Uitbesteding van het cliëntendossier. elektronisch cliëntendossier Mr. D.A. Korteweg* Mr. J.J. Linnemann*

Transcriptie

1 Dit artikel is het zesde in de Rode draad: De notaris in de digitale wereld die van start is gegaan in het WPNR 2015/7070 De vorige bijdragen zijn verschenen in het WPNR 2015/7073 Uitbesteding van het cliëntendossier en een centraal elektronisch cliëntendossier Mr. D.A. Korteweg* Mr. J.J. Linnemann* 1. Inleiding Uit de beslissing van de hoogste tuchtrechter voor het notariaat, de Notariskamer van het Gerechtshof Amsterdam, volgt dat de notaris bij zijn werkzaamheden gebruik kan maken van de IT-diensten van derden. 1 De beslissing maakt ook duidelijk dat een dergelijke uitbesteding aan bepaalde voorwaarden moet voldoen wil de notaris de vereiste regie, zeggenschap en toezicht op zijn werkzaamheden behouden en de vereiste geheimhouding kunnen waarborgen. Daarnaast zal de notaris rekening moeten houden met de verplichtingen uit de Wet bescherming persoonsgegevens (hierna: Wbp). In deze bijdrage zullen we de mogelijkheden bespreken om het beheer van digitale bestanden, zoals (delen van) een elektronisch cliëntendossier, uit te besteden aan derden en hoe de notaris om zal moeten gaan met de verplichtingen die in dat geval op hem rusten. Daarbij zullen we ook ingaan op de aanwezige risico s en hoe deze risico s zouden kunnen worden gemitigeerd. Aan de hand van de beslissing van het hof over de HEMA-notarisservice zullen we eerst ingaan op twee wettelijke voorschriften die specifiek op het notariaat van toepassing zijn en hoe deze een rol kunnen spelen bij de uitbesteding van IT-diensten, in het bijzonder de uitbesteding van de hosting, de verwerking en het beheer van digitale bestanden. De digitalisering van notariële documenten als zodanig en het daarop van toepassing zijnde regelgevend kader laten we verder buiten beschouwing. Deze thematiek is binnen deze reeks al aan bod gekomen. 2 Een denkbaar vervolg op digitalisering van cliëntendossiers van individuele notarissen is het koppelen van die dossiers, of zelfs het ontstaan van een centraal elektronisch cliëntendossier. Waaijer heeft enkele jaren geleden al op die mogelijkheid gezinspeeld. 3 In het tweede deel van deze bijdrage vergelijken wij enkele aspecten van een eventueel centraal elektronisch cliëntendossier met het elektronisch patiëntendossier. 2. HEMA-notarisservice: geheimhoudingsplicht gewaarborgd? 2.1. Achtergrond De HEMA-notarisservice is een dienst waarbij consumenten online aan de hand van een vragenlijst een standaard samenlevingscontract of testament kunnen laten opstellen. Na betaling zal er een conceptakte worden opgesteld en elektronisch worden toegezonden. Vervolgens neemt de consument met één van de deelnemende notarissen telefonisch contact op om een afspraak te maken voor het passeren van de akte. Tijdens het telefoongesprek en de passeerafspraak controleert de geselecteerde notaris of de conceptakte aansluit bij de wensen van de consument. Voor deze bijdrage is van belang om te vermelden dat de door de consument verstrekte gegevens worden verzameld en opgeslagen op een aparte server van de partij niet zijnde de notaris die de website host. Deze partij heeft een overeenkomst gesloten met Novataris B.V. (hierna: Novataris), de initiatiefnemer van de HEMA-notarisservice. Notarissen kunnen zich bij Novataris aasluiten indien zij willen deelnemen en dienen hiertoe een overeenkomst met Novataris te sluiten. De HEMA-notarisservice wordt binnen een beveiligde omgeving aangeboden via de website van de HEMA. De uitwisseling van gegevens tussen de cliënt en de website op internet vindt versleuteld plaats. Kort na de lancering van de HEMA-notarisservice diende de KNB een klacht in bij de tuchtrechter. Met deze klacht beoogde de KNB duidelijkheid te krijgen over de vraag of de aangeboden dienst tuchtrechtelijk was toegestaan. Voor deze bijdrage is vooral het tuchtrechtelijke verwijt van de KNB van belang dat de deelnemende notarissen hun geheimhoudingsplicht zouden schenden door cliënten gegevens te laten verstrekken via een online omgeving van een derde. De andere tuchtrechtelijke verwijten die in deze procedure aan bod kwamen, zullen we verder niet behandelen. We zullen nog wel kort stilstaan bij het voorschrift dat de notaris bij de uitbesteding van werkzaamheden die hij in verband met een opdracht behoort te verrichten, voldoende regie, zeggenschap * Advocaat te Amsterdam. (David.Korteweg@kvdl.nl) en (Joost.Linnemann@kvdl.nl) 1. Gerechtshof Amsterdam 16 juni 2015, ECLI:NL:GHAMS: 2015: O.A. Sleeking en F. van der Woude, Digitaal archiveren binnen het notariaat, WPNR 2015/ B.C.M. Waaijer, Vergaande digitalisering in het notariaat, in: Stichting LNSC Leiden (red.), Het Nieuwe notariskantoor, Deventer: Kluwer 2011, p

2 en toezicht dient te behouden. 4 Naar ons oordeel vloeit uit dit voorschrift namelijk de verplichting voor de notaris voort om bij het doen verwerken van persoonsgegevens door een derde in het kader van zijn werkzaamheden altijd op te treden als verantwoordelijke in de zin van de Wbp. 5 Hierover later meer Geheimhoudingsplicht en verschoningsrecht De geheimhoudingsplicht van de notaris is wettelijk vastgelegd in art. 22 Wet op het notarisambt (hierna: Wna) en nader uitgewerkt in art. 4 Verordening beroeps- en gedragsregels 2011 (hierna: de verordening). De notaris is verplicht tot geheimhouding van al hetgeen waarvan hij uit hoofde van zijn werkzaamheid als zodanig kennis neemt. Deze plicht tot geheimhouding geldt eveneens voor de personen die onder de verantwoordelijkheid van de notaris werkzaam zijn. Bovendien kan de notaris zich niet door zijn cliënt van zijn geheimhoudingsplicht laten ontslaan. 6 Zelfs al zou de cliënt hiervoor toestemming geven, dan nog mag de notaris de aan hem toevertrouwde gegevens niet aan derden kenbaar maken. Uitzonderingen hierop zijn uitsluitend mogelijk voor zover dit bij of krachtens wet is bepaald. Naast een geheimhoudingsplicht heeft de notaris een hieraan verbonden verschoningsrecht. Dit recht ontslaat hem van bepaalde wettelijke verplichtingen om informatie te verschaffen. Het verschoningsrecht van de notaris en andere personen met een beroepsof ambtsgeheim is in diverse wettelijke bepalingen nader uitgewerkt. 7 worden geschonden doordat de gegevens door een ander dan de notaris zelf werden beheerd. In eerste aanleg besliste de Kamer voor het Notariaat van de Rechtbank Amsterdam dat de geheimhoudingsplicht met zich meebrengt dat de notaris er ook voor verantwoordelijk is dat de via een intermediair aan hem verstrekte gegevens van cliënten geheim blijven. 9 De tuchtrechter lijkt hiermee een afgeleide geheimhoudingsplicht te erkennen voor de bij de HEMA-notarisservice betrokken partijen Novataris en HEMA. Vervolgens beoordeelde de tuchtrechter of de geheimhouding onder de gekozen constructie voldoende was gewaarborgd. In eerste aanleg besliste de tuchtrechter dat dit niet het geval was. Hiervan zou pas sprake kunnen zijn indien de gegevens zouden worden geplaatst op een aparte server die alleen voor de met HEMA samenwerkende notarissen toegankelijk is en wordt beheerd door een entiteit waarin alleen notarissen zeggenschap hebben. 10 In hoger beroep wordt deze voorwaarde die aan het beheer van de verzamelde gegevens werd gesteld door het hof van tafel geveegd: de voorwaarde gaat volgens het hof te ver. 11 Het feit dat de gegevens op een server staan die door een derde wordt beheerd betekent niet automatisch dat de geheimhouding van deze gegevens onvoldoende is gewaarborgd. Het hof overweegt bovendien dat het geautomatiseerd opslaan van cliëntgegevens, al dan niet in de cloud, in de notariële praktijk gebruikelijk is. 12 In de jurisprudentie is bovendien een afgeleide geheimhoudingsplicht en daarmee samenhangend afgeleid verschoningsrecht erkend. 8 Deze afgeleide geheimhoudingsplicht rust op iedere partij die uit hoofde van dienstbetrekking, functie, hoedanigheid of werkzaamheden kennis neemt van informatie die onder de geheimhoudingsplicht van de notaris valt. De afgeleide geheimhoudingsplicht is van dezelfde omvang als en gelijk aan de oorspronkelijke geheimhoudingsplicht. Uitzonderingen op de geheimhoudingsplicht gelden dus evenzeer voor de afgeleide geheimhoudingsplicht. Dit geldt evenzeer voor het daarmee samenhangende afgeleide verschoningsrecht Klacht KNB: geheimhoudingsplicht onvoldoende gewaarborgd De klacht van de KNB kwam er kort gezegd op neer dat de notaris zijn geheimhoudingsplicht niet kon naleven doordat hij de (persoons-)gegevens van potentiele cliënten liet verzamelen door een derde. Door de gekozen aanpak zouden de door de potentiele cliënt aan HEMA toevertrouwde gegevens niet onder de geheimhoudingsplicht vallen terwijl potentiele cliënten dat wel zouden verwachten, aldus de KNB. Bovendien stelde de KNB zich op het standpunt dat de geheimhoudingsplicht reeds zou Volgens het hof waren er ook geen aanwijzingen dat de door de consument verstrekte gegevens werden gebruikt voor andere doeleinden dan waarvoor zij werden verstrekt. Bovendien had de notaris aangevoerd dat de HEMA-notarisservice in een beveiligde web-omgeving wordt aangeboden en dat de server waarop de gegevens staan, adequaat beveiligd is. Tot slot zou de KNB niet concreet hebben aangetoond dat de geheimhouding van de gegevens niet is gewaarborgd. Het hof komt daarom tot de conclusie dat de geheimhouding voldoende is gewaarborgd Art. 3, lid 2 van de Verordening beroeps- en gedragsregels Zie ook: G.J.C. Lekkerkerker, De notaris in een digitale wereld, twee invalshoeken, WPNR 2015/7070, p Art. 4, lid 1 van de verordening. 7. Zie o.a. art. 165 lid 2 Rv, art. 5:20 lid 2 Awb, art. 8:33 lid 3 Awb en art. 218 Sv. 8. Zie HR 29 maart 1994, ECLI:NL:HR:1994:ZC9693, NJ 1994, 552; HR 12 februari 2002, ECLI:NL:HR:2002:AD4402, NJ 2002, Rechtbank Amsterdam 2 oktober 2014, ECLI:NL: TNORAMS:2014: Idem, r.o Gerechtshof Amsterdam 16 juni 2015, ECLI:NL:GHAMS: 2015:2270, r.o Idem. 13. Idem, r.o en WPNR september 2015/7074

3 2.4. Lessen voor de praktijk? Voor de notaris die het beheer van zijn elektronisch cliëntendossier wenst uit te besteden aan een derde, komt deze beslissing als geroepen. Het hof schept immers duidelijkheid over de reikwijdte van de geheimhoudingsplicht. In de uitleg die het hof daaraan geeft, is er wel degelijk ruimte om informatie die onder de geheimhoudingsplicht valt door een derde te laten beheren. Welke beschermingsmaatregelen in dat geval moeten worden genomen om geheimhouding te waarborgen laat het hof in het midden. Uit de beslissing van het hof blijkt dat Novataris geheimhouding en naleving van de privacyrechtelijke vereisten contractueel had opgelegd aan de betrokken notaris. Deze verplichting was echter niet wederzijds: Novataris had zich jegens de notaris niet tot geheimhouding verplicht. Het hof zegt daarover dat het in de rede ligt ( ) om in de tussen de notaris en Novataris gesloten overeenkomst de wederkerigheid van de verplichtingen op het gebied van de privacy meer tot uitdrukking te brengen en de overeenkomst op dit punt aan te passen. 14 Het hof volstaat vervolgens met de enkele vaststelling dat niet van een concrete schending van de geheimhoudingsplicht is gebleken. Naar het oordeel van het hof gaat de wettelijke geheimhoudingsplicht van de notaris kennelijk niet zo ver dat hij deze ook contractueel moet opleggen aan de partijen die hij bij zijn werkzaamheden inschakelt. Vanuit privacyrechtelijk oogpunt is hier meer over te zeggen. 3. Privacyrechtelijke verplichtingen 3.1. Regie, zeggenschap en toezicht Naast voldoen aan de geheimhoudingsplicht dient de notaris bij het uitbesteden van werkzaamheden die hij in verband met de opdracht als notaris behoort te verrichten, voldoende regie, zeggenschap en toezicht te behouden. 15 Deze verplichting staat er, zo zagen wij, niet aan in de weg dat de notaris zijn automatisering uitbesteedt, zolang de notaris maar aan dit voorschrift voldoet. De notaris dient dus de eindverantwoordelijke te blijven. 16 Een belangrijke consequentie van dit voorschrift is dat de notaris als verantwoordelijke in de zin van de Wbp moet worden aangemerkt bij het uitbesteden van werkzaamheden waarbij persoonsgegevens worden verwerkt. Het is namelijk de verantwoordelijke die het doel en de middelen van de verwerking van persoonsgegevens bepaalt. De notaris zal rekening moeten houden met de verplichtingen die op grond van de Wbp op hem rusten in de hoedanigheid van verantwoordelijke. Voor een beknopt overzicht van die verplichtingen verwijzen wij naar de eerdere bijdrage van Lekkerkerker binnen deze reeks. 17 Een andere consequentie van de eis dat de notaris voldoende regie, zeggenschap en toezicht moet houden is dat de derden die hij inschakelt bij de gegevensverwerking in privacyrechtelijke zin noodzakelijkerwijs bewerker dan wel sub-bewerker zijn. Wat dit concreet betekent voor de notaris die zijn gegevensverwerking wenst uit te besteden komt in de volgende paragraaf aan bod Passende technische en organisatorische maatregelen Eén van de verplichtingen die op de verantwoordelijke - in dit geval dus de notaris rust is dat hij passende technische en organisatorische maatregelen neemt ter beveiliging van de persoonsgegevens. Welke concrete maatregelen passend zijn bepaalt de wet niet. Invulling van deze vage norm is uiteindelijk aan de rechter. Uiteraard komt ook belang toe aan het oordeel van de toezichthouder, het College bescherming persoonsgegevens (hierna: CBP). Het CBP geeft in zijn publicatie Richtsnoeren beveiliging persoonsgegevens (hierna: richtsnoeren) de nodige aanwijzingen. Hoewel de richtsnoeren juridisch niet bindend zijn, maken ze wel duidelijk waar het CBP op zal letten bij eventuele onderzoeken of handhavingsbesluiten. In de richtsnoeren stelt het CBP onder andere de eis dat de verantwoordelijke de zogeheten plan-docheck-act-cyclus inbedt in zijn organisatie. Deze cyclus komt kort gezegd op het volgende neer: 1. Beoordeel de aanwezige risico s Bepaal het gewenste beveiligingsniveau aan de hand van een beoordeling van de risico s die de gegevens en de aard van de verwerking met zich meebrengen. 2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden In de informatiebeveiliging zijn diverse standaarden ontwikkeld waarvan men gebruik kan maken bij het nemen van beveiligingsmaatregelen. De algemeen geaccepteerde standaard voor informatiebeveiliging is momenteel de NEN/ISO/IEC standaard (27001/27002/27005/27018). De naleving van deze standaarden dient veelal te worden getoetst door onafhankelijke derde partijen. De audits die dergelijke partijen uitvoeren dienen zelf ook weer te voldoen aan bepaalde (internationale) standaarden zoals SSAE 16 (VS) en ISAE 3402 (internationaal). Voor sommige sectoren zijn inmiddels specifieke standaarden ontwikkeld. Zo zijn er specifieke NENnormen ontwikkeld voor informatiebeveiliging binnen de gezondheidszorg in Nederland. 14. Idem, r.o Art. 3, lid 2 verordening. 16. G.J.C. Lekkerkerker, Nieuwe Toepassingen van informatieen communicatietechnologie voor de notaris en zijn cliënt, WPNR 2014/ G.J.C. Lekkerkerker, De notaris in een digitale wereld, twee invalshoeken, WPNR 2015/7070, p

4 3. Voer regelmatig controles en evaluaties uit Tot slot dient de verantwoordelijke regelmatig te controleren of de beveiligingsmaatregelen ook daadwerkelijk zijn getroffen en worden nageleefd, zowel door de verantwoordelijke zelf als ook ingeschakelde bewerkers Bewerkersovereenkomst Bij het inschakelen van een bewerker zal de verantwoordelijke er voor moeten zorgen dat de bewerker eveneens passende technische en organisatorische beveiligingsmaatregelen neemt. Daarnaast zal de verantwoordelijke moeten bedingen dat de bewerker uitsluitend persoonsgegevens verwerkt in opdracht van de verantwoordelijke en zich verplicht tot geheimhouding van de persoonsgegevens waarvan hij kennis neemt. Tot slot dient de verantwoordelijke toe te zien op de naleving van deze maatregelen door de bewerker. Deze algemene verplichtingen zal de verantwoordelijke moeten uitwerken en vastleggen in een bewerkersovereenkomst. In de richtsnoeren heeft het CBP criteria geformuleerd waaraan het CBP zal toetsen of een bewerkersovereenkomst voldoet aan art. 14 van de Wbp. 18 Zo stelt het CBP als eis dat de verantwoordelijke in de bewerkersovereenkomst de beveiligingsmaatregelen die de bewerker moet nemen, vastlegt en dat er een auditrecht wordt overeengekomen dat de verantwoordelijke in staat stelt om naleving van deze maatregelen te kunnen controleren (door een onafhankelijke derde). Een ander vereiste is dat er afspraken moeten worden opgenomen over het melden van beveiligingsincidenten en datalekken. Een volledige opsomming van deze criteria gaat het bestek van deze bijdrage echter te buiten. 4. Contractuele sturing 4.1. Standaardvoorwaarden & contractuele sturing Gezien het vertrouwelijke karakter van de gegevens die de notaris verwerkt, betekent dit concreet dat bij het inschakelen van derden voor het verwerken en beheren van gegevens goede contractuele afspraken moeten worden gemaakt over de beveiliging en de naleving van de desbetreffende contractuele verplichtingen. Het sluiten van de ogen voor mogelijke veiligheidsrisico s in de verwachting dat de leverancier dit allemaal wel netjes regelt is geen optie. De notaris moet bovendien bij zijn keuze van een IT-leverancier goed opletten dat de gehanteerde standaardvoorwaarden de beveiligingsmaatregelen die op grond van de Wbp vereist zijn afdoende regelen. Dit blijkt in de praktijk vaak niet het geval te zijn. Veel kleine tot middelgrote IT-leveranciers in Nederland maken gebruik van de Nederland ICT Voorwaarden die zijn opgesteld door de branchevereniging Nederland ICT. 19 Deze voorwaarden bevatten slechts een summiere bepaling over informatiebeveiliging die verder geen concrete afspraken bevat over de vereiste technische en organisatorische beveiligingsmaatregelen die de notaris als verantwoordelijke aan de bewerker zal moeten opleggen. 20 Er wordt uitsluitend vermeld dat partijen over de beveiliging nadere afspraken kunnen maken, niet wat deze afspraken inhouden. Op grond van de Wbp dient de verantwoordelijke er juist op toe te zien dat de bewerker in dit geval de IT-leverancier de beveiligingsmaatregelen van tevoren specifiek vastlegt. 21 Voor zover er persoonsgegevens worden verwerkt, zullen enkel deze voorwaarden onvoldoende zijn voor de verantwoordelijke de notaris om aan zijn verplichtingen onder de Wbp te voldoen. De notaris zal in de rol van verantwoordelijke in dat geval altijd meer afspraken moeten maken met de IT-leverancier. Het accepteren van deze standaardvoorwaarden volstaat niet. Los van de criteria waaraan het CBP de bewerkersovereenkomst toetst, is het verstandig om bij het bepalen, onderhandelen en vastleggen van de afspraken over beveiliging rekening te houden met een aantal algemene uitgangspunten. Zo is het verstandig om o.a. de volgende zaken te adresseren: - een heldere afbakening van de rolverdeling en verantwoordelijkheden van partijen en de minimumnormen en standaarden die de leverancier moet hanteren; - het in kaart brengen van de kritische gegevensstromen en bedrijfsprocessen bij de notaris en het uitvoeren van een impact- en risicoanalyse; - hoe de naleving en effectiviteit van de getroffen beveiligingsmaatregelen worden gemeten, inclusief de opname van een auditbepaling en het opnemen van transparantieverplichtingen ten aanzien van beveiligingsincidenten en datalekken; - welke remedies de notaris tot zijn beschikking staan indien de leverancier zijn verplichtingen niet nakomt; - het opnemen van garanties, waaronder naleving door de leverancier van de toepasselijke wet- en regelgeving op het gebied van (informatie-)beveiliging; - in hoeverre de leverancier onderaannemers mag inschakelen en gegevens mag laten verwerken buiten de EER; en 18. CBP, Richtsnoeren beveiliging persoonsgegevens, p Deze voorwaarden zijn de opvolger van de ICT Office Voorwaarden. Zie ook: Art. 7 (beveiliging) van de Nederland ICT Voorwaarden. 21. Zie over deze problematiek: S.J.H. Gijrath, Informatie- en netwerkbeveiliging in juridisch perspectief: een kwestie van contractbesturing?, Computerrecht WPNR september 2015/7074

5 - welke maatregelen er zijn getroffen om de bedrijfscontinuïteit van de notaris te waarborgen bij faillissement van de leverancier of bij beëindiging van de overeenkomst of dienstverlening Rol KNB bij contractuele sturing De praktijk leert dat het voor kleine tot middelgrote opdrachtgevers lastig is om in te schatten wanneer een IT-leverancier voldoende maatregelen heeft genomen en/of zijn standaardvoorwaarden afdoende zijn. Dit zal waarschijnlijk ook gelden voor veel notarissen voor wie automatisering immers geen kernactiviteit is. Er valt dan ook veel voor te zeggen om de krachten te bundelen. De KNB zou daarom binnen het notariaat een rol kunnen spelen bij de uitbesteding van gegevens en werkzaamheden aan IT-leveranciers. Zo zou de KNB het initiatief kunnen nemen om een beveiligingsstandaard te ontwikkelen die de notaris houvast biedt bij het opzetten en/of uitbesteden van zijn automatisering. Daarnaast zou de KNB een algemene bewerkersovereenkomst kunnen opstellen die aan de wettelijke vereisten voldoet die voor het notariaat van belang zijn. Een dergelijk algemeen aanvaarde standaardovereenkomst verbetert de onderhandelingspositie van de notaris. Bovendien biedt het de KNB de mogelijkheid om bepaalde kernwaarden zoals de geheimhouding en het behoud van regie, zeggenschap en toezicht op de notariële werkzaamheden contractueel te waarborgen. ECD). 23 Hij doelt daarmee op een centraal door KNB bij te houden register waarin het bestaan van alle in Nederland opgemaakte notariële akten wordt geregistreerd. Waaijer verwijst in dat licht naar het bestaan van het elektronisch patiëntendossier. Die verwijzing is interessant omdat het elektronisch patiëntendossier een weinig gelukkige geschiedenis kent. In dit deel van onze bijdrage beschrijven wij die geschiedenis kort en staan wij stil bij overeenkomsten en verschillen tussen het EPD en een mogelijk ECD. Na een aantal jaren voorbereiding ging in 2008 het landelijk EPD van start. Het ging daarbij om een landelijke elektronische infrastructuur waarlangs zorgverleners in heel Nederland patiëntgegevens elektronisch konden uitwisselen. De bedoeling was dat het landelijk EPD een wettelijke basis zou krijgen. Kernelementen van het desbetreffende wetsvoorstel waren de verplichte aansluiting van zorgverleners op een landelijk schakelpunt en het verplicht gebruik daarvan voor gegevensuitwisseling. De patiënt kon delen van het dossier afschermen voor andere zorgverleners dan zijn huisarts of geheel bezwaar maken tegen deelname. Voorafgaande toestemming van de patiënt was niet nodig. Het beoogde EPD bevatte zelf geen medische gegevens, maar was veeleer een stelsel voor het uitwisselen van gegevens. In die zin leek de opzet van het EPD op die van het Centraal Testamentenregister. Belangrijk verschil is dat de patiënt zelf geen toegang zou hebben tot het EPD. Tot slot zou de KNB eventueel als (mede)auditor kunnen optreden om de naleving van de beveiligingsmaatregelen te (doen) controleren. Een dergelijk auditrecht dienen bijvoorbeeld financiële ondernemingen die onder het toezicht van De Nederlandsche Bank vallen, op te nemen in de overeenkomsten die zij sluiten met partijen waarvan zij clouddiensten afnemen. 22 Dit stelt De Nederlandsche Bank in staat om voldoende en effectief toezicht uit te oefenen. 5. Naar een elektronisch cliëntendossier? 5.1. Het EPD als voorbeeld voor een elektronisch cliëntendossier? Uit het voorgaande deel blijkt dat er voor de notaris voldoende mogelijkheden zijn om bepaalde gegevens en werkzaamheden aan derden uit te besteden. Zodra steeds meer delen van het notarieel cliëntendossier staan opgeslagen en worden beheerd bij derden, zou de volgende stap een centraal register kunnen zijn. Hierin zouden de gegevens centraal raadpleegbaar kunnen zijn of slechts kunnen bestaan uit een centraal verwijssysteem dat wel inzichtelijk maakt welke notariële akten er zijn en bij welke notaris deze zich bevinden. Volgens Waaijer wordt het tijd voor een dergelijk notarieel elektronisch cliëntendossier (hierna: Het EPD-wetsontwerp werd op 5 april 2011 unaniem verworpen door de Eerste Kamer. De senaat had vooral zorgen over de beveiliging van het systeem. 24 Op dat moment was de landelijke elektronische infrastructuur echter al tot stand gebracht. Mede daarom werd met financiering door de zorgverzekeraars een aangepast systeem ontwikkeld en uitgerold door VZVZ, een vereniging opgericht door vier koepels van zorgaanbieders. De aanpak van VZVZ vertoont belangrijke verschillen met het oorspronkelijke EPD plan. In de eerste plaats is de verwerking van medische gegevens nu gebaseerd op de uitdrukkelijke voorafgaande toestemming van de patiënt (waar die in de oorspronkelijke opzet bezwaar kon maken). Verder is geen sprake meer van verplichte deelname van zorgverleners en is de gegevensuitwisseling in de meeste gevallen beperkt tot de regio en dus niet meer landelijk. Ook in de VZVZ-opzet heeft de 22. DNB Circulaire Cloud Computing 6 december Waaijer, p Zo zei CDA-senator Hans Franken in zijn stemverklaring: Dit dossier met één deur aan de voorkant heeft duizend deuren aan de achterkant, Eerste Kamer, Stemmingen, 5 april 2011, EK 23,

6 patiënt zelf geen toegang tot het dossier. Wel kan de patiënt inzien welke zorgverleners toegang hebben gehad tot zijn dossier. VZVZ is verantwoordelijke in de zin van de Wbp voor de uitwisseling van gegevens via een zogenaamd Landelijk Schakelpunt, het LSP. 25 Al met al kent het EPD (of liever: de uitwisseling van medische gegevens tussen zorgverleners) een bewogen geschiedenis, die nog voortduurt. Daarmee is de verwijzing naar het EPD als inspiratiebron voor een eventueel ECD wellicht niet de meest gelukkige. Dat betekent natuurlijk niet dat een vergelijking met het EPD niet behulpzaam zou kunnen zijn. Hierna vergelijken we daarom het EPD en een eventueel ECD op drie aspecten: de grondslag voor de verwerking van gegevens in het dossier, het doel van het dossier en de aard van de gegevens Grondslag voor uitwisseling van gegevens De uitwisseling van medische gegevens via het LSP vindt uitsluitend plaatst na voorafgaande toestemming van de patiënt. Deze opzet is onder meer ingegeven door de zienswijze van het College bescherming persoonsgegevens. 26 Het CBP was van oordeel dat aan VZVZ geen beroep toekwam op de uitzonderingen op de wettelijke verboden om medische gegevens te verwerken. Die uitzonderingen zijn onder meer vervat in art. 21 eerste lid onder a Wbp en art. 7:457 tweede lid BW. Gevolg van dat oordeel was dat verstrekking van de gegevens aan VZVZ alleen kon plaatsvinden op basis van uitdrukkelijke toestemming van de patiënt. Daarbij is van belang dat art. 7:457 tweede lid BW bepaalt dat een hulpverlener met toestemming van de patiënt (delen van) diens dossier met anderen kan delen. Anderen is daarbij niet beperkt tot andere hulpverleners. Aldus heeft de medische hulpverlener meer mogelijkheden dan de notaris. Art. 4 eerste lid van de verordening bepaalt immers dat de notaris zich niet door de opdrachtgever of door andere bij de rechtshandeling betrokkenen van zijn geheimhoudingsplicht kan laten ontslaan. Op grond van art. 4 tweede lid is de notaris bevoegd om na verzoek van een andere notaris een afschrift van een tot zijn protocol behorende akte af te geven aan die andere notaris. mits die andere notaris op zijn beurt een verzoek om dat afschrift heeft gekregen van een persoon die op grond van de Wet op het notarisambt gerechtigd is tot inzage in die akte. Dit artikel maakt afgifte aan een andere notaris mogelijk, maar niet aan een private organisatie die vergelijkbaar is met VZVZ in de zorg. Het gaat hierbij dus uitsluitend om de afgifte aan een andere notaris. De verordening lijkt geen ruimte te bieden voor afgifte aan een notarieel equivalent van VZVZ. De uitwisseling van gegevens tussen notarissen door tussenkomst van een met het LSP te vergelijken schakelpunt zou dus niet gebaseerd kunnen worden op toestemming van de opdrachtgever: de geheimhoudingsplicht van de notaris staat daaraan in de weg. Anders dan bij de uitwisseling van medische gegevens het geval is, zou een ECD dus niet kunnen bestaan zonder wettelijke grondslag. Op zich is dat niet nieuw of verrassend. Zo vindt het Centraal Testamentenregister zijn grondslag in de Wet op het centraal testamentenregister Het opzetten van een ECD vereist dus nieuwe wetgeving Doel van uitwisseling van gegevens Een andere vergelijking die gemaakt kan worden tussen het EPD en een eventueel ECD betreft de doelstelling van het centraal dossier: welk doel dient de gegevensverwerking? Ten aanzien van het ECD wijst Waaijer erop dat de cliënt als gevolg van marktwerking in toenemende mate van het ene naar het andere notariskantoor zal gaan. 27 Als gevolg daarvan heeft een notaris mogelijk geen compleet beeld van hetgeen door een cliënt in notariële akten is geregeld. Zelfs de cliënt zelf heeft dat beeld mogelijk niet. Aldus benoemt Waaijer impliciet twee doelstellingen van een ECD. 28 In de eerste plaats zou het ECD de notaris in staat stellen rekening te houden met andere notariële akten waarvan hij bij gebreke van een ECD en bij gebrek aan wetenschap bij de cliënt het bestaan niet kent. Deze doelstelling vertoont enige gelijkenis met de uitwisseling van medicatiegegevens via het LSP. Doel van die uitwisseling is onder meer te voorkomen dat verkeerde medicatie wordt voorgeschreven in het licht van medicatie die de patiënt al gebruikt. Abstracter geformuleerd is in beide gevallen het doel te voorkomen dat een aanpak wordt gekozen waarvoor in het dossier een contraindicatie bestaat. In die zin zou de doelstelling van een ECD vergelijkbaar zijn met die van een EPD. Waaijer wijst er verder op dat inmiddels duidelijk is dat de cliënt ook tijdens zijn leven inzage in het Centraal Testamentenregister kan nemen en stelt dat er ook andere akten zijn waarvan kennis van het bestaan en de inhoud van belang is voor de cliënt (en anderen). Juist in dit verband maakt hij de vergelijking met het EPD. 29 Daarmee impliceert Waaijer een ander doel van een ECD, namelijk dat de cliënt een overzicht kan krijgen en kennis kan nemen van de inhoud van hetgeen hij notarieel heeft geregeld. Juist hier gaat de vergelijking met het EPD echter niet op. Noch in het door de Eerste Kamer van de hand gewezen EPD op basis van een wettelijke 25. Zie de website van VZVZ voor verdere informatie over de uitwisseling van gegevens via het LSP: Zienswijze CBP over doorstartmodel voor landelijke uitwisseling medische gegevens, 9 augustus 2011, nl/sites/default/files/downloads/med/med_ _zienswijze_nictiz_epd.pdf. 27. Waaijer, p Waaijer, p Idem. 740 WPNR september 2015/7074

7 grondslag, noch door de uitwisseling van medische gegevens via het LSP kan een patiënt zelf kennisnemen van de inhoud van zijn dossier. Ook kan een patiënt niet zien welke hulpverlener een dossier over hem of haar aanhoudt. De patiënt kan uitsluitend zien welke hulpverleners toegang tot de gegevens hebben verkregen via het LSP. Op dit punt is er dus een duidelijk verschil tussen de genoemde doelstelling van een ECD en de huidige uitwisseling van medische gegevens. Dat neemt niet weg dat er een reële behoefte van patiënten bestaat om inzage te verkrijgen in hun medisch dossier. In die behoefte wordt door marktpartijen ook voorzien. Zo biedt Microsoft Health- Vault 30 aan. HealtVault en vergelijkbare initiatieven geven de patiënt een eigen dossier waarin de patiënt zelf gezondheidsgegevens kan opslaan en hulpverleners toestemming kan geven om informatie aan het dossier toe te voegen of daarin inzage te krijgen. Aldus wordt het dossier niet beheerd door een of meer hulpverleners maar door de patiënt zelf. Een van de consequenties daarvan is dat de patiënt zelf voortdurend inzicht heeft in zijn dossier. Een notarieel equivalent van een dergelijk initiatief zou recht doen aan de door Waaijer gesignaleerde behoefte Aard van de gegevens Een derde, voor de hand liggende vergelijking tussen het EPD en een eventueel ECD betreft de aard van de te verwerken gegevens en het wettelijk regime dat daarop van toepassing is. Waaijer wijst erop dat het bij uiterste wilsbeschikkingen gaat om bij uitstek vertrouwelijke informatie. Juist dat vertrouwelijk karakter is in België reden geweest om onder meer testamenten niet op te nemen in de Notariële Aktebank, de databank waarin de minuten van alle elektronische notariële akten worden bewaard. 31 Hoe vertrouwelijk deze informatie echter ook is, het gaat niet per definitie om bijzondere gegevens in de zin van de Wbp. Art. 16 van die wet verbiedt de verwerking van onder meer persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, behoudens enkele uitzonderingen. Het is denkbaar dat in een testament dergelijke persoonsgegevens zijn vervat, maar dat hoeft niet het geval te zijn. Daarentegen bestaat een medisch dossier per definitie uit bijzondere gegevens. De Wbp kent uitzonderingen op het verbod om bijzondere gegevens te verwerken. Het betreft specifieke en algemene uitzonderingen. Zoals hiervoor aangestipt, was het CBP met betrekking tot de uitwisseling van medische gegevens via het LSP van oordeel dat aan VZVZ geen beroep toekwam op een van de specifieke uitzonderingen. Vandaar dat de uitwisseling via het LSP gebaseerd is op uitdrukkelijke toestemming van de betrokkene, een van de algemene uitzonderingen op het verbod op de verwerking van bijzondere gegevens. Zoals gezegd gaat het, zelfs bij testamenten, in het geval van een ECD niet per definitie om bijzondere gegevens. En zelfs als dat wel het geval zou zijn, zou een eventuele wettelijke regeling van dat ECD op dit punt soelaas kunnen bieden. Op grond van art. 23 eerste lid onder f van de Wbp zou de gegevensverwerking in het kader van het ECD dan wel noodzakelijk moeten zijn met het oog op een zwaarwegend algemeen belang en passende waarborgen moeten worden geboden ter bescherming van de persoonlijke levenssfeer. In het kader van de wettelijke regeling zou beoordeeld moeten worden of het hiervoor benoemde doel van een ECD een dergelijk zwaarwegend algemeen belang vormt en of het ECD noodzakelijk is met het oog op dat belang. Die afweging gaat het bestek van deze bijdrage te buiten. 6. Conclusie De beslissing van het hof over de HEMA-notarisservice biedt voldoende ruimte voor de notaris om bij zijn werkzaamheden gebruik te maken van de IT-diensten van derden. Een dergelijke uitbesteding zal wel aan bepaalde voorwaarden moeten voldoen wil de notaris de vereiste regie, zeggenschap en toezicht op zijn werkzaamheden behouden en de vereiste geheimhouding kunnen waarborgen. De notaris zal ook als de verantwoordelijke in de zin van de Wbp passende technische en organisatorische maatregelen moeten nemen en deze maatregelen contractueel moeten vastleggen in de overeenkomst met de ingeschakelde derde. Daarbij is het van belang dat de notaris ervoor waakt dat eventuele standaardvoorwaarden van de IT-leverancier voldoende contractuele waarborgen bieden. De KNB zou in dit verband een belangrijke rol kunnen spelen door het ontwikkelen van beveiligingsstandaarden, een standaardbewerkersovereenkomst en door eventueel als auditor op te treden om de naleving van de beveiligingsverplichtingen te controleren. Gezegd kan worden dat bij een eerste vergelijking tussen het elektronisch patiëntendossier en een eventueel elektronisch cliëntendossier overeenkomsten, maar zeker ook verschillen aan het licht komen. Het ligt niet voor de hand dat een elektronisch cliëntendossier er snel komt. Er zal nog het nodige denkwerk moeten worden verricht, met name met betrekking tot de doeleinden waarvoor een dergelijk systeem wordt opgezet. Ook is voor een ECD een wettelijke regeling nodig. 30. Zie B. van Opstal en S. Roeland, De elektronische akte in de elektronische wereld, JBN 2010/