelemeliydi
Mahkeme, hastanenin dosyalara erişimi yeterince kontrol edemediği görüşündedir. Yönetim tarafından oluşturulmuş bir kontrol politikası bile yoktu. Örneğin, hasta verilerine sınırsız erişimi olan çalışanların kayıtları izlenmiyordu. Aylık olarak sadece iki hasta dosyası örnek olarak kontrol ediliyordu. Bu kontrol çok sınırlı, sistematik değil ve risk temelli değil. Bu gerekçeyle mahkeme, hastaneyi hastanın zararlarından sorumlu tutmaktadır.
İşveren sorumluluğu
Son olarak, mahkeme hastanenin işveren sıfatıyla çalışanın eylemlerinden sorumlu olduğunu belirtmektedir. Yasalarımıza göre, yüklenici sıfatıyla hareket eden bir işveren, yardımcı personelinin görevin yerine getirilmesi sırasında müşteriye zarar vermesi durumunda, bu yardımcı personelin davranışlarından sorumludur. Sonradan yapılan bir işten çıkarma bunu değiştirmez.
Yukarıda belirtilenlere dayanarak, mahkeme hastaya manevi zararlar için 2.000 euro tazminat ödenmesine karar vermiştir. Bravis'in ayrıca yasal masrafları ve yasal faizi ödemesi emredilmiştir. Hastanın talep ettiği diğer tazminatlar mahkeme tarafından reddedilmiştir.
