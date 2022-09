Het Bravis Ziekenhuis in Roosendaal moet een patiënt een schadevergoeding betalen omdat de beveiliging van medische dossiers niet op orde was. Dat heeft de rechtbank Zeeland-West Brabant woensdag geoordeeld. Het is de eerste keer dat een ziekenhuis een patiënt moet compenseren vanwege een datalek.

Een secretaresse van het ziekenhuis keek gedurende ten minste vier jaar onrechtmatig in medisch dossiers van bekenden. De medewerkster had onbeperkt toegang tot de medische dossiers doordat zij op de afdeling spoedeisende hulp werkte.

Ze bekeek tussen juni 2014 en juli 2018 in totaal 347 keer de medische dossiers van de ex-vrouw van haar partner, onthulde NRC eerder. Zij richtte een uitgeverij op die in eigen beheer een boek uitgaf van haar partner. Deze ‘wraakroman’ beschreef de vechtscheiding van haar man met zijn ex-vrouw waarin medische details over de voormalige partner zijn verwerkt.

Volgens de rechter moet ervan worden uitgegaan dat de secretaresse de medische informatie deelde met haar partner – die ex-partner was van de vrouwelijke patiënt – en dat hij deze informatie verwerkte in zijn boek. Het boek is inmiddels verboden.

De Autoriteit Persoonsgegevens trad aanvankelijk niet op tegen het omvangrijke datalek van Bravis. De toezichthouder stelde naar aanleiding van de publicaties in NRC een onderzoek in. De toezichthouder noemde het beeld destijds „zorgelijk”. Het is onduidelijk wat er daarna gebeurd is met het onderzoek dat in december 2020 werd geopend. De AP was woensdagmiddag nog niet in staat een reactie te geven.

‘Toezichthouder schiet tekort’

Advocaat Paul Tjiam, die de patiënte bijstaat, zegt dat de toezichthouder tekortschiet, waardoor de gedupeerde van het datalek gedwongen was haar gelijk te halen bij de rechter. „Dat krijg je als je als toezichthouder niets doet.”

De rechter stelt vast dat het ziekenhuis in het geheel niet controleerde welke dossiers medewerkers met onbegrensde toegang raadpleegden. Een gegevensfunctionaris selecteerde daarnaast „maandelijks steekproefsgewijs slechts twee patiëntendossiers” ter controle. „Daarmee is (evident) geen sprake van een systematische en risicogerichte controle. Bovendien was deze controle ook in omvang onvoldoende, gelet op de schaal van verwerkingen in het ziekenhuis.”

Het slachtoffer ontdekte in 2018 zelf het datalek toen ze bij het ziekenhuis informeerde wie er inzage in haar dossier had gehad. De secretaresse bleek ook tienmaal noodprocedures te hebben gebruikt om in haar dossier en dat van haar moeder en dochter te kijken. Deze procedures bestaan zodat personeel in spoedgevallen medische dossiers kan inzien. De noodtoegang bij de betrokken dossiers is het Bravis-ziekenhuis nooit opgevallen.

Volgens de rechter gaat het hier om „een bijzondere categorie van persoonsgegevens, namelijk medische persoonsgegevens uit een patiëntendossier van een ziekenhuis. Deze gegevens zijn over een langdurige periode van vier jaar veelvuldig onrechtmatig ingezien en zijn gedurende deze periode ook onvoldoende beschermd. Daarnaast is er ook medische informatie gedeeld met derden en gepubliceerd in een boek.”

Daarom heeft patiënte recht op schadevergoeding. Het ziekenhuis moet haar 2.000 euro betalen, naast de vergoeding van de proceskosten. De vrouw eiste een aanzienlijk hoger bedrag van 15.000 euro.

Het ziekenhuis was woensdagmiddag nog niet in staat om op het vonnis te reageren.