De NOS kopt een week of twee geleden: “Haga ziekenhuis ontslaat medewerker om patiëntgegevens in winkelwagen”. Maar mag je een medewerker ontslaan wegens privacyschending?
Voor wie het gemist heeft nog even de feiten. Een paar weken geleden vond een klant van een supermarkt in Den Haag een boodschappenlijstje dat op de achterkant van een dienstoverdracht van het Haga Ziekenhuis was gemaakt. Het lijstje met namen van patiënten, behandelend arts, reden voor opname en medicatie was na het boodschappen doen achter gebleven in het karretje. In de zin van de AVG allemaal bijzondere gegevens en een datalek. De klant die de gegevens vond, bracht de lijst naar de politie waardoor het balletje ging rollen.
Als u nu denkt: “Haga Ziekenhuis die naam ken ik”, dat kan kloppen. Het ging op dit gebied al eerder mis bij het ziekenhuis. Half juli dit jaar legde de Autoriteit Persoonsgegevens al een boete van 460.00 EURO op. Naar aanleiding van berichten over het ongeoorloofd inzien van het patiëntendossier van reality-ster Barbie, startte de AP een onderzoek bij het ziekenhuis. Daaruit bleek dat het ziekenhuis de interne beveiliging van patiëntdossiers niet op orde heeft, aldus Aleid Wolfsen, voorzitter van de AP. Het ziekenhuis had tot 2 oktober om een en ander goed te regelen, anders ontvangen ze een nieuwe boete van 300.000 EURO. Bij het publiceren van deze blog (7 oktober) heb ik daar nog geen nieuws over kunnen vinden. Bij het “Barbie-incident” kregen 85 medewerkers een officiële waarschuwing. De medewerker die het boodschappenlijstje op de dienstoverdracht maakte en liet rondslingeren werd ontslag aangezegd.
Wat betreft het ontslag ben ik benieuwd of de medewerker dit nog aan gaat vechten. In het licht van het eerdere incident en de jurisprudentie, ben ik dan zeer benieuwd naar de uitspraak van de rechter hierover.
Kantonrechter: ontslag op staande voet houdt geen stand.
In twee eerdere uitspraken waar het ook over ontslag wegens privacyschending ging heeft de kantonrechter het ontslag namelijk ongeldig verklaard. Nuance is dat het hier om ontslag op staande voet ging.
De eerste uitspraak was in 2015 door de kantonrechter in Amsterdam. Een medewerker van de Sociale Verzekeringsbank (SVB) heeft voor privédoeleinden de gegevens van 23 personen, buren en vrienden, uit het systeem gehaald. De kantonrechter vond dat de medewerker weliswaar het vertrouwen van de werkgever ernstig had geschaad, maar dat het ontslag op staande voet niet in stand kon blijven. Volgens de rechter was, en nu komt het: de SVB tekort geschoten in het trainen van haar medewerkers op het gebied van privacy. “Een werkgever moet haar personeel opvoeden tot privacygevoelige mensen”, cursussen en trainingen zijn daarvoor noodzakelijk. Een pop-up met een standaard waarschuwing elke keer als ingelogd wordt, was niet voldoende volgens de rechter. Sterker nog, die boet in waarde in als er niet daadwerkelijk controles en sancties volgen.
Een paar maanden later in hetzelfde jaar oordeelde de Rechtbank in Noord-Nederland vergelijkbaar. Een medewerkster van een bankinstelling is op staande voet ontslagen omdat ze allerlei gegevens, inclusief een BKR-toetsing van de nieuwe partner van haar ex-man had opgezocht. Ook hier oordeelde de kantonrechter dat het ontslag geen stand kon houden.
Eenmalige regels, richtlijnen en training voldoet niet!
Hoewel de uitspraken van kantonrechters bij deze uitspraken over ontslag wegens privacyschending gebaseerd zijn op de feiten van de specifieke situatie, kan uit deze uitspraken afgeleid worden dat privacy bewustzijn onderhouden met worden. Als dit onvoldoende aangetoond kan worden dan zal een ontslag op staande voet geen standhouden,
Veel organisaties hebben in 2018 en ook begin dit jaar nog hard gewerkt om te voldoen aan de AVG. Registers, privacy verklaringen zijn opgesteld, verwerkersovereenkomsten afgesloten etc. Indien nodig is een Functionaris Gegevensbescherming aangesteld en vaak is voorlichting over de AVG gegeven aan de medewerkers.
En nu………………… zijn we meestal weer allemaal over “tot de orde van de dag”.
De gang van zaken in het Haga Ziekenhuis en bovenstaande uitspraken geven weer eens aan dat het toch noodzakelijk is om continu aandacht te blijven vragen voor het privacy bewustzijn van je medewerkers. Het creëren en houden van dat bewustzijn is een continu proces. Dat betekent dat je als privacy verantwoordelijke, als FG een programma moet hebben om de bewustwording te creëren en te onderhouden. Een programma met regelmatige trainingsmomenten, audits op de naleving van maatregelen en rapportage daarover aan het management. In een eerdere blog ben ik al eens in gegaan op het creëren van privacy bewustzijn.
Meer special topics uit de AVG lezen?
Download dan gratis de whitepapers over:
- bewustwording creëren bij medewerkers
- Cookies: wat mag en moet?
- De Functionaris Gegevensbescherming: een merkwaardig figuur
Of schaf mijn boek Lean privacy, efficiënt werken met de AVG aan. Hier in beschrijf ik hoe organisaties efficiënt kunnen voldoen aan de AVG en tegelijkertijd klantvertrouwen en – waarde kunnen creëren met persoonsgegevens en privacy.