Ongeoorloofde inzage in GGZ-dossiers: geen schending van het beroepsgeheim, wél een plicht tot extra bescherming

In Trouw sprak Martin Buijsen, hoogleraar Gezondheidsrecht aan Erasmus School of Law, zich uit over de juridische implicaties. “Alleen leden van het behandelteam mogen het dossier inzien,” zegt hij. “De wet is daar helder over. Anderen hebben toestemming van de patiënt nodig. Toch komt het regelmatig voor dat zorgmedewerkers ongeoorloofd in dossiers kijken, al niet vaak in zulke grote aantallen.”

De rol van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft de bevoegdheid om sancties op te leggen, maar doet dat niet vaak. “Hoewel de zorgsector koploper is in datalekken, zijn er nog niet zoveel boetes opgelegd,” aldus Buijsen. “In 2021 kreeg het OLVG een boete van 440.000 euro wegens onvoldoende beveiliging van medische dossiers. In 2019 kreeg het HagaZiekenhuis een vergelijkbare boete en een last onder dwangsom wegens tekortschietende interne beveiliging.”

Alleen het bijhouden van logbestanden is onvoldoende invulling van de zorgplicht, benadrukt hij. “De AP verlangt dat er actief beveiligd wordt. Dat kan betekenen dat ook voor medewerkers binnen de instelling gewerkt wordt met two-factor-authenticatie. Alleen registreren wie inlogt is onvoldoende.”

Onbevoegde inzage: geen beroepsgeheimschending, wél privacy-inbreuk 

Een schending van het beroepsgeheim is dit strikt genomen niet, legt Buijsen uit. “Het medisch beroepsgeheim wordt geschonden wanneer een geheimhoudingsplichtige hulpverlener zonder doorbrekingsgrond gegevens deelt met een derde. Daarvan is hier geen sprake. Wel is het een schending van de informationele privacy van de patiënt. Instellingen zijn verplicht die gegevens afdoende te beveiligen.”