De Rechtbank Zeeland West-Brabant deed uitspraak in een zaak tussen een ziekenhuispatiënt en het Bravis Ziekenhuis. De rechter kent de ziekenhuispatiënt €2000 aan immateriële schadevergoeding toe. Mede vanwege de schending van artikel 32 Algemene Verordening Gegevensbescherming (AVG). Het komt weinig voor dat de rechter immateriële schadevergoeding wegens schending van de AVG toekent. Waarom is de rechter in deze zaak wel hiertoe overgegaan?
Wat is er gebeurd?
De eiseres in de zaak is van 1991 tot en met 2018 als patiënt meerdere keren behandeld in het Bravis ziekenhuis. Haar ex-partner heeft een boek geschreven en in mei 2018 laten uitgeven over de echtscheiding tussen eiseres en deze ex-partner. Het boek bevat medische gegevens. De huidige partner van de ex-partner (hierna: de medewerkster) heeft vanaf januari 2007 tot augustus 2018 gewerkt bij Bravis.
Op 11 juli 2018 heeft eiseres de logging-gegevens van haar patiëntendossier ingezien. Uit deze gegevens bleek dat de medewerkster 79 keer het patiëntendossier van eiseres heeft ingezien. De medewerkster heeft onder haar eigen en haar collega’s autorisatie het dossier geraadpleegd. Bravis heeft na intern onderzoek geconcludeerd dat de medewerkster ‘langdurig en meermalen onrechtmatig’ het patiëntendossier van eiseres heeft ingezien. Op grond van deze conclusie heeft Bravis de medewerkster ontslagen.
Eiseres vond dat Bravis onrechtmatig tegen eiseres heeft gehandeld en aansprakelijk is voor de geleden schade. Zij verlangt onder andere vergoeding van de immateriële schade. In het vervolg ga ik in op de aansprakelijkheid en de immateriële schade. Voor overige behandelde vraagstukken verwijs ik naar de uitspraak (Respectievelijk rechtsoverwegingen 4.32 – 4.36, 4.37 – 4.40 en 4.49 – 4.58).
Bravis risicoaansprakelijk vanwege handelingen medewerkster
Een werkgever kan aansprakelijk zijn voor veroorzaakte schade door een fout van een medewerker. Dit staat in Artikel 6:170 lid 1 van het Burgerlijk Wetboek. Een ‘fout’ is een onrechtmatige handeling die toerekenbaar moet zijn. De rechter baseert haar oordeel mede op het onderzoek van Bravis. Zij stelt vast dat de inzagen van de medewerkster in het patiëntendossier onrechtmatig zijn.
De rechtbank oordeelt dat de medewerkster de ingeziene gegevens heeft gedeeld met de ex-partner. Waarna deze ex-partner de informatie heeft verwerkt in het boek. De medewerkster heeft hiermee een toerekenbare onrechtmatige daad tegen eiseres gepleegd. De medewerkster heeft vanuit haar werkzaamheden onder werktijd onrechtmatig inzage gehad in de patiëntendossiers. Als gevolg is Bravis risicoaansprakelijk voor de geleden schade van eiseres. Bravis had als werkgever namelijk zeggenschap over de handelingen van de medewerkster.
Bravis aansprakelijk vanwege gebrekkige controle logbestanden
Eiseres vindt dat Bravis in strijd met onder andere artikel 32 AVG heeft gehandeld. Dit artikel verplicht tot een passend beveiligingsniveau. De rechter moet beoordelen of Bravis met betrekking tot het autorisatie- en controlebeleid passende technische en organisatorische maatregelen heeft genomen. Van belang hierbij is ‘de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van te beschermen persoonsgegevens’. De aan de medewerkster verleende autorisaties waren niet in strijd met artikel 32 AVG. Vanuit haar functie was de ruime toegang tot de patiëntendossiers gerechtvaardigd en proportioneel.
De controle op de logbestanden door Bravis is echter wel onrechtmatig jegens eiseres. De rechter oordeelt dat onvoldoende passende maatregelen zijn genomen. Het maandelijks steekproefsgewijs controleren van slechts twee patiëntendossiers voldoet ruimschoots niet aan de geldende NEN-normen. Mede door deze minimale maatregelen kon bijna vier jaar herhaaldelijk onrechtmatig het patiëntdossier van eiseres worden ingezien. Deze feiten leiden tot een onrechtmatige daad van Bravis. Daarin speelt ook de bijzondere aard van de medische persoonsgegevens een rol.
Bravis moet immateriële schade vergoeden
Bravis is dus zowel risicoaansprakelijk vanwege handelingen van de medewerkster als aansprakelijk vanwege eigen gebreken. In privacyrechtelijke vraagstukken kan een benadeelde recht hebben op immateriële schadevergoeding. Zie Artikel 6:106 sub b Burgerlijk Wetboek. Zij moet dan ‘in haar eer of goede naam zijn geschaad’ of ‘op andere wijze in haar persoon zijn aangetast’. Eiseres heeft niet bewezen dat ze in haar eer of goede naam is geschaad.
Wel neemt de rechtbank een aantasting in de persoon aan. De nadelige gevolgen voor eiseres liggen namelijk voor de hand in deze specifieke situatie. Er is geen concrete onderbouwing voor nodig. De rechter hecht vooral waarde aan de gevoeligheid van de bijzondere persoonsgegevens, het langdurig en veelvuldig onrechtmatig inzien van deze gegevens en onvoldoende bescherming van deze gegevens. Plus daarbij het feit dat de gegevens zijn gepubliceerd in een boek. Met deze omstandigheden is het aannemelijk dat eiseres nadelige gevolgen heeft ondervonden en/of ondervindt. Bijvoorbeeld het ontwikkelen van angstklachten en het verlies van controle en vertrouwelijkheid van haar persoonsgegevens. De rechtbank kent aan eiseres een immateriële schadevergoeding van €2000 toe, te betalen door Bravis.
Advies nodig?
Deze zaak biedt inzicht in de vraag wanneer een AVG-schending kan leiden tot immateriële schadevergoeding. Bij langdurige, onvoldoende beschermingsmaatregelen kan automatische toepassing van immateriële schadevergoeding volgen. De rechter blijft echter doorgaans terughoudend en de hoogte van de schadevergoeding is nog beperkt.
Bedrijven willen altijd voorkomen dat de Autoriteit Persoonsgegevens ze beboet. Ook een rechterlijke veroordeling tot betaling van schadevergoeding is uiterst onwenselijk. Belangrijk hiervoor is de naleving en regelmatige controle van de verplichtingen uit de AVG. Binnen JPR hebben wij de expertise om te helpen bij het (blijvend) voldoen aan de AVG. Neem vooral contact op met één van onze advocaten privacyrecht als u vragen heeft.