Ziekenhuis in verlegenheid gebracht: Overdrachtslijsten in winkelwagentje

Ziekenhuis in verlegenheid gebracht: Overdrachtslijsten in winkelwagentje

Ziekenhuis in verlegenheid gebracht: Overdrachtslijsten in winkelwagentje 150 150 Capra Advocaten

Op 16 juli 2019 maakte de Autoriteit Persoonsgegevens (‘AP’) bekend dat een Haags ziekenhuis de (oneervolle) primeur had van de eerste (doch voorlopige) boete die werd uitgedeeld op basis van de privacyregelgeving AVG. De boete was opgelegd vanwege het onnodig inzien van het medisch dossier van de Haagse ‘Barbie’ door tientallen medewerkers van het ziekenhuis.
Recent is dit ziekenhuis opnieuw in verlegenheid gebracht: in een winkelwagentje van een supermarkt werd het boodschappenlijstje van een medewerker van het ziekenhuis gevonden. Het waren evenwel niet de boodschappen die voor hoofdpijn zorgden bij het ziekenhuis, maar de overige informatie op de papieren: namen, geboortedata, medicatie en klachten van patiënten. Het bleek om zogenaamde ‘overdrachtslijsten’ te gaan.
Een overdrachtslijst is een standaard Word-document met daarop de kamerbedden van een bepaalde afdeling. Op die lijst wordt bij ieder bed waar een patiënt ligt een aantal gegevens over die patiënt ingevuld. De lijst wordt vervolgens uitgeprint en verdeeld onder de dienstdoende zorgverleners van die afdeling. De zorgverlener kan tijdens zijn/haar dienst geconstateerde bijzonderheden bij ‘hun’ patiënt(en) met pen aanvullen op de lijst. Aan het einde van de dienst wordt de digitale overdrachtslijst geüpdatet aan de hand van de bijzonderheden en wordt de lijst met handgeschreven aantekeningen weggegooid in een afgesloten papierbak. Vervolgens gebeurt hetzelfde bij de volgende (ochtend-, middag-, avond- en nacht-)dienst. De digitale overdrachtslijst wijzigt dus na iedere dienst en de papieren lijsten worden weggegooid.
De – buiten het ziekenhuis – gevonden overdrachtslijst was voor het Haagse ziekenhuis gelukkig niet opnieuw een primeur. Zo werd bijvoorbeeld eind oktober 2018 in het zuiden van ons land naast een bankje ook al een overdrachtslijst gevonden. Het desbetreffende ziekenhuis heeft daar toen ook melding van gemaakt bij (onder meer) de AP.
Terug naar het nu. Via-via-via heb ik begrepen dat de voorzitter van de Raad van Bestuur van het Haagse ziekenhuis contact heeft gezocht met de betreffende patiënten, uitleg heeft gegeven en excuses heeft gemaakt. Ook is er een melding gemaakt van een datalek bij de AP.
Update: Vlak voor publicatie van dit artikel heeft het ziekenhuis bekend gemaakt dat de arbeidsovereenkomst van de medewerker, die de overdrachtslijsten verloren was, is beëindigd.

Hoe zit dat eigenlijk – met die AVG en zo’n datalek?

Volgens art. 33 van de AVG moet een melding gedaan worden bij de ‘bevoegde toezichthoudende autoriteit’ (bij ons: de AP) als sprake is van ‘inbreuk in verband met persoonsgegevens’. Het gaat dan om ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. Aangezien een overdrachtslijst na een dienst vernietigd zou moeten worden, maar nu in een winkelwagen terecht gekomen is, lijkt van een voornoemde inbreuk wel sprake. Dat het hier bovendien om persoonsgegevens gaat, behoeft waarschijnlijk geen verdere toelichting (immers namen, geboortedata, etc.).

Melden! Zo klaar als een klontje, toch?

Nou, er geldt nog een kleine aanvulling op het voorgaande: er hoeft géén melding gedaan te worden als “het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”.
Op internet circuleert een foto van de gevonden bestanden. Uit de foto blijkt dat de volgende gegevens te zien zijn: kamerbed, geslacht, naam, geboortedatum, arts, opnamereden, behandelbeleid en verpleegkundige aandachtspunten. De naam, geboortedatum en naam van de arts zijn op de foto gecensureerd; dat is begrijpelijk. Het is ook overduidelijk dat zulke stukken niet in winkelwagentjes horen te liggen. Maar is het waarschijnlijk dat de inbreuk een risico inhoudt voor de betrokkenen?
In de ‘Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens’ zijn enkele handvatten te vinden die gebruikt kunnen worden bij de beoordeling van ‘het risico en hoog risico’. Volgens de Richtsnoeren bestaat er een risico als de inbreuk kan leiden tot “lichamelijke, materiële of immateriële schade voor de personen wier gegevens het voorwerp van de inbreuk zijn”. Als voorbeelden worden onder meer identiteitsdiefstal, -fraude en reputatieschade genoemd.
Ervan uitgaande dat de – ongecensureerde – overdrachtslijsten alleen in handen zijn geweest van de vinder en de getipte omroep, is het niet ondenkbaar dat het antwoord op de hiervoor gestelde vraag ‘Nee’ is. Dit geldt m.i. te meer als de overdrachtslijsten weer in het bezit zijn van het ziekenhuis (wat zo zou zijn) en eventuele kopieën en/of foto’s zijn vernietigd. Immers: welke risico’s zijn er dan nog? En is de kans op schade dan reëel?
Volgens de tekst van de Richtlijnen wel: “als de inbreuk betrekking heeft op persoonsgegevens […] met betrekking tot de gezondheid […] moet dergelijke schade als waarschijnlijk worden beschouwd”. Voer voor (juridische) discussie dus.
Persoonlijk ben ik het er geheel mee eens dát een melding gedaan is door het ziekenhuis. Waar het mij – als advocaat – om gaat, is wanneer er sprake is van een ‘niet waarschijnlijk’. Er kunnen immers zo veel redenen zijn waardoor het verlies van zo’n lijst (en daarmee de ‘openbaarmaking’ van jouw persoonsgegevens) toch een risico kán inhouden. Stel dat uit zo’n lijst blijkt dat iemand hartproblemen heeft, een verzekering wil afsluiten en wordt geweigerd? Of dat iemand net een paar goede sollicitatiegesprekken achter de rug heeft bij een potentiële werkgever naast het ziekenhuis (of misschien zelfs wel in het ziekenhuis zelf!) en om vage redenen wordt geweigerd? Dan moet je maar hopen dat de gegevens niet op de een of andere manier bij die partij bekend zijn geworden.
Tot slot: Voordat de vraag aan de orde komt of er sprake is van een ‘datalek’ dat moet worden gemeld, is het van belang om te bepalen of de AVG (nog) van toepassing is. Als de persoonsgegevens niet onder het bereik van de AVG vallen, kan er namelijk geen sprake zijn van een ‘datalek’ zoals bedoeld in het hiervoor genoemde artikel 33 van de AVG. De AVG is alleen van toepassing op ‘geautomatiseerde verwerkingen van persoonsgegevens’ en op ‘alle persoonsgegevens in een bestand, of die bestemd zijn om in een bestand te worden opgenomen’. Printjes uit zo’n bestand vallen daar ook onder. Maar de vraag kan rijzen of de AVG wel van toepassing is als sprake is van enkele losse printjes die ergens rondslingeren – en bovendien bestemd zijn voor vernietiging. Die printjes zelf zijn namelijk niet geautomatiseerd, lijken geen bestand en zijn ook niet bedoeld om in een bestand op te nemen. Vertaal dit nu eens naar de overdrachtslijsten. Ook hier voldoende voer voor (juridische) discussie, waarover een volgende keer meer.

Contact over dit onderwerp

Tom Koomen

Tom Koomen

Advocaat
Vestiging:
Den Haag
Sector:
Overheid, Zorg
Expertteam:
Arbeidsrecht
Telefoon:
070 - 36 48 102
Mobiel:
06 14 47 12 89

Gerelateerd

Grensoverschrijdend gedrag binnen het ziekenhuis 150 150 Capra Advocaten

Grensoverschrijdend gedrag binnen het ziekenhuis

Artikel

lees meer
Annotatie JIN Hoofddoek zorgt voor hoofdbrekers 150 150 Capra Advocaten

Annotatie JIN Hoofddoek zorgt voor hoofdbrekers

Artikel

lees meer
1% ziek, dat mag toch niet? 150 150 Capra Advocaten

1% ziek, dat mag toch niet?

Artikel

lees meer
Annotatie JIN Vrijheid van meningsuiting 150 150 Capra Advocaten

Annotatie JIN Vrijheid van meningsuiting

Artikel

lees meer
Een melding grensoverschrijdend gedrag. En dan? 150 150 Capra Advocaten

Een melding grensoverschrijdend gedrag. En dan?

Artikel

lees meer
De opzegtermijn en de opzegging door werknemer 150 150 Capra Advocaten

De opzegtermijn en de opzegging door werknemer

Artikel

lees meer

Blijf op de hoogte

Blijf op de hoogte over ontwikkelingen, interessante jurisprudentie en wetswijzigingen op het gebied van arbeidsverhoudingen binnen de sectoren overheid, onderwijs en zorg. Selecteer welke nieuwsbrieven u wilt ontvangen en wij houden u op de hoogte.

Vestiging Den Haag
Laan Copes van Cattenburch 56
2585 GC Den Haag
Telefoon 070-364 81 02
Fax 070-361 78 47
denhaag@capra.nl

Vestiging ‘s-Hertogenbosch
Bastion Vught 1
5211 CZ ‘s-Hertogenbosch
Telefoon 073-613 13 45
Fax 073-614 82 16
s-hertogenbosch@capra.nl

Vestiging Zwolle
Terborchstraat 12
8011 GG Zwolle
Telefoon 038-423 54 14
Fax 038-423 47 84
zwolle@capra.nl

Vestiging Maastricht
Spoorweglaan 7
6221 BS Maastricht
Telefoon 043-7 600 600
Fax 043-7 600 609
maastricht@capra.nl