Dataprotectie in ketens Zijn de huidige privacy concepten wel geschikt voor toepassing in ketens?

Transcriptie

1 Professioneel artikel Dataprotectie in ketens Zijn de huidige privacy concepten wel geschikt voor toepassing in ketens? M.J. Bonthuis Journal of Chain-computerisation Information Exchange for Chain Co-operation 2016 Volume 6, Art. #1

2 Ontvangen: 1 maart 2016 Geaccepteerd: 18 april 2016 Gepubliceerd: 13 mei Volume 6, Art. #1 URN:NBN:NL:UI: ISSN: URL: Uitgever: Utrecht University Library Open Access Journals, in samenwerking met het Department of Information and Computing Sciences, Universiteit Utrecht Copyright: dit werk valt onder een Creative Commons Attribution 3.0 Licentie 2

3 Dataprotectie in ketens Zijn de huidige privacy concepten wel geschikt voor toepassing in ketens? Mw. mr. M.J. Bonthuis IT s Privacy bonthuis@itsprivacy.nl Samenvatting: De vraag die in dit essay centraal staat is of de huidige privacy concepten geschikt zijn voor het ketenniveau. Nu effectieve overkoepelende sturing in een keten ontbreekt, gegevens door de verschuiving van halen naar brengen meer uit het zicht van de verantwoordelijke raken en toestemming niet de juiste waarborgen op het grootschalige niveau biedt, is een herijking van het huidige wettelijke kader nodig. Het is dan ook gebleken dat privacy concepten kleinschalig zijn en niet zonder meer geschikt zijn voor de toepassing op het ketenniveau. Er kunnen vanuit het leerstuk echter wel aanbevelingen worden gedaan hoe de privacy concepten geschikt te maken voor het (grootschalige) ketenniveau. De richting waarin de oplossing kan worden gezocht wordt in dit essay weergegeven. Trefwoorden: dataprotectie, ketens, kleinschaligheid, grootschaligheid, niveauvergissing, privacy. Abstract: In this essay the question will be answered if the current privacy concepts are suitable for application in chains. Now effective overall control in a chain is missing and there is a shift from the transfer of personal data from 'push' to pull, whereby personal data gets more out of sight of the controller. Consent does not guarantee proper protection of personal data of the individual on the scale level. A review of the current legal data protection framework seems needed. Privacy concepts are developed for a small-scale usage and cannot be considered as suitable for the application at the chain level. Recommendations from the doctrine of chain computerization can show how to make the privacy concepts suitable for the (large-scale) chain level. The direction in which the solution can be found is the key of this essay. Keywords: dataprotection, chains, small-scale, large-scale, fallacy of the wrong level, privacy. 1. Inleiding Organisaties wisselen steeds vaker persoonsgegevens uit om een gezamenlijk of maatschappelijk probleem op te lossen. Een voorbeeld is het Landelijk Schakelpunt (LSP) ook wel bekend als het Landelijk Elektronisch Patiëntendossier. Het probleem dat het LSP door het landelijk beschikbaar stellen van medische gegevens wilde oplossen was het voorkomen van medische fouten. Een ander voorbeeld is het regisseren van zorg vanuit verschillende instanties rondom een gezin (transitie Jeugdzorg) door middel van een Digitaal Dossier Jeugdzorg (DDJZ). Het delen van persoonsgegevens van probleemgezinnen aan (alle) betrokken organisaties zou de zorg voor jeugd moeten verbeteren en het aantal incidenten terug moeten dringen. 3

4 Samenwerkende organisaties richten bij deze initiatieven vaak een gezamenlijke informatie-infrastructuur in, al dan niet met een zoekfunctie (verwijsindex). Door in een samenwerkingsverband persoonsgegevens uit te wisselen bevinden deze zich nog maar zelden op één plek en worden ze steeds minder beheerd door één verantwoordelijke. Organisaties worden steeds afhankelijker van het gebruik van persoonsgegevens van elkaar, waardoor de verwerking uit het zicht van de verantwoordelijken (bronhouders) kan raken. Een gevolg van deze traditionele manier van informatisering is dat het vaak problemen oplevert op het gebied van toegang door (te) veel personen van verschillende partijen, en de doelbinding. De gegevens zijn door de afzonderlijke partijen vaak niet voor dit doel verkregen. Onder invloed van keteninformatisering ontstaat dan ook een nieuw speelveld, waarbij eigen regels gelden. Dit nieuwe speelveld wordt nog lang niet door ieder samenwerkingsverband herkend. Zo maakt iedere organisatie de belangenafweging om wel of niet samen te werken nu vaak op het niveau van de eigen organisatie. Zo zal voor zorginstellingen die samen willen werken het beroepsgeheim het delen van (bijzondere) persoonsgegevens in beginsel in de weg staan, waardoor er geen gegevens worden uitgewisseld, terwijl het oplossen van het maatschappelijke probleem daar wel om kan vragen. Andere organisaties komen in de problemen als het gebruik van de gegevens in de keten niet verenigbaar is met het doel waarvoor zij de gegevens hebben verkregen. Ook kunnen er tussen de verschillende organisaties conflicterende belangen ontstaan, mede vanwege het ontbreken van een gezamenlijke rechtmatige grondslag en het ontbreken van een overkoepelende sturing (besluitvorming op ketenniveau). Daardoor verlopen dergelijke initiatieven veelal stroef en moeizaam. Het wettelijke kader voor de bescherming van persoonsgegevens in ketens waarbij gezondheidsinformatie uitgewisseld wordt bestaat onder andere uit de Wet 1 bescherming persoonsgegevens (Wbp) en de Wet geneeskundige behandelingsovereenkomst (WGBO). In de Wbp wordt gesproken over de relatie verantwoordelijke-betrokkene en in de WGBO staat de behandelingsovereenkomst tussen de hulpverlener en de patiënt centraal. Deze beide wetten gaan uit van een klassieke opdrachtgever-opdrachtnemer-relatie op het niveau van de organisatie, terwijl organisaties in een samenwerkingsverband op een grootschalig niveau gegevens uitwisselen. De toepassing van regels gemaakt voor traditionele één-opéén-relaties lijkt dan ook niet goed te passen op de risico s zoals die ontstaan in de huidige (grootschalige) informatiseringspraktijk. In dat speelveld is de relatie immers veel-op-veel (n:n). In dit essay zullen de belangrijkste privacy concepten (verantwoordelijke, verwerking, doelbinding, rechtmatige grondslag (waaronder toestemming) en dataminimalisatie worden weergegeven. Deze concepten lijken niet per definitie geschikt voor de grootschalige gegevensuitwisseling zoals die in een maatschappelijke keten plaatsvindt. Er ontstaan problemen, met name bij het verwerken van (bijzondere) persoonsgegevens, onder andere op het gebied van de rechtmatige toegang en doelbinding. Het is voor ketenpartijen vaak onduidelijkheid hoe zij moeten omgaan met de rechtmatigheid van de uitwisseling in een dergelijke complexe en weerbarstige context. De privacy concepten die van toepassing zijn op het verwerken van (bijzondere) persoonsgegevens zullen in dit essay toegepast worden op de belangrijkste ketenbegrippen uit het leerstuk Keteninformatisering, te weten: 1 Die medio 2018 vervangen zal worden door een Algemene Verordening Gegevensbescherming (AVG). 4

5 - het ontbreken van gezag; - de niveauvergissing; - het dominante ketenprobleem en; - de verschuiving van halen naar brengen van gegevens (decentralisatie). Het essay beperkt zich tot ketens die bijzondere (gevoelige) persoonsgegevens (i.c. gegevens omtrent de gezondheid) uitwisselen. Deze soorten gegevens kennen vanwege de hoge mate van gevoeligheid een strenger beschermingsregime. De uitkomsten van dit onderzoek hebben echter een breder bereik dan gezondheidsgegevens, namelijk die van alle bijzondere (gevoelige) gegevens, maar ook persoonsgegevens in het algemeen. Het onderzoek waarop dit essay is gebaseerd kan de vraag helpen beantwoorden of de huidige privacy concepten wel geschikt zijn voor toepassing in ketens. 2. Privacy concepten In dit onderdeel worden de belangrijkste privacy concepten verantwoordelijke, verwerking, doelbinding, rechtmatige grondslag waaronder toestemming en dataminimalisatie/ proportionaliteit behandeld in het licht van de verwerking van bijzondere persoonsgegevens (gegevens over de gezondheid en strafrechtelijke gegevens) in een maatschappelijke keten. 2.1 Verantwoordelijke De verantwoordelijke is volgens de Wbp een verantwoordelijke degene die het doel en middel van de verwerking vaststelt. 2 De verantwoordelijke voor de verwerking van de persoonsgegevens kan een rechtspersoon of een natuurlijke persoon zijn. De hulpverlener die een behandelingsovereenkomst heeft gesloten met de patiënt is volgens de WGBO de verantwoordelijke van een patiëntendossier. 3 Dat kan bijvoorbeeld als de hulpverlener in dienst is- ook de gezondheidszorginstelling zijn. Door de bepaling inzake mede-aansprakelijkheid van het ziekenhuis (art. 7:462 BW) en de schakelbepaling van art. 7:464 BW is dan ook gewaarborgd dat de patiënt zich in de praktijk niet bezig hoeft te houden met wie precies zijn wederpartij is. Als organisaties gezamenlijk doel en middelen bepalen zijn zij gezamenlijk verantwoordelijk. 4 Op grond van de WGBO is de hulpverlener verantwoordelijk voor de naleving van de voorschriften in de WGBO. Dat geldt ook wanneer patiëntengegevens in een keten worden verwerkt. 2.2 Verwerking Zowel het delen van de eigen persoonsgegevens met anderen, maar ook het hergebruik van die persoonsgegevens valt volgens de Wbp onder het begrip verwerken. Artikel 1 van de Wbp spreekt over verwerking als sprake is van:..verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen.. Daar waar de Wbp over verwerking spreekt, heeft de WGBO het over een patiëntendossier. Voor alle verwerkingshandelingen, dus ook de verstrekking (oftewel het delen of uitwisselen van gegevens), is de verantwoordelijke gehouden 2 Tweede Kamer, vergaderjaar , , nr. 3 3 Van wet naar praktijk. Implementatie van de WGBO. Deel 3 Dossier en bewaartermijnen (2014) 4 CBP (2005) 5

6 aan de zorgvuldigheidsplichten uit de Wbp en is de hulpverlener daarnaast verplicht de vertrouwelijke relatie tussen hem en de patiënt uit hoofde van de WGBO te waarborgen (ook wel: het beroepsgeheim). De vereisten rondom vertrouwelijkheid en privacy komen met name aan de orde als de hulpverlener de patiëntgegevens aan anderen dan de patiënt of diegenen die rechtstreeks betrokken zijn bij de behandelingsovereenkomst wil verstrekken, zoals bijvoorbeeld in een samenwerkingsverband. Een dossier van een hulpverlener bevat noodzakelijke gegevens die nodig zijn voor goede hulpverlening. Het kan gaan om gegevens die de inhoud van het medisch handelen weergeven, gegevens die noodzakelijk zijn voor de continuïteit van zorg en schriftelijke wilsverklaringen. In dit essay wordt onder informatie-infrastructuur een gezamenlijke verwerking verstaan. De verwerking zoals die binnen de organisatie plaatsvindt wordt als bronsysteem of brongegevens aangeduid. Op beide niveaus is sprake van een verwerking. Het verwerken van persoonsgegevens zoals bijvoorbeeld in een gemeenschappelijke infrastructuur kan dan ook als een gezamenlijke (nieuwe) verwerking worden gezien. 2.3 Doelbinding Een verwerking is volgens de Wbp rechtmatig als deze op basis van een vooraf omschreven en welbepaald doel (art. 3 Wbp) geschiedt en gebaseerd is op een rechtmatige grondslag (art. 8 Wbp). Patiëntgegevens zijn op hun beurt aan te merken als gegevens omtrent de gezondheid waarop in de Wbp een strenger regime van toepassing is (art. 16, 21 e.v. Wbp). Op gegevens uit patiëntendossiers rust daarnaast vanuit de WGBO een beroepsgeheim. Het delen van de persoonsgegevens in een keten moet dan ook altijd verenigbaar zijn met het doel waarvoor de gegevens zijn verkregen, tenzij het beroepsgeheim zich tegen het delen verzet.5 Artikel 9 van de Wbp maakt delen van gegevens mogelijk als deze verenigbaar is met het oorspronkelijke doel. 2.4 Rechtmatige grondslag Voor iedere verwerking van persoonsgegevens is een toelaatbare grondslag uit art. 8 van de Wbp nodig. Deze kan bestaan uit toestemming van de betrokkene (art. 8 onder a Wbp), gebaseerd zijn op een overeenkomst met de betrokkene (art. 8 onder b Wbp), een publiekrechtelijke taak of wettelijke plicht (art. 8 onder c en d Wbp), gebaseerd zijn op een noodsituatie (art. 8 onder e Wbp) of berusten op een ander zwaarwegend gerechtvaardigd belang (art. 8 onder f Wbp). De doelbinding uit artikel 3 Wbp en de rechtmatige grondslag uit art. 8 Wbp vormen tezamen het gerechtvaardigd doel van de verwerking.vanuit de WGBO, die aanvullende en sectorspecifieke regelingen bevat ten aanzien van de Wbp, kan de hulpverlener, behoudens enkele uitzonderingen, alleen aan degene die rechtstreeks betrokken is bij de behandelingsovereenkomst de noodzakelijke patiëntgegevens verstrekken. Voor het verstrekken aan anderen, behoudens enkele uitzonderingen, is toestemming van de patiënt nodig (art. 7:457 BW) Toestemming Toestemming van de betrokkene is een van de rechtmatige grondslagen uit art. 8 Wbp en eveneens een grondslag om het beroepsgeheim te kunnen doorbreken. In het huidige wettelijke kader, maar ook in toekomstige wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG) die op termijn 5 CBP (2005) 6

7 de huidige Wbp zal gaan vervangen, opteert de wetgever voor meer empowerment van de betrokkene. Deze zal meer zeggenschapsrechten krijgen, onder andere in de vorm van expliciete toestemming. Deze empowerment zou moeten leiden tot meer transparantie, regie en controle en dus ook betere ketenzorg. 2.5 Dataminimalisatie/ proportionaliteit Organisaties hebben vanuit het wettelijke kader de plicht om binnen redelijke grenzen privacy-inbreuken te vermijden dan wel zo beperkt mogelijk te houden. Als de verwerking van persoonsgegevens met hetzelfde doel ook langs andere weg en met minder ingrijpende middelen kan worden gerealiseerd, bij voorbeeld door anonieme gegevens, dan zal de organisatie daarvoor moeten kiezen. Het is van belang dat organisaties in redelijkheid alle eventuele bestaande mogelijkheden benutten om de inbreuk op de persoonlijke levenssfeer van betrokkenen te beperken. De op de grondrechten gebaseerde beginselen maakt dat de verwerking van gegevens gebonden aan is het noodzakelijkheidscriterium. 6 De norm behelst in die gevallen de noodzakelijkheidstoets in relatie tot een welbepaald, concreet aangeduid of nader aan te duiden doel. Vergelijkbare vereisten zijn ook terug te vinden in de WGBO. 3. De kernbegrippen uit het leerstuk Keteninformatisering In dit onderdeel worden de volgende kernbegrippen uit het leerstuk Keteninformatisering behandeld: - het ontbreken van gezag; - de niveauvergissing; - het dominante ketenprobleem; - de verschuiving van halen naar brengen (decentralisatie) Ontbreken van gezag In een genetwerkte informatiestructuur is het niet makkelijk aan te geven wie waarvoor verantwoordelijk en aansprakelijk is. Onder andere door het ontbreken van formeel overkoepelend gezag is er minder sturing op de uitwisseling, waardoor deze vaak minder efficiënt en doelmatig verloopt Niveauvergissing Het leerstuk keteninformatisering maakt een onderscheid tussen twee niveaus, namelijk die van het (kleinschalige) grondvlak en het (grootschalige) ketenniveau. 9 Op het grondvlak bevinden zich de gegevens van de organisaties, ook wel aangeduid als brongegevens. Op het ketenniveau bevindt zich de gemeenschappelijke uitwisseling, oftewel daar waar de gegevens worden gedeeld. Wettelijke kaders zoals die van toepassing zijn op het grondvlak werken niet per definitie op dezelfde manier als op het ketenniveau en vice versa. 10 Als organisaties de privacy concepten zoals die gelden op het grondvlak klakkeloos toepassen op het ketenniveau, maakt men volgens het leerstuk keteninformatisering meestal een niveauvergissing. 6 Tweede Kamer, vergaderjaar , , nr In de methode Keteninformatisering ook wel een zo kaal mogelijke informatie-infrastructuur genoemd. 8 Grijpink, J.H.A.M. Grijpink (03 Ketenanalyse) 10 J.H.A.M. Grijpink (Ketens, overheidsinformatiebeleid en bescherming van persoonsgegevens) 7

8 3.3 Dominant ketenprobleem Een van de voorwaarden voor ketensamenwerking is dat deze gericht moet zijn op de aanpak van een dominant ketenprobleem, onder andere vanwege het ontbreken van gezag, onvoorspelbaarheid en onbeheersbaarheid van de ketensamenwerking. Een dominant ketenprobleem is een probleem dat in de gehele keten voelbaar is, door geen de afzonderlijke organisaties opgelost kan worden en bij het niet oplossen de keten als geheel in opspraak kan brengen. Veelal is het delen van gegevens een noodzakelijk voorwaarde voor het oplossen van een dominant ketenprobleem. 3.4 Van halen naar brengen (decentralisatie) Op het grondvlak worden gegevens die men van elkaar nodig heeft vaak opgehaald. De verantwoordelijke kan per concreet geval beslissen over de aard en de omvang van verstrekking van gegevens aan anderen. Op het ketenniveau legt de verantwoordelijke deze beslissing in de handen van de raadpleger die zich op grond van goed hulpverlenerschap moet beperken tot de gegevens die voor hem noodzakelijk zijn. Hier is veelal sprake van het brengen van patiëntengegevens. In de keten is dan ook een verschuiving te zien van het zogenaamd haal- naar een brengprincipe 11. In het leerstuk is het uitgangspunt om op het ketenniveau te komen tot een zo kaal mogelijke informatie-infrastructuur en alleen die gegevens die noodzakelijk zijn om het dominant ketenprobleem op te lossen uit te wisselen. In privacy wet- en regelgeving spreekt men van dataminimalisatie, waarbij alleen noodzakelijke gegevens op een voor de betrokkene zo min mogelijk belastende manier mogen worden uitgewisseld, oftewel gebaseerd moet zijn op het beginsel van proportionaliteit. Persoonsgegevens die voor een welbepaald doel op het grondvlak zijn verkregen kunnen op het ketenniveau ook voor andere doelen worden gebruikt. Het leerstuk gaat uit van ketensystemen waarbij geen gegevens (centraal) worden geregistreerd dan wel centraal door een verwijsindex raadpleegbaar zijn, maar de bron waar het gevraagde gegeven zich bevindt communiceert. De gegevens blijven dan ook in het bronbestand. Alleen de gegevens die noodzakelijk zijn om het dominante ketenprobleem op te lossen, worden op het moment dat het probleem zich voordoet, decentraal gedeeld. 4. Toepassing van kernbegrippen keteninformatisering op de privacy concepten: Kleinof grootschalig? Het leerstuk keteninformatisering maakt onderscheid tussen het grondvlak (kleinschalig niveau) en het ketenniveau (grootschalig niveau). Concepten die van toepassing zijn op het kleinschalige niveau kunnen niet per definitie worden toegepast op het grootschalige niveau (keten), zonder na te gaan of de veronderstellingen en uitgangspunten op die schaal wel geldig zijn. Er is dan sprake van een niveauvergissing. In dit essay wordt bekeken in hoeverre de behandelde privacy concepten niveau gebonden zijn en naarmate de schaal toeneem zij aan betekenis verliezen. Door de toepassing op de kernbegrippen van het leerstuk kan een uitspraak worden gedaan in hoeverre de privacy concepten geschikt zijn voor toepassing op het grootschalige niveau. Vervolgens zijn aanbevelingen gedaan hoe privacy concepten gebruikt zou kunnen worden het grootschalige ketenniveau. 8

9 4.1 Verantwoordelijke versus het ontbreken van gezag Privacywetgeving (waaronder de Wbp en WGBO) gaat uit van een één-op-één relatie tussen de verantwoordelijke en betrokkene. In een keten ontbreekt doorgaans formeel overkoepelend gezag. Er kan vaak geen gezamenlijke verantwoordelijke aangewezen worden. Dat bleek onder andere toen NICTIZ als uitvoeringsorgaan een cruciale rol had bij het LSP door feitelijk toegang te verschaffen tot de gegevens van betrokkenen, dat zij door de Autoriteit Persoonsgegevens (AP) als verantwoordelijke werd gezien. Doordat NICTIZ zeggenschap had over essentiële elementen op het gebied van de beveiliging (beschikbaarheid, vertrouwelijkheid en integriteit), zowel op technisch als organisatorisch vlak, kreeg zij de rol van verantwoordelijke, oftewel degene die doel en middelen vaststelt. NICTIZ in de rol van verantwoordelijke strandde echter op het feit dat zij geen rechtmatige grondslag had waarop zij de verwerking kon baseren. In 2011 werd de rol van NICTIZ als verantwoordelijke van het LSP dan ook door de AP afgekeurd. Volgens de AP kunnen meerdere verantwoordelijken gezamenlijk verantwoordelijk zijn voor een uitwisseling in een keten. 12 NICTIZ probeerde het ontbreken van de rechtmatige grondslag te repareren door zorgaanbieders gezamenlijk verantwoordelijk voor het LSP te laten zijn en waarbij NICTIZ als bewerker zou optreden. Dat er grenzen aan het aantal verantwoordelijken zit, bleek toen de AP aan NICTIZ liet weten dat in het geval van het LSP niet alle zorgverleners gezamenlijk als verantwoordelijke in de zin van de Wbp kunnen worden beschouwd. Het zou voor de betrokkene te onduidelijk zijn waar zeggenschap van welke verantwoordelijke ophoudt en waar deze begint. Een ander voorbeeld van een aangewezen verantwoordelijke in een keten, is die van de Gemeente bij de decentralisatie van Jeugdzorg in De minister van VWS kwam in het kader van de transitie van de Jeugdzorg met een concepttekst van een zogenaamde Veegwet 13, waarin zij de Gemeente de bevoegdheid gaf gezondheidsgegevens te verwerken voor administratieve en financiële doelen. De AP gaf aan dat dit geen geldige doorbreking van het beroepsgeheim kon zijn. 14 Ook wanneer een overkoepelende verantwoordelijke wordt aangewezen, is deze niet effectief. Het ontbreekt de aangewezen verantwoordelijke vaak aan een rechtmatige grondslag uit de Wbp en de WGBO. Het concept verantwoordelijke is dan ook kleinschalig van aard, waardoor het concept niet geschikt is voor toepassing in de keten. 4.2 Verwerking versus niveauvergissing Door bronbestanden van verschillende verantwoordelijken te koppelen (dan wel te schakelen ) ontstaat een nieuwe (gezamenlijke) verwerking. Voorbeelden hiervan zijn het landelijk schakelpunt (LSP) en het digitaal dossier jeugdzorg (DDJZ). Met de uitwisseling van gegevens in een keten zal doorgaans een nieuwe verwerking ontstaan die terug zal moeten kunnen vallen op een eigen gerechtvaardigd doel. De toepassing van de rechtmatige grondslag zoals die geldt op het grondvlak leidt vaak tot botsingen van regimes, bijvoorbeeld tussen beroepsgeheim en opsporing. In plaats van de eigen kaders toe te passen, zal dit op het niveau van de gegevensuitwisseling opnieuw bepaald moeten worden. Anders is immers sprake van een niveauvergissing. 12 Informatieblad "Informatie delen in samenwerkingsverbanden, CBP (2012)

10 4.3 Doelbinding versus de- en her-contextualisering Persoonsgegevens die op het grondvlak zijn verwerkt voor een welbepaald doel, kunnen alleen op het ketenniveau worden hergebruikt als dat verenigbaar is met het doel waarvoor ze zijn verkregen. Hoe meer de twee doeleinden verwant zijn, hoe eerder het gebruik van gegevens verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Partijen mogen bij het verwerken van bijzondere (gevoelige) gegevens niet zonder meer aannemen dat deze gegevens voor andere doeleinden gebruikt mogen worden. Als het verdere gebruik (i.c. in de keten) tot gevolg heeft dat een bepaalde beslissing over de betrokkene wordt genomen, bijvoorbeeld wanneer het gebruik ertoe leidt dat de betrokkene wordt beperkt in zijn mogelijkheden om zich maatschappelijk te ontwikkelen, zal een extra afweging gemaakt moeten worden. 15 Daarnaast zijn gegevens in beginsel betekenisloos en krijgen door structurering, interpretatie en context betekenis. Het gevaar bestaat dat door het oorspronkelijke gegeven uit zijn eigen context te halen sprake kan zijn van de-contextualisering. Daarnaast kan door her-contextualisering op het ketenniveau nieuwe/ extra informatie ontstaan. Op basis van indirecte waarneming kunnen er verkeerde beslissingen worden genomen. 16 Dit maakt het concept doelbinding kleinschalig. 4.4 Rechtmatige grondslag (waaronder toestemming) versus dominant ketenprobleem In een keten waarin verschillende disciplines vertegenwoordigd zijn, wordt het gerechtvaardigd doel vaak door de vragende organisatie bepaald waardoor de afweging uit het zicht van de verstrekkende en verantwoordelijke organisatie raakt. 17 In een keten waarin partijen die werkzaam zijn op het gebied van de hulpverlening participeren, zal veelal het beroepsgeheim roet in het eten gooien. Naast het feit dat het beroepsgeheim zich vaak tegen uitwisseling verzet, raken de gegevens voor de partij die verantwoordelijk is van de patiëntgegevens uit het zicht en is niet duidelijk wie welke gegevens voor welk doel zal opvragen. Het feit dat het (eventuele) beroepsgeheim het delen van informatie in de weg staat, maakt het concept kleinschalig. Binnen het LSP zou volgens de AP alleen op basis van uitdrukkelijke toestemming van de patiënt de gegevens uitgewisseld mogen worden. Echter, toestemming (art. 8 onder a Wbp, art. 7:457 WGBO) zal binnen een keten vaak geen toelaatbare grondslag kunnen zijn, aangezien het initiatief tot samenwerken vaak niet van de betrokkene afkomstig is. Daarnaast is het feit dat de betrokkene zijn toestemming in vrijheid moet kunnen geven niet in lijn met de veelal afhankelijke positie ten opzichte van de organisaties die in de keten samenwerken (zorginstellingen Bureau Jeugdzorg, school of woningbouwcorporatie). Het concept toestemming moet dan ook in relatie met de verantwoordelijke worden bezien en is daarmee kleinschalig van aard. Het concept houdt daarnaast ook geen rekening met het ontstaan van een nieuwe informatiepositie van organisaties met diens eigen privacy risico s, onder andere ontstaan door hercontextualisering. De betrokkene is veelal niet in staat te overzien welke consequenties dat heeft. 4.5 Dataminimalisatie versus decentralisatie Zowel in de wettelijke kaders als in het leerstuk is het uitgangspunt te komen tot een zo kaal mogelijke informatie-infrastructuur. Alleen de noodzakelijke gegevens 15 Informatieblad "Informatie delen in samenwerkingsverbanden, CBP (2012) 16 Wetenschappelijke Raad voor het Regeringsbeleid, ioverheid (2011) 17 KNMG, WGBO: van wet naar praktijk, deel 4 10

11 kunnen op basis van een rechtmatige grondslag worden uitgewisseld. Daar waar de wet niet techniek onafhankelijk is opgesteld en niet spreekt over de wijze van uitwisseling (centraal of decentraal), is de uitwisseling van persoonsgegevens vanuit het leerstuk decentraal van aard en past daarmee bij het beginsel van proportionaliteit. 4.6 Overzicht in schema Het volgende schema geeft de uitkomsten van de toepassing van de kernbegrippen uit het leerstuk op de privacy concepten weer. Privacy concept Kernbegrip Schaal? Uitwerking Aanbeveling Verantwoordelijke Ontbreken van gezag Kleinschalig, gebaseerd op bronbestand Verwerking Niveauvergissing Kleinschalig, gebaseerd op bronbestand Doelbinding Decentralisatie Kleinschalig, gebaseerd op bronbestand Rechtmatige grondslag, toestemming Dataminimalisatie Dominant ketenprobleem (dkp) Decentraal communiceren van noodzakelijke gegevens Kleinschalig, gebaseerd op een één-op-één relatie met verantwoordelijke en verwerking. Kleinschalig, gegevens zijn context-gebonden Dominant ketenprobleem als verantwoordelijke Op ketenniveau ontstaat een nieuwe verwerking. Gegevens kunnen een andere betekenis krijgen op het ketenniveau. n:n, er zal een eigen gerechtvaardigds doel moeten zijn voor de nieuwe verwerking op het ketenniveau, het dkp kan daar behulpzaam bij zijn. Door risico s van de en hercontextualisering kan een kale infrastructuur beter passen bij beginsel van proportionaliteit Aanbevelingen In dit onderdeel worden de privacy concepten zoals die zijn toegepast op de kernbegrippen van het leerstuk voorzien van aanbevelingen. Hiermee kan een oplossingsrichting worden geschetst hoe de kleinschalige concepten op een grootschalig niveau toe te kunnen passen. 5.1 Dominant ketenprobleem als verantwoordelijke Organisaties die met behulp van een samenwerkingsverband persoonsgegevens uitwisselen zijn daarvoor gezamenlijk verantwoordelijk. In een keten ontbreekt vaak een effectieve overkoepelende sturing en is vaak geen verantwoordelijke aan te wijzen. Het toepassen van het concept verantwoordelijke kan de belangen van de betrokkene niet op een goede manier waarborgen in een grootschalige uitwisseling onder andere omdat er geen (effectieve) sturing is op het niveau van de samenwerking. 11

12 Met de focus op een dominant ketenprobleem kan de selectie van ketenpartners hun gemeenschappelijke verantwoordelijkheid waarmaken om persoonsgegevens op een zorgvuldig en rechtmatige wijze te verwerken en zo het maatschappelijke probleem oplossen. Als alleen noodzakelijke gegevens door een afgebakende geselecteerde groep organisaties gecommuniceerd worden daar waar het dominante ketenprobleem zich voordoet, kan de betrokkene zijn rechten (blijven) uitoefenen op het grondvlak. 5.2 Een nieuwe verwerking op ketenniveau (anders: niveauvergissing) Het toepassen van het kleinschalige kader op het grootschalige niveau heeft tot gevolg dat organisaties verzanden in conflicterende wet- en regelgeving dan wel uitwisseling leidt tot onrechtmatige toegang. Nu er nauwelijks een gemeenschappelijke verantwoordelijke voor de keten als geheel aangewezen kan worden en het feit dat er een nieuwe verwerking is ontstaan, zal men de uitwisseling op een gemeenschappelijk gerechtvaardigd doel op het niveau van de keten moeten baseren. 5.3 Doelbinding Bij ander gebruik (hergebruik) op het niveau van de keten dan het oorspronkelijke gebruik op het grondvlak zullen steeds opnieuw de belangen van de betrokkenen afgewogen moeten worden tegen de belangen die de keten heeft met het oplossen van het probleem. Transparantie over het gerechtvaardigd doel van de ketensamenwerking zal dan ook beter passen bij de informatiepositie die de betrokkene op het ketenniveau heeft. 5.4 Rechtmatige grondslag (waaronder toestemming) en dominant ketenprobleem Het concept toestemming wordt vaak als ultieme oplossing beschouwd. De kleinschalige privacy concepten zijn echter niet per definitie geschikt om op het grootschalige (keten-)niveau dezelfde waarborgen te bieden. Toestemming als kleinschalig concept in een dergelijke grootschalige dynamiek is geen passende oplossing om op rechtmatige wijze gegevens te delen. 5.5 Dataminimalisatie en decentralisatie Nu effectieve overkoepelende sturing in een keten ontbreekt, gegevens door de verschuiving van halen naar brengen meer uit het zicht van de verantwoordelijke raken en toestemming niet de juiste waarborgen op het ketenniveau biedt, is een herijking van het huidige wettelijke kader nodig. Het uitgangspunt is daarbij te komen tot een zo kaal mogelijke informatie-infrastructuur (proportionaliteit en dataminimalisatie) met een dominant ketenprobleem als verantwoordelijke en rechtmatige grondslag. Organisaties die in een keten willen samenwerken, maar ook als zij gaan werken met Big Data of in de cloud, zullen niet moeten blijven wachten op de eventuele herijking van het juridische kader, maar hebben een eigen verantwoordelijkheid op het gebied van informatisering, ondanks de handicap van een kleinschalig instrumentarium. 12

13 Biografie: Mw. mr. M.J. Bonthuis (1976) is als promovenda verbonden aan de Rijksuniversiteit van Groningen, Faculteit der Rechtsgeleerdheid en als IT-Jurist werkzaam bij verschillende zorginstellingen en wetenschappelijke onderzoeksinstellingen. Dit essay is geschreven op persoonlijke titel. 13