Ziekenhuis in verlegenheid gebracht: Overdrachtslijsten in winkelwagentje

Ziekenhuis in verlegenheid gebracht: Overdrachtslijsten in winkelwagentje

Ziekenhuis in verlegenheid gebracht: Overdrachtslijsten in winkelwagentje 150 150 Capra Advocaten
image_pdf

Op 16 juli 2019 maakte de Autoriteit Persoonsgegevens (‘AP’) bekend dat een Haags ziekenhuis de (oneervolle) primeur had van de eerste (doch voorlopige) boete die werd uitgedeeld op basis van de privacyregelgeving AVG. De boete was opgelegd vanwege het onnodig inzien van het medisch dossier van de Haagse ‘Barbie’ door tientallen medewerkers van het ziekenhuis.
Recent is dit ziekenhuis opnieuw in verlegenheid gebracht: in een winkelwagentje van een supermarkt werd het boodschappenlijstje van een medewerker van het ziekenhuis gevonden. Het waren evenwel niet de boodschappen die voor hoofdpijn zorgden bij het ziekenhuis, maar de overige informatie op de papieren: namen, geboortedata, medicatie en klachten van patiënten. Het bleek om zogenaamde ‘overdrachtslijsten’ te gaan.
Een overdrachtslijst is een standaard Word-document met daarop de kamerbedden van een bepaalde afdeling. Op die lijst wordt bij ieder bed waar een patiënt ligt een aantal gegevens over die patiënt ingevuld. De lijst wordt vervolgens uitgeprint en verdeeld onder de dienstdoende zorgverleners van die afdeling. De zorgverlener kan tijdens zijn/haar dienst geconstateerde bijzonderheden bij ‘hun’ patiënt(en) met pen aanvullen op de lijst. Aan het einde van de dienst wordt de digitale overdrachtslijst geüpdatet aan de hand van de bijzonderheden en wordt de lijst met handgeschreven aantekeningen weggegooid in een afgesloten papierbak. Vervolgens gebeurt hetzelfde bij de volgende (ochtend-, middag-, avond- en nacht-)dienst. De digitale overdrachtslijst wijzigt dus na iedere dienst en de papieren lijsten worden weggegooid.
De – buiten het ziekenhuis – gevonden overdrachtslijst was voor het Haagse ziekenhuis gelukkig niet opnieuw een primeur. Zo werd bijvoorbeeld eind oktober 2018 in het zuiden van ons land naast een bankje ook al een overdrachtslijst gevonden. Het desbetreffende ziekenhuis heeft daar toen ook melding van gemaakt bij (onder meer) de AP.
Terug naar het nu. Via-via-via heb ik begrepen dat de voorzitter van de Raad van Bestuur van het Haagse ziekenhuis contact heeft gezocht met de betreffende patiënten, uitleg heeft gegeven en excuses heeft gemaakt. Ook is er een melding gemaakt van een datalek bij de AP.
Update: Vlak voor publicatie van dit artikel heeft het ziekenhuis bekend gemaakt dat de arbeidsovereenkomst van de medewerker, die de overdrachtslijsten verloren was, is beëindigd.

Hoe zit dat eigenlijk – met die AVG en zo’n datalek?

Volgens art. 33 van de AVG moet een melding gedaan worden bij de ‘bevoegde toezichthoudende autoriteit’ (bij ons: de AP) als sprake is van ‘inbreuk in verband met persoonsgegevens’. Het gaat dan om ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. Aangezien een overdrachtslijst na een dienst vernietigd zou moeten worden, maar nu in een winkelwagen terecht gekomen is, lijkt van een voornoemde inbreuk wel sprake. Dat het hier bovendien om persoonsgegevens gaat, behoeft waarschijnlijk geen verdere toelichting (immers namen, geboortedata, etc.).

Melden! Zo klaar als een klontje, toch?

Nou, er geldt nog een kleine aanvulling op het voorgaande: er hoeft géén melding gedaan te worden als “het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”.
Op internet circuleert een foto van de gevonden bestanden. Uit de foto blijkt dat de volgende gegevens te zien zijn: kamerbed, geslacht, naam, geboortedatum, arts, opnamereden, behandelbeleid en verpleegkundige aandachtspunten. De naam, geboortedatum en naam van de arts zijn op de foto gecensureerd; dat is begrijpelijk. Het is ook overduidelijk dat zulke stukken niet in winkelwagentjes horen te liggen. Maar is het waarschijnlijk dat de inbreuk een risico inhoudt voor de betrokkenen?
In de ‘Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens’ zijn enkele handvatten te vinden die gebruikt kunnen worden bij de beoordeling van ‘het risico en hoog risico’. Volgens de Richtsnoeren bestaat er een risico als de inbreuk kan leiden tot “lichamelijke, materiële of immateriële schade voor de personen wier gegevens het voorwerp van de inbreuk zijn”. Als voorbeelden worden onder meer identiteitsdiefstal, -fraude en reputatieschade genoemd.
Ervan uitgaande dat de – ongecensureerde – overdrachtslijsten alleen in handen zijn geweest van de vinder en de getipte omroep, is het niet ondenkbaar dat het antwoord op de hiervoor gestelde vraag ‘Nee’ is. Dit geldt m.i. te meer als de overdrachtslijsten weer in het bezit zijn van het ziekenhuis (wat zo zou zijn) en eventuele kopieën en/of foto’s zijn vernietigd. Immers: welke risico’s zijn er dan nog? En is de kans op schade dan reëel?
Volgens de tekst van de Richtlijnen wel: “als de inbreuk betrekking heeft op persoonsgegevens […] met betrekking tot de gezondheid […] moet dergelijke schade als waarschijnlijk worden beschouwd”. Voer voor (juridische) discussie dus.
Persoonlijk ben ik het er geheel mee eens dát een melding gedaan is door het ziekenhuis. Waar het mij – als advocaat – om gaat, is wanneer er sprake is van een ‘niet waarschijnlijk’. Er kunnen immers zo veel redenen zijn waardoor het verlies van zo’n lijst (en daarmee de ‘openbaarmaking’ van jouw persoonsgegevens) toch een risico kán inhouden. Stel dat uit zo’n lijst blijkt dat iemand hartproblemen heeft, een verzekering wil afsluiten en wordt geweigerd? Of dat iemand net een paar goede sollicitatiegesprekken achter de rug heeft bij een potentiële werkgever naast het ziekenhuis (of misschien zelfs wel in het ziekenhuis zelf!) en om vage redenen wordt geweigerd? Dan moet je maar hopen dat de gegevens niet op de een of andere manier bij die partij bekend zijn geworden.
Tot slot: Voordat de vraag aan de orde komt of er sprake is van een ‘datalek’ dat moet worden gemeld, is het van belang om te bepalen of de AVG (nog) van toepassing is. Als de persoonsgegevens niet onder het bereik van de AVG vallen, kan er namelijk geen sprake zijn van een ‘datalek’ zoals bedoeld in het hiervoor genoemde artikel 33 van de AVG. De AVG is alleen van toepassing op ‘geautomatiseerde verwerkingen van persoonsgegevens’ en op ‘alle persoonsgegevens in een bestand, of die bestemd zijn om in een bestand te worden opgenomen’. Printjes uit zo’n bestand vallen daar ook onder. Maar de vraag kan rijzen of de AVG wel van toepassing is als sprake is van enkele losse printjes die ergens rondslingeren – en bovendien bestemd zijn voor vernietiging. Die printjes zelf zijn namelijk niet geautomatiseerd, lijken geen bestand en zijn ook niet bedoeld om in een bestand op te nemen. Vertaal dit nu eens naar de overdrachtslijsten. Ook hier voldoende voer voor (juridische) discussie, waarover een volgende keer meer.

Contact over dit onderwerp

Tom Koomen

Tom Koomen

Advocaat
Vestiging:
Den Haag
Sector:
Overheid, Zorg
Expertteam:
Arbeidsrecht
Telefoon:
070 - 36 48 102
Mobiel:
06 14 47 12 89

Gerelateerd

Als werkgever beter gebruik maken van de adviezen van de bedrijfsarts 150 150 Capra Advocaten

Als werkgever beter gebruik maken van de adviezen van de bedrijfsarts

In één middag op de hoogte over alles wat u moeten over de adviezen van de bedrijfsarts

lees meer
Reorganiseren kun je leren: reorganisatie in de publieke sector 150 150 Capra Advocaten

Reorganiseren kun je leren: reorganisatie in de publieke sector

In één middag op de hoogte over alles wat u moeten over een reorganisatie

lees meer
Wat houdt de NOW-regeling 2.0 in? 150 150 Capra Advocaten

Wat houdt de NOW-regeling 2.0 in?

Artikel

lees meer
De eerste ‘coronacrisis’-uitspraken zijn een feit 150 150 Capra Advocaten

De eerste ‘coronacrisis’-uitspraken zijn een feit

Artikel

lees meer
COVID-19 (Corona), re-integratie en het UWV – 3 150 150 Capra Advocaten

COVID-19 (Corona), re-integratie en het UWV – 3

Artikel

lees meer

Blijf op de hoogte

Blijf op de hoogte over ontwikkelingen, interessante jurisprudentie en wetswijzigingen op het gebied van arbeidsverhoudingen binnen de sectoren overheid, onderwijs en zorg. Selecteer welke nieuwsbrieven u wilt ontvangen en wij houden u op de hoogte.

Vestiging Den Haag
Laan Copes van Cattenburch 56
2585 GC Den Haag
Telefoon 070-364 81 02
Fax 070-361 78 47
denhaag@capra.nl

Vestiging ‘s-Hertogenbosch
Bastion Vught 1
5211 CZ ‘s-Hertogenbosch
Telefoon 073-613 13 45
Fax 073-614 82 16
s-hertogenbosch@capra.nl

Vestiging Zwolle
Terborchstraat 12
8011 GG Zwolle
Telefoon 038-423 54 14
Fax 038-423 47 84
zwolle@capra.nl

Vestiging Maastricht
Spoorweglaan 7
6221 BS Maastricht
Telefoon 043-7 600 600
Fax 043-7 600 609
maastricht@capra.nl