Joris DeeneZiekenhuizen worden soms geconfronteerd met zorgverleners die uit nieuwsgierigheid het elektronisch patiëntendossier (EPD) van patiënten raadplegen zonder enige therapeutische noodzaak. Wanneer dit gebeurt, overschrijdt de individuele zorgverlener de hem toegekende bevoegdheid en treedt deze in de regel zelf op als de verwerkingsverantwoordelijke voor de onrechtmatige verwerking. Toch gaat het ziekenhuis als instelling niet zomaar vrijuit: de Gegevensbeschermingsautoriteit (GBA) oordeelt dat ziekenhuizen gesanctioneerd kunnen worden als hun interne toegangscontroles en structurele beveiligingsmaatregelen onvoldoende blijken om dergelijke privacyschendingen effectief te voorkomen.
De feiten
In een opmerkelijke zaak boog de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit zich op 18 december 2025 over een klacht tegen een ziekenhuis (beslissing 209/2025). Een zelfstandige kinesitherapeute, verbonden aan het betreffende ziekenhuis, had via het informaticasysteem ongeoorloofd de resultaten van een NIPT-test van een voormalige patiënte geraadpleegd. Haar doel was louter nieuwsgierigheid om het geslacht van de ongeboren baby van de patiënte te ontdekken.
Nadat de patiënte via haar formele recht op inzage ontdekte dat deze medewerker haar dossier had bekeken, ondernam het ziekenhuis onmiddellijk actie door de samenwerkingsovereenkomst met de kinesitherapeute te verbreken wegens dringende reden. De ouders van het kind lieten het hier echter niet bij en dienden een klacht in bij de GBA tegen het ziekenhuis, omdat zij oordeelden dat het ziekenhuis in gebreke was gebleven om de persoonsgegevens adequaat te beveiligen.
De beslissing
De Geschillenkamer van de GBA diende twee kernvragen te beantwoorden: wie draagt de verantwoordelijkheid voor dit datalek en voldeed het ziekenhuis aan zijn plicht om patiëntengegevens te beschermen?
Ten eerste oordeelde de GBA verrassend genoeg dat de kinesitherapeute optrad als een afzonderlijke verwerkingsverantwoordelijke voor de ongeoorloofde raadpleging. Omdat er geen therapeutische relatie meer bestond die een inzage in een NIPT-test kon verantwoorden, had zij haar bevoegdheden onrechtmatig overschreden.
Ten tweede oordeelde de GBA evenwel dat het ziekenhuis onverminderd de verwerkingsverantwoordelijke blijft voor het algemene beheer en de beveiliging van het Elektronisch Patiëntendossier (EPD). Het ziekenhuis voerde ter verdediging aan dat hun externe softwareleverancier geen fijnmazig beheer van toegangsrechten toestond, waardoor alle paramedici standaard volledige toegang hadden tot alle dossiers. De GBA verwierp dit argument formeel: een verwerkingsverantwoordelijke mag zich niet verschuilen achter zijn verwerker (softwareleverancier) en is verplicht een partij te kiezen die afdoende garanties biedt (artikel 28 AVG). Omdat de ziekenhuisomgeving onvoldoende preventieve maatregelen en controlemechanismen had geïmplementeerd, schond het ziekenhuis onder meer artikelen 5.1.f, 5.2, 24 en 32 van de AVG en liep het een formele berisping op.
Juridische analyse en duiding
Deze beslissing bevat juridische inzichten, in de eerste plaats inzake de hoedanigheid van “betrokkene” in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR). De GBA kende uitdrukkelijk een procesbelang toe aan het ongeboren kind (dat op het moment van de klacht inmiddels levend en levensvatbaar was geboren). Door een teleologische interpretatie van de AVG te koppelen aan het privaatrechtelijke adagium infans conceptus pro nato habetur quoties de commodis eius agitur, oordeelde de GBA dat medische en genetische gegevens van het ongeboren kind autonome bescherming genieten, los van het eigen recht van de moeder.
Bovendien geeft de uitspraak een duidelijke waarschuwing over het niveau van databeveiliging in zorginstellingen. De GBA benadrukt dat louter organisatorische maatregelen — zoals contractuele afspraken, informaticacharters, interne circulaires en zware sancties achteraf — tekortschieten wanneer het gaat om de verwerking van grootschalige, bijzonder gevoelige gezondheidsgegevens. Zorginstellingen worden aangemaand om robuuste, technische toegangscontroles te implementeren. Hierbij verwijst de toezichthouder expliciet naar het Role-Based Access Control (RBAC) principe, geïnspireerd op de toegangsmatrix van het eHealth-netwerk. Het principe is helder: need-to-know. Tot slot volstaat het louter opslaan van logbestanden niet; het ontbreken van structurele, steekproefsgewijze controles op deze logs devalueert de werkzaamheid van de beveiligingsmaatregel, aldus de toezichthouder.
Wat dit concreet betekent
- Voor ziekenhuizen en zorginstellingen:
Het is belangrijk om de toegangsrechten tot uw EPD-systemen te auditen. U dient ervoor te zorgen dat zorgverleners enkel toegang krijgen tot die specifieke datatypes die noodzakelijk zijn voor hun functie.
Het uitsluitend loggen van toegangen is onvoldoende; de implementatie van steekproefsgewijze, proactieve controles van deze logbestanden is onontbeerlijk om ongeoorloofde raadplegingen te detecteren. - Voor zorgverleners (artsen, verpleegkundigen, paramedici):
U mag het dossier van een patiënt louter inkijken wanneer er een actuele en verdedigbare therapeutische relatie bestaat.
Kijkt u toch uit persoonlijke nieuwsgierigheid in een dossier, dan riskeert u niet enkel zware arbeidsrechtelijke sancties zoals een ontslag om dringende redenen, maar bent u ook persoonlijk als verwerkingsverantwoordelijke aansprakelijk voor de privacyschending. - Voor patiënten:
Indien u vermoedt dat iemand onrechtmatig medische informatie over u heeft opgezocht, kan u via uw recht op inzage een log-uittreksel opvragen bij het ziekenhuis om te achterhalen wie uw dossier bekeek en op welk tijdstip dit gebeurde.
Indien ongeoorloofde toegang wordt vastgesteld, kunt u juridische stappen ondernemen, waaronder het indienen van een formele klacht.
Veelgestelde vragen (FAQ)
Kan een paramedicus (zoals een kinesitherapeut) mijn volledige patiëntendossier inzien?
Nee, dat is in principe niet toegestaan. De toegang tot een patiëntendossier moet strikt beperkt blijven tot de informatie die de specifieke zorgverlener absoluut nodig heeft om kwaliteitsvolle zorg te kunnen verlenen. Zo heeft een kinesitherapeut bijvoorbeeld geen toegang nodig tot complexe labo-uitslagen zoals een genetische NIPT-test.
Wat kan ik doen als iemand zonder toestemming in mijn medisch dossier heeft gesnuffeld?
U kunt in eerste instantie bij het ziekenhuis een lijst opvragen van alle toegangen tot uw medisch dossier in een bepaalde periode, conform uw AVG-rechten. Als hieruit blijkt dat iemand zonder geldige reden uw gegevens bekeek, kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit en een schadevergoeding vorderen voor de bevoegde burgerlijke rechtbank.
Geniet een ongeboren kind gegevensbescherming onder de Europese regelgeving?
Ja. De Gegevensbeschermingsautoriteit heeft bevestigd dat de medische en genetische gegevens van een ongeboren kind, op voorwaarde dat het later levend en levensvatbaar wordt geboren, als zelfstandige persoonsgegevens worden beschouwd die bescherming genieten onder de AVG, onafhankelijk van de rechten van de moeder.
Conclusie
De beveiliging van elektronische patiëntendossiers is geen vrijblijvende aangelegenheid, maar vergt sluitende technische garanties en actieve controlemechanismen. Zowel medische professionals die hun bevoegdheden overschrijden, als zorginstellingen die tekortschieten in hun databeveiliging, stellen zich in België bloot aan juridische en financiële gevolgen.
Dutch 
English