Geschreven door: mr. Arjo Buurma
Op grond van artikel 82 van de Algemene verordening gegevensbescherming (AVG) kan vanwege overtreding van de regels van de AVG, een schadevergoeding worden gevorderd. Artikel 6:106 van het Burgerlijk Wetboek (BW) kent de mogelijkheid een schadevergoeding ‘anders dan vanwege vermogensschade’ toe te kennen. Recent heeft de rechtbank Zeeland-West-Brabant immateriële schade toegekend wegens het niet naleven van de AVG door een ziekenhuis.
De casus
Een medewerker van een ziekenhuis raadpleegt over een periode van vier jaar veelvuldig het medisch dossier van een (voormalig) patiënt, de betrokkene. Deze informatie speelt de medewerker door aan de ex-partner van de betrokkene en wordt vervolgens door die ex-partner verwerkt in een boek. De betrokkene eist in een civiele procedure schadevergoeding van het ziekenhuis vanwege aantasting van haar goede naam en eer als gevolg van het niet naleven van de AVG.
Artikel 32 van de AVG verplicht een verwerkingsverantwoordelijke, in deze casus is dat het ziekenhuis, maatregelen te treffen om een passend beveiligingsniveau ten aanzien van persoonsgegevens te waarborgen. Voor zorginstellingen vindt de invulling daarvan plaats aan de hand van de NEN-normen 7510 en 7513. Eén van deze normen houdt in dat er sprake moet zijn van een systematische, consequente controle van alle handelingen en gebeurtenissen in de ICT-systemen van de zorginstelling (logging). In deze casus was er geen vastgesteld controlebeleid. De functionaris die met de controle was belast, volstond bovendien met het maandelijks steekproefsgewijs controleren van twee patiëntendossiers. De logging van patiëntendossiers die werden ingezien door medewerkers met een volledige autorisatie, bleef daarbij buiten beschouwing.
De lijn van de rechtspraak
Uit de vaste rechtspraak van de Hoge Raad volgt dat het recht op bescherming van de persoonlijke levenssfeer een fundamenteel recht is. Immateriële schadevergoeding kan worden toegekend als sprake is van aantasting in de goede eer of de goede naam van de betrokkene of als deze op andere wijze in zijn persoon is aangetast. De jurisprudentie heeft bepaald dat van een aantasting in de persoon in deze zin geen sprake is bij de enkele schending van een fundamenteel recht. Degene die zich hierop beroept zal de aantasting in zijn persoon met concrete gegevens moeten onderbouwen. Zie bijvoorbeeld de uitspraken van de Hoge Raad van 15 maart 2019 (ECLI:NL:HR:2019:376) en van 19 juli 2019 (ECLI:NL:HR:2019:1278).
De uitspraak van de rechtbank Zeeland-West-Brabant
In deze zaak oordeelt de rechtbank Zeeland-West-Brabant dat de nadelige gevolgen voor de betrokkene zo voor de hand liggen dat een aantasting in de persoon als bedoeld in artikel 6:106, onder b, BW kan worden aangenomen. De rechtbank overweegt dat het hier gaat om bijzondere persoonsgegevens, namelijk medische persoonsgegevens uit een patiëntendossier van een ziekenhuis. Deze gegevens zijn over een periode van vier jaar veelvuldig onrechtmatig ingezien en onvoldoende beschermd. Daarnaast is er ook medische informatie gedeeld met derden en gepubliceerd in een boek. De rechtbank overweegt dat het voor de hand ligt dat de betrokkene hier nadelige gevolgen van ondervindt, in de vorm van bijvoorbeeld angstklachten en het verlies van controle en de vertrouwelijkheid van haar persoonsgegevens. Om die reden kent de rechtbank de betrokkene een schadevergoeding van € 2.000,- toe. De rechtbank betrekt bij haar oordeel dat in de considerans van de AVG is beschreven dat het begrip “schade” ruim moet worden uitgelegd, op een wijze die ten volle recht doet aan de doelstellingen van de verordening. De uitspraak is gepubliceerd op www.rechtspraak.nl onder nummer ECLI:NL:RBZWB:2022:5457.
Gevolgen voor de praktijk
Organisaties die bijzondere of gevoelige persoonsgegevens verwerken zullen tegenover de rechter verantwoording moeten afleggen over het gevoerde beveiligingsbeleid op grond van de AVG als de rechten van betrokkenen worden geschonden. Dat geldt niet alleen voor ziekenhuizen, maar ook voor andere zorgaanbieders. Denk aan organisaties zoals onderwijsinstellingen of gemeenten en de door hen ingeschakelde bedrijven die hulpverlening op grond van de Wmo 2015 en de Jeugdwet verlenen. Uit de uitspraak blijkt dat rechters openstaan voor een ruimere benadering bij het toekennen van bedragen aan immateriële schadevergoeding als de AVG ernstig wordt geschonden. Daarmee wordt het belang groter om te kunnen aantonen dat de AVG wordt nageleefd en daar controles op worden uitgevoerd.
Tip
Zorg ervoor dat in uw organisatie voldoende logging plaatsvindt en dat daar regelmatig controles op worden uitgevoerd. Daarmee houdt u zicht op oneigenlijk of niet noodzakelijk gebruik van de autorisaties van uw medewerkers om persoonsgegevens te kunnen raadplegen en kunt u bij een (vermoeden van) een misstand daar tijdig op ingrijpen. Zorg ook voor een adequate registratie van die logging én controle, zodat u bij een eventuele klacht of claim strak verweer kunt voeren.
Meer weten?
Meer weten? Of hulp nodig bij het opstellen van beleid of vormgeven van de controle op de AVG? Neem contact op met onze adviseurs. Wij helpen u graag verder.