HomeEen (onrechtmatig) kijkje in het EPD

Een (onrechtmatig) kijkje in het EPD

image description

Rechtbank Zeeland-West-Brabant, 21 september 2022

ECLI:NL:RBZWB:2022:5457

Een medewerker van het Bravis ziekenhuis heeft over een periode van vier jaar veelvuldig in het patiëntendossier van een patiënte, de eiseres in deze civiele procedure, gekeken. De medewerker heeft deze informatie doorgespeeld aan haar huidige partner, de ex-partner van de eiseres, die op zijn beurt de gegevens heeft gebruikt voor het schrijven van een boek over de echtscheiding met de eiseres. In een andere procedure had de rechter al (verdere) verspreiding/openbaring van het boek verboden.

In deze procedure stelt de eiseres dat het ziekenhuis als werkgever aansprakelijk is voor het onrechtmatig inzien door de medewerker van haar patiëntgegevens (art. 6: 170 lid 1 BW). Verder stelt zij dat het ziekenhuis ook zelf aansprakelijk is omdat geen passende maatregelen ten aanzien van de controle van de logging zijn genomen (art. 6: 162 BW).

De rechtbank komt allereerst tot het oordeel dat het ziekenhuis als werkgever (risico-) aansprakelijk is voor het handelen van de medewerker. De medewerker heeft onrechtmatig medische gegevens uit het patiëntendossier ingezien, deze medische informatie vervolgens gedeeld met haar partner/de ex-partner van de eiseres, waarna deze informatie verwerkt is in het door de ex-partner uitgegeven boek. Dit is niet alleen in strijd met een maatschappelijke zorgvuldigheidsnorm, maar er is ook sprake van een (ernstige) inbreuk op de persoonlijke levenssfeer van de eiseres. De medewerker heeft jegens de eiseres onrechtmatig gehandeld. Deze onrechtmatige daad kan het ziekenhuis als werkgever worden toegerekend.

De rechtbank oordeelt vervolgens ook dat het ziekenhuis zelf onrechtmatig jegens de medewerker heeft gehandeld omdat er geen sprake was van een systematische en consequente controle van alle logging. Een steekproefsgewijze controle en een controle op basis van klachten is niet voldoende om hier invulling aan te geven. Er zijn aldus geen passende beveiligingsmaatregelen ten aanzien van de controle van de logging genomen.

Het voorgaande leidt de rechtbank tot de conclusie dat het ziekenhuis op twee fronten aansprakelijk is. Ten aanzien van de gevorderde schadevergoeding overweegt de rechtbank dat fundamentele rechten zijn geschonden omdat er sprake is van een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer van de eiseres en op het recht op bescherming van persoonsgegevens. Bovendien gaat het hier om een bijzondere categorie van persoonsgegevens, namelijk medische persoonsgegevens uit het patiëntendossier van een ziekenhuis. De rechtbank kent de eiseres een schadevergoeding van € 2.000,- toe en veroordeelt het ziekenhuis in de kosten van de procedure.

De les die uit deze uitspraak volgt is, dat een ziekenhuis als werkgever aansprakelijk kan worden gesteld als een medewerker ongeautoriseerd een patiëntendossier inziet. Indien een medisch dossier door een onbevoegde medewerker wordt ingezien, wordt daarmee privacy van de patiënt geschonden en kan een werkgever voor de daaruit voortvloeiende schade worden aangesproken. Het is dan ook van belang om als ziekenhuis een systeem aan te houden dat medische gegevens voldoende beschermt, dat autorisaties voldoen aan de geldende normen en dat er een adequaat controlebeleid wordt gevoerd. Hiermee kan onbevoegde inzage door medewerkers en aansprakelijkheid als werkgever wellicht niet altijd worden voorkomen, maar kan een aangesproken ziekenhuis wel aantonen dat alles in het werk is gesteld om de privacy van patiënten te borgen. Hoe het ook zij: van je minst tevreden klanten kun je het meeste leren.

Nieuwsbrief

Altijd up to date?

Blijf op de hoogte van de laatste ontwikkelingen. Schrijf je in!
  • Wanneer je op aanmelden drukt ga je akkoord met ons Privacy Statement.