Skip to main content

Verstoß: Unerlaubte Datenweiterleitung (Gesundheitsdaten)

  • Beschreibung
    Mitarbeiterin eines Krankenhauses hat Zugriff auf Patientenakte genommen und den Inhalt als Herausgeberin in einem Buch veröffentlicht
  • Aktenzeichen
    Rb. Zeeland-West-Brabant – C/02/387229 / HA ZA 21-384 vom 21.09.2022
  • Kategorie(n)
  • Betrag
    2000 €

Uitspraak
  

vonnis

RECHTBANK ZEELAND-WEST-BRABANT
Cluster II Handelszaken

Breda

zaaknummer / rolnummer: C/02/387229 / HA ZA 21-384

Vonnis van 21 september 2022

in de zaak van

[eiseres] ,

wonende te [woonplaats] ,

eiseres,

advocaat mr. P.L. Tjiam te Amsterdam,

tegen

de stichting

STICHTING BRAVIS ZIEKENHUIS,

gevestigd te Roosendaal,

gedaagde,

advocaat mr. L.A.P. Arends te Nijmegen.

Partijen zullen hierna [eiseres] en Bravis genoemd worden.

1 De procedure

1.1.

Het verloop van de procedure blijkt uit:

  • -het tussenvonnis van 8 september 2021, met de daarin genoemde stukken;
  • -het proces-verbaal van mondelinge behandeling van 22 februari 2022, met de daarin genoemde stukken;
  • -de akte na mondelinge behandeling en overlegging aanvullende producties 49-59 van [eiseres] ;
  • – de antwoordakte met aanvullende productie 20 van Bravis.

1.2.

Ten slotte is vonnis bepaald.

2 De feiten

2.1.

[eiseres] is vanaf 1991 tot en met 2018 diverse keren als patiënt behandeld in het Bravis ziekenhuis.

2.2.

De ex-partner van [eiseres] , de heer [naam ex-partner] (hierna: [naam ex-partner] ), heeft onder het pseudoniem [naam 1] een boek genaamd “ [naam boek] ” (hierna: het boek) geschreven over de echtscheiding en echtscheidingsperikelen tussen [eiseres] en [naam ex-partner] . Het boek bevat tevens medische gegevens. Het boek is in mei 2018 uitgegeven door de eenmanszaak “ [naam eenmanszaak] ” van mevrouw [naam 2] (hierna: [naam 2] ), de huidige partner van [naam ex-partner] . [naam 2] was vanaf januari 2007 tot (feitelijk) augustus 2018 werkzaam bij Bravis.

2.3.

Begin juli 2018 heeft [eiseres] contact opgenomen met Bravis en is een afspraak gemaakt tot inzage van de logging-gegevens van haar patiëntendossier. Op 11 juli 2018 heeft [eiseres] vervolgens met de functionaris gegevensbescherming van Bravis, de heer [naam functionaris] (hierna: [naam functionaris] ), de logging-gegevens van haar patiëntendossier ingezien.

2.4.

Uit de logging-gegevens blijkt dat [naam 2] in de periode van 24 juni 2014 tot en met 11 juni 2018 veelvuldig het patiëntendossier van [eiseres] heeft ingezien.

2.5.

[eiseres] heeft vervolgens, na de constatering onder 2.4., op 11 juli 2018 aan zowel [naam functionaris] (tijdens de afspraak) en [naam jurist] – [naam jurist] (hierna: [naam jurist] ), bestuurssecretaris en jurist van Bravis, (telefonisch in de avond) een afschrift van de logging-gegevens gevraagd.

2.6.

Op 12 juli 2018 heeft een kort geding plaatsgevonden tussen [eiseres] en [naam ex-partner] , waarin [eiseres] onder meer een verbod tot verdere verveelvoudiging, verspreiding en openbaring van het boek heeft gevorderd. De voorzieningenrechter heeft bij vonnis van 18 juli 2018 de vorderingen van [eiseres] afgewezen.

2.7.

Bij e-mail van 17 juli 2018 heeft [eiseres] een (officiële) klacht ingediend bij Bravis.

2.8.

Op 18 juli 2018 heeft Bravis aan [eiseres] een afschrift van de logging-gegevens verstrekt.

2.9.

Bij brief van 14 augustus 2018 heeft [naam jurist] namens Bravis gereageerd op de klacht van [eiseres] . In deze brief staat onder meer het volgende vermeld:

“(…)

Naar aanleiding van de bevindingen van 11 juli, uw klachtbrief en de verzoeken van uw moeder en dochters heeft vervolgens nader onderzoek plaatsgevonden naar de omstandigheden waaronder en de wijze waarop de medewerkster [Rb: [naam 2] ] heeft gehandeld. Dit onderzoek heeft een aantal weken geduurd, mede in verband met haar afwezigheid door vakantie. Het onderzoek is gisteren afgerond, met de conclusie dat de medewerkster langdurig en meermalen onrechtmatig uw patiëntdossier heeft ingezien, alsmede éénmaal onrechtmatig het dossier van uw moeder (in 2015) en tweemaal onrechtmatig het dossier van uw dochter [naam dochter] (in 2015).

(…)

Wij hebben niet kunnen vaststellen dat de medewerkster informatie uit deze patiëntdossiers heeft gedeeld met haar echtgenoot. De in het boek vermelde medische en overige informatie over u kan de auteur wellicht ook op andere wijze bekend zijn geworden, hoewel u meent dat deze informatie wel uit uw patiëntdossier afkomstig is. Alleen indien een afschrift uit uw patiëntdossier of een letterlijk citaat in het boek zou zijn opgenomen, zouden wij dat als voldoende bewijs beschouwen voor het ongeoorloofd delen (met haar echtgenoot) en publiceren (als uitgever) van medische informatie door de medewerkster.

Gelet op de ernst van de wel vastgestelde overtreding heeft de Raad van Bestuur een besluit over een passende sanctie genomen. Op grond van de bevindingen ziet het Bravis ziekenhuis zich genoodzaakt de arbeidsrelatie met de medewerkster per direct te verbreken.

(…)

De overtreding van de medewerkster hebben wij als datalek gemeld bij de Autoriteit Persoonsgegevens (…) Wij hebben geen reactie ontvangen en verwachten dit ook niet, gelet op de hieronder vermelde verbetermaatregelen.

(…)

Verder heeft de Raad van Bestuur opdracht gegeven om de wijze waarop de steekproefgewijze controle van de inzage in de elektronische patiëntdossiers nu plaats vindt te verbeteren, zodat een dergelijke langdurige overtreding van de privacyregels eerder aan het licht zal komen.

(…)”

2.10.

Bij arrest van 11 februari 2019 heeft het gerechtshof ’s-Hertogenbosch het vonnis in kort geding van 18 juli 2018 (zie 2.6.) vernietigd en is onder meer de verdere verspreiding/openbaring van het boek verboden.

2.11.

[eiseres] heeft Bravis aansprakelijk gesteld voor de schade die zij heeft geleden. Bravis heeft aansprakelijkheid afgewezen. Partijen zijn nog in overleg getreden om tot een minnelijke regeling te komen. Dit heeft niet tot overeenstemming geleid.

3 Het geschil

3.1.

[eiseres] vordert – na wijziging van eis – dat de rechtbank bij vonnis, zoveel als mogelijk uitvoerbaar bij voorraad:

i. voor recht verklaart dat Bravis onrechtmatig jegens [eiseres] heeft gehandeld en aansprakelijk is voor de door [eiseres] geleden schade doordat:

  1. het ziekenhuis onvoldoende maatregelen heeft genomen om de medische gegevens en geheime adresgegevens van [eiseres] te beschermen in de periode van juni 2014 tot en met juni 2018;
  2. het ziekenhuis ten onrechte weigerde om voorafgaand aan de kortgedingzitting van 12 juli 2018 om 14:00 uur de logging-gegevens aan [eiseres] te verstrekken;
  3. het ziekenhuis onvoldoende onderzoek heeft uitgevoerd naar het datalek en de vraag wat er met de medische gegevens van [eiseres] is gebeurd.

ii. voor recht verklaart dat Bravis aansprakelijk is voor de schade als gevolg van het onrechtmatig handelen door haar medewerkster [naam 2] jegens [eiseres] , welk onrechtmatig handelen bestaat uit de 347 ongeoorloofde inzagen in de medische dossiers van [eiseres] en het publiceren van de medische gegevens in het door [naam 2] uitgegeven boek;

iii. Bravis veroordeelt de door [eiseres] geleden schade te vergoeden als gevolg van het hiervoor onder sub i. en ii. genoemde, te weten een vergoeding van immateriële schade ad € 15.000,00, de kosten voor beveiliging van het huis ad € 3.000,00, en verhuiskosten ad € 20.000,00,

en specifiek ten aanzien van sub i. onder b, de kosten van het hoger beroep ad € 20.000,00 (minus liquidatietarief) en immateriële schade ad € 50.000,00 (omdat het volledige boek is gepubliceerd);

iv. Bravis veroordeelt in de kosten van het geding, te vermeerderen met de wettelijke rente vanaf de dag van dagvaarden tot aan de dag der algehele voldoening.

3.2.

Bravis voert verweer.

3.3.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

4 De beoordeling

4.1.

Het gaat in deze zaak kort samengevat om het volgende. [naam 2] , een (voormalig) medewerker van Bravis, heeft in de periode van 24 juni 2014 tot en met 11 juni 2018 veelvuldig het patiëntendossier van [eiseres] ingezien. Uit de registratie van de logging-gegevens van Bravis blijkt onder meer dat [naam 2] in deze periode op 79 verschillende momenten het patiëntendossier van [eiseres] heeft ingezien, dat daarbij in totaal ten minste 345 logregels zijn geschreven, en dat zij zes keer de noodprocedure heeft toegepast. Nader onderzoek heeft uitgewezen dat [eiseres] ook onder de autorisaties van collega’s het patiëntendossier van [eiseres] heeft geraadpleegd. Daarnaast is vastgesteld dat [naam 2] inzage heeft gehad in het patiëntendossier van de moeder en dochter van [eiseres] . [eiseres] stelt dat [naam 2] medische informatie, die zij door onrechtmatige inzagen in het patiëntendossier van [eiseres] heeft verkregen, heeft doorgespeeld aan de ex-partner van [eiseres] en dat deze gegevens vervolgens zijn gepubliceerd in het door [naam 2] uitgegeven boek. Daardoor heeft zij schade geleden. Zij legt aan haar vorderingen ten grondslag dat Bravis als werkgever aansprakelijk moet worden gehouden voor het onrechtmatig handelen van [naam 2] . Daarnaast legt zij aan haar vorderingen ten grondslag dat Bravis zelf onrechtmatig heeft gehandeld jegens [eiseres] . Bravis voert verweer en betwist iedere aansprakelijkheid, zowel als werkgever als op grond van onrechtmatige daad. De rechtbank zal hierna puntsgewijs tot de beoordeling overgaan.

aansprakelijkheid ondergeschikte

4.2.

Artikel 6:170 lid 1 BW bepaalt dat voor schade, aan een derde toegebracht door een fout van een ondergeschikte, degene in wiens dienst de ondergeschikte zijn taak vervult aansprakelijk is, indien de kans op de fout door de opdracht tot het verrichten van deze taak is vergroot en degene in wiens dienst hij stond, uit hoofde van hun desbetreffende rechtsbetrekking zeggenschap had over de gedragingen waarin de fout was gelegen.

4.3.

Op grond van dit artikel kan Bravis slechts aansprakelijk zijn indien de schade is veroorzaakt door een ‘fout’ van [naam 2] . Een fout in deze zin is een toerekenbare onrechtmatige daad (artikel 6:162 BW).

4.4.

Tussen partijen is niet in geschil dat [naam 2] langdurig en veelvuldig het patiëntendossier van [eiseres] heeft ingezien, zonder dat zij daartoe bevoegd was. [naam 2] was niet direct betrokken bij de behandeling van [eiseres] als patiënt in het Bravis ziekenhuis en ook niet betrokken bij de beheersmatige afwikkeling daarvan. Dat de inzagen van [naam 2] in het patiëntendossier van [eiseres] op zichzelf reeds een onrechtmatige gedraging betreft in de zin van artikel 6:162 BW, is in zoverre ook niet in geschil. Bravis voert weliswaar in deze procedure aan dat niet vaststaat dat [naam 2] daadwerkelijk inhoudelijke passages uit het dossier heeft ingezien, maar de rechtbank leidt uit de stellingen van Bravis ook af dat Bravis de inzagen (raadplegingen) van [naam 2] onrechtmatig acht. Dat blijkt ook uit de overgelegde correspondentie tussen partijen, de stellingname van Bravis in de arbeidsrechtelijke procedure jegens [naam 2] bij de kantonrechter, en het feit dat de inzagen voor Bravis aanleiding zijn geweest om het dienstverband met [naam 2] per direct te beëindigen. Dat de inzagen van [naam 2] in het patiëntendossier van [eiseres] onrechtmatig zijn jegens [eiseres] staat derhalve vast.

4.5.

[eiseres] stelt niet alleen dat [naam 2] (in strijd met een maatschappelijke zorgvuldigheidsnorm) veelvuldig onrechtmatig het patiëntendossier van [eiseres] heeft ingezien, maar ook dat zij medische gegevens die afkomstig zijn uit dit patiëntendossier heeft gedeeld met [naam ex-partner] en heeft gepubliceerd in het (door [naam ex-partner] geschreven en) door haar uitgegeven boek.

4.6.

Bravis voert aan dat inzage in het patiëntendossier en publicatie van medische gegevens in het boek twee verschillende dingen zijn en dat [eiseres] in dit kader niet voldoet aan haar stelplicht. [eiseres] heeft niet aangetoond dat [naam 2] misbruik heeft gemaakt van medische gegevens uit het patiëntendossier. Het is niet duidelijk welke informatie door [naam 2] is ingezien, in hoeverre zij die informatie heeft doorgegeven aan [naam ex-partner] , en dat de verstrekte informatie vervolgens in het boek is verwerkt. Bovendien is ook niet aangetoond dat de informatie van Bravis afkomstig is, aangezien in het boek het Dijkzigt ziekenhuis wordt genoemd en niet het ziekenhuis van Bravis. De stellingen van [eiseres] in dit kader zijn louter gebaseerd op een aanname. De gegevens die in het boek zijn gepubliceerd kunnen door [naam ex-partner] zijn onthouden, aangezien zij in hun relatie gebeurtenissen samen hebben meegemaakt. De medische termen kunnen bovendien afkomstig zijn van het internet, een encyclopedie en/of andere materiaal waarin medische zaken uiteen worden gezet, aldus Bravis.

4.7.

Ter zitting heeft Bravis in aanvulling hierop nog aangevoerd dat Bravis heeft vastgesteld dat de documenten waarin de betreffende medische gegevens die in het boek zijn verwerkt, niet door [naam 2] in de periode van 24 juni 2014 tot en met 11 juni 2018 (digitaal) zijn ingezien. Deze documenten bevinden zich immers onder het tabblad “Multimedia” en de logregel die bij de opening van dat tabblad zou zijn geschreven, is niet geschreven.

4.8.

De rechtbank overweegt als volgt. In het boek zijn medische gegevens verwerkt. Die medische gegevens komen overeen met gegevens uit het patiëntendossier van [eiseres] . [naam 2] heeft het boek uitgegeven en is tevens de huidige partner van [naam ex-partner] , de schrijver van het boek. [naam 2] was op dat moment tevens werkzaam bij Bravis. Dit alles was voor [eiseres] aanleiding om de logging-gegevens van haar patiëntendossier bij Bravis op te vragen. Vervolgens bleek uit die logging-gegevens dat [naam 2] veelvuldig onrechtmatig het patiëntendossier van [eiseres] had ingezien. Gelet hierop dient het er naar het oordeel van de rechtbank feitelijk voor te worden gehouden dat [naam 2] medische gegevens uit het patiëntendossier van [eiseres] (ook) heeft gedeeld met [naam ex-partner] en dat deze gegevens vervolgens zijn verwerkt in het boek. Bravis voert aan dat andere bronnen veel aannemelijker zijn, zoals het geheugen van [naam ex-partner] , maar dit volgt de rechtbank gelet op het voorgaande niet. Het verweer van Bravis dat [naam 2] de betreffende medische informatie niet daadwerkelijk heeft ingezien, omdat deze informatie in een andere folder van het digitale patiëntendossier staat waarvan de logregel niet geschreven is, slaagt evenmin. Bravis heeft dit verweer niet nader onderbouwd, hetgeen wel op haar weg had gelegen nu zij degene is die over deze gegevens beschikt. Aldus is de rechtbank van oordeel dat in rechte ervan moet worden uitgegaan dat [naam 2] onrechtmatig medische gegevens uit het patiëntendossier van [eiseres] heeft ingezien, deze medische informatie vervolgens heeft gedeeld met [naam ex-partner] , en dat deze informatie is verwerkt in het boek dat is uitgegeven door [naam 2] . In haar uitspraak van 11 februari 2019 heeft het Hof in overweging 6.15.7 ook overwogen dat [naam ex-partner] de vertrouwelijke informatie over [eiseres] vermoedelijk in handen heeft gekregen via [naam 2] .

Daarmee heeft [naam 2] niet alleen in strijd met een maatschappelijke zorgvuldigheidsnorm gehandeld, maar is ook sprake van een (ernstige) inbreuk op de persoonlijke levenssfeer van [eiseres] . De rechtbank concludeert dat [naam 2] een onrechtmatige daad jegens [eiseres] heeft gepleegd. Deze daad is haar toe te rekenen, omdat er geen argumenten zijn aangevoerd die zouden kunnen meebrengen dat die daad haar niet toe te rekenen valt.

4.9.

Daarnaast is vereist dat er een functioneel verband bestaat tussen de fout van [naam 2] en de aan haar opgedragen taak. Dit verband wordt in de rechtspraak ruim uitgelegd. Uit het eerste lid van artikel 6:170 BW volgt dat hieraan is voldaan indien i) de kans op de fout door de opdracht tot het verrichten van deze taak is vergroot en ii) de bovengeschikte (theoretische) zeggenschap had over de gedragingen waarin de fout was gelegen. De rechtbank is van oordeel dat aan deze twee elementen is voldaan. [naam 2] had immers in het kader van haar werkzaamheden als medisch secretaresse en als planner op de IC toegang tot patiëntendossiers en heeft onder werktijd, binnen de werkomgeving, en onder gebruikmaking van de aan haar ter beschikking gestelde toegang/autorisatie, inzage gehad in het patiëntendossier van [eiseres] en de medische informatie verkregen. Bravis had als werkgever van [naam 2] zeggenschap hierover. Van een privéhandeling die is uitgevoerd in de privésfeer, zoals Bravis betoogt, is geen sprake.

4.10.

Gelet op het voorgaande is de rechtbank van oordeel dat Bravis (risico)aansprakelijk is voor de door [eiseres] geleden schade. Op de schade zal de rechtbank hierna (vanaf rechtsoverweging 4.41.) ingaan.

4.11.

De rechtbank is overigens van oordeel dat het standpunt van [eiseres] dat [naam 2] haar geheime adresgegevens uit het patiëntendossier heeft gedeeld met [naam ex-partner] , omdat [eiseres] in 2017 een anonieme kerstkaart in zijn handschrift heeft ontvangen, onvoldoende is onderbouwd. [eiseres] heeft niet aangetoond dat de kerstkaart van [naam ex-partner] afkomstig was. Bovendien heeft [eiseres] ter zitting desgevraagd toegelicht dat zij (verder) niet door [naam ex-partner] is lastiggevallen en dat er geen incidenten hebben plaatsgevonden. De in dit verband gestelde geleden schade wordt dan ook afgewezen.

onrechtmatige daad

4.12.

[eiseres] stelt dat Bravis onrechtmatig jegens haar heeft gehandeld en aansprakelijk is voor de door haar geleden schade omdat i) het ziekenhuis onvoldoende maatregelen heeft genomen om haar medische gegevens (en adresgegevens) te beschermen, ii) Bravis op 11 en 12 juli 2018 de logging-gegevens niet aan [eiseres] heeft verstrekt, en iii) Bravis onvoldoende onderzoek heeft verricht naar het datalek en naar wat er met de medische gegevens is gebeurd. De rechtbank zal hierna puntsgewijs tot de beoordeling hiervan overgaan.

i) onvoldoende maatregelen bescherming medische gegevens

4.13.

[eiseres] stelt dat Bravis onvoldoende maatregelen heeft genomen om haar medische gegevens (en adresgegevens) te beschermen. [eiseres] heeft in dit kader stellingen ingenomen die zich richten op a) de autorisatie en b) het controlebeleid van Bravis. Ten aanzien van zowel de autorisatie als het controlebeleid stelt [eiseres] zich op het standpunt dat Bravis in strijd met artikel 32 AVG (en artikel 13 Wbp) heeft gehandeld, dat kort gezegd voorschrijft dat organisaties passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen. In het kader van autorisatie stelt [eiseres] voorts dat Bravis ook in strijd met artikel 7:457 BW (jo. artikel 7:462 BW) heeft gehandeld, omdat alleen rechtstreeks betrokken behandelaars van de patiënt recht hebben op inzage van het patiëntendossier en [naam 2] niet als zodanig is aan te merken.

4.14.

De rechtbank stelt bij de beoordeling het volgende voorop. [eiseres] heeft in de dagvaarding aan haar vordering (onder meer) ten grondslag gelegd dat Bravis in strijd met artikel 32 AVG heeft gehandeld, waarna Bravis in de conclusie van antwoord erop heeft gewezen dat gelet op de periode voor het overgrote deel artikel 13 Wbp van toepassing was. Deze artikelen zijn inhoudelijk niet wezenlijk gewijzigd; onder beide artikelen moet de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treffen voor de beveiliging van persoonsgegevens, en daarbij moet rekening worden gehouden met de stand van de techniek en de uitvoeringskosten. De invulling van passende en technische organisatorische maatregelen vindt, in het kader van de informatiebeveiliging bij zorginstellingen, plaats aan de hand van de normen NEN 7510 en NEN 7513.

Vanaf 1 januari 2018 is de invulling van artikel 13 Wbp en (daaropvolgend) artikel 32 AVG aan de hand van deze normen met de inwerkingtreding van het “Besluit elektronische gegevensverwerking zorgaanbieders” (en de daarin opgenomen artikelen 3, tweede lid, en 5, eerste lid) verplicht. Echter, ook vóór 1 januari 2018 vond de invulling van passende technische en organisatorische maatregelen in de zin van artikel 13 Wbp plaats aan de hand van de voornoemde NEN-normen. Partijen hebben diverse NEN 7510 en NEN 7513 normen overgelegd. Voor de voorliggende geschilpunten zijn naar het oordeel van de rechtbank de (opeenvolgende) normen NEN 7510:2011 en NEN 7510-2:2017 relevant. Ook hier geldt dat deze normen op de voorliggende punten geen inhoudelijke wijzigingen bevatten.

4.15.

De rechtbank dient onder meer te beoordelen of Bravis in de periode van juni 2014 tot en met juni 2018 al dan niet in strijd met artikel 13 Wbp en artikel 32 AVG heeft gehandeld. Gelet op het voorgaande zal de rechtbank over deze periode dezelfde maatstaf aanleggen. Er dient dan ook te worden beoordeeld of Bravis in het kader van de autorisatie en haar controlebeleid in de genoemde periode passende technische en organisatorische maatregelen heeft getroffen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van te beschermen persoonsgegevens. De toetsing hiervan vindt plaats aan de hand van NEN 7510:2011 en NEN 7510-2:2017. Daarbij zij opgemerkt dat Bravis terecht aanvoert dat vóór 1 januari 2018 een ziekenhuis ook op andere wijze kon aantonen dat de beveiliging op orde is, door bijvoorbeeld te voldoen aan de Code voor Informatiebeveiliging (ISO 17799).

– de autorisatie

4.16.

Gelet op de grondslag van de vordering is in deze zaak slechts van belang of de autorisaties die Bravis aan [naam 2] heeft verleend voldeden aan de gestelde norm en het daarvoor geldende kader. De rechtbank zal algemene stellingen die zich richten tegen het autorisatiebeleid van Bravis dan ook buiten beschouwing laten.

4.17.

[eiseres] stelt dat de autorisaties van [naam 2] te ruim waren en in strijd zijn met het ‘need to know’ principe, zoals vastgelegd in artikel 9.1.1. NEN 7510-2:2017 en artikel 7:457 lid 1 en 2 BW. [naam 2] had als medisch secretaresse op (onder meer) de afdeling cardiologie ten onrechte toegang tot het volledige dossier van [eiseres] en de moeder en dochter van [eiseres] , nu zij geen patiënten op de afdeling cardiologie waren. Daarnaast had [naam 2] in de functie van planner op de IC geen enkele toegang tot patiëntendossiers mogen hebben, aldus [eiseres] .

4.18.

Bravis betwist dat de autorisaties van [naam 2] niet voldeden aan het ‘need to know’ principe. [naam 2] is werkzaam geweest als administratief medewerker op de afdeling Spoedeisende Hulp (SEH). In die functie had zij gelet op haar takenpakket volledige toegang tot patiëntendossiers. Daarbij is sprake van een (terechte) uitzondering op het uitgangspunt (dat ook door Bravis in haar autorisatiebeleid gehanteerd wordt), die proportioneel en onderbouwd is, omdat op de SEH vaak sprake is van medische spoedsituaties waarin directe toegang tot patiëntendossiers van levensbelang is. De noodprocedure is hiervoor, in een situatie waarin soms elke seconde telt, te omslachtig.

Daarnaast is [naam 2] werkzaam geweest als planner op de afdeling Intensive Care en Hartbewaking (IC/CCU), waarbij zij tevens bij afwezigheid of onverwachte drukte moest bijspringen als secretaresse IC. Zij heeft in die functie geen volledige toegang tot patiëntendossiers gehad; haar rechten waren beperkt tot patiënten die waren opgenomen op de IC, CCU of de afdeling cardiologie. Voor het raadplegen van overige patiëntendossiers moest zij gebruik maken van de noodknopprocedure, aldus Bravis.

4.19.

Ter zitting heeft [eiseres] nog aangevoerd dat de stellingen van Bravis niet overeenkomen met de logging-gegevens, nader uitgewerkt onder 4.3. tot en met 4.5. van de spreekaantekeningen. De rechtbank heeft met partijen de logging-gegevens bekeken en Bravis heeft daarbij de door [eiseres] aangedragen punten gemotiveerd betwist. De rechtbank verwijst hiervoor naar het proces-verbaal van de mondelinge behandeling.

4.20.

De rechtbank overweegt als volgt. Het uitgangspunt bij de autorisatie is dat medewerkers uitsluitend toegang hebben tot patiëntgegevens indien zij een behandelingsovereenkomst met de patiënt hebben of als zij rechtstreeks betrokken zijn bij de uitvoering van een behandelingsovereenkomst. De medewerker dient alleen toegang te hebben tot gegevens die noodzakelijk zijn voor zijn taak. Dit wordt ook wel aangeduid als het ‘need to know beginsel’, dat is neergelegd in artikel 11.1.1 NEN 7510:2011 en 9.1.1. NEN 7510-2:2017. Daarbij geldt dat in bepaalde bijzondere situaties autorisaties voor het leveren van noodzakelijke zorg moeten kunnen worden uitgebreid, reden waarom een ziekenhuis over een noodknopprocedure dient te beschikken. Bij toepassing van de noodknopprocedure worden medewerkers erop gewezen dat zij niet bevoegd zijn om toegang te krijgen tot de specifieke patiëntgegevens. Daarnaast kunnen (in het kader van verantwoorde en veilige zorgverlening) uitzonderingen op het hiervoor genoemde uitgangspunt op zijn plaats zijn, mits de zorginstelling deze goed onderbouwt en de uitzonderingen proportioneel zijn. Het CPB noemt hier (in haar rapport van 2013) als voorbeeld het spoedeisende en/of complexe karakter van hulpverlening in bepaalde situaties.

4.21.

De rechtbank dient te beoordelen of de autorisaties van [naam 2] aan het hiervoor geschetste kader voldeden. [naam 2] is vanaf 1 januari 2007 tot 1 oktober 2017 werkzaam geweest als secretaresse op de spoedeisende hulp. Zij had in die functie een autorisatie zonder beperkingen, zodat zij volledige en ongelimiteerde toegang tot patiëntendossiers had, waaronder het patiëntendossier van [eiseres] . Zij hoefde daarbij geen gebruik te maken van de noodknopprocedure. De rechtbank is van oordeel dat gelet op de aard van de functie deze ruime toegang tot patiëntendossiers gerechtvaardigd en proportioneel was. Dat de door Bravis verstrekte autorisatie aan [naam 2] in strijd is met het ‘need to know beginsel’ is de rechtbank aldus niet gebleken. Verder is [naam 2] vanaf 15 juli 2016 tot 13 augustus 2018 (ook) als planner (en secretaresse) op de IC werkzaam geweest. Zij had in die functie beperkte toegang tot patiëntendossiers en géén (directe) toegang tot het patiëntendossier van [eiseres] . Dit betekent dat zij in deze functie de noodknopprocedure diende toe te passen indien zij het patiëntendossier van [eiseres] wilde inzien. [eiseres] voert aan dat [naam 2] in deze functie helemaal geen toegang tot patiëntendossiers had moeten krijgen, maar deze stelling is – mede gelet op de gemotiveerde betwisting van Bravis – onvoldoende onderbouwd. De rechtbank is van oordeel dat ook hier niet is gebleken dat deze autorisatie in strijd is met het ‘need to know beginsel’.

4.22.

De rechtbank concludeert dat Bravis met de aan [naam 2] verleende autorisaties niet in strijd met de artikelen 32 AVG, 13 Wbp en 7:457 BW heeft gehandeld.

4.23.

Ten overvloede merkt de rechtbank op dat uit het voorgaande (en overigens ook uit het autorisatiebeleid van Bravis) blijkt dat Bravis bij de autorisatie onderscheid maakt in functiegroepen en dat er in zijn algemeenheid dus geen sprake is van onbegrensde toegang tot patiëntendossiers, zoals [eiseres] in de dagvaarding (ten onrechte) stelt.

– het controlebeleid

4.24.

[eiseres] stelt dat het controlebeleid van Bravis niet voldeed aan artikel 12.4.1 NEN 7510-2:2017, die onder meer bepaalt dat logging-gegevens regelmatig dienen te worden gecontroleerd. Uit het in maart 2019 uitgebrachte onderzoeksrapport (productie 26 dagvaarding) van de Autoriteit Persoonsgegevens (hierna: AP) volgt dat de AP hierbij als uitgangspunt hanteert dat sprake dient te zijn van systematische, consequente controle van alle logging. Dit heeft de AP ook al beschreven in haar rapport van 2013. Bravis voldoet niet aan de norm omdat zij slechts een steekproefsgewijze controle hanteert. Verder moet volgens de handreiking van de Nederlandse Vereniging van ziekenhuizen (NVZ) uit 2015 (productie 21 dagvaarding) bij het gebruik van de noodknopprocedure altijd een controle gelden. Bravis heeft hier niet aan voldaan. De noodknopprocedure is immers door [naam 2] zes keer in gang gezet en Bravis heeft geen enkele keer gecontroleerd.

4.25.

Bravis voert aan dat de logging en de controle daarop voldeed aan de eisen die de Wbp en de AVG daaraan stellen. Zowel artikel 13 Wbp als artikel 32 AVG houdt bij de beoordeling wat in het kader van de beveiliging redelijkerwijs verwacht mag worden, rekening met technische mogelijkheden en kosten. Volgens de huidige gedragslijn van de NVZ (productie 19 conclusie van antwoord) is een steekproefsgewijze controle (nog steeds) geaccepteerd en een minimumvoorwaarde. Bravis voldeed destijds al ruim aan die norm. Het gebruik van de noodknopprocedure werd iedere maand op twee manieren steekproefsgewijs gecontroleerd. Ook controleerde Bravis maandelijks steekproefsgewijs twee patiëntendossiers.

4.26.

[naam functionaris] heeft ter zitting toegelicht hoe de controle van de logging van de patiëntendossiers door Bravis over de betreffende periode in de praktijk plaatsvond. Uit deze toelichting maakt de rechtbank onder meer het volgende op:

  • – [naam functionaris] was feitelijk belast met de controle van de logging. Het management was op dit punt niet betrokken; [naam functionaris] heeft naar beste weten de controle van de logging uitgevoerd, zonder daartoe instructies vanuit het management te hebben ontvangen.
  • -de logging van patiëntendossiers die door medewerkers met onbegrensde toegang werden ingezien, werd niet gecontroleerd.
  • -er was één Excel-bestand waarin alle loggings van de reguliere en de noodknopprocedure stonden vermeld. Uit dit bestand werd maandelijks één willekeurige dag van de maand gekozen en gescand (op overeenkomsten in (eigen) namen van patiënt en werknemer, en verdachte situaties). Vervolgens werden uit de lijst (van de betreffende dag) twee willekeurige patiëntendossiers gekozen, waarvan de logging werd gecontroleerd.

4.27.

De rechtbank overweegt als volgt. De normen 10.10.2 NEN 7510:2011 en 12.4.1. van NEN 7510-2:2017 bepalen dat logbestanden regelmatig behoren te worden beoordeeld. Als uitgangspunt hiervoor geldt dat sprake dient te zijn van een systematische, consequente controle van alle logging. Een steekproefsgewijze controle en/of een controle op basis van klachten is niet voldoende om hier invulling aan te geven. De AP (toen CBP) heeft deze uitgangspunten al in haar rapport in 2013 over de beveiliging van patiëntendossiers neergelegd, zodat dit over de periode van juni 2014 tot en met juni 2018 (ook) de geldende maatstaf was.

4.28.

De rechtbank is van oordeel dat Bravis in de genoemde periode niet aan deze maatstaf heeft voldaan. Er was geen sprake van een door (het management van) Bravis vastgesteld controlebeleid. [naam functionaris] heeft zelf invulling moeten geven aan de controle van de logging en die controle was (naar de maatstaven die toen golden) onvoldoende. De logging van de patiëntendossiers die door medewerkers met onbegrensde toegang zijn ingezien, is in het geheel niet gecontroleerd. Verder werden er maandelijks steekproefsgewijs slechts twee patiëntendossiers gecontroleerd; [naam functionaris] selecteerde deze dossiers vanuit een Excel-bestand met zowel de logging van de reguliere als de noodknopprocedure. Daarmee is (evident) geen sprake van een systematische en risicogerichte controle. Bovendien was deze controle ook in omvang onvoldoende, gelet op de schaal van verwerkingen in het ziekenhuis.

4.29.

Dat de controle van de logging op andere wijze voldoet aan de artikelen 13 Wbp en 32 AVG is door Bravis onvoldoende onderbouwd. Ter zitting heeft Bravis nog aangevoerd dat in die tijd nog geen sprake was van intelligente logging. De rechtbank merkt in dit kader op dat het CPB in haar rapport van 2013 heeft aangegeven dat ziekenhuizen moeten streven naar intelligentere analyse/controle van de logging. In dit rapport staat ook dat indien technologische voorzieningen ontbreken, de inzet van (voldoende) menskracht is aangewezen om het vereiste passende beveiligingsniveau te garanderen. Dit kan verder echter in het midden blijven nu de wijze waarop de controle heeft plaatsgevonden hoe dan ook (ruimschoots) onvoldoende was. Daarbij is ook van belang dat het hier om een bijzondere categorie van persoonsgegevens gaat, die een hoge mate van bescherming verdient.

4.30.

De rechtbank concludeert dan ook dat Bravis over de periode van 24 juni 2014 tot en met 11 juni 2018 geen passende maatregelen ten aanzien van de controle van de logging in de zin van de artikelen 13 Wbp en 32 AVG heeft genomen.

4.31.

De rechtbank is van oordeel dat dit een onrechtmatige daad jegens [eiseres] oplevert. Het doel van de controle van de logging is om te controleren of toegang tot de patiëntendossiers beperkt blijft tot situaties waarin dat rechtmatig is. Het betreft een van de belangrijkste beveiligingseisen voor het beschermen van persoonlijke gezondheidsinformatie. In de gegeven situatie, waarin over een periode van bijna vier jaar het patiëntendossier van [eiseres] veelvuldig onrechtmatig is ingezien, is het niet voldoen aan de hiervoor genoemde normen en artikel 13 Wbp en 32 AVG ten aanzien van de controle van de logging in diezelfde periode onrechtmatig jegens [eiseres] .

Op de schade zal de rechtbank hierna (vanaf rechtsoverweging 4.41.) ingaan.

ii) het niet tijdig verstrekken van de logging-gegevens

4.32.

[eiseres] stelt dat Bravis in strijd met artikel 15 lid 3 AVG heeft gehandeld, door niet direct de logging-gegevens aan haar te verstrekken nadat zij Bravis hiertoe op 11 juli 2018 tweemaal heeft verzocht. Het onderzoek dat naar [naam 2] zou worden ingesteld, staat volledig los van de vraag of [eiseres] recht heeft op de logging-gegevens en dit was dan ook geen geldige reden om de logging niet (direct) aan [eiseres] te verstrekken. Bravis heeft zich verscholen achter het privacybelang van [naam 2] . Bravis heeft in dit kader geen belangenafweging gemaakt, en heeft in ieder geval niet toegelicht waarom het privacybelang van [naam 2] op grond van de uitzonderingsbepaling in artikel 41 UAVG danwel de tweede zin van artikel 7:456 BW zwaarder diende te wegen dan het belang van de patiënt, [eiseres] . Dit terwijl Bravis bekend was met het grote belang van [eiseres] dat zij de gegevens nodig had als bewijsmateriaal voor de kort geding zitting op 12 juli 2018. Ook nadat Bravis met [naam 2] had gesproken (voorafgaand aan de zitting) op 12 juli 2018, heeft Bravis de logging-gegevens niet (alsnog) aan [eiseres] verstrekt. Door de weigering tot afgifte van de logging-gegevens op 11 en 12 juli 2018 kon [eiseres] niet aantonen dat [naam 2] haar medische gegevens heeft ingezien en gebruikt in het boek en daardoor heeft zij het kort geding verloren. Als gevolg van het verlies van het kort geding bleef het boek tot en met het arrest van het gerechtshof ’sHertogenbosch in februari 2019 in de boekhandels en digitaal beschikbaar. Het hof heeft de logging-gegevens zwaar laten meewegen in haar oordeel en het vonnis van de voorzieningenrechter mede op basis van die logging-gegevens vernietigd. Het boek is door het onrechtmatig handelen van Bravis zeven maanden te laat verboden. Door toedoen van Bravis zijn de kansen op winst van [eiseres] in de kort geding procedure bij de voorzieningenrechter aanzienlijk verminderd, aldus [eiseres] .

4.33.

Bravis voert aan dat zij binnen de wettelijke termijn van artikel 12 lid 3 AVG de logging-gegevens aan [eiseres] heeft verstrekt en aldus niet onrechtmatig heeft gehandeld. Het afschrift van de logging-gegevens is op 18 juli 2018 aan [eiseres] verstrekt. Daarnaast heeft [eiseres] op 11 juli 2018 niet aannemelijk gemaakt waarom de logging relevant zou zijn voor de kort geding zitting. [eiseres] heeft tijdens het gesprek met Bravis aangegeven dat de medische informatie in het boek onjuist was en “niet eens het ergste [was]”. De stellingen die [eiseres] innam over de procedure had zij toen ook niet onderbouwd. Bovendien was op dat moment slechts sprake van een vermoeden dat [naam 2] onrechtmatig het dossier had ingezien, dat eerst nader moest worden onderzocht. Als goed werkgever heeft Bravis eerst [naam 2] gehoord over de inzagen in het patiëntendossier, voordat zij een afschrift van de logging aan [eiseres] heeft verstrekt.

Bravis voert voorts aan dat het condicio sine qua non-verband ontbreekt. [eiseres] heeft niet onderbouwd op welke wijze het afschrift van de logging-gegevens tot een andere conclusie van de voorzieningenrechter zou hebben geleid, aldus Bravis.

4.34.

De rechtbank overweegt als volgt. Artikel 12 lid 3 AVG bepaalt dat de verwerkingsverantwoordelijke de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie verstrekt over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van het verzoek kan die termijn indien nodig met nog eens twee maanden worden verlengd.

4.35.

De rechtbank stelt vast dat [eiseres] op 11 juli 2018 een eerste verzoek tot afgifte van de logging-gegevens heeft gedaan en dat Bravis op 18 juli 2018 aan dat verzoek heeft voldaan. Daarmee heeft Bravis onverwijld en binnen een maand de logging-gegevens aan [eiseres] verstrekt. Door de logging-gegevens binnen deze termijn te verstrekken heeft Bravis geen uitzondering gemaakt als bedoeld in artikel 41 UAVG, zodat [eiseres] in deze stelling niet kan worden gevolgd. De rechtbank is van oordeel dat Bravis niet onrechtmatig heeft gehandeld. Bravis is na de constatering van de onrechtmatige inzagen direct met [naam 2] in gesprek gegaan. Bravis heeft op dat moment eerst haar onderzoek gestart. Vervolgens heeft zij na zeven dagen de logging-gegevens aan [eiseres] verstrekt. De rechtbank is van oordeel dat Bravis daarin zorgvuldig en voortvarend heeft gehandeld. Dat Bravis vanwege het belang van [eiseres] direct de logging-gegevens had moeten verstrekken, volgt de rechtbank niet. Daarbij merkt de rechtbank op dat [eiseres] tijdens de kort geding zitting bij de voorzieningenrechter geen melding heeft gemaakt van de constatering met betrekking tot de onrechtmatige inzagen of om uitstel van de zitting heeft gevraagd. Het had op de weg van [eiseres] gelegen om – indien zij het belang hiervan zo groot achtte – de voorzieningenrechter van de onrechtmatige inzagen, en het feit dat zij het bewijs (de logging-gegevens) daarvan bij Bravis heeft opgevraagd maar nog niet heeft verkregen, op de hoogte te stellen.

4.36.

[eiseres] heeft nog aangevoerd dat door toedoen van Bravis de kansen op winst van [eiseres] in het kort geding van 12 juli 2018 aanzienlijk zijn verminderd. De rechtbank merkt in dit kader op dat de voorzieningenrechter in het kort geding heeft geoordeeld dat [eiseres] niet in haar eer en goede naam is aangetast door de publicatie van het boek, omdat [naam ex-partner] pseudoniemen heeft gebruikt en door [eiseres] niet inzichtelijk is gemaakt dat de inhoud van het boek naar haar is te herleiden, zodat afgevraagd kan worden of de logging-gegevens tot een andere uitkomst zouden hebben geleid. Aan een oordeel op dit punt wordt echter niet toegekomen omdat de vordering reeds afstuit op het ontbreken van een onrechtmatige gedraging zoals in 4.35 overwogen.

iii) onvoldoende onderzoek datalek en naar wat er met medische gegevens is gebeurd

4.37.

[eiseres] stelt dat gelet op de ernst en omvang van het datalek Bravis de verplichting had om een grondig onderzoek in te stellen naar wat [naam 2] met de vertrouwelijke patiëntinformatie heeft gedaan. Door geen deugdelijk onderzoek in te stellen handelt Bravis onrechtmatig jegens [eiseres] . Het onderzoek van Bravis bestond uit slechts één gesprek met [naam 2] , waarin [naam 2] heeft aangegeven niets met de informatie te hebben gedaan. Bravis heeft hiermee ten onrechte genoegen genomen en heeft met een hoge mate van onzorgvuldigheid gehandeld. Verder heeft Bravis nagelaten onderzoek te doen naar de e-mailboxen van [naam 2] en naar haar printhistorie. Bravis heeft erkend dat zij de e-mails van [naam 2] niet heeft gecontroleerd.

4.38.

Bravis voert daartegenover aan dat niet duidelijk is welke rechtsplicht Bravis zou hebben geschonden. [eiseres] heeft niet aangetoond dat Bravis een onderzoeksplicht heeft geschonden. Het onderzoek omvat meer dan één gesprek met [naam 2] ; zij is tweemaal gehoord, haar verklaring is gecontroleerd met roosters en ook andere patiëntendossiers zijn gecontroleerd. Er waren geen aanwijzingen dat de informatie gedeeld was met derden. Er zijn voorts geen specifieke wettelijke vereisten hoe een onderzoek naar een datalek dient te worden gedaan. Bravis heeft in dit kader voldaan aan de eisen die in de artikelen 33 en 34 AVG en de daarbij horende Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679 worden gesteld.

4.39.

De rechtbank is van oordeel dat Bravis niet onrechtmatig, en dus ook niet in strijd met een maatschappelijke zorgvuldigheidsnorm, jegens [eiseres] heeft gehandeld door geen grondiger onderzoek te verrichten naar het datalek en naar wat [naam 2] met de medische informatie die zij uit het patiëntendossier van [eiseres] heeft verkregen, heeft gedaan. De rechtbank merkt in dit kader wèl op dat de wijze waarop Bravis de klacht van [eiseres] heeft afgedaan, beter had gekund. Zoals hiervoor in 4.8 is overwogen, waren er namelijk wel degelijk aanwijzingen dat [naam 2] de informatie had gedeeld met haar partner. In de brief van 14 augustus 2018 suggereert Bravis ook met de zinsnede “Wij hebben niet kunnen vaststellen dat de medewerkster informatie uit deze patiëntdossiers heeft gedeeld met haar echtgenoot” dat op dit punt onderzoek is verricht, terwijl dat feitelijk eigenlijk niet heeft plaatsgevonden; de enkele ontkenning van [naam 2] acht de rechtbank voor die vaststelling onvoldoende. Ter zitting is aan de orde gekomen dat [eiseres] hierin vooral mist dat Bravis niet persoonlijk contact heeft opgenomen met [eiseres] om in gesprek te gaan over wat haar is overkomen. Zij voelt zich daarin niet gehoord. De rechtbank kan dit begrijpen.

4.40.

[eiseres] heeft ter zitting nog aangevoerd dat Bravis met haar ontoereikende onderzoek onjuiste conclusies heeft getrokken en dat essentieel bewijsmateriaal niet meer is terug te vinden. Volgens [eiseres] handelt Bravis hiermee in strijd met de NEN-normen en daarmee onrechtmatig tegenover [eiseres] . Bravis noemt in dit kader (in een voetnoot) pagina’s 139 en 140 van NEN 7510:2017-2 en tevens pagina’s 17 en 18 van NEN:7513:2018. De rechtbank is van oordeel dat dit standpunt feitelijk onvoldoende is ingericht om tot de conclusie te kunnen leiden dat Bravis onrechtmatig jegens [eiseres] heeft gehandeld. Van een onrechtmatige daad is derhalve geen sprake.

schade

4.41.

Uit het voorgaande volgt dat de rechtbank van oordeel is dat Bravis (risico)aansprakelijk is voor het onrechtmatig handelen van [naam 2] en dat Bravis aansprakelijk is op grond van onrechtmatige daad omdat zij geen passende beveiligingsmaatregelen ten aanzien van de controle van de logging heeft genomen. [eiseres] vordert in dit kader (op basis van beide grondslagen) een vergoeding van immateriële schade van in totaal € 15.000,00, de kosten voor de beveiliging van het huis van in totaal € 3.000,00, en de verhuiskosten van in totaal € 20.000,00. De rechtbank zal hierna ingaan op deze schadeposten.

de immateriële schade

4.42.

Uit artikel 6:95 BW volgt dat ander nadeel dan vermogensschade slechts voor vergoeding in aanmerking komt voor zover de wet dat bepaalt. Artikel 6:106, onder b, BW bepaalt dat recht bestaat op een naar billijkheid vast te stellen schadevergoeding indien de benadeelde lichamelijk letsel heeft opgelopen, in zijn eer of goede naam is geschaad of op andere wijze in zijn persoon is aangetast. [eiseres] stelt dat zij zowel in haar eer en goede naam als op andere wijze in de persoon is aangetast.

4.43.

De rechtbank stelt voorop dat [eiseres] haar stelling dat zij in haar eer of goede naam is geschaad, heeft onderbouwd door aan te voeren dat de publicatie van het boek met daarin opgenomen de specifieke medische gegevens over [eiseres] diffamerend is en een aantasting in haar eer en goede naam oplevert. De rechtbank is van oordeel dat onvoldoende is geconcretiseerd dat, en zo ja in hoeverre, de gestelde aantasting in de eer en goede naam van [eiseres] zou zijn veroorzaakt door het opnemen van een passage met medische gegevens in het boek, terwijl het hele boek – zoals [eiseres] stelt – vol staat met onwaarheden, onnodig grievende uitlatingen en privacygevoelige informatie. Voor zover de vordering van [eiseres] is gestoeld op deze grond, zal de rechtbank die vordering daarom afwijzen.

4.44.

Ten aanzien van de aantasting in de persoon ‘op andere wijze’ overweegt de rechtbank als volgt. De aard en de ernst van de normschending en van de gevolgen daarvan voor de benadeelde kunnen meebrengen dat van de in artikel 6:106 lid 1, onder b, BW bedoelde aantasting in zijn persoon op andere wijze sprake is. In beginsel zal degene die zich hierop beroept de aantasting in zijn persoon met concrete gegevens moeten onderbouwen. In voorkomend geval kunnen de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen.

Van een aantasting in de persoon op andere wijze als bedoeld in artikel 6:106, onder b, BW, is niet reeds sprake bij de enkele schending van een fundamenteel recht (HR 15 maart 2019, ECLI:NL:HR:2019:376 (EBI) en HR 19 juli 2019, ECLI:NL:HR:2019:1278 (Aardbevingsschade Groningen)).

4.45.

[eiseres] heeft de aantasting in de persoon niet met concrete gegevens onderbouwd. Het geschil spitst zich dan ook toe op de vraag of de aard en de ernst van de normschending met zich meebrengt dat de nadelige gevolgen zo voor de hand liggen dat een aantasting in de persoon kan worden aangenomen. Bravis meent dat van een dergelijke situatie geen sprake is en voert in dit kader aan dat het onderhavige geval niet vergelijkbaar is met de situaties in de arresten Wrongful life (HR 18 maart 2005, ECLI:NL:HR:2005:AR5213) en Oudejaarsrellen (HR 9 juli 2004, ECLI:NL:HR:2004:AO7721).

4.46.

De rechtbank overweegt dat deze zaak op zijn eigen merites dient te worden beoordeeld. In deze zaak zijn fundamentele rechten geschonden; er is immers sprake van een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer van [eiseres] en op het recht op bescherming van persoonsgegevens. De rechtbank is van oordeel dat sprake is van een situatie waarin de nadelige gevolgen voor [eiseres] zo voor de hand liggen dat een aantasting in de persoon als bedoeld in artikel 6:106, onder b, BW kan worden aangenomen. De rechtbank acht hierbij het volgende van belang. Het gaat hier om een bijzondere categorie van persoonsgegevens, namelijk medische persoonsgegevens uit een patiëntendossier van een ziekenhuis. Deze gegevens zijn over een langdurige periode van vier jaar veelvuldig onrechtmatig ingezien en zijn gedurende deze periode ook onvoldoende beschermd. Daarnaast is er ook medische informatie gedeeld met derden en gepubliceerd in een boek. Dat [eiseres] hier nadelige gevolgen van ondervindt, in de vorm van bijvoorbeeld angstklachten en het verlies van controle en de vertrouwelijkheid van haar persoonsgegevens, ligt voor de hand.

4.47.

De rechtbank betrekt in haar oordeel ook dat in deze zaak artikel 32 van de AVG is geschonden. In de AVG zijn uitgangspunten geformuleerd voor de beoordeling van de schending, de (materiële en immateriële) schade en het causaal verband daartussen. Daarbij is in paragraaf 146 van de considerans neergelegd dat het begrip “schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van de verordening. Uit de AVG volgt het belang van controle over persoonsgegevens en handhaving van de geschonden regel. Een verordening-conforme uitleg van 6:106 lid 1 BW brengt (ook) mee dat [eiseres] recht heeft op een naar billijkheid vast te stellen vergoeding van haar immateriële schade.

4.48.

De rechtbank acht gelet op het voorgaande een vergoeding van € 2.000,00 passend en billijk. Bravis zal worden veroordeeld tot betaling van dit bedrag aan [eiseres] .

de kosten voor de beveiliging van het huis

4.49.

[eiseres] heeft de kosten voor de beveiliging van het huis (daaronder ook begrepen de reiskosten naar omliggende ziekenhuizen) gespecificeerd onder 2.16 van haar akte na mondelinge behandeling.

4.50.

[eiseres] stelt onder meer dat zij kosten heeft gemaakt voor zes elektrische rolluiken, beveiligingscamera’s en een Aware alarmknop. Deze kosten zijn ingegeven vanuit de stelling dat [naam ex-partner] door toedoen van Bravis en [naam 2] op de hoogte is geraakt van het geheime adres van [eiseres] . De rechtbank zal deze posten gelet op het oordeel in overweging 4.11. afwijzen.

4.51.

[eiseres] stelt verder dat zij sinds juni 2018 genoodzaakt is om uit te wijken naar omliggende ziekenhuizen, zoals het Erasmus MC in Rotterdam en het Amphia Ziekenhuis in Breda, en dat de reiskosten die zij heeft gemaakt van in totaal € 562,02 door Bravis dient te worden vergoed. [eiseres] is immers alle vertrouwen in Bravis verloren en haar medische gegevens zijn daar niet veilig, aldus [eiseres] . De rechtbank is van oordeel dat [eiseres] haar stelling onvoldoende heeft onderbouwd. Zo is de rechtbank niet gebleken dat deze kosten te maken hebben met het specifieke verwijt; er kunnen ook andere redenen voor de behandeling in een ander ziekenhuis zijn (bijvoorbeeld vanwege een specialisme). Daarnaast is [naam 2] niet meer werkzaam bij Bravis en heeft Bravis ter zitting toegelicht dat zij na dit incident veel inspanningen heeft gedaan op het gebied van beveiliging en dat haar beveiligingsbeleid (thans) op orde is. [eiseres] heeft dit niet gemotiveerd weersproken. Deze kosten dienen dan ook te worden afgewezen.

de verhuiskosten

4.52.

[eiseres] heeft de kosten die zij noodzakelijk acht voor het verhuizen naar een nieuwe woning geschat en nader gespecificeerd onder 2.22 van haar akte na mondelinge behandeling.

4.53.

De rechtbank begrijpt dat de onderbouwing van de schade op dit punt tweeledig is. In de eerste plaats stelt [eiseres] zich op het standpunt dat zij dient te verhuizen vanwege angst voor [naam ex-partner] , na het doorspelen van haar geheime adresgegevens. Daarnaast stelt [eiseres] dat zij het vertrouwen in Bravis is verloren omdat haar medische gegevens niet veilig zijn, zodat zij wenst te verhuizen naar een andere regio (het Westland) waarbij zij in de buurt van een ander ziekenhuis dan Bravis woont. [eiseres] is dan immers niet langer afhankelijk van Bravis als zij medische hulp, ook in spoedeisende situaties, nodig heeft. Gelet op overweging 4.11. zal de rechtbank alleen de tweede stelling in haar oordeel betrekken.

4.54.

De rechtbank stelt vast dat [eiseres] tot op heden niet is verhuisd en slechts een verhuiswens heeft. Dat sprake is van een noodzaak tot verhuizing is de rechtbank niet gebleken, mede gelet op overweging 4.51. De rechtbank is daarom van oordeel dat deze schade door [eiseres] onvoldoende is onderbouwd en zal deze vordering afwijzen.

4.55.

De overige gestelde schade (met betrekking tot de petitumonderdelen i sub b en c) wordt afgewezen, nu de rechtbank van oordeel is dat Bravis op deze punten niet onrechtmatig heeft gehandeld.

verklaringen voor recht

4.56.

[eiseres] heeft aanvankelijk een tweetal verklaringen voor recht in combinatie met het vaststellen van de schade door middel van een schadeschadestaatprocedure gevorderd. [eiseres] is ter zitting gevraagd haar schade in deze procedure te concretiseren, waarna zij haar eis op dit punt heeft gewijzigd. De rechtbank is van oordeel dat aan de gevorderde verklaringen voor recht, naast de veroordeling tot het betalen van een schadevergoeding, geen zelfstandige betekenis toekomt. De gevorderde verklaringen voor recht zullen daarom vanwege het ontbreken van een processueel belang worden afgewezen.

proceskosten

4.57.

Bravis zal in de proceskosten worden veroordeeld, omdat zij is aan te merken als de grotendeels in het ongelijk gestelde partij. Omdat een aanzienlijk deel van het gevorderde bedrag wordt afgewezen, begroot de rechtbank de proceskosten aan de zijde van [eiseres] op basis van het toegewezen bedrag op:

– dagvaarding € 103,83

– griffierecht 309,00

– salaris advocaat 1.195,00 (2,5 punten × tarief € 478,00)

Totaal € 1.607,83

4.58.

De gevorderde wettelijke rente over de proceskosten is niet weersproken en zal worden toegewezen met inachtneming van de in de beslissing te bepalen termijn.

5 De beslissing

De rechtbank

5.1.

veroordeelt Bravis tot betaling aan [eiseres] van een schadevergoeding van € 2.000,00 (tweeduizend euro),

5.2.

veroordeelt Bravis in de proceskosten, aan de zijde van [eiseres] tot op heden begroot op € 1.607,83, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over dit bedrag vanaf de vijftiende dag na betekening van dit vonnis tot aan de dag van volledige betaling,

5.3.

verklaart dit vonnis uitvoerbaar bij voorraad,

5.4.

wijst het meer of anders gevorderde af.

Dit vonnis is gewezen door mr. Fleskens, mr. Poerink en mr. Willems-Ruesink en in het openbaar uitgesproken op 21 september 2022