Eerst verloor ze haar baan, toen haar huis en daarna viel ze ten prooi aan een zware depressie. Op dat moment klopt Mandy aan bij de instelling voor geestelijke gezondheidszorg in Eindhoven. Hier krijgt ze gesprekstherapie en EMDR, waarvan de uitgebreide verslagen worden opgeslagen in het computersysteem van de GGzE, dat User heet.

Ze wil er zeker van zijn dat haar dossier voldoende is beveiligd en vraagt bij de GGzE een lijst op van de medewerkers die het hebben ingezien. Dat blijken er 160. Op die lijst staan onder meer een stagiaire en medewerkers die huisvesting regelen voor patiënten.

Mandy schrikt als ze ziet wie er allemaal weet heeft van haar intiemste gedachten en gevoelens. Maar ook van een gijzeling waar ze ooit slachtoffer van was, en van de zoektocht naar haar biologische vader. “Een enorme schaamte daalde op me neer.”

User is een elektronisch patiëntendossier (EPD) dat meerdere ggz-instellingen in Nederland gebruiken. Alleen is bij de GGzE de beveiliging niet op orde, meent Mandy. “De zwakke plek zit ’m in een button voor noodsituaties, waarmee je een dossier kunt openen van bijvoorbeeld een patiënt die zich plotseling van het leven wil beroven. Van die button kan bij de GGzE iedereen gebruikmaken, naam en geboortedatum volstaan om elk dossier in te kunnen zien.

Ik heb in 2022 al een klacht daarover ingediend bij de ‘complimenten- en klachtenfunctionaris’ van de instelling, maar in het voorjaar van 2023 lukte het nog steeds.” Ze heeft inmiddels een advocaat in de arm genomen en is naar de Geschillencommissie Geestelijke Gezondheidszorg gestapt. De zitting vindt plaats op dinsdag 4 februari.

In het verweerschrift eist de GGzE, die zich onthoudt van commentaar, dat de klacht niet-ontvankelijk zou moeten worden verklaard, omdat die enkele maanden te laat is ingediend, maar die eis heeft de Geschillencommissie afgewezen. Verder verzekert de ggz-instelling in het document dat alle inzages in het dossier rechtmatig zijn. Dat de 160 medewerkers een “functionele verantwoordelijkheid hadden in overeenstemming met de autorisatiematrix”.

Jurist Jolanda van Boven, die gespecialiseerd is in gezondheidsrecht en privacy, heeft hier haar bedenkingen bij. “Het gaat er niet om of deze medewerkers geautoriseerd waren”, zegt ze. “Waar het hier om draait, is de vraag: waren al die medewerkers betrokken bij de zorg voor deze patiënt?”

Hoe vaak dit soort privacyschendingen voorkomen is volgens Van Boven niet bekend. “Het zijn meestal patiënten, die deze misstanden aan het licht brengen.” Mandy vermoedt dat GGzE-medewerkers uit nieuwsgierigheid haar dossier hebben geopend vanwege haar deelname aan een tv-uitzending van Spoorloos. “Ik heb dat programma ingeschakeld om mijn biologische vader op het spoor te komen.”

Het landelijke patiëntenplatform Mind krijgt weinig meldingen binnen over onrechtmatige inzage in medische dossiers. Woordvoerder Marielle van de Berg mailt; “Wat wij wel horen is dat gegevens zonder toestemming van patiënten worden gedeeld tussen zorgverleners. Dat gebeurt vaak per ongeluk, wat toch tot veel wantrouwen bij patiënten leidt.”

De Autoriteit Persoonsgegevens wil niet op de zaak ingaan, omdat die bij de toezichthouder in behandeling is. 

Alles bij de bron; Trouw