Joris DeeneDe Belgische Gegevensbeschermingsautoriteit (GBA) heeft op 1 april 2025 een beslissing gepubliceerd (64/2025) die interessante inzichten biedt in de verantwoordelijkheidsvraag bij ongeoorloofde toegang tot medische gegevens door leidinggevenden. Deze zaak verdient bijzondere aandacht van alle professionals die betrokken zijn bij gegevensbescherming (AVG/GDPR) in de zorgsector.
De feiten
De zaak betreft een werknemer van een ziekenhuis die ontdekte dat haar leidinggevende haar medisch dossier had geraadpleegd zonder toestemming. Deze raadpleging vond plaats op 2 maart 2020 om 22:50 uur, buiten de normale werktijden. De dag daarna werd de werknemer ontslagen.
Volgens de leidinggevende was het dossier geraadpleegd om te verifiëren of de werknemer in een geschikte gezondheidstoestand verkeerde om het ontslag te vernemen. De leidinggevende gaf toe dat dit een foutieve handeling was, en het ziekenhuis startte een interne disciplinaire procedure.
Cruciale vraag: wie is de verwerkingsverantwoordelijke?
Een kernvraag in deze zaak was: is het ziekenhuis als werkgever verantwoordelijk voor deze ongeoorloofde verwerking van persoonsgegevens?
De GBA oordeelde dat de leidinggevende in dit geval als enige verwerkingsverantwoordelijke had gehandeld en buiten de haar toevertrouwde bevoegdheid was getreden. Het ziekenhuis kon dus niet verantwoordelijk worden gehouden voor de onrechtmatige raadpleging zelf.
Relevante elementen die tot deze conclusie leidden:
- De raadpleging vond plaats buiten normale werktijden
- De leidinggevende handelde niet op instructie van het ziekenhuis
- De leidinggevende erkende haar fout
- Het ziekenhuis startte een disciplinaire procedure
Meldplicht datalek blijft van toepassing
Hoewel het ziekenhuis niet verantwoordelijk was voor de ongeoorloofde toegang, oordeelde de GBA dat het ziekenhuis in principe wel verplicht was om dit datalek te melden aan de GBA. De argumenten dat:
- de inbreuk slechts één persoon betrof
- er een disciplinaire procedure was gestart
- de leidinggevende geen kwaadwillige intenties had
waren volgens de GBA onvoldoende om het ziekenhuis te ontslaan van de meldplicht.
Toch stelde de GBA het ziekenhuis niet aansprakelijk voor het niet melden, gezien het tijdstip van de feiten (begin 2020). De AVG was toen minder dan twee jaar van kracht en er bestonden nog geen uitgebreide richtsnoeren over datalekken. De GBA merkte echter op dat bij vergelijkbare feiten die vandaag zouden plaatsvinden, een melding wél verplicht zou zijn.
Technische en organisatorische maatregelen in zorginstellingen
De GBA erkende de complexiteit van toegangsbeheer in ziekenhuizen. Het personeel is multidisciplinair en voor de continuïteit van de zorg kan het noodzakelijk zijn dat een brede groep zorgverleners toegang heeft tot medische dossiers.
Als positieve maatregelen voor toekomstige implementatie noemde de GBA:
- Een waarschuwingsvenster bij elke toegangsaanvraag om het bestaan van een therapeutische relatie te bevestigen
- De verplichting om een rechtvaardiging te geven wanneer administratief personeel toegang vraagt
- Een verplichte rechtvaardiging bij toegang tot het dossier van een personeelslid
- Informatie over de vijf laatste toegangen tot het dossier
- Regelmatige bewustmakingsmaatregelen (nieuwsbrieven en verplichte e-learning)
Conclusie voor de praktijk
Deze beslissing biedt belangrijke inzichten voor werkgevers, met name in de zorgsector:
- Werkgevers zijn niet automatisch verantwoordelijk voor alle gegevensverwerkingen door hun werknemers, vooral niet wanneer die buiten hun bevoegdheid handelen
- De meldplicht voor datalekken geldt ook als slechts één persoon betrokken is bij een inbreuk op medische gegevens
- Toegangscontrole tot medische gegevens vereist een zorgvuldige afweging tussen databescherming en de noodzaak van continuïteit in de zorgverlening
- Regelmatige sensibilisering van personeel blijft essentieel
