Na het eerste jaar Rechtsgeleerdheid aan de Rijksuniversiteit Groningen kies je de afstudeerrichting voor je bachelor. Ik heb gekozen voor de afstudeerrichting IT-Recht en kon stiekem mijn geluk niet op toen bleek dat een nietsvermoedende man in een supermarkt in Rijswijk patiëntgegevens van het Haga Ziekenhuis in een winkelwagentje vond.
Lijsten afkomstig van het Haga Ziekenhuis met daarop de namen van patiënten, bijbehorende geboortedata, medicatie en medische klachten werden in een supermarkt gevonden in een winkelwagentje. Een poos geleden kwam het Haga Ziekenhuis al eens in opspraak nadat bleek dat 85 medewerkers zonder bevoegdheid en/of toestemming in het medisch dossier van ‘Barbie’, oftewel realityster Samantha de Jong, hadden gekeken. In juli van dit jaar heeft de Autoriteit Persoonsgegevens nog een boete aan het ziekenhuis opgelegd van 460.000 euro, omdat de interne beveiliging ten aanzien van persoonsgegevens niet in orde is. Wat kunnen de gevolgen zijn van het vinden van de patiëntgegevens in het winkelwagentje?
Strafbaar feit
Indien een medewerker de lijst heeft meegenomen, heeft de medewerker een strafbaar feit gepleegd. De lijst mag namelijk niet worden meegenomen vanuit het ziekenhuis vanwege de bescherming van medische gegevens en de privacy van patiënten. De medewerker die de lijst heeft meegenomen heeft hiermee zijn beroepsgeheim geschonden. De getroffen patiënten hebben de mogelijkheid om aangifte te doen tegen het Haga Ziekenhuis, aangezien sprake is van het ‘klachtdelict’ schending van het beroepsgeheim (artikel 272 Wetboek van Strafrecht). Omdat het een klachtdelict is, wordt er pas vervolgd op het moment dat er door een of meer getroffen patiënten aangifte is gedaan. Zonder deze aangifte heeft het Openbaar Ministerie geen recht tot vervolging waardoor er niets gedaan zal worden, ondanks dat er een strafbaar feit is gepleegd.
Schadevergoeding op grond van de AVG
Als blijkt dat het niet een medewerker was die de lijst heeft meegenomen, maar een derde, dan kunnen de getroffen patiënten een beroep doen op de Algemene verordening gegevensbescherming (AVG). Dit is waar het voor IT-rechtstudenten interessant wordt. Het ziekenhuis kan dan worden verweten dat zij onvoldoende de persoonsgegevens van de patiënten heeft beschermd, terwijl dit in het kader van de AVG wel moet. Toch is het nog maar zeer de vraag of het zover zal komen aangezien afgelopen juni pas voor het eerst een schadevergoeding op deze grond is toegewezen door een Nederlandse rechter.
Of de getroffen patiënten aangifte gaan doen of hebben gedaan, is vooralsnog onbekend. Schadevergoedingen worden bijna nooit toegekend in privacyzaken op grond van de AVG, maar wellicht dat deze zaak daar verandering in brengt. Privacy lijkt in onze samenleving een begrip te zijn dat steeds verder naar de achtergrond wordt geduwd. Als blijkt dat het een derde het lek was, kan de rechtspraak deze kans aangrijpen om aan de maatschappij te laten zien dat privacy een groot goed is dat beschermd moet worden.
