Bron:https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-64-2025.pdf
Dit document is een officiële beslissing van de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) in België, genomen op 1 april 2025. Het gaat over een klacht van een werknemer (de klaagster) tegen haar werkgever, een ziekenhuis (de verweerder), omdat haar directe leidinggevende haar medisch dossier heeft geraadpleegd zonder toestemming. De klaagster werd kort daarna ontslagen en vermoedde dat haar gezondheidstoestand een rol speelde bij haar ontslag.
Waarover gaat het?
De kern van de zaak is dat de leidinggevende van de klaagster op 2 maart 2020 haar medisch dossier heeft bekeken, zonder dat daar een geldige reden voor was. De klaagster werd op 3 maart 2020 ontslagen. Ze diende een klacht in bij de GBA omdat ze vond dat haar privacy was geschonden en dat haar medische gegevens onrechtmatig waren geraadpleegd.
Wat werd er beslist?
De Geschillenkamer heeft onderzocht wie verantwoordelijk was voor deze inbreuk op de privacy. De werkgever (het ziekenhuis) stelde dat de leidinggevende op eigen houtje handelde en dat het ziekenhuis geen opdracht had gegeven om het dossier te raadplegen. De leidinggevende gaf toe dat ze fout was geweest en het ziekenhuis startte een disciplinaire procedure tegen haar.
De Geschillenkamer oordeelde dat de leidinggevende inderdaad op eigen initiatief en foutief heeft gehandeld, en dus als enige verantwoordelijk is voor het ongeoorloofd inkijken van het medisch dossier. Het ziekenhuis was in dit geval niet verantwoordelijk voor deze specifieke daad.
Verder werd bekeken of het ziekenhuis de inbreuk op de privacy had moeten melden aan de Gegevensbeschermingsautoriteit, zoals de wet (de GDPR) voorschrijft. Het ziekenhuis had dit niet gedaan, omdat ze vonden dat er geen groot risico was voor de rechten van de klaagster. De Geschillenkamer vond dat het ziekenhuis in de toekomst bij twijfel altijd zo’n inbreuk moet melden, zeker als het om gevoelige gegevens zoals medische informatie gaat. Maar omdat deze feiten zich afspeelden in 2020, toen de regels en de praktijk rond dat soort meldingen nog niet zo duidelijk waren, kreeg het ziekenhuis hiervoor geen sanctie.
Tot slot werd vastgesteld dat het ziekenhuis zijn interne procedures en technische maatregelen aan het verbeteren is, zodat dit soort zaken in de toekomst beter voorkomen en sneller opgespoord kunnen worden.
Samengevat in eenvoudige taal:
Een leidinggevende in een ziekenhuis heeft zonder toestemming het medisch dossier van een werknemer bekeken. De werknemer werd daarna ontslagen en diende een klacht in. De privacy-autoriteit oordeelde dat de leidinggevende fout was, maar dat het ziekenhuis als organisatie in dit geval niet verantwoordelijk was voor deze daad. Het ziekenhuis kreeg geen boete, maar werd er wel op gewezen dat ze in de toekomst zorgvuldiger moeten zijn en dit soort privacy-inbreuken altijd moeten melden. Het ziekenhuis werkt ondertussen aan betere procedures en beveiliging.https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-64-2025.pdf
