De rechtbank Zeeland-West-Brabant heeft een ziekenhuis veroordeeld voor het betalen van een immateriële schadevergoeding aan een patiënte waarvan medische gegevens veelvuldig onrechtmatig zijn ingezien door een voormalig medewerkster van het ziekenhuis. De rechter nam in deze uitspraak mee dat artikel 32 uit de AVG is geschonden, omdat het beveiligingsniveau van persoonsgegevens in het ziekenhuis onvoldoende was.
Passend beveiligingsniveau
Op grond van de AVG is iedere organisatie die persoonsgegevens verwerkt of voor zich laat verwerken verplicht maatregelen te nemen om een passend beveiligingsniveau te waarborgen. De eiseres in deze zaak stelde dat het ziekenhuis haar medische gegevens en adresgegevens onvoldoende heeft beschermd, omdat een voormalig medewerkster de gegevens onrechtmatig heeft kunnen inzien. Wij gaan hieronder verder in op de schending van de AVG door het ziekenhuis.
Need-to-know-principe
Bij zorginstellingen, maar ook binnen andere organisaties, is het belangrijk dat enkel degenen die noodzaak hebben om bepaalde gegevens in te zien, daadwerkelijk toegang hebben tot die gegevens. Met betrekking tot medische gegevens is dit ook vastgelegd in de Wet op de geneeskundige behandelingsovereenkomst. De voormalig medewerkster van het ziekenhuis had als medisch secretaresse op de spoedeisende hulp volledige toegang tot alle patiëntendossiers. In een andere functie had zij beperkte toegang tot dossiers en kon ze het medisch dossier van eiseres enkel raadplegen via een noodknopprocedure. De rechtbank oordeelde dat hiermee het need-to-know-principe niet is geschonden, omdat het op de spoedeisende hulp nu eenmaal noodzakelijk is om snel een volledig medisch dossier te kunnen raadplegen.
Waar ging het bij dit ziekenhuis dan fout?
In deze zaak heeft de voormalig medewerkster het dossier van eiseres 79 keer geraadpleegd in een periode van ongeveer vier jaar, waarvan zes keer met de noodknopprocedure De voormalig medewerkster had geen noodzaak om de het dossier van eiseres te raadplegen.
Het systeem van het ziekenhuis logt wie welk dossier bekijkt, maar het is vooral van belang dat hier adequaat toezicht op wordt gehouden en dus wordt gecontroleerd of degene die een dossier raadpleegt hier noodzaak toe had. In het ziekenhuis werden maandelijks steekproefsgewijs twee loggings gecontroleerd op noodzakelijkheid. Medewerkers met onbegrensde toegang werden in deze controle echter niet meegenomen, zodat het voor de voormalig medewerkster zonder risico op controle mogelijk was om dossiers in te zien. De rechtbank heeft geoordeeld dat door dit gebrek aan toezicht geen passend beveiligingsniveau werd gewaarborgd door de werkgever en dit levert een schending van de AVG op. Het noodzakelijkerwijs hebben van onbegrensde toegang tot dossiers betekent namelijk niet dat medewerkers deze dossiers ook daadwerkelijk mogen raadplegen, zonder dat dit nodig is.
Wat kunnen andere organisaties hiervan leren?
Zorg voor een goed gegevensbeveiligingsbeleid! Hierin kunt u als organisatie vastleggen op basis waarvan u medewerkers toegang verstrekt tot bepaalde persoonsgegevens en hoe u controleert dat medewerkers geen misbruik maken van deze toegang. Controleer hier ook daadwerkelijk actief op. In de in deze blog besproken casus had het immers een stuk eerder aan het licht kunnen komen dat de voormalig medewerkster vele malen onrechtmatig heeft geraadpleegd en daarmee zouden er eerder (arbeidsrechtelijke) maatregelen kunnen worden getroffen.
Bij Van Gelder Advocaten kunnen wij uw zorgen uit handen nemen en, samen met u, een goed gegevensbeveiligingsbeleid opstellen. Heeft u hier vragen over? Schroom dan niet om contact op te nemen met onze sectie privacyrecht via het e-mailadres privacyrecht@vangelderadvocaten.nl of telefonische via 088-8840840. Wij helpen u graag verder!
