Opvallend veel GGZ-medewerkers keken in dossier van patiëntOpvallend veel GGZ-medewerkers keken in dossier van patiënt

Trouw - februari 2025

Een patiënt ontdekte dat haar dossier door 160 medewerkers van een GGZ-instelling is ingezien. Ze wil nu een schadevergoeding. 

Eerst verloor ze haar baan, toen haar huis en daarna viel ze  ten prooi aan een zware depressie. Op dat moment klopt Mandy van de Kerkhof aan bij GGzE, de instelling voor geestelijke gezondheidszorg in Eindhoven. Hier krijgt ze gesprekstherapie en EMDR, waarvan de uitgebreide verslagen worden opgeslagen in het computersysteem van de GGzE, dat User heet. 
Van de Kerkhof twijfelt of haar dossier voldoende is beveiligd en vraagt bij de GGzE een lijst op van de medewerkers die het hebben ingezien. Het blijken er 160. Op de lijst - in het bezit van Trouw - staan onder meer een stagiaire en medewerkers die huisvesting regelen voor patiënten.
Een patiëntendossier herbergt bijzondere persoonsgegevens, zoals de Autoriteit Persoonsgegevens ze noemt, en die behoeven extra bescherming. Van de Kerkhof schrikt als ze ziet wie er allemaal weet heeft van haar intiemste gedachten en gevoelens. Maar ook van een gijzeling waar ze ooit slachtoffer van was, en van de zoektocht naar haar biologische vader. "Een enorme schaamte daalde op me neer." 

Noodsituaties
User is een elektronisch patiëntendossier (EPD) dat meerdere ggz-instellingen in Nederland gebruiken. Alleen is bij de GGzE de beveiliging niet op orde, meent Van de Kerkhof. "De zwakke plek zit 'm in een button voor noodsituaties, waarmee je een dossier kunt openen van bijvoorbeeld een patiënt zich plotseling van het leven wil beroven. Van die button kan bij de GGzE iedereen gebruik maken, naam en geboortedatum volstaan om elk dossier in te kunnen zien. Ik heb in 2022 al een klacht daarover ingediend bij de ‘complimenten- en klachtenfunctionaris’ van de instelling, maar in het voorjaar van 2023 lukte het nog steeds."
Ze heeft inmiddels een advocaat in de arm genomen en is naar de Geschillencommissie Geestelijke Gezondheidszorg gestapt. De zitting vindt plaats op dinsdag 4 februari.

Spoorloos
In het verweerschrift eist de GGzE, die zich onthoudt van commentaar, dat de klacht van de patiënt niet ontvankelijk zou worden verklaard omdat die enkele maanden te laat was ingediend, maar die eis heeft de Geschillencommissie afgewezen. Verder verzekert de GGZ-instelling in het document dat alle inzages in het dossier van Van de Kerkhof rechtmatig zijn. Dat de 160 medewerkers een "functionele verantwoordelijkheid hadden in overeenstemming met de authorisatiematrix". 
Jurist Jolanda van Boven, die gespecialiseerd is in gezondheidsrecht en privacy, heeft hier haar bedenkingen bij. “Het gaat er niet om of deze medewerkers geauthoriseerd waren, zegt. "Waar het hier om draait, is de vraag: waren al die medewerkers betrokken bij de zorg voor deze patiënt?"
Hoe vaak dit soort privacyschendingen voorkomen is volgens Van Boven niet bekend. "Het zijn meestal patiënten, vaak bekende Nederlanders, die deze misstanden aan het licht brengen.” Van de Kerkhof vermoedt dat GGzE-medewerkers uit nieuwsgierigheid haar dossier hebben geopend vanwege haar deelname aan een tv-uitzending van Spoorloos. "Ik heb dat programma ingeschakeld om mijn biologische vader op het spoor te komen."

Schadevergoeding
Het landelijke patiëntenplatform Mind krijgt weinig meldingen binnen over onrechtmatige inzage in medische dossiers. "Maar dat betekent niet dat het niet vaker voorkomt", mailt woordvoerder Marielle van de Berg. "Wat wij wel horen is dat gegevens zonder toestemming van patiënten worden gedeeld tussen zorgverleners. Dat gebeurt vaak per ongeluk, wat toch tot veel wantrouwen bij patiënten leidt." 
De Autoriteit Persoonsgegevens wil niet op de zaak ingaan, omdat die bij de toezichthouder in behandeling is. Het dossier van Van de Kerkhof, van wie de behandeling in december 2022 stopte, heeft de GGzE op haar verzoek vernietigd.
In de zitting voor de Geschillencommissie zal Van de Kerkhof een schadevergoeding van 2500 euro eisen. "Belangrijker vind ik dat de GGzE de beveiliging op orde brengt en dat alle patiënten die in de afgelopen jaren bij de instelling in therapie zijn geweest, worden ingelicht over het datalek."

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Website door: Casper van Rongen