Sophie Hendriks - Gegevensuitwisseling in de zorg - enkele privacyrechtelijke knelpunten

Door mr. Sophie Hendriks

Dat privacy en gegevensbescherming belangrijke aandachtspunten zijn binnen de zorg is de afgelopen jaren niet onopgemerkt gebleven. Zorgaanbieders zijn regelmatig onderwerp van onderzoek door de Autoriteit Persoonsgegevens (‘AP’) en de afgelopen jaren ging 11% van de klachten ingediend bij de AP over zorg.

De begrippen ‘privacy’ en ‘gegevensbescherming’, die van elkaar moeten worden onderscheiden, zijn in het kader van zorg beide relevant. Zo omvat het begrip ‘privacy’ niet alleen informationele privacy (bijvoorbeeld het medisch beroepsgeheim), maar ook fysieke privacy (onaantastbaarheid van het lichaam), ruimtelijke privacy (huisrecht), privacy ten aanzien van communicatie (het briefgeheim) en relationele privacy (recht op familie en gezinsleven).

Gegevensbescherming raakt daarentegen aan de informationele privacy en is in verschillende (nationale) wetgeving verankerd. De meest alomvattende voorbeelden daarvan zijn de Algemene verordening gegevensbescherming (AVG) en de Nederlandse Uitvoeringswet AVG (UAVG). Samen met specifieke gezondheidswetgeving bieden de AVG en de UAVG de basis voor de uitwisseling van persoonsgegevens binnen de zorg.

Beknopte schets wettelijk kader (U)AVG De verwerking van persoonsgegevens – waar uitwisseling onder wordt geschaard – is alleen toelaatbaar als deze gebaseerd kan worden op een grondslag. De AVG kent er zes. In het kader van zorglevering is bijvoorbeeld ‘toestemming’ (niet te verwarren met gezondheidsrechtelijke vormen van toestemming) een mogelijke grondslag voor verwerking, net als de ‘uitvoering van een overeenkomst’ (denk aan de behandelovereenkomst).

Bij de verwerking van persoonsgegevens in de zorg zal snel sprake zijn van gezondheidsgegevens. Dit is een breed begrip en heeft betrekking op bijvoorbeeld ziekten opgenomen in medische dossiers, maar soms ook op informatie verzameld door een smartwatch of een lidmaatschap bij een ‘afval’-club.

Gezondheidsgegevens vallen onder de noemer ‘bijzondere persoonsgegevens’. Aangezien de verwerking van bijzondere persoonsgegevens – doorgaans – een grotere impact heeft op personen (‘betrokkenen’), is de verwerking daarvan in principe verboden. Dit is slechts anders als er, in aanvulling op de grondslag voor de verwerking, een uitzondering op het verwerkingsverbod bestaat. De AVG kent negen uitzonderingen. De Nederlandse wetgever heeft van de gelegenheid gebruik gemaakt om deze gronden aan te vullen of te concretiseren. Dit is terug te vinden in de UAVG. Een belangrijke uitzondering is de zorglevering of kwaliteitsdoeleinden in de zorg. Expliciete toestemming van de betrokkene is ook een uitzonderingsgrond.

Mogelijke knelpunten De AVG en UAVG zijn niet de enige wettelijke kaders waaraan moet kunnen worden voldaan. Gezondheidswetgeving bevat immers ook de nodige hoepels waar de zorgaanbieder doorheen moet kunnen springen bij de uitwisseling van persoonsgegevens. Dit kan de uitwisseling van gezondheidsgegevens soms erg complex maken. Hieronder worden enkele (knel) punten kort besproken.

i. De ene toestemming is de andere niet Zoals al eerder aangehaald komt ‘toestemming’ niet alleen terug in de (U)AVG, maar ook in verschillende wetgeving. Er bestaat dus een veelheid aan vormen van toestemming, ieder met een andere betekenis aangezien die in verschillende toepasselijke wetten anders wordt uitgelegd. Het is dus van belang om vast te stellen welke typen toestemming mogelijk vereist zijn en welke vereisten daar bij komen kijken.

Zo kent de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) toestemming voor gebruik van lichaamsmateriaal en persoonsgegevens ten behoeve van wetenschappelijk onderzoek, toestem-

ming voor de behandeling van de patiënt (ook wel; informed consent) en toestemming voor de doorbreking van het beroepsgeheim. Deze laatste vorm van toestemming kan in sommige gevallen verondersteld worden, bijvoorbeeld in geval van het delen van persoonsgegevens bij een verwijzing.

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wapvpz), die enkel van toepassing is op elektronische gegevensverwerking, kent ook een eigen vorm van toestemming. Zo mag een zorgaanbieder enkel persoonsgegevens ‘delen’ via een elektronisch uitwisselingssysteem op basis van uitdrukkelijke toestemming. Dit is meteen de grondslag en uitzondering voor de verwerking op grond van de AVG.

ii. Vorm van uitwisseling Het is ook belangrijk om het type uitwisseling vast te stellen. Zoals genoemd is de Wabvpz van toepassing op elektronische uitwisseling, al dan niet via een elektronisch uitwisselingssysteem. Dergelijke systemen zijn alleen van toepassing op gegevens die (ongericht) beschikbaar worden gesteld voor (onbekende) latere raadpleging door een derde zorgaanbieder en moet dus op basis van uitdrukkelijke toestemming. Dit heet pull-verkeer. Een voorbeeld hiervan is het Landelijk Schakelpunt.

Push-verkeer, ook wanneer dit bijvoorbeeld via e-mail (en dus elektronisch) plaatsvindt, valt niet onder het begrip ‘elektronisch uitwisselingssysteem’. Het verschil is dat hier sprake is van een gerichte vorm van uitwisseling. Hier is dan ook geen Wabvpz-toestemming voor nodig – maar in sommige gevallen wel Wgbo-toestemming voor de doorbreking van het beroepsgeheim. Andere verplichtingen uit de Wabvpz, zoals het recht op logging, zijn echter wel weer van toepassing op deze vorm van elektronische uitwisseling.

Ondanks dat de Wabvpz juist een vooruitgang had moeten zijn, werkt het in praktijk niet zoals beoogd. Uitwisseling via een elektronisch uitwisselingssysteem verlangt gezien deze wet namelijk vaker toestemming dan uitwisseling via de papieren route. Dit wordt vaak over het hoofd gezien door de patiënt, met als risico dat in spoedgevallen geen informatie beschikbaar is over de patiënt omdat geen toestemming is gegeven voor pull-verkeer. Uitwisseling moet dan alsnog via push-verkeer, bijvoorbeeld op basis van veronderstelde Wgbo-toestemming en de grondslag/uitzondering dat de uitwisseling noodzakelijk is voor de behandeling van de betrokkene onder de (U) AVG.

iii. Wie doet wat? Het is in algemene zin aan de ‘verantwoordelijke’ om te voldoen aan de verplichtingen die voortvloeien uit de (U)AVG. Dit is de partij die doelen (waarom worden persoonsgegevens verwerkt?) en middelen (via welke systemen?) vaststelt. Vaak is dit de zorgaanbieder. Een ‘verwerker’ verwerkt slechts ten behoeve van de verantwoordelijke en heeft minder (wettelijke) verplichtingen om aan te voldoen. Voorbeelden van verwerkers zijn IT dienstverleners en payroll bedrijven. Ook kan gedacht worden aan specifiek op de zorg gerichte toepassingen als analysesoftware voor röntgenfoto’s of ECG-filmpjes.

Bij uitwisseling van persoonsgegevens kan de privacyrechtelijke rolverdeling leiden tot moeilijke vraagstukken. Een vaak gestelde vraag is bijvoorbeeld of samenwerkende zorgaanbieders zelfstandige of gezamenlijke verantwoordelijken zijn. Het kwalificeren van partijen is relevant, omdat het invloed heeft op de plichten uit de (U)AVG waar aan moet worden voldaan.

Gezamenlijke verantwoordelijken moeten duidelijke afspraken maken over welke partij welke plichten

vervult. Zo is het bijvoorbeeld niet nodig dat beide partijen de patiënt informeren over de verwerking of dat beide partijen dienen als contactpersoon. Patienten moeten op de hoogte zijn van deze onderlinge afspraken.

Hierbij is echter van belang dat partijen beide verantwoordelijken blijven. Dit wil zeggen dat ondanks dat mogelijk sprake is van een gezamenlijke verwerking, bijvoorbeeld in een gezamenlijk systeem, nog steeds sprake is van afzonderlijke partijen. Zo moet toestemming voor de uitwisseling met derden vanuit een gezamenlijk intern systeem dus aan beide partijen afzonderlijk worden verleend en beide partijen moeten kunnen voldoen aan de geldende beveiligingsnormen.

Conclusie Vaak wordt gewezen naar “de AVG” als boosdoener wanneer een bepaalde uitwisseling of samenwerking niet zonder meer is toegestaan. De (U)AVG biedt in algemene zin echter wel ruimte voor uitwisseling, bijvoorbeeld wanneer dit nodig is voor de zorgverlening of kwaliteitsdoeleinden van het zorgstelsel. In andere gevallen, bijvoorbeeld bij medisch wetenschappelijk onderzoek al dan niet met derde partijen, is dit minder evident.

Het is echter niet alleen hardcore privacywetgeving waarnaar moet worden gekeken. Specifieke zorgwetgeving werpt in bepaalde gevallen verschillende hordes op die genomen moeten worden. Dat is niet gek; in de zorg gaat het immers om gevoelige materie en het is belangrijk dat het vertrouwen in de gezondheidszorg overeind blijft. Er is echter wel ruimte voor verbetering om dit in de toekomst efficiënter te laten verlopen. mr. Sophie Hendriks