Haar medische gegevens las ze terug in een roman

Patiëntenprivacy In het Roosendaalse Bravis Ziekenhuis las een secretaresse jarenlang de medische dossiers van haar partners ex en familie. Er gingen geen alarmbellen af.

Het Bravis Ziekenhuis in Roosendaal. Het ziekenhuis wil geen aangifte doen tegen de glurende secretaresse en ontmoedigt Johanna om naar de politie te stappen.
Het Bravis Ziekenhuis in Roosendaal. Het ziekenhuis wil geen aangifte doen tegen de glurende secretaresse en ontmoedigt Johanna om naar de politie te stappen. Foto's Merlin Daleman

Het is woensdagavond 20.43 uur als in het Bravis Ziekenhuis in Roosendaal op de spoedeisende hulp het medisch dossier van Johanna wordt gelicht. Johanna (51) is niet opgenomen, zij heeft zich ook niet bij de spoedpost gemeld. Johanna is daar zelfs nog nooit geweest. Zij zit op 11 februari 2015 gezond thuis, zonder klachten.

Degene achter de computer die het dossier opent is secretaresse op de spoedpost. Zij is getrouwd met de ex-man van Johanna. Zij snuffelt in de correspondentie tussen het ziekenhuis en Johanna. Daarna, om 20.44 uur, bezoekt ze het dossier van Johanna’s volwassen dochter.

Op het scherm verschijnt een waarschuwing dat de gebruiker geen toegangsrecht heeft tot die informatie. Maar dat is geen probleem. Het ziekenhuissysteem kent een noodprocedure zodat personeel zonder autorisatie in spoedgevallen alsnog de medisch dossiers kan inzien. De secretaresse klikt gewoon door.

Daarmee zet ze een noodprocedure in werking, zodat zij toch in het dossier kan kijken. Deze winteravond raadpleegt ze zesmaal het medisch dossier van Johanna en negenmaal dat van de dochter.

Dat deed ze veel vaker. Over een periode van vier jaar (van juni 2014 tot en met juni 2018) verkreeg de ziekenhuismedewerker in totaal 379 keer onrechtmatig toegang tot medisch dossiers van Johanna en haar familie: 347 keer gluurde ze in de medische geschiedenis van de vrouw met wie haar partner jarenlang in een vechtscheiding verwikkeld was. Ze kijkt vijfentwintig maal bij een dochter uit dat huwelijk en zeven keer in het medisch dossier van de moeder van de ex van haar partner.

In de zorg is bescherming van persoonsgegevens al langer een probleem. Ziekenhuizen meldden vorig jaar bijna 2.000 maal een datalek, gemiddeld 36 per week. De toezichthouder riep meerdere malen op om medisch dossiers beter te beschermen, beroepsorganisaties gaven hun leden dringende tips en maakten handleidingen. Het HagaZiekenhuis kreeg een boete van een half miljoen euro toen bleek dat 85 medewerkers onrechtmatig in het medisch dossier van realityster Barbie hadden gekeken

Hoe kon het bij het Bravis zo uit de hand lopen?

Wraakroman

Het is niet het Bravis Ziekenhuis dat het datalek ontdekt. Dat is Johanna zelf. Zij vermoedt dat haar medische gegevens op straat liggen. Johanna, die al decennia in de regio van Roosendaal woont en uit privacyoverwegingen alleen met haar tweede voornaam in de krant wil, is alert geworden als gevolg van stalking door haar ex-man, vertelt zij. Zij draagt een alarm bij zich dat iedere tien minuten wordt uitgepeild. Met één druk op de knop kan via de meldkamer van de politie hulp worden ingeroepen.

Haar voormalige partner publiceert in mei 2018 – zes jaar na hun scheiding – een roman over een mislukt huwelijk waarin Johanna met de grond gelijk wordt gemaakt. Ook andere familieleden worden zwartgemaakt. Alleen niet onder hun echte naam, het is formeel gezien fictie, maar wel met hun juiste verjaardagen, straatnamen of gevolgde studies waardoor het voor mensen uit hun omgeving direct herkenbaar is, vreest Johanna.

Eind juni 2018 komt zij achter het bestaan van dit boek – in eigen beheer uitgegeven door een uitgeverij die door de secretaresse is opgericht. Johanna leest er technische details over een voorstadium van baarmoederhalskanker dat de vrouwelijke hoofdpersoon krijgt. En er wordt gerept van een soa-test.

Dit is te toevallig, denkt ze. Haar voormalige echtgenoot weet weliswaar van het afwijkende uitstrijkje in 1988, maar de precieze term en diagnose heeft ze nooit met hem gedeeld. Dat weet Johanna zeker. En nadat ze uit elkaar waren gegaan had zij in 2011 direct een test op geslachtsziekte laten doen vanwege vermoedens dat haar partner was vreemdgegaan. Die uitslag was negatief, maar hoe kon haar ex-man van die test en van technische details daarover weten?

Johanna neemt direct contact op met het ziekenhuis. Ze wil graag weten of de nieuwe echtgenote van haar ex-man, sinds kort ook uitgever, wellicht in haar dossiers heeft lopen grasduinen.

Datalek

Snel daarna zit Johanna in het Bravis Ziekenhuis achter een pc, samen met de eindverantwoordelijke functionaris gegevensbescherming. Zij zien in de loggegevens dat de secretaresse inderdaad in Johanna’s medisch dossier heeft gekeken. Niet één keer, maar „ontzettend vaak”, constateert de functionaris. Onrechtmatig. „In termen van privacy is er nu een datalek”, zegt hij.

Hoe veilig zijn de medische gegevens van 160.000 patiënten in Roosendaal? De glurende medewerkster was secretaresse bij de spoedpost, daarna bij cardiologie en vervolgens planner op de intensive care – allemaal administratieve functies. Zij maakte over verschillende jaren tienmaal gebruik van de noodprocedure. De secretaresse kon daarnaast kennelijk vrijwel onbeperkt in dossiers van andere afdelingen kijken. Ook in oude dossiers. Dat was zelfs in de affaire-Barbie uit 2018 niet het geval.

Johanna wil graag een uitdraai van de loggegevens mee, want de dag erop dient een kort geding waarbij ze probeert het boek van haar ex-man te verbieden. Volgens haar bewijzen de data dat privacygevoelige informatie uit haar medisch dossier in het boek terecht is gekomen.

Maar dat gaat de functionaris gegevensbescherming te snel. Hij durft de gegevens niet zomaar mee te geven. Hij wil het ziekenhuis niet onnodig in de problemen brengen, zegt hij tegen Johanna. Hij moet eerst intern overleggen. Terwijl Johanna erbij zit, belt hij wat heen en weer in het ziekenhuis, onder meer met Petra Verdult, de secretaris van de raad van bestuur. Zijn conclusie: het ziekenhuis wil eerst intern onderzoek doen en de secretaresse om wederhoor vragen.

Johanna is overweldigd door alle ontwikkelingen. Ze moet het ziekenhuis verlaten zonder dat ze de inzagedata meekrijgt. Wat kan zij in de tussentijd doen? „Gewoon wijselijk uw mond houden hierover en niet delen met derden”, adviseert de functionaris gegevensbescherming.

Die avond heeft Johanna zelf telefonisch contact met Verdult. Waarom kan zij niet het bestand met ‘logging’– wie keek of schreef wanneer in het medisch dossier – meekrijgen, daar heeft ze toch recht op? Ja, daar heeft zij zeker recht op maar de ongeoorloofde inzages compliceren de zaak, legt Verdult uit. Als er niets gevonden was, had Johanna die data zo meegekregen. „Maar omdat dit erin zit, dienen we ook de privacy en rechten van de betrokken medewerker te respecteren.”

Publicatieverbod

Als Johanna de volgende ochtend voor de voorzieningenrechter staat, meldt ze niet dat ze weet dat haar medisch dossier veelvuldig is ingezien. Ze bezit de logging-data niet. Het uit de handel halen van het boek heeft haar hoogste prioriteit. Omdat de rechter er niet van overtuigd is dat de inhoud van het manuscript voor anderen tot haar herleidbaar is, wijst hij het gevraagde publicatieverbod af.

Kort hierna krijgt Johanna alsnog de gevraagde logging-data. Het ziekenhuis rondt zijn interne onderzoek af met de conclusie dat „medewerkster langdurig en meermalen onrechtmatig uw patiëntdossier heeft ingezien”.

Ontslag op staande voet is het gevolg – maar niet vanwege het eventueel delen van informatie uit Johanna’s dossier. De secretaresse ontkent tegenover het ziekenhuis die informatie met anderen te hebben gedeeld. „We hebben uw woord, uw veronderstelling, uw mening dat dat is gebeurd en we hebben de mening van de medewerkster dat dat niet is gebeurd. Dus voor ons is dat niet vast te stellen”, zegt Verdult in een telefoongesprek.

Maar hebben jullie dan niet gekeken of ze iets geprint of doorgemaild heeft, vraagt Johanna. Nee, een printhistorie houdt Bravis niet bij, zegt de jurist, en mails zijn niet onderzocht. Vanuit haar functie mailde de vrouw zo veel dat het lastig te zien is of zij ook naar zichzelf privé mailde, zegt Verdult tegen Johanna. „Dat is een beetje de handicap waar wij tegenaan lopen. Gelet op de hoeveelheid adressen en mensen die zij mailt.”

Het ziekenhuis draait de bewijslast om en schrijft: „Alleen indien een afschrift uit uw patiëntendossier of een letterlijk citaat in het boek zou zijn opgenomen, zouden wij dat als voldoende bewijs beschouwen voor het ongeoorloofd delen en publiceren van medische informatie door de medewerkster.”

Het Bravis belooft beterschap aan Johanna. Het zal de controle van inzages verbeteren zodat „een dergelijke langdurige overtreding van de privacyregels eerder aan het licht zal komen”. Ook zal het extra alert zijn op de toegangsrechten van medewerkers die van functie wisselen.

Het geeft Johanna gemengde gevoelens. Ze is gefrustreerd dat het Bravis niet heeft uitgezocht waarnaartoe de data zijn gelekt. Tegelijkertijd is ze blij dat ze deze informatie nog net op tijd krijgt om die te gebruiken in het hoger beroep in haar poging het boek te verbieden.

Bij het gerechtshof haalt zij haar gelijk: het boek van haar ex-man wordt alsnog verboden. De rechter constateert dat de thrillerauteur „zeer persoonlijke en vertrouwelijke medische informatie” over Johanna heeft gepubliceerd die hij „vermoedelijk” via zijn nieuwe echtgenote in handen heeft gekregen. Tegenover NRC bevestigt de secretaresse de inzage maar weigert verder commentaar.

Schadeclaim

Wat het ziekenhuis betreft, is hiermee de zaak gesloten. Het Bravis wil geen aangifte doen tegen de secretaresse en ontmoedigt Johanna naar de politie te stappen.

Maar waarom grijpt de toezichthouder niet in? Bij de affaire-Barbie kreeg het HagaZiekenhuis een boete van 460.000 euro van de Autoriteit Persoonsgegevens. De toezichthouder rekende het Haga zwaar aan dat de onrechtmatige inzages in Den Haag niet goed gecontroleerd werden. Er bestond geen systematische controle van de logging door medewerkers en daarmee overtrad het Haga de wet. Bij het Bravis bestond kennelijk helemaal geen controle. De toezichthouder gaat niet in op individuele zaken.

Bravis: „We hebben het voorval, de resultaten van ons onderzoek en de genomen maatregelen gemeld bij de Autoriteit Persoonsgegevens (AP). De AP heeft onze melding beoordeeld en de zaak gesloten zonder aanvullende vragen te stellen of sancties op te leggen.”

Bart Jacobs, computerbeveiligingsexpert en hoogleraar aan de Radboud Universiteit, ziet het datalek niet als een geringe zaak. „Op basis van de informatie die u voorlegt blijkt dat de administratief medewerker vrijwel onbeperkt toegang heeft tot alle medische dossiers. Dat is fout.”

De wetenschapper rekent het Bravis zwaar aan dat het de noodstopprocedures niet controleerde. „In de zorg is snelle toegang tot dossiers gewenst, dat is begrijpelijk en een bekend spanningsveld. Daarom is een noodstopprocedure bedacht. In noodsituaties gebruik je de rode knop, breek je het glas om snel toegang te verkrijgen. Daar heb je wel een goede reden voor nodig. Want juist deze vormen van toegang zijn potentieel gevaarlijk. Het is essentieel dat zulke logs nadien gecontroleerd worden, 100 procent. En het is nalatig als je dat niet doet. Alle alarmbellen behoren af te gaan als een medewerker zonder behandelrelatie zo systematisch in de dossiers zit.”

Daarnaast blijkt het ziekenhuis jarenlang te hebben verzwegen dat het slechts over beperkte logging-data beschikt. Vóór 24 juni 2014 heeft het Bravis geen informatie over wie waarom patiëntengegevens raadpleegde, erkende het ziekenhuis pas twee weken geleden desgevraagd aan Johanna. De secretaresse heeft wellicht dus langer en meer gekeken dan nu bekend.

„Het feit dat er vóór juni 2014 geen logging was, duidt erop dat de beveiliging niet toereikend was”, zegt Gerrit-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden. „Op basis van de informatie die u mij verstrekt lijkt dit een redelijk serieus datalek, aangezien het over zo’n lange periode plaatsvond, niet door het ziekenhuis zelf werd ontdekt en omdat het om medische gegevens gaat.”

Het ziekenhuis weigert vragen te beantwoorden over het veiligheidsbeleid en welke maatregelen het heeft genomen.

Reacties? Onderzoek@nrc.nl