Grondslag verwerking persoonsgegevens gezondheidszorg

In dit deel van de serie over privacyrecht in de zorg zal worden ingegaan op de grondslag voor het verwerken van persoonsgegevens. Voor de andere delen kunt u hier klikken.
Wanneer mogen persoonsgegevens worden verwerkt? Dat zou een andere titel kunnen zijn van deze aflevering. Om persoonsgegevens te verwerken, dient er een juridische grondslag te zijn. Deze moet terug te leiden zijn naar een bepaalde regel. Deze regels zijn limitatief opgenomen in de AVG en verwerking is alleen rechtmatig wanneer aan een van de onderstaande voorwaarden is voldaan:

  1. de betrokkene heeft toestemming gegeven;
  2. de verwerking is noodzakelijk voor het uitvoeren van een overeenkomst
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;
  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van het uitoefenen van het openbaar gezag; of
  6. de verwerking is noodzakelijk voor de behartiging van de rechtmatige belangen van de verantwoordelijke, behalve wanneer de belangen van de betrokkene prevaleren (uitgezonderd overheidsinstanties).1

Op grond van punt 3 kan een lidstaat andere grondslagen creƫren. Voor de verwerking van bijzondere persoonsgegevens (bijvoorbeeld medische gegevens) gelden voorts aanvullende eisen. Deze gegevens mogen slechts worden verwerkt wanneer:

  1. de betrokkene uitdrukkelijke toestemming heeft gegeven voor een of meer welbepaalde doeleinden;
  2. de verwerking noodzakelijk is voor de uitvoering van verplichtingen op het gebied van het arbeidsrecht, socialezekerheidsrecht en socialebeschermingsrecht;
  3. de verwerking noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of een andere indien diegene niet in staat is zijn toestemming te geven;
  4. de verwerking wordt verricht door een rechtspersoon zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienst- of vakbondsgebied werkzaam is;
  5. de gegevens openbaar zijn gemaakt;
  6. de verwerking noodzakelijk is ten behoeve van een rechtsvordering;
  7. de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;
  8. de verwerking noodzakelijk is voor doeleinden van geneeskunde, beoordeling van arbeidsongeschiktheid, medische diagnosen, verstrekken van gezondheidszorg of sociale diensten of gezondheidszorgstelsels, of uit hoofde van een overeenkomst met een gezondheidswerker;
  9. de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van volksgezondheid; of
  10. de verwerking noodzakelijk is met het oog op archivering in het algemeen belang of wetenschappelijk onderzoek.

De voor de gezondheidszorg belangrijkste grondslagen zijn toestemming (punten 1 & a) en verwerking uit hoofde van een overeenkomst met een gezondheidsmedewerker (punt h).

Behandelingsovereenkomst als grondslag

Het bijhouden van een medisch dossier is wettelijk verplicht als er sprake is van een behandelingsovereenkomst.2 Deze grond voldoet aan de eisen van punt h. Wanneer een organisatie een dossier in Ysis bijhoudt, hoeft er in beginsel geen toestemming te worden gevraagd. De grondslag is immers niet de toestemming, maar de medische behandeling. Dit geldt echter slechts wanneer de medische gegevens bij de verantwoordelijke blijven (of bij de (sub)verwerker). In het geval de gegevens worden uitgewisseld via een elektronisch uitwisselingssysteem met andere zorgaanbieders, dient er een afzonderlijke grondslag te worden gevonden. Een voorbeeld hiervan is de uitwisseling van medische gegevens met de apotheker. De apotheker wordt voorts als verantwoordelijke aangemerkt. Er is dus sprake van twee afzonderlijke verantwoordelijken, waarbij er wellicht nog sprake is van (sub)verwerkers. Dit wordt in afbeelding 1 geĆÆllustreerd.
Afbeelding 1
De feitelijke gegevensuitwisseling vindt plaats tussen hosting X en Y. Dit gebeurt echter namens de verantwoordelijken, respectievelijk A en B. In dit geval dient er sprake te zijn van uitdrukkelijke toestemming van de patiƫnt om de gegevens uit te wisselen.3 Meer informatie over elektronische gegevensuitwisseling kunt u binnenkort vinden in een nieuw deel uit deze serie.
Bij een koppeling tussen een EPD en een ECD voor dezelfde zorginstelling, is toestemming niet vereist. De verwerking in het EPD en het ECD vallen namelijk onder de verantwoordelijkheid van dezelfde verantwoordelijke. Dit wordt in afbeelding 2 geĆÆllustreerd:
Afbeelding 2

Toestemming als grondslag voor verwerken medische gegevens

De AVG introduceert een aantal nieuwe begrippen met betrekking tot toestemming. Wil de verantwoordelijke zich kunnen beroepen op toestemming als grondslag, dan moet er sprake zijn van een vrije,Ā specifieke, geĆÆnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.4 Aan deze vereisten voor toestemming is voldaan wanneer:

  1. de verantwoordelijke kan aantonen dat de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens; en
  2. indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft (zoals een behandelingsovereenkomst), wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden.5

Is er eenmaal toestemming gegeven door de betrokkene, dan kan diegene zijn toestemming voorts intrekken. Het intrekken van de toestemming moet even eenvoudig kunnen gebeuren als het geven van toestemming.
Onder de huidige richtlijn is de verantwoordelijke ook verplicht informatie te verstrekken betreffende de verwerking aan de betrokkene.6 In de AVG heeft de wetgever echter nadrukkelijk willen laten gelden dat voor de rechtmatigheid van de toestemming is vereist dat de verantwoordelijke heeft voldaan aan zijn informatieplicht.7 Inhoudelijk is het vereiste van toestemming dan ook niet gewijzigd, doch is de inhoudelijke eis voor het voldoen van de informatieplicht wel degelijk gewijzigd.
Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geĆÆnformeerde en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.8 Vergeleken met de huidige richtlijn is dit een strengere eis. Zo zal een vinkje op een website dat men moet aanvinken voor het geven van toestemming niet vooraf mogen worden geselecteerd (Privacy by default). Daarnaast dient per doeleinde aparte toestemming worden gegeven. Dit betekent dat, in het geval niet alleen toestemming wordt gegeven voor het gebruik van een elektronisch patiĆ«ntendossier, maar ook voor verder wetenschappelijk onderzoek, de betrokkene bovendien bijvoorbeeld een vinkje moet zetten achter de vraag of zijn gegevens mogen worden gebruikt voor wetenschappelijke doeleinden. Indien vooraf niet duidelijk is voor welk wetenschappelijk doeleinde toestemming wordt gegeven, dient toestemming te worden verkregen voor bepaalde terreinen van wetenschappelijk onderzoek.9 In een navolgend deel zal verder worden ingegaan op het onderwerp wetenschappelijk onderzoek. Met het stellen van deze eisen wordt het zeer moeilijk, dan wel onmogelijk, om nog een beroep te doen op impliciete toestemming. De verantwoordelijke moet kunnen aantonen dat de betrokkene uitdrukkelijke toestemming heeft gegeven voor het verwerken van zijn medische gegevens.
De Autoriteit Persoonsgegevens stelt dat er is voldaan aan de eisen van toestemming wanneerĀ een of meer van de volgende documenten kan worden geproduceerd:

  • een door de patiĆ«nt ondertekend toestemmingsformulier voor bijvoorbeeld het elektronisch uitwisselen van medische gegevens via het elektronisch patiĆ«ntendossier;
  • een schermprint van het informatiesysteem van de zorgverlener waaruit is af te leiden dat de patiĆ«nt akkoord is met het elektronisch uitwisselen van medische gegevens via het elektronisch patiĆ«ntendossier;
  • een aantekening in het dossier van de patiĆ«nt dat toestemming is verkregen voor het elektronisch uitwisselen van medische gegevens via het elektronisch patiĆ«ntendossier. In dat geval is een handtekening of paraaf van de zorgverlener vereist.10

Daarnaast dient het document, waaruit de toestemming blijkt, in alle gevallen te zijn gedateerd. De betrokkene dient voorts voldoende te worden geĆÆnformeerd, waardoor er sprake is van een specifieke toestemming.11 De verstrekte informatie aan de patiĆ«nt is voldoende wanneer het ten minste de volgende vragen beantwoordt:

  • Om welke verwerking gaat het?
  • Welke gegevens worden verwerkt?
  • Welk doel dient de verwerking?
  • Aan welke derden worden gegevens verstrekt?
  • Wie is de verantwoordelijke?12

In het laatste deel van deze serie zal worden ingegaan op de informatieplicht naar de betrokkene.
 

Conclusie

Geconcludeerd kan worden dat het complex kan zijn om de juiste grondslag te vinden voor de verwerking van persoonsgegevens. In het geval van zorgaanbieders zullen er slechts twee gronden nodig zijn; het medisch dossier en toestemming. Voor het bijhouden van het medisch dossier als zodanig is geen toestemming vereist. Uitdrukkelijke toestemming is wel vereist wanneer instellingen medische gegevens gaan uitwisselen middels een elektronisch uitwisselingssysteem. De betrokkene dient actief te worden geĆÆnformeerd over de verwerking wanneer er toestemming wordt gevraagd. Deze toestemming moet door de verantwoordelijke worden bijgehouden, zodat dit kan dienen als bewijs.

  1. Artikel 6 lid 1 AVG.
  2. Artikel 7:454 BW.
  3. Artikel 15a Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
  4. Artikel 4 sub 11 juncto artikel 9 lid 2 sub a AVG.
  5. Artikel 7 AVG.
  6. Artikel 10 Richtlijn 95/46/EG.
  7. Artikel 29 Werkgroep, “Advies 15/2011 over de definitie van toestemming”, p. 22.
  8. Overweging 32 AVG.
  9. Overweging 33 AVG.
  10. College bescherming persoonsgegevens, 1 september 2014, “Onderzoek naar de toestemming voor de uitwisseling van medische
    persoonsgegevens via het Landelijk Schakelpunt”, z2012-779, p. 5.
  11. Artikel 29 Werkgroep, “inzake de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers (EMD)”, WP 131, p. 10.
  12. College bescherming persoonsgegevens, 1 september 2014, “Onderzoek naar de toestemming voor de uitwisseling van medische
    persoonsgegevens via het Landelijk Schakelpunt”, z2012-779, p. 6.