Op 16 juli 2019 maakte de Autoriteit Persoonsgegevens (‘AP’) bekend dat een Haags ziekenhuis de (oneervolle) primeur had van de eerste (doch voorlopige) boete die werd uitgedeeld op basis van de privacyregelgeving AVG. De boete was opgelegd vanwege het onnodig inzien van het medisch dossier van de Haagse ‘Barbie’ door tientallen medewerkers van het ziekenhuis.
Recent is dit ziekenhuis opnieuw in verlegenheid gebracht: in een winkelwagentje van een supermarkt werd het boodschappenlijstje van een medewerker van het ziekenhuis gevonden. Het waren evenwel niet de boodschappen die voor hoofdpijn zorgden bij het ziekenhuis, maar de overige informatie op de papieren: namen, geboortedata, medicatie en klachten van patiënten. Het bleek om zogenaamde ‘overdrachtslijsten’ te gaan.
Een overdrachtslijst is een standaard Word-document met daarop de kamerbedden van een bepaalde afdeling. Op die lijst wordt bij ieder bed waar een patiënt ligt een aantal gegevens over die patiënt ingevuld. De lijst wordt vervolgens uitgeprint en verdeeld onder de dienstdoende zorgverleners van die afdeling. De zorgverlener kan tijdens zijn/haar dienst geconstateerde bijzonderheden bij ‘hun’ patiënt(en) met pen aanvullen op de lijst. Aan het einde van de dienst wordt de digitale overdrachtslijst geüpdatet aan de hand van de bijzonderheden en wordt de lijst met handgeschreven aantekeningen weggegooid in een afgesloten papierbak. Vervolgens gebeurt hetzelfde bij de volgende (ochtend-, middag-, avond- en nacht-)dienst. De digitale overdrachtslijst wijzigt dus na iedere dienst en de papieren lijsten worden weggegooid.
De – buiten het ziekenhuis – gevonden overdrachtslijst was voor het Haagse ziekenhuis gelukkig niet opnieuw een primeur. Zo werd bijvoorbeeld eind oktober 2018 in het zuiden van ons land naast een bankje ook al een overdrachtslijst gevonden. Het desbetreffende ziekenhuis heeft daar toen ook melding van gemaakt bij (onder meer) de AP.
Terug naar het nu. Via-via-via heb ik begrepen dat de voorzitter van de Raad van Bestuur van het Haagse ziekenhuis contact heeft gezocht met de betreffende patiënten, uitleg heeft gegeven en excuses heeft gemaakt. Ook is er een melding gemaakt van een datalek bij de AP.
Update: Vlak voor publicatie van dit artikel heeft het ziekenhuis bekend gemaakt dat de arbeidsovereenkomst van de medewerker, die de overdrachtslijsten verloren was, is beëindigd.
Hoe zit dat eigenlijk – met die AVG en zo’n datalek?
Volgens art. 33 van de AVG moet een melding gedaan worden bij de ‘bevoegde toezichthoudende autoriteit’ (bij ons: de AP) als sprake is van ‘inbreuk in verband met persoonsgegevens’. Het gaat dan om ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. Aangezien een overdrachtslijst na een dienst vernietigd zou moeten worden, maar nu in een winkelwagen terecht gekomen is, lijkt van een voornoemde inbreuk wel sprake. Dat het hier bovendien om persoonsgegevens gaat, behoeft waarschijnlijk geen verdere toelichting (immers namen, geboortedata, etc.).
Melden! Zo klaar als een klontje, toch?
Nou, er geldt nog een kleine aanvulling op het voorgaande: er hoeft géén melding gedaan te worden als “het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”.
Op internet circuleert een foto van de gevonden bestanden. Uit de foto blijkt dat de volgende gegevens te zien zijn: kamerbed, geslacht, naam, geboortedatum, arts, opnamereden, behandelbeleid en verpleegkundige aandachtspunten. De naam, geboortedatum en naam van de arts zijn op de foto gecensureerd; dat is begrijpelijk. Het is ook overduidelijk dat zulke stukken niet in winkelwagentjes horen te liggen. Maar is het waarschijnlijk dat de inbreuk een risico inhoudt voor de betrokkenen?
In de ‘Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens’ zijn enkele handvatten te vinden die gebruikt kunnen worden bij de beoordeling van ‘het risico en hoog risico’. Volgens de Richtsnoeren bestaat er een risico als de inbreuk kan leiden tot “lichamelijke, materiële of immateriële schade voor de personen wier gegevens het voorwerp van de inbreuk zijn”. Als voorbeelden worden onder meer identiteitsdiefstal, -fraude en reputatieschade genoemd.
Ervan uitgaande dat de – ongecensureerde – overdrachtslijsten alleen in handen zijn geweest van de vinder en de getipte omroep, is het niet ondenkbaar dat het antwoord op de hiervoor gestelde vraag ‘Nee’ is. Dit geldt m.i. te meer als de overdrachtslijsten weer in het bezit zijn van het ziekenhuis (wat zo zou zijn) en eventuele kopieën en/of foto’s zijn vernietigd. Immers: welke risico’s zijn er dan nog? En is de kans op schade dan reëel?
Volgens de tekst van de Richtlijnen wel: “als de inbreuk betrekking heeft op persoonsgegevens […] met betrekking tot de gezondheid […] moet dergelijke schade als waarschijnlijk worden beschouwd”. Voer voor (juridische) discussie dus.
Persoonlijk ben ik het er geheel mee eens dát een melding gedaan is door het ziekenhuis. Waar het mij – als advocaat – om gaat, is wanneer er sprake is van een ‘niet waarschijnlijk’. Er kunnen immers zo veel redenen zijn waardoor het verlies van zo’n lijst (en daarmee de ‘openbaarmaking’ van jouw persoonsgegevens) toch een risico kán inhouden. Stel dat uit zo’n lijst blijkt dat iemand hartproblemen heeft, een verzekering wil afsluiten en wordt geweigerd? Of dat iemand net een paar goede sollicitatiegesprekken achter de rug heeft bij een potentiële werkgever naast het ziekenhuis (of misschien zelfs wel in het ziekenhuis zelf!) en om vage redenen wordt geweigerd? Dan moet je maar hopen dat de gegevens niet op de een of andere manier bij die partij bekend zijn geworden.
Tot slot: Voordat de vraag aan de orde komt of er sprake is van een ‘datalek’ dat moet worden gemeld, is het van belang om te bepalen of de AVG (nog) van toepassing is. Als de persoonsgegevens niet onder het bereik van de AVG vallen, kan er namelijk geen sprake zijn van een ‘datalek’ zoals bedoeld in het hiervoor genoemde artikel 33 van de AVG. De AVG is alleen van toepassing op ‘geautomatiseerde verwerkingen van persoonsgegevens’ en op ‘alle persoonsgegevens in een bestand, of die bestemd zijn om in een bestand te worden opgenomen’. Printjes uit zo’n bestand vallen daar ook onder. Maar de vraag kan rijzen of de AVG wel van toepassing is als sprake is van enkele losse printjes die ergens rondslingeren – en bovendien bestemd zijn voor vernietiging. Die printjes zelf zijn namelijk niet geautomatiseerd, lijken geen bestand en zijn ook niet bedoeld om in een bestand op te nemen. Vertaal dit nu eens naar de overdrachtslijsten. Ook hier voldoende voer voor (juridische) discussie, waarover een volgende keer meer.
Contact over dit onderwerp
Tom Koomen
Gerelateerd
15-20 klachten van AOIS over hoofdopleider, maar ontbinding tóch afgewezen
Artikel
lees meerJurisprudentie selectie Zorg – november 2024
Artikel
lees meerArbeidsongeschikte werknemer onbereikbaar. Wat nu?
Artikel
lees meerHet uur U nadert: vanaf 1 januari 2025 meer risico’s bij het inhuren van zzp’ers. Is uw organisatie er al klaar voor?
Artikel
lees meerIs bevoegd ook bekwaam? Over dilemma’s in de zorg.
Artikel
lees meerMediation is vrijwillig…, of toch niet?
Artikel
lees meerWat te doen met zzp’ers nu de Belastingdienst volledig gaat handhaven?
Kennisbijeenkomst 29 augustus 2024
lees meerVerslaafd: een verklaring maar geen excuus?
Artikel
lees meerAangifte doen als zorgverlener: denk aan het medisch beroepsgeheim!
Artikel
lees meer