Nederländerna: Registrerad beviljas 2 000 euro i skadestånd för immateriell skada

Rechtbank Zeeland-West-Brabant (Rb. Zeeland-West-Brabant) har beslutat att sjukhuset Stichting Bravis Ziekenhuis varit ansvarigt för de skador som en av dess patienter lidit på grund av att en anställd upprepade gånger och olagligt tagit del av hennes journal för att publicera innehållet i en bok. Domstolen ålade den personuppgiftsansvarige att betala patienten 2 000 euro för immateriell skada.

Av domen framgår att den registrerades före detta partner skrev en bok om deras skilsmässa och dess problem. Vissa delar av boken innehöll information om den registrerades hälsotillstånd. Av en tillfällighet arbetade bokens förläggare tidigare på det sjukhus (den personuppgiftsansvarige) där den registrerade var patient. Dessutom var förläggaren den före detta personens nya partner.

Efter att boken publicerats kontaktade den registrerade den personuppgiftsansvarige och begärde tillgång till logguppgifter i sin patientjournal. Detta avslöjade att hennes exmans nya partner ofta haft tillgång till den registrerades patientjournal under en period på fyra år.

Den registrerade tog ärendet till domstol och hävdade att den personuppgiftsansvarige var ansvarig för den ideella skada som hon lidit eftersom den personuppgiftsansvarige inte vidtagit tillräckliga åtgärder för att skydda hennes hälsouppgifter, och då den personuppgiftsansvarige otillräckligt undersökt den otillåtna åtkomsten till hennes patientjournaler. Dessutom hävdade den registrerade att den personuppgiftsansvarige var ansvarig för skador som orsakats av dennes anställda som fått tillgång till hennes hälsouppgifter och därefter publicerade dem i boken.

Domstolen konstaterade att den personuppgiftsansvarige lagligen gett den anställde tillgång till den registrerades patientjournaler. Hon arbetade som sekreterare på akutmottagningen, där hon hade full och obegränsad tillgång till patientjournaler. Domstolen ansåg att med tanke på arbetets karaktär var denna omfattande tillgång till patientjournaler motiverad och proportionerlig.

När det gäller den personuppgiftsansvariges policy för loggkontroller ansåg domstolen dock att den personuppgiftsansvarige inte uppfyllde gällande krav då den personuppgiftsansvarige inte hade en fastställd policy för loggkontroller. Detta resulterade i att loggningen av anställda med obegränsad tillgång inte övervakades alls. Dessutom kontrollerades endast två patientjournaler slumpmässigt varje månad. Domstolen ansåg att detta var otillräckligt med tanke på den mängd personuppgifter som den personuppgiftsansvarige behandlade. Domstolen ansåg därför att den personuppgiftsansvarige brutit mot artikel 32 dataskyddsförordningen (GDPR), eftersom inga lämpliga åtgärder vidtagits när det gällde övervakning av loggningen.

När det gäller den ideella skadan konstaterade domstolen att den registrerade måste ha fått sin heder eller sitt rykte skadat eller lidit på annat sätt. Domstolen kunde inte fastställa om hennes heder eller rykte hade skadats utan undersökte istället om hon lidit skada på något annat sätt. Domstolen bedömde därför om överträdelsens art och allvar skulle medföra så uppenbara negativa konsekvenser för den registrerade att man kunde anta att hon skulle lida betydande skada.

Efter en genomgång av ärendet konstaterade domstolen att den registrerades grundläggande rätt till privatliv och dataskydd kränkts. Dessutom rörde det sig om hälsouppgifter vilket utgör känsliga personuppgifter. Domstolen konstaterade även att uppgifterna ofta varit tillgängliga, under en lång tidsperiod och otillräckligt skyddade. Hälsouppgifterna delades därefter med tredje part och publicerades i en bok. Enligt domstolen var det därför uppenbart att den registrerade drabbades av negativa konsekvenser av överträdelsen, som exempelvis ångest.

Mot denna bakgrund ålade domstolen den personuppgiftsansvarige att betala den registrerade 2 000 euro i ersättning för immateriell skada.

Mer information

Myndighet: Rechtbank Zeeland-West-Brabant (Rb. Zeeland-West-Brabant) 

Land: Nederländerna

Lagrum: Art.32 GDPR, art. 82 GDPR

Skadestånd: 2 000 euro

Mottagare: Stichting Bravis Ziekenhuis

Beslutsnummer: C/02/387229

Beslutsdatum: 2022-09-21

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.