“I versus Finland”: interessante jurisprudentie bij onrechtmatige inzage medische dossiers

europese vlag met paragraaf

Recent schreef ik een tweetal artikelen over het grote aantal(85) onrechtmatige inzagen in het elektronische medische dossier van een in het Haga-Ziekenhuis te Den Haag opgenomen vrouw. Het ging om de “reality ster” die bekend staat onder de naam Barbie. Ik bepleitte al een notificatie plicht en beargumenteerde, dat tuchtrechtzaken tegen BIG-geregistreerde zorgaanbieders zeer kansrijk zijn. In de jurisprudentie over onterechte inzagen in elektronische medische dossiers bevindt zich een zeer interessante casus. Het gaat om de zaak “I versus Finland”, waarover het Europese Hof voor de Rechten van de Mens(EHRM) in 2008 een uitspraak deed. In de uitspraak stond voorop dat het Hof oordeelde dat de medische data van de betrokkenen onvoldoende beveiligd waren tegen ongeautoriseerde inzage. Het Hof oordeelde dat er sprake was van overtreding van artikel 8 van het Europees Verdrag voor de Rechten van de Mens(EVRM). Dat handelt over het recht op eerbiediging van  privé-, familie-  en gezinsleven. Hoewel de stand van zaken ten aanzien van de techniek sinds 2008 enorm veranderd is, staat deze uitspraak nog steeds als een huis.

Waarover?

De zaak “I versus Finland” gaat over een verpleegkundige die tussen 1989 en 1994 in een openbaar ziekenhuis in Finland werkte. Ze werd in hetzelfde ziekenhuis behandeld op de polikliniek voor besmettelijke ziekten vanwege HIV.  Rond 1992 bleek dat haar  collega’s van de diagnose op de hoogte te waren zonder dat ze daar zelf over verteld had. Zij maakten er hints en opmerkingen over. Kennis over haar ziekte berustte op onrechtmatige inzage in haar dossier en verspreiding van die kennis bij enkele medewerkers. Na het kenbaar maken van haar zaak bij de directie werd zij in het ziekenhuis onder een andere naam en ander “social security number” geregistreerd. Haar tijdelijk arbeidscontract werd na 1995 niet meer verlengd.

Vergeefse rechtszaken

Zij diende bij de directie van het ziekenhuis, maar ook het landsorgaan waar het ziekenhuis een onderdeel van was, het verzoek in te onderzoeken wie inzage hadden gehad in haar dossier. Tijdens het behandeling van haar klacht daarover bleek dat het systeem destijds alleen de laatste vijf inzagen registreerde, niet op naam maar op afdeling. Na archivering van de data gingen die logging-data verloren. Daardoor was naderhand niets meer te reproduceren. Naar aanleiding van de klacht werd het logging-systeem aangepast. Zij procedeerde via het districtshof tot aan het hof van appel maar die concludeerden telkens: “ that they could not find firm evidence that the applicant’s patient record had been unlawfully consulted.” Een trieste argumentatie bij een systeem dat het achterhalen van overtreders onmogelijk maakte.

Oordeel EHRM

Het EHRM was daarentegen in 2008 zeer duidelijk in de uitspraak dat er sprake was van schending van artikel 8 EVRM. Het stelt dat de bescherming van persoonlijke data, in het bijzonder medisch data van fundamentele betekenis is voor de privacy. Het respecteren van de vertrouwelijkheid van gezondheidsgegevens is een vitaal principe in de wetssystemen van alle landen die het verdrag onderschrijven. Het is cruciaal niet alleen voor de het gevoel van privacy van de patiënt maar ook voor diens vertrouwen in de medische professie en in zorgaanbieders in het algemeen. Het belangrijkste in de uitspraak is dat het EHRM met de klaagster van mening was dat haar data niet adequaat beschermd waren tegen ongeautoriseerde toegang. Het Hof stelde ook een schadevergoeding vast, zoals geëist door de patiënt. Die bestond uit een vergoeding voor de gemaakte proceskosten tegen de staat Finland, maar ook een deel voor immateriële schade.

Lering

Wat leert deze jurisprudentie over onrechtmatige inzage in een elektronisch medisch dossier ons.

  • Men moet een zeer lange adem hebben en volhardend zijn. Patiënte was 32 jaar toen ze de inzage opmerkte en 48 jaar ten tijde van de uitspraak van het EHRM.
  • Medische data dienen adequaat beschermd te zijn tegen ongeautoriseerde inzage. Dat betekent dat een waarschuwingsscherm bij inloggen niet afdoende is.
  • Onrechtmatige inzage van elektronische medische dossiers is een schending van artikel 8 EVRM.
  • Het is ook mogelijk een schadevergoeding op basis van immateriële schade te verkrijgen van de instelling die in gebreke is gebleven, dus geen adequate maatregelen heeft genomen tegen onrechtmatige inzage.

Recht

Zoals ik in eerdere artikelen al betoogde is de gang naar de medische tuchtrechter zeer kansrijk als het gaat om BIG-registreerden die onrechtmatig een elektronisch medisch dossier inzien. De gang naar de strafrechter is ook mogelijk maar in het verleden nauwelijks toegepast. De uitspraak van het EHRM laat zien dat ook een civielrechtelijke procedure tegen de zorginstelling waar onrechtmatige inzage plaatsvond mogelijk is. Daarbij is de uitspraak in “I versus Finland” normstellend.

W.J. Jongejan, 22 mei 2018.