Het landelijk behandel- en expertisecentrum voor slachtoffers van geweld in afhankelijkheidsrelaties heeft een te groot aantal medewerkers onbeperkt inzage in een patiëntendossier gegeven. Die constatering doen Kim Koumans en Koen van Nol, de privacyjurist die haar bijstaat.

Koumans, oud-cliënt bij Fier, en Van Nol hebben op basis van het opgevraagde logbestand en de papieren versie van het patiëntendossier vastgesteld dat in de periode mei 2019-februari 2021 liefst 23 werknemers toegang tot haar dossier hadden, zowel binnen als buiten kantooruren. Met drie van hen had Koumans een behandelrelatie. Voor de anderen - secretaresses, medewerkers intake, aanmelding, advies en screening, een chatmedewerker, een afdelingsmanager en deelnemers aan een multidisciplinair overleg - gold dat niet. Sommigen van hen werkten op een andere locatie dan de behandelplek.

Koumans en Van Nol stuitten ook op hiaten. In vier gevallen kwamen de namen van indirect betrokkenen die in het patiëntendossier opdoken niet terug in het logbestand. Eveneens ontbraken inloggegevens bij notities en was niet altijd duidelijk welke delen van het dossier door medewerkers waren geopend.

Uitgangspunt in de Algemene Verordening Gegevensbescherming (AVG) en aanverwante privacyrichtlijnen is dat zorgverleners patiëntendossiers niet alleen goed dienen te beveiligen, maar ook dat de autorisatie nauw luistert. Volledige inzage is slechts voorbehouden aan directe behandelaars. Anderen kunnen met een gegronde reden beperkte toegangsrechten voor alleen de benodigde delen van het dossier krijgen.

In de praktijk gaat het vaak mis. Uit het jaarverslag van de Autoriteit Persoonsgegevens (AP) blijkt dat in 2020 van de bijna 24.000 datalekmeldingen dertig procent betrekking had op de zorgsector, die daarmee koploper is.

Gebrek aan toezicht

Koumans en Van Nol vinden dat medewerkers onterecht zeer persoonlijke informatie (naast medische gegevens ook rapportages van seksueel misbruik, slachtoffer- en plegergegevens en beschreven trauma’s) konden lezen. Ook was er volgens hen een gebrek aan toezicht en zorgvuldigheid. Zo logde degene die louter de intake had gedaan in de daaropvolgende zeventien maanden nog meer dan dertig keer in. Liet een secretaresse een kwetsende opmerking (waarop ze later is aangesproken) over Koumans als notitie achter. En is het dossier tijdens een multidisciplinair overleg geopend, waardoor de anonimiteit van de cliënt niet kon worden gewaarborgd naar indirect betrokkenen.

„Tijdens de behandelperiode merkte ik dat veel medewerkers tot in detail mijn achtergronden kenden, óók mensen met wie ik niets van doen had”, aldus Koumans, die inmiddels naar een andere zorgaanbieder is overgestapt. „Het gaf mij een groot gevoel van onveiligheid. Tastte mijn vertrouwen in de organisatie aan, terwijl vertrouwen in een zorgtraject essentieel is.”

In het verweer van Fier op een rechtstreekse klacht over de gang van zaken erkent de functionaris gegevensbescherming dat een chatmedewerker geen inzage in het patiëntendossier had mogen krijgen. Bovendien moet voor ’een beperkt aantal medewerkers met een dubbele functie meer aandacht zijn voor het beter inregelen van hun bevoegdheden conform de AVG en het aanpassen van de autorisatiematrix (verlenen van toegangsrechten, red.) daaraan’.

Onrechtmatige toegang

De onrechtmatige toegang van de chatmedewerker is overigens pas na de klacht van Koumans bij Fier als datalek aangemerkt. Het bleef bij een interne melding, de AP werd na een risicobeoordeling niet geïnformeerd. De betreffende werknemer kreeg een berisping.

Van Nol dient namens Koumans nu ook een klacht bij de AP in omdat de privacyjurist vindt dat Fier op ’initiële punten aan de ernst van de zaak voorbijgaat’. „Over een langere periode hebben talloze medewerkers door het gevoerde autorisatiebeleid toegang gehad tot uiterst gevoelige informatie, die zij voor het uitvoeren van hun werkzaamheden niet nodig hebben”, meent Van Nol. „Daarmee beschadig je iemand die al beschadigd is. Ik mis elke reflectie op die tot dan toe gehanteerde werkwijze, de essentie van de klacht blijft onbegrepen. Temeer omdat niet wordt ingezien dat de monitoring te wensen overliet.”

Tijdens de behandelperiode bij Fier besprak Koumans ’als sporter in nood’ daarnaast met Chat met Fier Sport wat haar in het latin dance was overkomen. Zij vroeg via de chat advies over de te nemen stappen als slachtoffer van seksueel misbruik in de sport. De berispte medewerker werkte voor deze afdeling van de zorgaanbieder.

Lees ook: Aangerand buiten de spotlights. Seksuele intimidatie in de wereld van de Latin Dance

Chat met Fier Sport is een samenwerkingsverband tussen Fier en sportkoepel NOC NSF. Ook het Centrum Veilige Sport Nederland, het meldpunt van NOC NSF over misstanden in de sport, promoot de chatfunctie die sinds april 2019 bestaat. „Dat gezamenlijke optrekken maakt het lastig om als slachtoffer van seksueel misbruik bij die andere instanties aan te kloppen’’, benadrukt Koumans. „Het voedt de twijfel, je vraagt jezelf of wat je deelt in veilige handen is. Daarom zou ik zo graag zien dat er een onafhankelijk en overkoepelend meldpunt komt. Om zo zuiverheid te creëren.”

Aan Fier is een vragenlijst voorgelegd. Van een inhoudelijke beantwoording werd afgezien. ,,Met het oog op ons beroepsgeheim kunnen we niet ingaan op individuele cliënten en casuïstiek. Op het moment dat een klacht gegrond wordt verklaard, nemen wij gepaste maatregelen om herhaling te voorkomen.’’

Pointer Radio, het onderzoeksprogramma van KRO-NCRV op NPO Radio 1, wijdt zondag 12 september (19.45-20 uur) in de rubriek ’ReportersNL’ aandacht aan het ’dossier dansmisbruik’ en het datalek.