Risico’s bij ongeoorloofde inzage in medisch dossier: waar moet de zorgaanbieder op letten?

Ongeoorloofde-inzagen-medisch dossier-wet-bescherming-persoonsgegevens-wbp-autoriteitpersoonsgegevens-ap-zorgaanbieder-medische-aansprakelijkheid-schadevergoeding

Onlangs heeft de rechtbank Zeeland-West-Brabant een uitspraak gedaan waaruit volgt dat zorginstellingen, naast dat zij een boete kunnen krijgen van de Autoriteit Persoonsgegevens (de “AP”), ook civielrechtelijk aansprakelijk kunnen worden gesteld voor een ongeoorloofde inzage in het medisch dossier van patiënten. In dit artikel wordt besproken wat de aanleiding was en waarmee zorgaanbieders rekening moeten houden.

Wat is het gevolg van verboden inzage in een medisch dossier door een werknemer?

In de betreffende uitspraak van de rechtbank Zeeland-West-Brabant heeft een medewerker van het ziekenhuis op 79 verschillende momenten een patiëntendossier ingezien. Deze gegevens zijn gebruikt voor het schrijven van een boek dat uiteindelijk gepubliceerd is. Ook de patiëntendossiers van de moeder en dochter van de betreffende patiënt zijn ingezien door de medewerker. De betreffende patiënt heeft hierover een klacht ingediend bij het ziekenhuis. Het ziekenhuis heeft de arbeidsrelatie met de medewerker als gevolg hiervan verbroken. De patiënt heeft het ziekenhuis vervolgens aansprakelijk gesteld voor de door haar geleden schade.

Is een werkgever aansprakelijk voor onrechtmatige inzage in medisch dossier door een werknemer?

De patiënt beroept zich op artikel 6:170 lid 1 van het Burgerlijk Wetboek (het “BW”). Dit artikel bepaalt dat een werkgever risicoaansprakelijk is voor fouten van zijn ondergeschikten. Het ziekenhuis kan dan aansprakelijk zijn, mits sprake aan de vereisten om te spreken van een onrechtmatige daad als bedoeld in artikel 6:162 lid 1 BW wordt voldaan. Een van de vereisten is dan dat sprake is van toerekenbaarheid van de onrechtmatige gedraging. Om tot risicoaansprakelijkheid van de werkgever te komen, is een functioneel verband vereist tussen de fout van de werknemer en de aan hem opgedragen taak.

Naast de gestelde risicoaansprakelijkheid voor de werknemer, vorderde de patiënt dat het ziekenhuis zelf jegens haar aansprakelijk is op grond van een onrechtmatige gedraging als bedoeld in artikel 32 van de Algemene Verordening Gegevensbescherming (de “AVG”) en artikel 13 van de Wet bescherming persoonsgegevens (de “Wbp”). Deze artikelen bepalen kort gezegd dat organisaties technische en organisatorische maatregelen dienen te nemen ter bescherming van persoonsgegevens. De patiënt stelde in dit kader dat het ziekenhuis onvoldoende maatregelen heeft genomen om haar medische gegevens te beschermen, omdat de medewerker op grond van haar functie geen ongelimiteerde toegang tot de patiëntendossiers behoefde te hebben.

Zowel werkgeversaansprakelijkheid als aansprakelijkheid voor het niet treffen van afdoende maatregelen wordt aangenomen

De rechter oordeelde dat het ziekenhuis in casu risicoaansprakelijk was voor de door de patiënt geleden schade. De rechtbank kwam tot dit oordeel omdat de medewerker door het verstrekken van de medische informatie aan de schrijver van het boek, in strijd met de maatschappelijke zorgvuldigheidsnorm heeft gehandeld en dat sprake was van een ernstige inbreuk op de persoonlijke levenssfeer van de patiënt. Deze daad viel de medewerker toe te rekenen. Ook het functioneel verband dat vereist is voor risicoaansprakelijkheid van de werkgever, werd aangenomen: de kans op de fout door de opdracht van het ziekenhuis vergroot, aldus de rechtbank, en het ziekenhuis had zeggenschap over de gedragingen van de medewerker. Het ziekenhuis voerde nog aan dat hier sprake was van een privéhandeling die is uitgevoerd in de privésfeer, maar daar ging de rechtbank niet in mee.

Logging alleen is niet afdoende, de logging gegevens moeten ook consequent gecontroleerd worden door de zorgaanbieder

Ten aanzien van de eigen aansprakelijkheid van het ziekenhuis jegens de patiënt, oordeelde de rechtbank dat het controlebeleid van het ziekenhuis niet voldeed aan de daarvoor gestelde normen. Dit omdat het ziekenhuis de logging-gegevens niet systematisch en consequent gecontroleerd heeft en de steekproefsgewijze controle onvoldoende toereikend werd geacht. De rechtbank veroordeelt het ziekenhuis tot betaling van een schadevergoeding.

Wat betekent dit voor zorgaanbieders?

De uitspraak illustreert dat zorgaanbieders bij een ongeoorloofde inzage in het medisch dossier van patiënten niet alleen bestuursrechtelijke risico’s lopen, zoals het opleggen van een boete door de AP, maar dat zij ook civielrechtelijk aansprakelijk kunnen zijn jegens de gedupeerde patiënt. Dat kan ook indien het gaat om ongewenst handelen van een werknemer en daar onvoldoende toezicht op is gehouden.

Specialisten over dit onderwerp

Gerelateerde items