Rechter tikt Bravis ziekenhuis op de vingers voor datalek

Arts zittend achter een laptop met een tablet en smartphone naast hem op tafel

Het Bravis ziekenhuis in Roosendaal moet een patiënt een schadevergoeding van 2.000 euro betalen. Een voormalige medewerkster raadpleegde 347 keer het medische dossier van de ex-vrouw van haar partner. Uit de gang van zaken blijkt dat het ziekenhuis de beveiliging van patiëntendossiers niet op orde had, wat een overtreding van de Algemene Verordening Gegevensbescherming (AVG) is.

Dat is de conclusie van de rechtbank Zeeland-West-Brabant.

Secretaresse op staande voet ontslagen

De zaak draait om een secretaresse die jarenlang het medische dossier van de ex-vrouw van haar echtgenoot bekeek. Ze gebruikte de informatie uit het dossier van het slachtoffer voor een roman. Daarin beschrijft de partner van de secretaresse de vechtscheiding die hij moest doorstaan. In het boek verwerkte hij tevens medische gegevens van zijn ex-vrouw. De ziekenhuismedewerkster richtte een eenmanszaak op die de roman in mei 2018 publiceerde.

Toen de ex-vrouw van de man zijn boek onder ogen kreeg, waarschuwde ze het Bravis ziekenhuis. Het ziekenhuis stelde daarop een onderzoek in. Uit de logbestanden van het ziekenhuis blijkt dat de vrouw tussen juni 2014 en juli 2018 in totaal 347 keer het dossier van de ex-partner van haar man opende.

“Wij hebben niet kunnen vaststellen dat de medewerkster informatie uit deze patiëntdossiers heeft gedeeld met haar echtgenoot”, zo schreef het ziekenhuis in een brief daterend van 14 augustus 2018. Toch was dit voor het ziekenhuis reden genoeg om de medewerkster op staande voet te ontslaan.

Ex-partner eist 15.000 euro schadevergoeding, moet genoegen nemen met 2.000 euro

Volgens de rechtbank is het echter aannemelijk dat de secretaresse de medische informatie met haar partner deelde: hij verwerkte immers medische details van zijn ex-partner in zijn boek. Omdat het om vertrouwelijke persoonsgegevens gaat, heeft de rechter verdere publicatie van het boek verboden.

De eiseres nam hier geen genoegen mee en spande een rechtszaak aan tegen het Bravis ziekenhuis. Ze eiste een schadevergoeding van 15.000 euro voor immateriële schade. Tevens eiste ze een verhuiskostenvergoeding van 20.000 euro en compensatie van 3.000 euro voor de beveiliging van haar huis.

De rechtbank erkent dat de rechten van de vrouw zijn geschonden. “Er is immers sprake van een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer van de eiseres en op het recht op bescherming van persoonsgegevens”, aldus de rechter.

Maar een schadevergoeding van tienduizenden euro’s vindt hij te ver gaan. De rechtbank vindt een schadevergoeding van 2.000 euro op zijn plaats. Het Bravis ziekenhuis dient dit bedrag over te maken, omdat zij aansprakelijk is voor het onrechtmatig handelen van haar medewerkers. Het ziekenhuis moet tevens de proceskosten van 1.600 euro vergoeden.

Ziekenhuis overtreedt AVG door slechte beveiliging patiëntendossiers

Dat is niet het enige dat de rechtbank over deze zaak zegt. De rechter komt tevens tot de conclusie dat het ziekenhuis geen passende technische en organisatorische beveiligingsmaatregelen heeft getroffen om de persoonsgegevens van patiënten te beschermen. Dat is in strijd met artikel 32 van de AVG, dat gaat over de beveiliging van persoonsgegevens. Er is dus sprake van een onrechtmatige daad jegens de eiseres.

“Het doel van de controle van de logging is om te controleren of toegang tot de patiëntendossiers beperkt blijft tot situaties waarin dat rechtmatig is. Het betreft een van de belangrijkste beveiligingseisen voor het beschermen van persoonlijke gezondheidsinformatie”, aldus de rechter. Doordat er geen controle op de logging plaatsvond, kon de secretaresse vier jaar lang haar gang gaan. Dat is in de ogen van de rechter een ernstige schending van de AVG.

Bravis ziekenhuis ‘betreurt’ gang van zaken

De Autoriteit Persoonsgegevens weigerde aanvankelijk om op te treden tegen het datalek van het Bravis ziekenhuis. Nadat NRC over deze zaak schreef, besloot de toezichthouder alsnog om een onderzoek in te stellen. Een woordvoerder van de privacywaakhond zegt tegenover het dagblad dat het ziekenhuis een jaar lang een extra rapportageverplichting is opgelegd. De toezichthouder sloot de kwestie daarmee eind vorig jaar af.

Het Bravis ziekenhuis zegt in een reactie dat het “betreurt” dat de toegang tot medische dossiers lange tijd niet op orde was. Ze wijst erop dat de vrouw destijds op staande voet is ontslagen. Eerder deze maand kondigde het ziekenhuis uit Roosendaal aan dat ze met nieuwe software werkt dat “voorop loopt met digitale informatie-uitwisseling met patiënten”.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen