Vertrouwen, Verwerking en Verantwoordelijkheid in de Zorg

Een juridisch en organisatorisch drieluik over arbeidsrecht, privacy en cultuur

Inleiding – Zorg, vertrouwen en verantwoordelijkheid

Vandaag lees ik dat het Albert Schweitzer Ziekenhuis twee medewerkers op staande voet heeft ontslagen, omdat zij zonder behandelrelatie patiëntendossiers hadden ingezien. In één geval ging het om meer dan 1.100 dossiers. De bestuursvoorzitter sprak van een ernstige vertrouwensbreuk:

“Wie in een dossier kijkt zonder behandelrelatie, tast het vertrouwen in onze zorg aan.”

De Autoriteit Persoonsgegevens en de IGJ werden geïnformeerd, en patiënten kregen bericht – terecht. Maar juridisch gezien begint de analyse daar pas.

De zorg is bij uitstek een domein waarin vertrouwen en verantwoordelijkheid samenkomen. Patiënten vertrouwen hun meest persoonlijke gegevens toe aan professionals die handelen onder een zwaarwegende ethische én wettelijke plicht tot zorgvuldigheid. Dat vertrouwen vormt niet alleen de kern van de behandelrelatie, maar ook van de juridische structuur waarin zorginstellingen opereren.

De afgelopen jaren hebben incidenten rond ongeoorloofde inzage, datalekken en digitale kwetsbaarheden duidelijk gemaakt dat het niet volstaat om te vertrouwen op technische beveiliging of disciplinaire sancties. Echte compliance vereist een samenhang van drie pijlers: individuele integriteit (arbeidsrecht), structurele naleving (privacyrecht) en een lerende organisatiecultuur (governance en leiderschap).

In dit artikel verbind ik drie perspectieven die elkaar in de praktijk versterken: het arbeidsrechtelijke, het privacyrechtelijke en het organisatorische. Samen vormen zij het fundament voor duurzaam vertrouwen in de zorg – waarin regels niet als beperking, maar als bescherming worden ervaren.
Het doel is niet om angst voor fouten te voeden, maar inzicht te bieden in hoe instellingen kunnen leren, voorkomen en verantwoorden – en zo recht doen aan de belofte van zorgvuldigheid die aan elke patiënt verschuldigd is.

Deel 1 – Arbeidsrecht: wanneer één muisklik genoeg is voor ontslag op staande voet

Het arbeidsrechtelijk perspectief op de ontslagen bij het Albert Schweitzer Ziekenhuis draait om drie fundamenten: vertrouwen, zorgvuldigheid en loyaliteit. Wie daartegen handelt, raakt het hart van de arbeidsovereenkomst.

1. Goed werknemerschap (art. 7:611 BW)

De werknemer is verplicht zich als een goed werknemer te gedragen.
Dat omvat ook het zorgvuldig omgaan met vertrouwelijke informatie.
In de zorg betekent dit: toegang tot patiëntinformatie uitsluitend wanneer er een behandel- of zorgrelatie bestaat.
Wie daarbuiten ‘gluurgedrag’ vertoont, handelt niet alleen in strijd met interne regels, maar ook met de zorgplicht jegens de patiënt én het maatschappelijk vertrouwen in de beroepsgroep.

2. Geheimhoudingsplicht en integriteitscodes

Vrijwel elke arbeidsovereenkomst in de zorg bevat een geheimhoudingsbeding. Daarnaast gelden gedragscodes, beroepsnormen en het medisch beroepsgeheim (art. 7:457 BW).
Een medewerker die desondanks inzage neemt, pleegt een dubbele schending:

• van de contractuele plicht tegenover de werkgever, én

• van de wettelijke plicht tegenover de patiënt.

Rechters kwalificeren dit structureel als ernstig verwijtbaar handelen (art. 7:669 lid 3 sub e BW) en vaak zelfs als dringende reden voor ontslag op staande voet (art. 7:677 BW).
Zelfs wanneer de werknemer geen voordeel behaalt of slechts uit “nieuwsgierigheid” handelde, wordt de vertrouwensbreuk als onherstelbaar beschouwd.

3. De drie vereisten voor ontslag op staande voet

Een werkgever kan pas rechtsgeldig tot ontslag op staande voet overgaan indien:

1. er sprake is van een dringende reden – het gedrag is zó ernstig dat voortzetting van het dienstverband onaanvaardbaar is;

2. het ontslag onverwijld is gegeven;

3. en de reden onverwijld is meegedeeld.

Bij ongeoorloofde dossierinzage is doorgaans aan deze voorwaarden voldaan, mits de werkgever zorgvuldig handelt:
– snel onderzoek, hoor- en wederhoor,
– vastlegging van loggegevens,
– en interne documentatie van het besluitvormingsproces.

4. Billijke vergoeding en de grenzen van redelijkheid

Soms wordt in procedures nog een billijke vergoeding gevorderd (art. 7:681 BW), bijvoorbeeld omdat het ontslag te hard zou zijn.
Rechters zijn hier doorgaans streng. Alleen wanneer blijkt dat de werkgever onzorgvuldig handelde – bijvoorbeeld door gebrekkige instructie, onduidelijk beleid of willekeur – kan een vergoeding worden toegekend.
De ernst van de vertrouwensbreuk is echter zelden te repareren.

Waar ligt de lat voor de werkgever?

De werkgever moet kunnen aantonen dat de werknemer wist of behoorde te weten dat inzage zonder behandelrelatie verboden was. Dat vraagt om actief beleid:

• duidelijke gedragscodes en privacyreglementen;

• periodieke voorlichting en training;

• technische beperkingen op systeemtoegang;

• en controle via logging en audits.

Wie dit aantoonbaar op orde heeft, kan een ontslag op staande voet goed onderbouwen.
Wie dat niet heeft, loopt juridisch risico: de werknemer kan stellen dat het systeem het “mogelijk maakte” en dat de regels onvoldoende duidelijk waren.

Een onderbouwd ontslag ontslaat de werkgever overigens niet van zijn eigen verantwoordelijkheid.
De organisatie moet kunnen aantonen dat beleid, training en autorisatiebeheer adequaat waren.
Zonder dat bewijs is ook de werkgever verwijtbaar. Arbeidsrecht en AVG grijpen hier dus direct in elkaar: het individuele en het structurele niveau versterken of verzwakken elkaar.

Deel 2 – Privacycompliance: van incident naar verantwoordelijkheid

Waar het arbeidsrecht de individuele gedraging adresseert, richt de AVG zich op de structurele verantwoordelijkheid van de organisatie.
De werkgever is verwerkingsverantwoordelijke (art. 4 lid 7 AVG) en moet aantoonbaar voldoen aan de beginselen van integriteit, rechtmatigheid en vertrouwelijkheid. Dat betekent het nemen van passende technische en organisatorische maatregelen (art. 5 jo. 32 AVG).

Wanneer een medewerker zonder belemmering honderden dossiers kan raadplegen, wijst dat vaak op een tekort in autorisatie- of loggingbeheer. Volgens de EDPB Guidelines 07/2020 is het de plicht van de verantwoordelijke om te waarborgen dat verwerkingen enkel plaatsvinden met passende toegangsbeperkingen en toezicht.
Voor de zorg betekent dit: rolgebaseerde autorisaties, logging, automatische detectie van afwijkend gedrag en een strikte scheiding tussen behandel- en niet-behandelrelaties.

Een ontslag herstelt dat niet. De AVG eist dat de organisatie structureel kan aantonen dat beveiliging, preventie en herstel op orde zijn.
Daarom geldt elke ongeoorloofde inzage als een datalek (art. 4 sub 12 AVG). De organisatie moet binnen 72 uur melding doen bij de Autoriteit Persoonsgegevens, beoordelen of betrokkenen moeten worden geïnformeerd en de genomen maatregelen documenteren. De Functionaris Gegevensbescherming (FG) moet daarin aantoonbaar en onafhankelijk worden betrokken (art. 38 AVG).

De AVG en het arbeidsrecht grijpen hier dus in elkaar:

• de werknemer draagt individuele verantwoordelijkheid voor zorgvuldig gedrag;

• de werkgever draagt structurele verantwoordelijkheid voor een veilig systeem en cultuur.

De recente EDPB Guidelines 01/2025 over pseudonimisering benadrukken dat privacy by design een bestuursprincipe is: systemen moeten menselijke fouten voorkomen, niet slechts registreren.
Voor zorginstellingen betekent dat toegangsbeperkingen, periodieke herziening van rechten en alerts bij massale inzage.
De organisatie blijft eindverantwoordelijk, ook als de medewerker reeds is gesanctioneerd.

Deel 3 – Cultuur van vertrouwen: van regels naar gedrag

Deze casus laat zien hoe dun de scheidslijn is tussen persoonlijke verwijtbaarheid en structurele verantwoordelijkheid.
De medewerker klikte – maar het systeem liet het toe.
De werkgever handelde – maar had het incident ook kunnen voorkomen.

Wie alleen straft zonder te versterken, kiest voor symptoombestrijding.
Wie alleen systemen aanscherpt zonder normbesef te bouwen, creëert regels zonder vertrouwen.

Echte compliance zit niet in controle achteraf, maar in cultuur en ontwerp vooraf.
Zorg dat medewerkers niet kúnnen én niet wíllen klikken waar ze niet horen te kijken.
De zorg draait uiteindelijk niet om systemen, maar om mensen. Regels kunnen gedrag sturen, maar niet vervangen.

Een organisatie die (alleen) vertrouwt op sancties en protocollen zonder ruimte voor reflectie, blijft kwetsbaar.
Duurzame compliance ontstaat pas waar intrinsieke motivatie de regels draagt.
Leiderschap speelt daarbij een sleutelrol: voorbeeldgedrag, open communicatie over fouten en een lerende meldcultuur.
Toezichthouders als de AP en IGJ erkennen dit: organisaties die leren en verbeteren, verdienen eerder vertrouwen dan organisaties die enkel reageren.

Een zorgorganisatie die privacy borgt via gedrag, leiderschap en reflectie, voldoet niet alleen aan de wet – zij belichaamt de kern van goede zorg.

Slotbeschouwing

Arbeidsrecht, privacyrecht en organisatiecultuur zijn geen gescheiden domeinen, maar één samenhangend geheel.
Het arbeidsrecht beschermt vertrouwen tussen mensen, de AVG beschermt vertrouwen in systemen, en cultuur beschermt vertrouwen in de toekomst.

De klik was menselijk, de controle technisch – maar de oplossing is cultureel.
Wie regels naleeft zonder te leren, blijft kwetsbaar.
Wie leert en reflecteert, borgt vertrouwen structureel – en doet recht aan de kern van zorg: menselijkheid.

#arbeidsrecht #privacyrecht #AVG #ontslagopstaandvoet #zorgsector #werkgeverschap #compliance #vertrouwen #integriteit #datalek