Commissie: Geestelijke Gezondheidszorg
Categorie: -
Jaartal: 2025
Soort uitspraak: Bindend Advies
Uitkomst: ten dele gegrond
Referentiecode:
249337/412423
De uitspraak:
Waar gaat de uitspraak over?
Een cliënt van GGzE diende een klacht in omdat 160 medewerkers in zes jaar tijd inzage hadden in haar medisch dossier, waaronder vertrouwelijke informatie uit haar EMDR-behandeling, terwijl velen niet tot haar behandelteam behoorden. Zij ervoer dit als een ernstige schending van privacy en veiligheid, en vorderde schadevergoeding en aanvullende maatregelen. Uit onderzoek bleek dat het gebruikte EPD ruim geautoriseerd was, waardoor ook administratieve en financiële medewerkers toegang kregen tot het volledige zorgdossier, en 19 medewerkers zelfs onnodig de “noodknop” gebruikten. GGzE erkende deze tekortkomingen en gaf aan eind 2025 over te stappen op een veiliger EPD met meerlagige toegangsrechten. De commissie oordeelde dat geen sprake was van onrechtmatige toegang, maar wel dat medewerkers meer informatie konden inzien dan voor hun werk nodig was. Daarmee werd één klachtonderdeel gegrond verklaard. Het verzoek om schadevergoeding wees de commissie af wegens onvoldoende onderbouwing, maar GGzE moet wel het klachtengeld van €52,50 aan de cliënt terugbetalen.
De uitspraak
in het geschil tussen
[naam], wonende te [plaats] (hierna te noemen: de cliënt)en
GGzE, gevestigd te Eindhoven
(hierna te noemen: de zorgaanbieder).
Behandeling van het geschil
De Geschillencommissie Geestelijke Gezondheidszorg (verder te noemen: de commissie) heeft bij tussenadvies van 4 februari 2025 (met verzenddatum 21 februari 2025) de eindbeslissing aangehouden.
In het tussenadvies heeft de commissie, kort samengevat, als volgt beslist:
– stelt partijen gedurende twee maanden na de zitting in de gelegenheid met elkaar in gesprek te gaan ter toelichting en verstrekking van het onderzoeksrapport;
– verneemt uiterlijk 4 april 2025 van de cliënt of de geschillenprocedure moet worden voortgezet;
– houdt iedere verdere beslissing aan.
De inhoud van het tussenadvies dient als hier herhaald en ingevoegd te worden beschouwd.
De commissie heeft kennisgenomen van de na 21 februari 2025 overgelegde stukken. De cliënt heeft verzocht om voortzetting van de behandeling.
De voortgezette behandeling heeft plaatsgevonden op 10 september 2025 te Utrecht. Partijen zijn ter zitting verschenen en hebben hun standpunt nader toegelicht. De cliënt werd ter zitting vergezeld door haar dochter. Namens de zorgaanbieder zijn [naam] (manager concert audit en stafbureau), [naam] (bedrijfsjurist) en [naam] (IT specialist) ter zitting verschenen.
Onderwerp van het geschil
De cliënt verwijt de zorgaanbieder dat gewerkt wordt met een onveilig Elektronisch Patiënten Dossier (EPD) waardoor medewerkers die niet bij haar behandeling betrokken waren haar medisch dossier konden inzien, hetgeen veelvuldig is gebeurd.
Standpunt van de cliënt
De cliënt ontdekte bij toeval dat alle medewerkers binnen de zorgaanbieder haar medisch dossier konden inzien. Dit wordt bevestigd in een lijst met namen van 160 medewerkers die daadwerkelijk inzage hebben gehad in het dossier van cliënt. De cliënt stelt zich dan ook op het standpunt dat de beveiliging van de dossiers onvoldoende is.
In navolging van de beslissing in het tussenadvies van de commissie heeft de cliënt op 26 februari 2025 een gesprek gehad met de zorgaanbieder waarin het onderzoeksrapport van 10 januari 2023 is besproken. De IT specialist van de zorgaanbieder heeft in dat gesprek veel uitgelegd en toegelicht maar het is de cliënt nog steeds niet duidelijk waarom 160 medewerkers niet alleen toegang hadden tot het ‘voorportaal’ van haar dossier maar ook tot medische en vertrouwelijke informatie, hoewel zij niet tot haar behandelteam behoorden. Daarnaast begrijpt de cliënt niet waarom het meer dan drie jaar heeft moeten duren voordat zij het onderzoeksrapport en de toelichting daarop heeft ontvangen en verbetermaatregelen zijn genomen. De klachten van de cliënt werden steeds gebagatelliseerd en weggewuifd hoewel het onderzoek van 10 januari 2023 heeft aangetoond dat medewerkers veel meer informatie over haar (en andere cliënten) konden inzien dan voor hun taak noodzakelijk was. Daarbij is ook aangetoond dat 19 medewerkers ten onrechte via de “noodknop” inzage hebben verkregen in haar dossier.
De zorgaanbieder heeft na drie jaar eindelijk erkend en ingezien dat de veiligheid van cliëntgegevens niet op orde is en heeft te kennen gegeven dat zal worden overgegaan op een beter beveiligd EPD waarmee medewerkers slechts toegang krijgen tot de informatie die zij nodig hebben. Voor de cliënt is het leed echter al geleden. De rapportages van haar EMDR-behandeling, haar diepste emoties, angsten en zorgen, die uiteraard zeer privé en vertrouwelijk zijn, zijn voor 160 medewerkers “open en bloot” zichtbaar geweest.
De cliënt handhaaft dan ook haar verzoek en legt de volgende klachtonderdelen aan de commissie voor:
1. medewerkers van de zorgaanbieder hebben ten onrechte toegang gehad tot het dossier van de cliënt;
2. medewerkers hadden toegang tot meer informatie over de cliënt dan noodzakelijk was voor het uitoefenen van hun taak.
De cliënt handhaaft voorts het verzoek tot het toekennen van schadevergoeding. De cliënt verlangt een vergoeding van € 1.000, — voor de kosten van de advocaat die haar in het voortraject van haar klachten heeft bijgestaan, de reiskosten en telefoonkosten die zij heeft moeten maken, het klachtengeld in deze procedure en een vergoeding voor de stress en zenuwen die zij heeft ervaren.
Daarnaast vraagt zij de commissie de zorgaanbieder een boete op te leggen van € 1.500, — bij wijze van genoegdoening.
Voorts wenst de cliënt dat alle cliënten door de zorgaanbieder over het onveilige EPD worden ingelicht en dat wekelijks wordt gecontroleerd of medewerkers van de zorgaanbieder op rechtmatige wijze inzage hebben gehad in de cliëntdossiers.
Standpunt van de zorgaanbieder
De zorgaanbieder heeft meerdere keren, onder meer op 10 maart 2023, getracht aan de cliënt te verduidelijken hoe het EPD van de zorgaanbieder werkt, wie om welke reden toegang heeft tot het dossier van cliënten en op welke wijze die toegang kan worden verleend. Op 26 februari 2025 heeft de zorgaanbieder aan de hand van het onderzoeksrapport van 10 januari 2023 de cliënt op gedetailleerde wijze uitleg gegeven en getracht haar vragen te beantwoorden. 160 medewerkers hebben toegang gehad tot het dossier van de cliënt. Dit lijkt veel maar is in een periode van zes jaar goed te verklaren. Naast medewerkers die betrokken waren bij de behandelteams van de cliënt waren er ook financiële en administratieve medewerkers die uitsluitend via toegang tot bepaalde modules van het dossier (zoals zorgplan en agenda) hun taak konden uitoefenen. Uit het onderzoek is naar voren gekomen dat geen onrechtmatige inzagen in het dossier hebben plaatsgevonden.
Niet alle medewerkers hadden toegang tot behandelinformatie van de cliënt. Wel erkent de zorgaanbieder dat het EPD van de zorgaanbieder medewerkers de mogelijkheid geeft om meer informatie van een cliënt in te zien dan noodzakelijk is voor zijn of haar taakuitoefening. Om die reden stapt de zorgaanbieder eind 2025 over naar een ander EPD, waarin beter onderscheid kan worden gemaakt tussen de modules voor behandeling en begeleiding.
Beoordeling van het geschil
Door de zorgaanbieder is het onderzoeksrapport van 10 januari 2023 overgelegd en het gespreksverslag van 26 februari 2025 waarin het rapport aan de cliënt is toegelicht zoals in het tussenadvies van 4 februari 2025 door de commissie is beslist.
De cliënt heeft om voortzetting van de procedure gevraagd en verlangt een uitspraak van de commissie over de volgende klachtonderdelen:
1. medewerkers van de zorgaanbieder hebben ten onrechte toegang gehad tot het dossier van de cliënt;
2. medewerkers hadden toegang tot meer informatie over de cliënt dan noodzakelijk was voor het uitoefenen van hun taak.
De commissie heeft het volgende overwogen.
- medewerkers van de zorgaanbieder hebben ten onrechte toegang gehad tot het dossier van de cliënt.
De zorgaanbieder heeft aan de hand van het onderzoeksrapport van 10 januari 2023 en de overgelegde stukken, waaronder de autorisatiematrix, genoegzaam aangetoond dat geen sprake is geweest van onrechtmatige toegang tot het dossier van de cliënt. De 160 medewerkers die in een periode van zes jaar toegang hebben gehad tot het dossier hadden allen een taak die een bepaalde inzage in het dossier van de cliënt verlangde. Buiten de medewerkers die deel uitmaakten van het behandelteam van de cliënt betrof het onder meer administratieve en financiële krachten. De commissie is dan ook van oordeel dat dit klachtonderdeel ongegrond is.
2. medewerkers hadden toegang tot meer informatie over de cliënt dan noodzakelijk was voor het uitoefenen van hun taak.
Uit het interne onderzoeksrapport van de zorgaanbieder van 10 januari 2023 dat is opgesteld in opdracht van de Raad van bestuur volgt dat de autorisatiematrix bepaalt wie toegang heeft tot het cliëntdossier. Voor verschillende groepen medewerkers is aangegeven welke rechten zij hebben: ‘enkel lezen’ of ook ‘schrijven’ of ‘geen toegang’, alsook of zij toegang hebben tot het administratieve deel of het zorgdeel. Ter zitting is gebleken dat het gebruikte EPD geen gelaagdheid in de autorisatie kan bepalen. Dit betekent dat als een medewerker toegang heeft tot het zorgdeel, hij/zij het volledige zorgdossier kan inzien. Voorts is gebleken dat de autorisatie ruim is ingesteld. Bij aanmelding op een wachtlijst wordt bijvoorbeeld aan alle medewerkers op de eventueel nog te bezoeken afdeling autorisatie verleend. Ook krijgen administratieve medewerkers die de aanmelding op de wachtlijst verzorgen toegang tot het zorgdeel, omdat de wachtlijst onderdeel uitmaakt van de zorgtoegang. Zo heeft de commissie dit ter zitting althans begrepen.
De zorgaanbieder heeft ter zitting erkend dat medewerkers, die niet tot het behandelteam van de cliënt behoorden, toegang hadden tot meer informatie van de cliënt dan op grond van hun taak of functie noodzakelijk was. Het EPD waar de zorgaanbieder mee werkt laat die mogelijkheid toe. De zorgaanbieder heeft ter zitting naar voren gebracht dat dit een omissie is van het huidige systeem en dat om die reden vanaf eind 2025 zal worden overgegaan op een EPD waarin meer veiligheidsfuncties zijn ingebouwd en administratieve modules van behandelmodules kunnen worden gescheiden.
Voorts heeft de zorgaanbieder erkend dat gebleken is dat 19 van de 160 medewerkers die geautoriseerd waren om inzage te hebben in het dossier van de cliënt daartoe onnodig de “noodknop” hebben gebruikt, die in geval van een spoedsituatie versnelde toegang tot het dossier verleent. De zorgaanbieder heeft naar voren gebracht dat de betreffende medewerkers hierop zijn aangesproken en bij alle medewerkers nogmaals onder de aandacht is gebracht dat de noodknop slechts in uitzonderingssituaties mag worden gebruikt.
Hoewel de zorgaanbieder hiermee de aanbevelingen uit het rapport van 10 januari 2023 heeft opgevolgd en op korte termijn zal worden overgegaan op een ander, veiliger, EPD is voor de commissie vast komen te staan dat het door de zorgaanbieder ten tijde van de behandeling van de cliënt gebruikte EPD medewerkers de mogelijkheid gaf om meer informatie over de cliënt in te zien dan noodzakelijk was voor de uitoefening van hun taak. Zo kreeg bijvoorbeeld personeel dat slechts begeleiding verrichtte toegang tot het complete cliëntdossier. Dit klachtonderdeel is dan ook gegrond.
Dat het EPD waar de zorgaanbieder mee werkt op deze wijze georganiseerd is en extra veiligheidsfuncties niet kunnen worden geïnstalleerd of geïmplementeerd maakt dat niet anders: De zorgaanbieder is verantwoordelijk voor de bescherming en beveiliging van de gegevens en (medische) informatie van zijn cliënten en voor het systeem dat daartoe wordt gebruikt.
Op grond van het voorgaande is de commissie van oordeel dat de klacht van de cliënt ten dele gegrond is.
Schadevergoeding
De cliënt heeft de commissie verzocht schadevergoeding toe te kennen. Zo heeft zij heeft een vergoeding gevraagd voor de door haar gemaakte kosten van rechtsbijstand, reiskosten en telefoonkosten. Die kosten zijn niet nader geconcretiseerd en onvoldoende onderbouwd zodat de commissie dit verzoek zal afwijzen.
De cliënt heeft voorts een, niet nader gespecificeerde, vergoeding gevraagd voor de stress en zenuwen die zij door toedoen van de zorgaanbieder heeft ervaren. Hoewel de commissie zich goed kan voorstellen dat de cliënt angsten en zorgen heeft doorstaan door de ontdekking dat medewerkers van de zorgaanbieder medische informatie uit haar dossier konden inzien, is voor het toekennen van immateriële schadevergoeding vereist dat een cliënt in zijn eer of goede naam is geschaad of op andere wijze in zijn persoon is aangetast (artikel 6: 106 lid 1 sub b BW). Die schending of aantasting is door de cliënt onvoldoende aangetoond of onderbouwd zodat de commissie dit verzoek zal afwijzen.
Tot het toewijzen van de overige maatregelen (het opleggen van een boete, het informeren van andere cliënten, het controleren van medewerkers) is de commissie op grond van haar reglement niet bevoegd.
Omdat de klacht (gedeeltelijk) gegrond is zal de commissie wel bepalen dat de zorgaanbieder het klachtengeld aan de cliënt dient te vergoeden.
Derhalve wordt als volgt beslist.
Beslissing
De commissie:
– verklaart klachtonderdeel 2. gegrond;
– verklaart klachtonderdeel 1. ongegrond;
– wijst het verzoek tot het toekennen van schadevergoeding af;
– bepaalt dat de zorgaanbieder overeenkomstig het reglement van de commissie een bedrag van € 52,50 aan de cliënt dient te vergoeden ter zake van het klachtengeld.
Aldus beslist door de Geschillencommissie Geestelijke Gezondheidszorg, bestaande uit mevrouw
mr. S.W.M. Speekenbrink, voorzitter, mevrouw drs. F. Zwanepol en mevrouw E.M. van den Berg, leden, in aanwezigheid van mevrouw mr. J.C. Quint, secretaris, op 10 september 2025.
