Ziekenhuis aansprakelijk voor ongeoorloofde inzage in medisch dossier

23-09-2022

Zorgverleners mogen slechts het medisch dossier van een patiënt raadplegen als daarvoor een gegronde reden bestaat, zoals indien de inzage plaatsvindt binnen de geneeskundige behandelrelatie. Dat gaat (nog) niet altijd goed. De Autoriteit Persoonsgegevens ziet kritisch toe op datalekken in de zorg en heeft al forse boetes aan ziekenhuizen opgelegd. Dat een ongeoorloofde inzage in het medisch dossier ook tot civielrechtelijke aansprakelijkheid van een ziekenhuis kan leiden, blijkt uit een recente uitspraak van de Rechtbank Zeeland-West-Brabant (ECLI:NL:RBZWB:2022:5457).

Een voormalig patiënt van een Brabants ziekenhuis had de procedure aanhangig gemaakt omdat uit logging-gegevens was gebleken dat een medewerkster in een periode van vier jaar tijd 79 keer ongeoorloofd haar medisch dossier had ingezien. Dit was aan het licht gekomen doordat de ex-partner van de patiënt, en inmiddels de huidige partner van de betreffende medewerkster, in 2018 een boek had uitgebracht over hun echtscheidingsperikelen, waarin medische gegevens van de voormalig patiënt waren verwerkt. De patiënt meende hierdoor schade te hebben geleden en stelde het Brabantse ziekenhuis op grond van risicoaansprakelijkheid voor ondergeschikten (6:170 BW) en op grond van een eigen onrechtmatige gedraging (6:162 BW) aansprakelijk.

De rechtbank is met de patiënt van oordeel dat de medewerkster onrechtmatig heeft gehandeld door onbevoegd haar medisch dossier in te zien en deze medische informatie vervolgens te delen met een derde. Omdat deze onrechtmatige gedraging in het kader van haar werkzaamheden als medisch secretaresse, onder werktijd, binnen de werkomgeving en middels de door haar verkregen toegang/autorisatie is verricht, is het ziekenhuis hiervoor naar het oordeel van de rechtbank (risico)aansprakelijk. Of het ziekenhuis ook zelf onrechtmatig jegens de patiënt heeft gehandeld, wordt beoordeeld aan de hand van artikel 32 van de Algemene verordening gegevensbescherming (AVG) en artikel 13 van de Wet bescherming persoonsgegevens (Wbp). Daarin is in het kort bepaald dat organisaties passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen.

Volgens de rechtbank waren de aan de medewerkster verleende autorisaties niet in strijd met het zogeheten 'need to know beginsel', omdat het gelet op haar functie van medisch secretaresse op de spoedeisende hulp proportioneel en gerechtvaardigd was dat zij ongelimiteerde toegang tot patiëntendossiers had. Wel is de rechtbank van oordeel dat het controlebeleid van het ziekenhuis niet voldoet aan de daarvoor gestelde normen, nu van een systematische en consequente controle van de logging-gegevens geen sprake is geweest. De door het ziekenhuis uitgevoerde steekproefsgewijze controle wordt niet toereikend geacht. Het ziekenhuis heeft hiermee onrechtmatig jegens de patiënt gehandeld. Van de door de patiënt gevorderde schadevergoeding van in totaal € 108.000,- wordt door de rechtbank € 2.000,- toegewezen vanwege geleden immateriële schade. 

Deze uitspraak laat zien dat zorginstellingen bij datalekken niet alleen te vrezen hebben van de Autoriteit Persoonsgegevens, maar dat ook een civiele claim van een patiënt onder omstandigheden toewijsbaar kan zijn. Alle reden dus om aandacht te besteden aan dataveiligheid en proportionele inzage in het medisch dossier.  

Dit is een Legal Update van Stijn Könning en Inge Hanemaaijer.

Download als pdf

Specialist(en)