null

Onbevoegd inzien persoonsgegevens: reden voor ontslag?

Op 26 oktober 2021 berichtte Zorgvisie dat de Autoriteit Persoonsgegevens (AP) in 2020 “vele tientallen meldingen” heeft ontvangen over zorgmedewerkers die onbevoegd medische dossiers van bekende Nederlanders hebben ingezien. Vooral ziekenhuispersoneel maakte het bont, maar volgens de AP presteert de zorg over de hele linie gezien “verreweg het slechtst” van alle sectoren met tientallen waar­schuwingen voor zorginstellingen tot gevolg. Hoe gaat u daar als zorgwerkgever mee om?

Zorgwekkende cijfers

In april 2018 was er groot nieuws: tientallen medewerkers van het HagaZiekenhuis in Den Haag hadden zonder functionele noodzaak het medisch dossier van televisiepersoonlijkheid Barbie bekeken toen zij in het ziekenhuis was opgenomen. De Autoriteit Persoonsgegevens heeft na het verschijnen van dit nieuws een onderzoek ingesteld, hetgeen heeft geresulteerd in de oplegging van een boete van maar liefst € 460.000 aan het HagaZiekenhuis. Dit omdat de beveiliging van medische dossiers door het ziekenhuis niet op orde was. Begin 2021 heeft de Autoriteit Persoonsgegevens ook aan het Onze Lieve Vrouwe Gasthuis in Amsterdam een boete van € 440.000 opgelegd omdat het ziekenhuis volgens de Autoriteit Persoonsgegevens te weinig maatregelen had genomen om onbevoegde kennisneming van medische dossiers door medewerkers te voorkomen. Uit cijfers van de Autoriteit Persoonsgegevens blijkt dat deze voorvallen niet op zichzelf staan. Met 8000 meldingen van datalekken (30% van alle gemelde datalekken in heel Nederland in 2020) presteerde de zorg volgens de Autoriteit Persoonsgegevens verreweg het slechtst van alle sectoren. AP-voorzitter Wolfsen noemt zorginstellingen in Zorgvisie veel te vaak ‘ongelofelijk slordig’ met privacygevoelige data: “Het aantal datalekken is echt veel te veel en er zit te weinig verbetering in. De technologie gaat razendsnel. De mensen in de raden van bestuur en bij de toezichthouders moeten daar beter op inspelen. Dit moet echt hoger op hun prioriteiten­lijst”.  

Medische persoonsgegevens

Iedere organisatie die persoonsgegevens verwerkt is op grond van Algemene Verordening Gegevensbescherming (AVG) verplicht om passende technische en organisatorische maat­regelen te nemen om persoonsgegevens te beschermen tegen verlies en/of onrechtmatige verwerking. Daarvan is sprake indien persoonsgegevens onrechtmatig worden ingezien door personen die daartoe niet bevoegd zijn, ook wel een “datalek’ genoemd. Die maatregelen dienen een passend niveau van beveiliging te waarborgen, waarbij rekening moet worden gehouden met onder meer:

  •  de aard van de persoonsgegevens die worden verwerkt;
  • de omvang van de verwerking;
  • de ernst van de mogelijke gevolgen van onrecht­matige kennisneming;
  •  de kans dat deze gevolgen zich verwezenlijken;
  • de stand van de techniek;
  •  de omvang van de organisatie; en
  • de financiële mogelijkheden van de organisatie.

Dit maakt het des te urgenter dat de beveiliging van persoonsgegevens door zorginstellingen op orde is. Zorginstellingen verwerken immers op grote schaal medische persoonsgegevens over de fysieke en psychische gezondheid van patiënten en cliënten. Daarnaast bevatten de dossiers onder meer burgerservicenummers, adressen en telefoonnummers van patiënten en cliënten, waarmee kwaad­willenden ernstige schade zouden kunnen toebrengen aan de persoonlijke levenssfeer van de personen op wie deze gegevens betrekking hebben. Niet voor niets worden gezondheidsgegevens tot de “bijzondere persoons­gegevens” gerekend en worden aan de beveiliging van medische persoonsgegevens zeer strenge eisen gesteld. 

 

Technische beveiligingsmaatregelen

Een organisatie die persoonsgegevens verwerkt dient zowel technische als organisatorische maatregelen te nemen om persoonsgegevens te beveiligen. Bij technische beveiligingsmaat­regelen kan in de eerste plaats worden gedacht aan het technisch beperken van de toegang tot systemen en digitale dossiers tot die kring van personen voor wie toegang tot bepaalde persoonsgegevens noodzakelijk is voor een goede uitvoering van hun werkzaamheden. Daar kan echter niet mee worden volstaan. Inloggegevens kunnen immers (bewust of onbewust) worden gedeeld of afgekeken. Volgens de Autoriteit Persoonsgegevens kan er dan ook pas worden gesproken van goede beveiliging indien er sprake is van “tweestapsverificatie”. Dat houdt in dat een medewerker na het invoeren van zijn of haar inloggegevens (factor 1) een unieke bevestigingscode ontvangt op zijn mobiele telefoon (en pas na het invullen van deze bevestigingscode (factor 2) toegang verkrijgt tot het systeem of dossier. Op deze wijze kan de identiteit van een medewerker die toegang wenst te verkrijgen tot een systeem of dossier worden vastgesteld op basis van kennis (de inloggegevens) èn bezit (de mobiele telefoon). 

Bij het HagaZiekenhuis en het Onze Lieve Vrouwe Gasthuis was (nog) geen sprake van “tweestapsverificatie” en konden medewerkers met enkel inloggegevens toegang krijgen tot het ziekenhuisinformatie­systeem. Dit was voor de Autoriteit Persoonsgegevens (mede) aanleiding om de beide ziekenhuizen een bestuurlijke boete op te leggen. Bij technische beveiligingsmaatregelen kan verder worden gedacht aan het periodiek maken van back-ups waardoor kan worden voorkomen dat persoonsgegevens verloren gaan of aan het installeren van firewalls, virusscanners en andere software tegen aanvallen van en ransomware en andere malware, waarmee wordt voorkomen dat persoonsgegevens in verkeerde handen vallen. Het verdient dan ook de voorkeur om e-mails met privacygevoelige gegevens via een beveiligde e-mailapplicatie te verzenden. 

Organisatorische beveiligingsmaatregelen

Een organisatie die persoonsgegevens verwerkt dient daarnaast ook organisatorische maat­regelen te nemen om persoonsgegevens te beschermen tegen verlies en/of onrechtmatige kennisneming. Daarbij is een belangrijke rol weggelegd voor voorlichting en preventie. Een organisatie die persoonsgegevens verwerkt dient te zorgen voor voldoende privacybewust­zijn door medewerkers periodiek voor te lichten over het belang van vertrouwelijke omgang met persoonsgegevens en de wijze waarop persoonsgegevens dienen te worden verwerkt en medewerkers bewust te maken van mogelijke bedreigingen voor de informatieveiligheid als malware en ransom­ware. Daarnaast dienen duidelijke protocollen en procedures te zijn opgesteld over de wijze waarop persoonsgegevens binnen de organisatie worden verwerkt en de wijze waarop wordt omgegaan met onbevoegde kennisneming en andere beveiligings­incidenten.

Op de naleving van dit beleid dient adequaat te worden toegezien. De Autoriteit Persoonsgegevens verweet het HagaZiekenhuis dat er niet regelmatig werd gecontroleerd door welke personen medische dossiers werden inge­zien. Dit als gevolg dat het Haga­Ziekenhuis niet tijdig had kunnen signaleren dat het medisch dossier van Barbie door tientallen medewerkers onbevoegd werd ingezien. Het Onze Lieve Vrouwe Gasthuis hield weliswaar automatisch bij welke medewerker wanneer welk medisch dossier inzag (logging), maar controleerde die logging volgens de Autoriteit Persoonsgegevens niet vaak genoeg op onbevoegde toegang door medewerkers. Het valt dan ook aan te bevelen om in uw beleid op te nemen dat het zonder functionele noodzaak raadplegen van patiënt- of cliëntdossiers (voor zover dat nog mogelijk is na de door u getroffen technische beveiligings­maatregelen) strikt verboden is en periodiek steekproefsgewijs na te gaan door welke medewerkers medische en andere vertrouwelijke dossiers zijn ingezien. Het verdient tevens aanbeveling om in de arbeidsover­een­komst met alle medewerkers een geheimhoudings­beding overeen te komen op grond waarvan zij op straffe van een hoge boete gehouden zijn om strikte geheimhouding te betrachten ten aanzien van alle gegevens over de organisatie en haar patiënten of cliënten die hen uit hoofde van de uitoefening van hun functie bekend zijn geworden.

Ontslag

Omdat géén van de betrokken medewerkers eerder een waarschuwing had gekregen heeft het HagaZiekenhuis volstaan met de oplegging van een officiële waarschuwing aan maar liefst 85 medewerkers voor het onbevoegd inzien van het medisch dossier van Barbie. Daarbij heeft het ziekenhuis aangekondigd dat, indien een medewerker nog eens de fout ingaat, ontslag op staande voet volgt. Het ziekenhuis wordt daarin gesteund door de rechtspraak. Onder meer de Kantonrechter Amsterdam, de Kantonrechter Alkmaar, de Kantonrechter Bergen op Zoom oordeelden de afgelopen jaren dat het onrechtmatig inzien van cliënt- of patiënt­dossiers zonder functionele noodzaak een ontslag op staande voet kan rechtvaardigen. Het Hof Amsterdam oordeelde in 2018 dat een secretaresse die meermaals zonder functionele noodzaak het elektronisch patiëntdossier van een collega had ingezien terecht op staande voet was ontslagen. Het Hof Den Haag vond ontslag op staande voet weliswaar een te zware maatregel voor een verpleger die twintig keer zonder functionele noodzaak het elektronisch patiëntdossier van de broer van zijn schoonzus had geraadpleegd, maar ontbond de arbeids­overeenkomst vervolgens wel op grond van ernstig verwijtbaar handelen zonder toekenning van een transitievergoeding aan de verpleger. Het Hof ’s-Hertogenbosch oordeelde in januari 2020 dat de arbeidsovereenkomst van een medewerker die onbevoegd patiëntdossiers had ingezien terecht door de kanton­rechter was ontbonden zonder toekenning van een transitie­vergoeding. 

Uit deze uitspraken blijkt dat door rechters veel gewicht wordt toegekend aan de vaststelling van een duidelijke gedragscode waarin ondubbelzinnig is vastgelegd dat het zonder functionele noodzaak inzien van patiënt- of cliëntdossiers strikt verboden is en voor de werkgever aanleiding vormt om de arbeidsovereenkomst al dan niet op staande voet te beëindigen. Indien u een dergelijk ‘zero tolerance beleid’ regelmatig onder de aandacht van uw medewerkers brengt, adequaat toeziet op de naleving daarvan en consequent handhaaft bij overtredingen, heeft een verzoek tot ontbinding van de arbeidsovereenkomst wegens (ernstig) verwijtbaar handelen of zelfs een ontslag op staande voet gelet op de voornoemde jurisprudentie een goede kans van slagen.  

Wees voorbereid

Nu door zorginstellingen op grote schaal zeer gevoelige persoonsgegevens worden verwerkt, maar desalniettemin 30% van alle meldingen van datalakken in Nederland betrekking heeft op zorginstellingen, moet de zorgsector er rekening mee houden dat zij de komende jaren de aandacht van de Autoriteit Persoonsgegevens op zich gericht hebben. Dit heeft reeds geresulteerd in oplegging van hoge boetes aan twee ziekenhuizen, maar ook andere typen zorginstellingen lopen een reëel risico om met een onderzoek door de Autoriteit Persoons­gegevens te worden geconfronteerd. Het is dan ook van belang om uw organisatie daarop voor te bereiden.

Heeft u vragen over de beveiliging van persoonsgegevens binnen uw organisatie en de aanscherping van uw procedures en protocollen? Neem dan contact op met Menno van Koppen.