Voor adequate beveiliging van patiëntendossiers moeten ziekenhuizen regelmatig, systematisch en consequent alle logbestanden beoordelen. Eenvoudige steekproefsgewijze controles of een controle op basis van klachten is onvoldoende, aldus oordeelde Rechtbank Zeeland-West-Brabant in zijn uitspraak van 21 september 2022. Er moet sprake zijn van een (door het management) vastgesteld controlebeleid, in lijn met de normen NEN 7510 en NEN 7513. Dit controlebeleid dient ook strikt nageleefd te worden.
Het is voor het eerst dat een rechter de geldende controle-maatstaf zo duidelijk bevestigt. Het ziekenhuis in kwestie werd veroordeeld tot het betalen van een schadevergoeding van EUR 2000 aan de patiënt. Haar medisch dossier was gedurende maar liefst vier jaren achtereen veelvuldig onrechtmatig ingezien door een (inmiddels ex) medewerker van het ziekenhuis. Over deze uitspraak is al veel geschreven. Daarbij is de aandacht vooral uitgegaan naar de bijzondere feiten van deze zaak en het schadevergoedingsaspect. Dat is zeker ook interessant, maar voor de dagelijkse praktijk van zorgverleners is het vooral van belang om te weten hoever hun verplichting tot het controleren van de logbestanden reikt.
In haar richtsnoeren uit 2013 heeft de Autoriteit Persoonsgegevens (toen nog College bescherming persoonsgegevens) reeds de uitgangspunten voor de beveiliging van patiëntendossiers geformuleerd. De geldende maatstaf had dus al langer – ruim vóórdat de AVG van toepassing is geworden – breed bekend moeten zijn bij zorgverleners. Onzorgvuldige beveiliging van patiëntendossiers is ook een veelvuldig terugkerend thema in boetebesluiten van de Autoriteit Persoonsgegevens. In 2019 kreeg een ziekenhuis de eerste boete onder de AVG opgelegd omdat medewerkers onnodig in het medisch dossier van een bekende Nederlander hadden lopen neuzen. Het ziekenhuis had onder andere niet regelmatig genoeg de toegangslogging gecontroleerd. Een ander ziekenhuis kreeg in 2021 een boete opgelegd, ook mede het onvoldoende controleren wie welk dossier bekeek.
In de recente zaak waren de feiten nog opmerkelijker. Veelvuldig had een secretaresse onrechtmatig het patiëntendossier van de ex-vrouw van haar partner ingezien. De medische gegevens zijn vervolgens gedeeld met haar partner die de gegevens publiceerde in een boek over zijn echtscheidingsperikelen. De rechtbank oordeelde dat de onvoldoende beveiliging een onrechtmatige daad van het ziekenhuis jegens de patiënt opleverde. Onopgemerkt kon de medewerker vele jaren achtereen het patiëntendossier veelvuldig onrechtmatig inzien. De steekproefsgewijze controle door de FG, die zelfstandig, zonder bemoeienis van het management, het controlebeleid had opgesteld, volstond niet. Met name ook het feit dat de medische gegevens gedeeld werden met derden en gepubliceerd in een boek, is het ziekenhuis aangerekend. Dit leidde tot de verplichting om aan de patiënt een schadevergoeding van EUR 2.000 euro te betalen voor geleden immateriële schade.
De rechtbank vond dat het ziekenhuis geen passende maatregelen had genomen voor de controle van de logging. Dossiers mogen alleen op basis van het need to know beginsel ingezien worden. Daarbij nam de rechtbank in overweging dat de normen NEN 7510:2011 en NEN 7510-2:2017 bepalen dat logbestanden regelmatig moeten worden beoordeeld. Als uitgangspunt dient sprake te zijn van een systematische, consequente controle van alle logging. Ook het Besluit elektronische gegevensverwerking zorgaanbieders verplicht zorgaanbieders sinds 1 januari 2018 om de technische en organisatorische beveiligingsmaatregelen in te vullen aan de hand van voormelde NEN-normen. De rechtbank stelt echter vast dat ook nog vóór de inwerkingtreding van dat besluit de invulling van passende technische en organisatorische maatregelen al plaatsvond aan de hand van de NEN-normen.
Ziekenhuizen moeten dus regelmatig en systematisch controleren wie welk dossier raadpleegt, zodat steeds tijdig kan worden gesignaleerd wanneer een onbevoegde een dossier raadpleegt en daartegen kan worden opgetreden. Maar wanneer controleert een zorginstelling regelmatig en systematisch genoeg om de patiëntgegevens tegen al te nieuwsgierige medewerkers te beschermen, en zo handhaving door de Autoriteit Persoonsgegevens of een flinke schadevergoeding te voorkomen? Een goed controlebeleid, met relevante signaleringen van afwijkende en bijzondere raadpleging van patiëntendossiers, alsmede intensieve controle daarvan, wordt vaak overwogen. De vraag is evenwel of dit werkbaar is en de risico’s voldoende beheersbaar maakt. Het zal steeds meer nodig zijn om kwetsbaarheden en bedreigingen met de inzet van een SOC-team (Security Operation Center) en goed ingeregelde SIEM (Security Incident and Event Monitoring) proactief op te sporen en aan te pakken. Wij raden zorgaanbieders aan om hun controlebeleid te evalueren en waar nodig aan te scherpen, en daarbij ook te denken aan het uitvoeren van een data protection impact assessment (DPIA), waarbij de FG om advies wordt gevraagd, en zo nodig ook de instemming van de ondernemingsraad.
Voor uw vragen over de privacy verplichtingen in de zorgsector kunt u contact opnemen met Elisabeth Thole en Özer Zivali.