Rechtbank Zeeland-West-Brabant (Rb. Zeeland-West-Brabant) har beslutat att sjukhuset Stichting Bravis Ziekenhuis varit ansvarigt för de skador som en av dess patienter lidit på grund av att en anställd upprepade gånger och olagligt tagit del av hennes journal för att publicera innehållet i en bok. Domstolen ålade den personuppgiftsansvarige att betala patienten 2 000 euro för immateriell skada.
Av domen framgår att den registrerades före detta partner skrev en bok om deras skilsmässa och dess problem. Vissa delar av boken innehöll information om den registrerades hälsotillstånd. Av en tillfällighet arbetade bokens förläggare tidigare på det sjukhus (den personuppgiftsansvarige) där den registrerade var patient. Dessutom var förläggaren den före detta personens nya partner.
Efter att boken publicerats kontaktade den registrerade den personuppgiftsansvarige och begärde tillgång till logguppgifter i sin patientjournal. Detta avslöjade att hennes exmans nya partner ofta haft tillgång till den registrerades patientjournal under en period på fyra år.
Den registrerade tog ärendet till domstol och hävdade att den personuppgiftsansvarige var ansvarig för den ideella skada som hon lidit eftersom den personuppgiftsansvarige inte vidtagit tillräckliga åtgärder för att skydda hennes hälsouppgifter, och då den personuppgiftsansvarige otillräckligt undersökt den otillåtna åtkomsten till hennes patientjournaler. Dessutom hävdade den registrerade att den personuppgiftsansvarige var ansvarig för skador som orsakats av dennes anställda som fått tillgång till hennes hälsouppgifter och därefter publicerade dem i boken.
Domstolen konstaterade att den personuppgiftsansvarige lagligen gett den anställde tillgång till den registrerades patientjournaler. Hon arbetade som sekreterare på akutmottagningen, där hon hade full och obegränsad tillgång till patientjournaler. Domstolen ansåg att med tanke på arbetets karaktär var denna omfattande tillgång till patientjournaler motiverad och proportionerlig.
När det gäller den personuppgiftsansvariges policy för loggkontroller ansåg domstolen dock att den personuppgiftsansvarige inte uppfyllde gällande krav då den personuppgiftsansvarige inte hade en fastställd policy för loggkontroller. Detta resulterade i att loggningen av anställda med obegränsad tillgång inte övervakades alls. Dessutom kontrollerades endast två patientjournaler slumpmässigt varje månad. Domstolen ansåg att detta var otillräckligt med tanke på den mängd personuppgifter som den personuppgiftsansvarige behandlade. Domstolen ansåg därför att den personuppgiftsansvarige brutit mot artikel 32 dataskyddsförordningen (GDPR), eftersom inga lämpliga åtgärder vidtagits när det gällde övervakning av loggningen.
När det gäller den ideella skadan konstaterade domstolen att den registrerade måste ha fått sin heder eller sitt rykte skadat eller lidit på annat sätt. Domstolen kunde inte fastställa om hennes heder eller rykte hade skadats utan undersökte istället om hon lidit skada på något annat sätt. Domstolen bedömde därför om överträdelsens art och allvar skulle medföra så uppenbara negativa konsekvenser för den registrerade att man kunde anta att hon skulle lida betydande skada.
Efter en genomgång av ärendet konstaterade domstolen att den registrerades grundläggande rätt till privatliv och dataskydd kränkts. Dessutom rörde det sig om hälsouppgifter vilket utgör känsliga personuppgifter. Domstolen konstaterade även att uppgifterna ofta varit tillgängliga, under en lång tidsperiod och otillräckligt skyddade. Hälsouppgifterna delades därefter med tredje part och publicerades i en bok. Enligt domstolen var det därför uppenbart att den registrerade drabbades av negativa konsekvenser av överträdelsen, som exempelvis ångest.
Mot denna bakgrund ålade domstolen den personuppgiftsansvarige att betala den registrerade 2 000 euro i ersättning för immateriell skada.