Ziekenhuis veroordeeld voor falende bescherming medische dossiers

Datalek Voor het eerst moet een ziekenhuis een patiënt compenseren wegens een datalek. De rechter deed uitspraak in de zaak.

Een secretaresse van het Bravis ziekenhuis keek onrechtmatig in medische dossiers van bekenden.
Een secretaresse van het Bravis ziekenhuis keek onrechtmatig in medische dossiers van bekenden. Merlin Daleman

Het Bravis Ziekenhuis in Roosendaal moet een patiënt een schadevergoeding betalen omdat de beveiliging van medische dossiers niet op orde was. Dat heeft de rechtbank Zeeland-West Brabant woensdag geoordeeld. Het is de eerste keer dat een ziekenhuis een patiënt moet compenseren vanwege onvoldoende controle op de veiligheid van patiëntendossiers.

Een secretaresse van het ziekenhuis keek gedurende ten minste vier jaar onrechtmatig in medisch dossiers van bekenden. De medewerkster had onbeperkt toegang tot de medische dossiers doordat zij op de afdeling spoedeisende hulp werkte.

Ze bekeek tussen juni 2014 en juli 2018 in totaal 347 keer de medische dossiers van de ex-vrouw van haar partner, onthulde NRC eerder. Zij richtte een uitgeverij op die in eigen beheer een boek uitgaf van haar partner. Deze ‘wraakroman’ beschreef de vechtscheiding van haar man met zijn ex-vrouw waarin medische details over de voormalige partner zijn verwerkt.

Volgens de rechter moet ervan worden uitgegaan dat de secretaresse de medische informatie deelde met haar partner – die ex-partner was van de vrouwelijke patiënt – en dat hij deze informatie verwerkte in zijn boek. Het boek is inmiddels verboden.

De Autoriteit Persoonsgegevens trad aanvankelijk niet op tegen het omvangrijke datalek van Bravis. De toezichthouder stelde naar aanleiding van de publicaties in NRC een onderzoek in. De toezichthouder noemde het beeld destijds „zorgelijk”. De Autoriteit Persoonsgegevens zegt woensdagmiddag in een reactie dat het ziekenhuis een jaar lang een extra rapportageverplichting is opgelegd en dat dit op 16 december 2021 is afgesloten. Een woordvoerder noemt het niet vreemd dat een gedupeerde zelf naar de rechter moet stappen voor genoegdoening en ingrijpen. „Burgers kunnen altijd naar de rechter stappen, los van de AP.”

‘Toezichthouder schiet tekort’

Advocaat Paul Tjiam, die de patiënte bijstaat, zegt dat de toezichthouder tekortschiet, waardoor de gedupeerde van het datalek gedwongen was haar gelijk te halen bij de rechter. „Dat krijg je als je als toezichthouder niets doet. De gedupeerde patiënt moet het dan zelf oppakken.”

De rechter stelt vast dat het ziekenhuis in het geheel niet controleerde welke dossiers medewerkers met onbegrensde toegang raadpleegden. Een gegevensfunctionaris selecteerde daarnaast „maandelijks steekproefsgewijs slechts twee patiëntendossiers” ter controle. „Daarmee is (evident) geen sprake van een systematische en risicogerichte controle. Bovendien was deze controle ook in omvang onvoldoende, gelet op de schaal van verwerkingen in het ziekenhuis.”

Het slachtoffer ontdekte in 2018 zelf het datalek toen ze bij het ziekenhuis informeerde wie er inzage in haar dossier had gehad. De secretaresse bleek ook tienmaal noodprocedures te hebben gebruikt om in haar dossier en dat van haar moeder en dochter te kijken. Deze procedures bestaan zodat personeel in spoedgevallen medische dossiers kan inzien. De noodtoegang bij de betrokken dossiers is het Bravis-ziekenhuis nooit opgevallen.

Volgens de rechter gaat het hier om „een bijzondere categorie van persoonsgegevens, namelijk medische persoonsgegevens uit een patiëntendossier van een ziekenhuis. Deze gegevens zijn over een langdurige periode van vier jaar veelvuldig onrechtmatig ingezien en zijn gedurende deze periode ook onvoldoende beschermd. Daarnaast is er ook medische informatie gedeeld met derden en gepubliceerd in een boek.”

Daarom heeft patiënte recht op schadevergoeding. Het ziekenhuis moet haar 2.000 euro betalen, naast de vergoeding van de proceskosten. De vrouw eiste een aanzienlijk hoger bedrag van 15.000 euro.

Het ziekenhuis zei woensdagmiddag „kennis te hebben genomen” van de uitspraak van de rechter. Bravis „betreurt” de onbevoegde toegang tot medische dossiers en wijst erop dat de secretaresse destijds op staande voet is ontslagen. Bravis maakte in september bekend dat het een nieuw softwaresysteem in werking heeft gesteld waardoor het ziekenhuis „voorop loopt met digitale informatie-uitwisseling met patiënten”.