Zorginstellingen in Nederland kennen veel uitdagingen, zeker sinds de uitbraak van Covid 19. Het naleven van privacyregelgeving heeft niet de hoogste prioriteit. De actualiteit rondom het datalek bij de GGD maakt dat nu nog maar eens pijnlijk duidelijk. Er is door medewerkers van de GGD op grootschalige wijze gehandeld in persoonsgegevens van miljoenen Nederlanders, afkomstig uit de 2 belangrijkste coronasystemen van de GGD. Het gaat om adressen, telefoonnummers, BSN-nummers en testresultaten. Het verkrijgen van die info was kinderlijk eenvoudig. Verder heeft de Autoriteit Persoonsgegevens het OLVG Ziekenhuis deze week nog een fikse boete opgelegd.
Bij het verwerken van persoonsgegevens, zeker bijzondere persoonsgegevens zoals medische informatie, zijn u en uw medewerkers gebonden aan wet- en regelgeving. Het is verstandig regels en instructies uit te werken in interne richtlijnen en protocollen. Deze gelden voor iedereen die toegang heeft of kan verkrijgen tot het digitale verwerkingssysteem. De inhoud van zo’n protocol kan mede worden beïnvloed door specifieke gedragscodes en door uw eigen normen en waarden. In uw reglement vermeldt u tevens wanneer en hóe wordt gecontroleerd en welke consequenties aan overtreding van deze regels verbonden zijn.
Regels opstellen is natuurlijk niet genoeg. U dient deze ook onder de aandacht te brengen bij uw personeel. U kunt hen tevens trainen op bewustwording en te sturen op gedrag.
En wat doet u als het mis gaat? Tijd voor een aantal voorbeelden uit de praktijk.
Vorig jaar 2020 oordeelde het Hof Den Bosch over een kwestie waarin de een Verzorgende IG van de GGZ zich meerdere malen onbevoegd toegang had verschaft tot het EPD-systeem. De werkneemster had in de periode van eind 2017 tot en met 2018 in ieder geval 8x via de noodknop-procedure in het EPD van haar broer gekeken en een aantal malen in die van haar schoonzus. De werkgever heeft de werknemer op non actief gesteld en de rechter verzocht de arbeidsovereenkomst te ontbinden wegens ernstig verwijtbaar handelen. De Kantonrechter honoreerde dat verzoek, omdat meerdere keren via het account van werkneemster een dossier van een “bepaalde cliënt” onbevoegd is ingezien en omdat werkneemster onbevoegd de dossiers van haar broer en schoonzus heeft bekeken. De arbeidsovereenkomst wordt ontbonden, zonder toekenning van de transitievergoeding.
De werkneemster gaat in hoger beroep. Het Hof verwerpt het verweer van de werkneemster dat zij niet of niet voldoende op de hoogte was van de rond het EPD geldende gedragsregels. Werkneemster werkte immers al sinds 2012 met het EPD, en het Hof gaat ervan uit dat in de opleiding, trainingen en werkomgeving van werkneemster daaraan de nodige aandacht is besteed. De overwegingen van de Kantonrechter ten aanzien van het inzien van het dossier in het EPD van een “bepaalde patiënt” worden door het Hof niet overgenomen. De naam van deze patiënt is vanwege privacyoverwegingen niet bekend gemaakt door GGD. De werkneemster vindt dat zij zich zo niet goed kan verweren nu ze niet weet wie het betreft en verder wijst ze erop dat zij ziek was op een aantal dagen dat via haar account op dat dossier was ingelogd. Het Hof laat de feiten rondom het inzien van het dossier van de “bepaalde patiënt” daarom buiten beschouwing. Maar maakt dat het verschil in deze zaak?
Het Hof overweegt dat uiterst zorgvuldig moet worden omgegaan met vertrouwelijke gegevens die onder het medisch beroepsgeheim vallen. Het Hof rekent het werkneemster zwaar aan dat zij het dossier van haar familieleden onbevoegd heeft ingezien en de noodknop-procedure daarvoor heeft misbruikt. Werkneemster heeft het vertrouwen van haar werkgever en haar patiënten ernstig beschaamd, niet in de laatste plaats omdat bij GGZ kwetsbare mensen met een psychische aandoening worden behandeld. Daaraan kan niet afdoen dart werkneemster niet met kwade bedoelingen gebruik heeft gemaakt van de noodknop-procedure. Het handelen van werkneemster is ernstig verwijtbaar en vormt en redelijke grond voor ontslag, aldus het Hof.
Kortom, als werkgever is het niet alleen belangrijk de beveiliging, werkmethodes en protocollen rondom het gebruik van digitale (patiënten-) dossiers goed op orde te hebben. Deze protocollen dienen ook zorgvuldig en regelmatig onder de aandacht van de medewerkers te worden gebracht, mét vermelding van gevolgen van overtreding.
Ons Zorgteam bestaat uit specialisten op het gebied van privacy-, informatica- en arbeidsrecht en kan u of uw Functionaris Gegevens bescherming helpen bij de juridische aspecten rondom:
- de invoering of het werken met elektronisch dossier;
- het ontwikkelen en opstellen van beleid en protocollen;
- het kenbaar maken van beleid en regels;
- bepalen van de wijze van het uitoefenen van controle op naleving;
- het bepalen acties na constatering datalek.