Ziekenhuis aansprakelijk jegens eiseres

Rb. Zeeland-West-Brabant 21 oktober 2022, IT 4128; ECLI:NL:RBZWB:2022:5457 (eiseres tegen Bravis Ziekenhuis) Eiseres is vanaf 1991 tot en met 2018 diverse keren als patiënt behandeld in het Bravis ziekenhuis. De ex-partner van eiseres heeft een boek geschreven over de echtscheiding hem en eiseres. Het boek bevat tevens medische gegevens. Het boek is in mei 2018 uitgegeven door de huidige partner van de ex-partner van gedaagde. De huisige partner was vanaf januari 2007 tot augustus 2018 werkzaam bij Bravis. Eiseres stelt Bravis aansprakelijk voor de schade die zij heeft geleden wegens het onvoldoende beschermen van haar medische en geheime adresgegevens door Bravis. De rechtbank wijst de vordering toe op grond van onrechtmatige daad. Bravis heeft geen passende maatregelen genomen ten aanzien van de controle van de logging.

4.27. De rechtbank overweegt als volgt. De normen 10.10.2 NEN 7510:2011 en 12.4.1. van NEN 7510-2:2017 bepalen dat logbestanden regelmatig behoren te worden beoordeeld. Als uitgangspunt hiervoor geldt dat sprake dient te zijn van een systematische, consequente controle van alle logging. Een steekproefsgewijze controle en/of een controle op basis van klachten is niet voldoende om hier invulling aan te geven. De AP (toen CBP) heeft deze uitgangspunten al in haar rapport in 2013 over de beveiliging van patiëntendossiers neergelegd, zodat dit over de periode van juni 2014 tot en met juni 2018 (ook) de geldende maatstaf was. 

4.28. De rechtbank is van oordeel dat Bravis in de genoemde periode niet aan deze maatstaf heeft voldaan. Er was geen sprake van een door (het management van) Bravis vastgesteld controlebeleid. [naam functionaris] heeft zelf invulling moeten geven aan de controle van de logging en die controle was (naar de maatstaven die toen golden) onvoldoende. De logging van de patiëntendossiers die door medewerkers met onbegrensde toegang zijn ingezien, is in het geheel niet gecontroleerd. Verder werden er maandelijks steekproefsgewijs slechts twee patiëntendossiers gecontroleerd; [naam functionaris] selecteerde deze dossiers vanuit een Excel-bestand met zowel de logging van de reguliere als de noodknopprocedure. Daarmee is (evident) geen sprake van een systematische en risicogerichte controle. Bovendien was deze controle ook in omvang onvoldoende, gelet op de schaal van verwerkingen in het ziekenhuis. 

4.29. Dat de controle van de logging op andere wijze voldoet aan de artikelen 13 Wbp en 32 AVG is door Bravis onvoldoende onderbouwd. Ter zitting heeft Bravis nog aangevoerd dat in die tijd nog geen sprake was van intelligente logging. De rechtbank merkt in dit kader op dat het CPB in haar rapport van 2013 heeft aangegeven dat ziekenhuizen moeten streven naar intelligentere analyse/controle van de logging. In dit rapport staat ook dat indien technologische voorzieningen ontbreken, de inzet van (voldoende) menskracht is aangewezen om het vereiste passende beveiligingsniveau te garanderen. Dit kan verder echter in het midden blijven nu de wijze waarop de controle heeft plaatsgevonden hoe dan ook (ruimschoots) onvoldoende was. Daarbij is ook van belang dat het hier om een bijzondere categorie van persoonsgegevens gaat, die een hoge mate van bescherming verdient. 

4.30. De rechtbank concludeert dan ook dat Bravis over de periode van 24 juni 2014 tot en met 11 juni 2018 geen passende maatregelen ten aanzien van de controle van de logging in de zin van de artikelen 13 Wbp en 32 AVG heeft genomen. 

4.31. De rechtbank is van oordeel dat dit een onrechtmatige daad jegens [eiseres] oplevert. Het doel van de controle van de logging is om te controleren of toegang tot de patiëntendossiers beperkt blijft tot situaties waarin dat rechtmatig is. Het betreft een van de belangrijkste beveiligingseisen voor het beschermen van persoonlijke gezondheidsinformatie. In de gegeven situatie, waarin over een periode van bijna vier jaar het patiëntendossier van [eiseres] veelvuldig onrechtmatig is ingezien, is het niet voldoen aan de hiervoor genoemde normen en artikel 13 Wbp en 32 AVG ten aanzien van de controle van de logging in diezelfde periode onrechtmatig jegens [eiseres]. Op de schade zal de rechtbank hierna (vanaf rechtsoverweging 4.41.) ingaan.