Het Bravis ziekenhuis in Roosendaal moet een patiënte een schadevergoeding van tweeduizend euro betalen omdat haar medische gegevens veelvuldig werden ingezien door een medewerkster van dat ziekenhuis die daarvoor geen goede reden had. Dat heeft de rechtbank Zeeland-West-Brabant vandaag geoordeeld.

De medewerker was een secretaresse van het ziekenhuis en heeft jarenlang onrechtmatig medische dossiers van patiënten bekeken zonder dat het ziekenhuis hiervan op de hoogte was. De ex-man van de patiënte, die getrouwd is met de secretaresse, publiceerde een roman met allerlei medische gegevens die uit haar dossier kwamen. Daarop waarschuwde de patiënte het ziekenhuis, waarop een onderzoek volgde. Uit de loggegevens bleek dat de secretaresse honderden keren onbevoegd dossiers had opgevraagd. De rechter verbood uiteindelijk de publicatie van het boek en de secretaresse werd op staande voet ontslagen.

De patiënte spande een rechtszaak aan tegen het ziekenhuis en eiste onder meer een vergoeding voor de immateriële schade die zij heeft geleden. De rechtbank heeft de schade nu deels toegewezen en stelt dat het ziekenhuis geen passende beveiligingsmaatregelen heeft genomen, zoals door de AVG verplicht is. Het gaat dan om de controle van de logging.

"Het doel van de controle van de logging is om te controleren of toegang tot de patiëntendossiers beperkt blijft tot situaties waarin dat rechtmatig is. Het betreft een van de belangrijkste beveiligingseisen voor het beschermen van persoonlijke gezondheidsinformatie", aldus de rechter. Aangezien de secretaresse vier jaar lang onopgemerkt haar gang kon gaan, en er geen controle van de logging plaatsvond, is volgens de rechter de AVG geschonden.

De patiënte eiste een vergoeding van immateriële schade van in totaal vijftienduizend euro, de kosten voor de beveiliging van het huis van in totaal drieduizend euro en de verhuiskosten van in totaal twintigduizend euro. Volgens de rechter zijn deze bedragen niet voldoende onderbouwd. Uiteindelijk wordt een schadevergoeding van tweeduizend euro passend gevonden. Daarnaast moet het ziekenhuis de proceskosten betalen. In eerste instantie besloot de Autoriteit Persoonsgegevens het ziekenhuis niet te onderzoeken, maar kwam daar later op terug.