Onrechtmatige publicatie van patiëntgegevens: een waarschuwing voor cosmetische klinieken

Achtergrond van de zaak

Een patiënt diende een klacht in tegen haar plastisch chirurg nadat hij zonder haar toestemming foto’s van haar had gepubliceerd op Instagram. De beelden toonden haar gezicht voor en na een esthetische ingreep, waarbij de chirurg zijn eigen logo op de afbeeldingen had geplaatst. De patiënt was niet op de hoogte van deze publicatie en ontdekte het via een vriend. Hierop ondernam zij juridische stappen om de foto’s te laten verwijderen en schadevergoeding te eisen.

Ze spande een civiele procedure aan waar de chirurg verklaarde dat hij eerder had verzocht om alle patiëntenfoto’s van zijn sociale media te verwijderen. Hij stelde ook dat de vrouw mogelijk een toestemmingsformulier had ondertekend bij een collega van hem, maar dat dit geen expliciete goedkeuring voor online publicatie inhield. Het blijft echter onduidelijk waarom de foto’s desondanks online zijn blijven staan. De chirurg bekende geen schuld, maar schikte de zaak door een schadevergoeding te betalen. De patiënt diende een klacht in bij de toezichthouder, wat uiteindelijk leidde tot de boete.

Oordeel van de Italiaanse privacy toezichthouder

De Garante achtte de overtreding ernstig vanwege de gevoelige aard van de gegevens en de ongeoorloofde publicatie ervan. Volgens de Algemene Verordening Gegevensbescherming (AVG) gelden strikte regels voor het verwerken van bijzondere persoonsgegevens. Er is niet voldaan aan de beginselen van een eerlijke en rechtmatige verwerking zoals uiteengezet in Artikel 5 AVG. Ook is er geen sprake van een uitzonderingsgrond voor het verwerken van medische gegevens uit Artikel 9 AVG. De arts krijgt een boete opgelegd van €20.000.

Belang van veilige communicatie binnen zorginstellingen

Deze zaak onderstreept de noodzaak voor cosmetische klinieken en andere zorginstellingen om strikte richtlijnen op te stellen met betrekking tot patiëntcommunicatie en gegevensverwerking. Alle communicatie met patiënten dient plaats te vinden via de door de instelling gefaciliteerde en beveiligde communicatiekanalen. Het gebruik van privé sociale media zoals WhatsApp, Instagram of Facebook voor inhoudelijke communicatie met een patiënt is om meerdere redenen niet toegestaan:

1. Wettelijke vereisten (WGBO): Alle relevante informatie over de zorgverlening moet worden vastgelegd in het Elektronisch Cliënten Dossier (ECD), zodat deze beschikbaar en controleerbaar blijft.
2. Onvoldoende beveiliging: Social media-platformen bieden niet het vereiste beveiligingsniveau voor medische gegevens, waardoor de privacy en vertrouwelijkheid van patiënten in gevaar komt.
3. Gegevensuitwisseling met de VS: Veel van deze platforms zijn in handen van Amerikaanse bedrijven, waardoor gegevens mogelijk toegankelijk zijn voor Amerikaanse autoriteiten, wat juridische en privacyrisico’s met zich meebrengt.

Risico’s van Amerikaanse communicatiediensten

De Autoriteit Persoonsgegevens (AP) adviseert zorgverleners om geen medische gegevens te delen via diensten zoals WhatsApp, Instagram of andere sociale media. Dit komt mede doordat veel van deze platformen in handen zijn van Amerikaanse bedrijven. Hoewel er juridische kaders bestaan voor internationale gegevensuitwisseling, zijn er aanzienlijke risico’s verbonden aan het opslaan en verwerken van patiëntgegevens op servers buiten de EU. Dit kan leiden tot verminderde controle over hoe en door wie de gegevens worden ingezien en verwerkt.

Cosmetische klinieken en andere zorginstellingen dienen hun behandelaren duidelijk te instrueren over het gebruik van veilige, institutionele communicatiekanalen. Onzorgvuldig omgaan met patiëntgegevens kan niet alleen juridische en financiële consequenties hebben, maar ook het vertrouwen van cliënten in de zorgsector ernstig schaden.

Heeft u vragen naar aanleiding van dit artikel? Neem dan contact met ons op.