Privacy en het landelijk Elektronisch Patiënten Dossier (EPD)

Transcriptie

1 Privacy en het landelijk Elektronisch Patiënten Dossier (EPD) Een onderzoek naar het Landelijk EPD op basis van een juridisch raamwerk van de Wet Geneeskundige Behandelingsovereenkomst(beroepsgeheim), de Wet Bescherming Persoonsgegevens en de NEN M.J. Bonthuis

2 Inhoudsopgave Inleiding Privacy in de zorg; juridisch kader in de traditionele situatie Inleiding Wet Geneeskundige Behandelingsovereenkomst Goed hulpverlenerschap, professionele standaard Het dossier Geheimhouding; het beroepsgeheim Doorbreking van het beroepsgeheim Toestemming Samenvatting Bescherming van persoonsgegevens Inleiding Soorten persoonsgegevens Grondslagen Doelbepaling Informatieverplichting en rechten van betrokkenen Toezicht Beveiliging Normen in de zorg NEN De Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst Nationale Patiënten en Consumenten Federatie Conclusie Het EPD De aanleiding voor de ontwikkeling van een EPD De inrichting van het EPD Invoering Samenvatting Het normatieve kader en het EPD EPD en de WGBo Goed hulpverlenerschap, professionele standaard Dossier Geheimhouding Toestemming Conclusie EPD en de WBP Verwerken van gegevens Grondslag Doel Informatieplicht van de zorgaanbieder Rechten van de patiënt Toezicht Beveiliging Conclusie Normen uit de beroepsgroep NEN KNMG NPCF Nieuwe risico s Aanvullende wetgeving Wet gebruik BSN in de zorg Wet EPD Conclusie Conclusie Literatuurlijst

3 Inleiding Zorgverleners verzamelen gegevens omtrent de gezondheid van patiënten. Goede zorgverlening valt of staat met goede informatie over de patiënt. De vertrouwelijke omgang met de patiëntgegevens is daarbij van essentieel belang. De patiënt moet kunnen rekenen op een verantwoorde omgang met zijn, grotendeels gevoelige, gegevens. De patiënt zou immers niet onverkort alles aan de zorgverlener meedelen wanneer de geheimhouding daarvan niet kan worden gegarandeerd. De gegevens kunnen dan opduiken in situaties waarin dat niet wenselijk is. Gezondheidsgegevens van patiënten zouden bijvoorbeeld door de zorgverzekeraar kunnen worden gebruikt om op basis daarvan premies te berekenen, of nog erger: de patiënt te weigeren voor een bepaalde verzekering. Ook is de uitwisseling naar de bedrijfsarts als onwenselijk te beschouwen. De werkgever kan het functioneren koppelen met de gezondheidsgegevens, waardoor bijvoorbeeld een contract niet zou kunnen worden verlengd. Het belang van de vertrouwensbasis in de arts-patiëntrelatie kent een lange geschiedenis en is uitgewerkt in wet- en regelgeving. De vertrouwelijke omgang met medische gegevens en de bescherming van persoonsgegevens stoelt juridisch gezien op twee principes, namelijk de al in 400 v Chr. door Hippocrates aangevoerde plicht tot geheimhouding en het zelfbeschikkingsrecht van de patiënt als het gaat om de bescherming van zijn persoonsgegevens. De geheimhoudingsplicht van de arts, ook wel beroepsgeheim genoemd, is geënt op een zwijgplicht en een verschoningsrecht. Door de zwijgplicht is verstrekking aan anderen dan de patiënt in beginsel niet mogelijk. Tevens bevat het beroepsgeheim een verschoningsrecht, hetgeen een beroep op geheimhouding bij gerechtelijke procedures omvat. Dit leidt in de meeste gevallen tot een betrouwbare omgang met patiëntengegevens. Ten tweede is voor de vertrouwelijkheid het zelfbeschikkingsrecht van belang, ook wel het recht op privacy genoemd. De betrokkene is zelf degene die beschikt over welke personen gemachtigd zijn gegevens over hem te verwerken. De zorg valt of staat dus bij de vertrouwelijke omgang met patiëntgegevens. Toch kan, wanneer zorgverleners sneller en nauwkeuriger informatie met elkaar uitwisselen, efficiënter en kwalitatief beter gewerkt worden (bijvoorbeeld doordat bij het behandelen van een patiënt de zorgverlener door zoveel mogelijk medische gegevens beschikbaar te maken optimaal geïnformeerd en ondersteund wordt). Als gevolg van het ontbreken van informatie worden fouten gemaakt en vinden onnodige onderzoeken en behandelingen plaats. Uit een recente studie 1 in opdracht van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) blijkt dat als gevolg van vermijdbare medicatiefouten ruim patiënten overlijden. De helft is te vermijden door een betere uitwisseling van medicatiegegevens van patiënten. Daarnaast levert een gebrek aan uitwisseling van gegevens een kostenpost op. Het ministerie van VWS heeft ter verbetering van de kwaliteit van de zorg besloten een landelijk virtueel patiëntendossier op te zetten: het elektronisch patiënten dossier (EPD). Er zal op landelijke schaal tussen allerlei zorgaanbieders op een veilige en betrouwbare manier patiëntgegevens uitgewisseld kunnen gaan worden. Door middel van het EPD zal door een doelmatiger gebruik van de beschikbare informatie, fouten en het doen van onnodig onderzoek voorkomen kunnen worden. De gegevens zijn immers elders al beschikbaar. Het behoeft nauwelijks betoog dat een Elektronisch Patiëntendossier (EPD) een grote maatschappelijke betekenis heeft, maar dat het ook aanzienlijke risico s met zich mee kan brengen. Met name als het gaat om de vertrouwelijke omgang met de medische informatie door de verschillende zorgaanbieders ontstaat door de invoerig van het EPD 1 Ministerie van VWS 2007f 4

4 een nieuw risico. De vraag is of door de komst van het EPD de vertrouwelijke omgang op basis van de huidige wet- en regelgeving nog steeds gegarandeerd kan worden. Deze vraag zal in dit onderzoek worden behandeld. In het kader van dit onderzoek zijn voornamelijk de bepalingen omtrent de vertrouwelijke omgang ten opzichte van het EPD bekeken. Het beroepsgeheim uit de wet Geneeskundige Behandelingsovereenkomst (WGBo), die in beginsel stelt dat de medische gegevens geheim dienen te blijven, staat hierin centraal. De persoonsgegevens van de patiënt zijn eveneens onderworpen aan de bepalingen van de Wet Bescherming persoonsgegevens (WBP). Volgens de WBP worden medische gegevens als gevoelige gegevens beschouwd, aangezien zij over de gezondheid van de patiënt gaan. De garantie dat er zorgvuldig met de bijzondere gegevens wordt omgegaan, zorgt dus voor een optimale gang van de patiënt naar de zorg. Dit is zowel in zijn eigen individuele belang, alsmede in het belang van de volksgezondheid in zijn geheel, ook al zorgt een grotere beschikbaarheid van die gegevens voor een hogere kwaliteit. Deze regelgeving zal ik in hoofdstuk 1 behandelen. Daarbij zal worden gekeken naar de wet geneeskundige behandelingsovereenkomst (WGBo), de wet bescherming persoonsgegevens (WBP) en de normen uit de beroepspraktijk. Vervolgens zal in hoofdstuk 2 het EPD worden geschetst. Tenslotte zal in hoofdstuk 3 aandacht worden besteed aan de nieuwe risico s dat een dergelijk EPD met zich meebrengt. Uiteindelijk zal de vraag of met het EPD in voldoende mate rekening is gehouden met de privacyaspecten kunnen worden behandeld. Dit onderzoek is mede tot stand gekomen met behulp van dr. mr. J.J. Dijkstra van de sectie Recht & ICT van de Rijksuniversiteit Groningen. 5

5 1. Privacy in de zorg; juridisch kader in de traditionele situatie 1.1 Inleiding De vertrouwensrelatie tussen zorgverlener en patiënt is van evident belang. Het belang van het vertrouwelijke karakter van de relatie tussen zorgverlener en patiënt kent al een lange geschiedenis, aangezien Hippocrates al in 400 voor Christus het volgende in zijn eed aflegde: In ieder huis waar ik binnentreed, zal ik slechts komen in het belang van mijn patiënten. ( ) Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep of in het dagelijks verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en niemand openbaren. 2 In 1878 werd er in Nederland een artseneed ingevoerd, die was gebaseerd op deze eed van Hippocrates. Medische studenten leggen momenteel nog steeds een eed of gelofte af op het moment dat zij hun zorgverlenerbevoegdheid krijgen. De gelofte houdt globaal in dat de zorgverlener de gegevens die hij over de patiënt verzamelt in beginsel geheim houdt en niet verstrekt aan anderen dan de patiënt, behoudens enkele uitzonderingen. In de Wet Geneeskundige Behandelingsovereenkomst (WGBo) zijn dergelijke bepalingen gecodificeerd onder andere in de vorm van het beroepsgeheim. Het verzamelen van gegevens over de patiënt door de zorgverlener is noodzakelijk voor het verlenen van goede zorg en komt in de WGBo tot uitdrukking in het verplicht voeren van een dossier. Ondanks de noodzaak om medische gegevens vast te leggen door zorgverleners is het aan de patiënt om te bepalen aan wie deze worden verstrekt. Dit wordt ook wel zelfbeschikking genoemd. Het moet voor de patiënt dus vooraf en te allen tijde kenbaar zijn wat er met zijn gegevens gebeurt en hoe hij zijn rechten kan uitoefenen. De belangrijkste regels omtrent het vastleggen en gebruiken van persoonsgegevens is geregeld in de Wet bescherming persoonsgegevens (WBP). De WBP stelt onder andere de eis om als organisatie passende technische en organisatorische maatregelen te implementeren. Voor wat betreft de invulling van deze eis is de norm NEN 7510 door de Inspectie voor de Gezondheidszorg goed bevonden. In dit hoofdstuk zal het juridische kader vanuit de WGBo, de WBP en de normen uit de beroepspraktijk worden geschetst waarop de vastlegging van de medische gegevens en de vertrouwelijke omgang ervan is gestoeld. 1.2 Wet Geneeskundige Behandelingsovereenkomst De vertrouwelijke en transparante omgang met de medische gegevens zijn onder andere uitgewerkt in de Wet Geneeskundige Behandelingsovereenkomst (WGBo). De zorgverlener verleent als goed hulpverlener op verzoek van de patiënt én op basis van een overeenkomst inzake de geneeskundige behandeling, de zogenoemde behandelingsovereenkomst, zorg. De WGBo is opgenomen als onderdeel van boek 7 van het Burgerlijk Wetboek. Afdeling 5, vanaf artikel 7:446 BW, bevat wettelijke regels omtrent de behandelingsovereenkomst. De regels dwingen zorgaanbieders onder andere tot het voeren van een dossier (artikel 7:454 BW). De medeaansprakelijkheid van het ziekenhuis voor wat betreft de uitvoering van de behandelingsovereenkomst en het dossier is geregeld in artikel 7:462 BW. Ook de informatieverplichtingen jegens de patiënt en diens rechten ten aanzien van het dossier zijn in de wet opgenomen. De geheimhouding van de gegevens van de patiënt is geregeld in artikel 7:457 BW en geeft 2 KNMG, Richtlijn Nederlandse artseneed 6

6 tevens regels omtrent de doorbreking ervan. Zorg kan in beginsel slechts worden verleend met toestemming van de patiënt, hetgeen in artikel 7:450 is opgenomen. In de meeste gevallen begint de behandelingsovereenkomst dan ook op verzoek van de patiënt, de behandeling start pas met diens toestemming. De toestemming moet zodanig zijn gegeven, dat de patiënt weet waarvoor hij toestemming geeft. Dit wordt ook wel de geïnformeerde toestemming genoemd. De regels zijn van dwingend recht (artikel 7:468 BW). De bepalingen uit de WGBo dienen onder toezicht te staan om de effectiviteit ervan te garanderen. De Inspectie voor de gezondheidszorg (IGZ) is daarvoor de aangewezen instantie. De bepalingen omtrent het goed hulpverlenerschap, de dossiervoering, aansprakelijkheid en de rechten van patiënten zal ik hieronder als eerste behandelen. Vervolgens komt het beroepsgeheim aan de orde. Daarna wordt ingegaan op de voorwaarden voor de doorbreking van de geheimhoudingsplicht met de toestemming van de patiënt als belangrijkste optie. Tot slot zal het toezicht aan bod komen Goed hulpverlenerschap, professionele standaard Iedere zorgaanbieder heeft de verplichting zich als een goed hulpverlener te gedragen. Deze plicht staat bekend als zorgplicht en geldt zowel voor de zorgverlener als voor de instelling 3. De verplichtingen omtrent het goed hulpverlenerschap betreffen onder andere de gebondenheid van de hulpverlener aan de medische professionele standaard. De hulpverlener richt zijn medische handelen dan in volgens de laatste inzichten van de medische wetenschap en ervaring 4. Het gaat daarbij om de eigen verantwoordelijkheid van de hulpverlener die niet door de patiënt opzij kan worden gezet. Dit is bijzonder relevant in (psychische) noodsituaties waarin de zorgverlener aan patiënten zorg verleent en de patiënt daarvoor geen toestemming wil of kan geven. Zodra van een behandelingsovereenkomst sprake is, wordt ook het dossier aangemaakt Het dossier Het verzamelen van gegevens over de patiënt door de zorgverlener is noodzakelijk als geheugensteun, om te communiceren met het behandelteam en voor de verrekening van de zorg. De bepalingen omtrent de omvang en de bewaartermijnen, de aansprakelijkheid voor de inhoud en het gebruik ervan en de rechten die patiënten kunnen uitoefenen worden in deze paragraaf behandeld. Omvang Zorgaanbieders hebben een dossierplicht. Het gaat dan om de vastlegging van díe gegevens die voor een goede hulpverlening aan de patiënt noodzakelijk zijn. De dossierplicht ziet op het belang dat een patiënt heeft bij een goede informatievoorziening. Een patiënt heeft immers ook recht op inzage en afschrift van deze bescheiden. Een curatief (genezend) dossier bevat naast persoonsgebonden gegevens en episodegebonden 5 gegevens ook de werkaantekeningen van de zorgverlener. Een dossier kan tevens een verpleegkundig dossier bevatten. Correspondentie, meldingen aan de inspectie, keuringsgegevens horen niet in een dossier 6. Het dossier moet zo weinig mogelijk identificerende gegevens bevatten 7 aangezien het niet meer gegevens mag bevatten dan noodzakelijk is voor de behandeling. De rechtmatig verzamelde gegevens mogen eenmaal door de patiënt verstrekt uiteraard niet eeuwig worden bewaard. Bewaartermijnen 3 Nouwt 2007a 4 Leenen 2000, 5 Gegevens die horen bij een bepaalde behandeling binnen een bepaalde periode (episode). 6 Nouwt 2007a, p. 9 7 Nouwt en Lucieer 2006, p. 9 7

7 Het bewaren van (medische) gegevens is onderworpen aan wettelijke bewaartermijnen. De bewaartermijn is ingesteld ter voorkoming van een te actieve rol van de patiënt om zijn privacy te beschermen. Hij moet erop kunnen vertrouwen dat na enig ogenblik zijn gegevens worden vernietigd zonder dat hij dit zelf in de gaten hoeft te houden. Deze vernietiging vindt veelal plaats als de gegevens niet meer nodig zijn voor het doel waarvoor zij zijn vastgelegd. De gegevens zullen na verloop van de bewaartermijn moeten worden vernietigd. Het kan voorkomen dat het onwenselijk is de gegevens te vernietigen, bijvoorbeeld in het geval van een zwaarwegend belang. In het kader van erfelijke ziekten of gegevens over anderen dan de patiënt kan worden besloten de gegevens langer te bewaren. De bewaartermijn voor medische gegevens is op verlengd van 10 naar 15 jaar 8. Afwijkende bewaartermijnen gelden er tevens voor situaties die vallen onder het Besluit opneming psychiatrische ziekenhuizen (BOPZ), en voor Universitaire medische centra. Voor UMC s geldt een bewaartermijn van 115 jaar voor kerngegevens 9 te rekenen vanaf de geboortedatum. Het beroepsgeheim vervalt echter niet na het aflopen van de bewaartermijn 10. Aansprakelijkheid De wijze van het voeren van het dossier, alsook het vernietigen van gegevens ervan, is primair de verantwoordelijkheid van de zorgverlener. Binnen zorginstellingen zijn zorgverleners ofwel zelfstandig opererend dan wel in loondienst van de zorgaanbieder. De constructie is van belang als het gaat om de eventuele gedeelde verantwoordelijkheid van het dossier. Als de zorgverlener zelfstandig werkend is binnen de instelling, dan is alleen hij verantwoordelijk voor onder andere de beveiliging van het dossier en dus niet de instelling. Is de zorgverlener in loondienst dan is naast de zorgverlener de instelling verantwoordelijk voor de dossiers als het gaat om de beveiliging ervan. Voor de inhoud is dat te allen tijde alleen de zorgverlener. Zowel de zorgverlener als de zorginstelling is verplicht een dossier te voeren (artikel 7:454 BW). De zorginstelling kan dan worden beschouwd als houder. Let wel, als patiënt is men geen eigenaar van het dossier, maar heeft wel zeggenschap over het dossier 11. De zeggenschap uit zich voornamelijk in de informatieverplichtingen van de zorgaanbieder en de rechten van de patiënt. Informatieverplichting en rechten van de patiënt Het zal voor de patiënt kenbaar moeten zijn hoe de verwerking van zijn gegevens geschiedt en hoe het beleid voor opslag, bewaren en toegang bij de zorgverlener is ingericht. De vast te leggen informatie moet bij aanvang van de behandelingsovereenkomst aan de patiënt worden medegedeeld door de verantwoordelijke dan wel de feitelijk zorgdrager, vanaf het eerste moment van vastlegging of de eerste verstrekking. De zorgaanbieder zal de patiënt periodiek moeten informeren welke gegevens van hem vastgelegd zijn. Daarnaast heeft de patiënt een aantal eigen rechten. De patiënt heeft onder andere het recht op inzage, aanvulling, correctie, vernietiging en kan zich tenslotte verzetten tegen dan wel bepaalde uitwisselingen blokkeren. In bepaalde gevallen kan hiervan worden afgeweken, met dien verstande dat hier strikt mee om moet worden gegaan. Het geheel aan informatieverplichtingen en rechten van de patiënt heeft betrekking op zowel de persoonsgebonden gegevens als op de episodegebonden gegevens. Informatie moet worden gegeven over het doel van de verwerking, de categorieën van de te verwerken gegevens, de dossiervorming, de eventuele ontvangers, de bewaar- en vernietigingstermijnen de mogelijkheden voor bezwaar en beroep. Indien er gebruik gemaakt wordt van elektronische dossiers zal het voor de patiënt tevens kenbaar moeten zijn wie daarin inzage heeft of heeft gehad. Naast de beveiligingsmaatregelen die 8 Staatsblad 837/ De archiefwet voor academische ziekenhuizen sluit een aantal gegevens uit voor vernietiging, o.a het eerste hulpverslag, operatieverslag, anesthesieverslag en de ontslagbrief. 10 Dute e.a. 2003, hoofdstuk 4 p Nouwt 2005, p.66 8

8 kenbaar moeten zijn voor de patiënt heeft de patiënt ook ná de vastlegging te allen tijde rechten als inzage en vernietiging van zijn dossier. Het recht op inzage is te vinden in artikel 7:456 BW en in artikel 35 WBP. De patiënt heeft naast inzage ook recht op een afschrift van het dossier. De inzage kan slechts worden geweigerd indien dit schadelijk is voor anderen dan de patiënt. De derde moet een zwaarwegend belang hebben bij de weigering van de inzage. Na inzage kan het nodig blijken de gegevens aan te vullen dan wel te corrigeren. Het recht op aanvulling is van belang indien blijkt dat er gegevens ontbreken, het is te vinden in artikel 36 WBP. De patiënt heeft vervolgens het recht zijn gegevens te corrigeren, indien er gegevens onjuist zijn (art. 36 WBP). De patiënt heeft daarnaast het recht zijn gegevens al dan niet in zijn geheel te vernietigen 12 (artikel 7:455 lid 1 BW). Het gaat dan om de vernietiging van zowel de persoonsgebonden als de episodegebonden gegevens, ook binnen de wettelijke bewaartermijn. Het recht op vernietiging is echter niet onvoorwaardelijk. Wanneer een belang van anderen aanwezig is, de wet zich tegen vernietiging verzet, de zorgverlener een eigen procedureel belang heeft, er een andere wettelijke termijn geldt óf vernietiging in het kader van de volksgezondheid niet gewenst is, kan dit recht op vernietiging worden beperkt (art. 7:455 lid 2 BW). Onder vernietigen wordt ook anonimiseren verstaan, de gegevens zijn dan immers niet meer tot de persoon herleidbaar. De werkaantekeningen vallen niet onder de informatieplicht en de rechten van de patiënt strekken zich er niet uit over uit. Medische gegevens zullen in beginsel voor anderen dan de patiënt geheim moeten blijven, dit is bepaald in het zogenaamde beroepsgeheim. Het beroepsgeheim komt in paragraaf aan de orde. In bepaalde gevallen kunnen medische gegevens tóch worden verstrekt aan derden, deze komen in paragraaf als doorbreking van het beroepsgeheim uitgebreid aan bod. De patiënt kan zich echter wel verzetten tegen de (rechtmatige) uitwisseling of verstrekking van zijn gegevens wanneer hij dat onwenselijk vindt. Door middel van het absolute verzet kan de patiënt zich dan tegen een algemene verstrekking verzetten, bijvoorbeeld in het kader van alle vormen van direct marketing of wetenschappelijk onderzoek. Er kan tevens sprake zijn van relatief verzet. Dit kan het geval zijn als het verzet zich richt op een bepaalde verstrekking. De grondslag hiervoor ligt ook in artikel 8 onder e en f WBP. Gesteld moet worden dat het verzet is gerechtvaardigd doordat degene een bekende is die de gegevens niet mag inzien (artikel 45 WBP). De patiënt heeft tevens het recht zijn gegevens te blokkeren, indien de patiënt de eerste wenst te zijn die bijvoorbeeld na een keuring zijn uitslagen ontvangt. Tot die tijd zijn de gegevens voor anderen dan hijzelf geblokkeerd, inclusief de behandelende zorgverlener, zie daarvoor artikel 4:457 BW. Uitzonderingen De zorgaanbieder houdt, behoudens enkele uitzonderingen, de hem toevertrouwde informatie en de gegevens die zijn vastgelegd in het dossier geheim voor anderen dan de patiënt. Toch kunnen situaties ontstaan waarin het wenselijk is de gegevens te verstrekken aan anderen dan de patiënt, bijvoorbeeld bij minderjarigheid, na overlijden, bij het doen van wetenschappelijk onderzoek, de verstrekking aan verzekeraars, bedrijfszorgverlener en justitie. Voor patiënten in de leeftijd tot 12 jaar zijn de ouders of de voogd degenen die de rechten kunnen uitoefenen. Een nuancering op de hoofdregel is door de Hoge Raad aangebracht als het gaat om zeer bijzondere omstandigheden. In het Bolderkararrest 12 Nouwt 2005, p. 66 9

9 heeft de rechter beslist dat het privacybelang van de kleuter prevaleerde boven het belang van de van incest verdachte vader 13 en werd de inzage door de vader geweigerd. Het uitwisselen van gegevens over overledenen kan volgens de WGBo slechts geschieden indien er sprake is van een veronderstelde toestemming, dan wel een wettelijke plicht als het verrichten van onderzoek naar de doodsoorzaak 14. Verstrekking is dus ook niet zonder meer toegestaan aan bijvoorbeeld nabestaanden 15. Voor verstrekking van medische informatie aan verzekeraars kan verwezen worden naar het verstrekkingbesluit ziekenfondsverzekering. Het verwerkingsdoel is slechts een controle op de doelmatigheid van de verleende zorg. De verstrekte informatie moet zich daartoe dus beperken. Ook zijn verzekeraars gebonden aan het door het CBP goedgekeurde Addendum Zorgverzekeraars bij de bestaande Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. Hierbij dient te worden opgemerkt dat in het kader van verstrekking wegens de Diagnose Behandel Combinatie (codes over zorgvraag, diagnose en behandeling) het CBP van oordeel is dat dit een bovenmatige verwerking is en daarom strijdig is met het beroepsgeheim 16. Verstrekking aan de bedrijfszorgverlener dan wel de verzekeringszorgverlener is slechts mogelijk indien het gaat om een verzuimbegeleiding of het beoordelen van een schadeclaim 17. De verstrekking moet zich beperken tot die specifieke taak. Er is altijd toestemming voor deze gegevensuitwisseling nodig. Politie en justitie kunnen in het kader van de opsporing behoefte hebben aan bepaalde medische informatie. Doorbreking van het beroepsgeheim in het kader van opsporing in het algemeen is in beginsel verboden. De verstrekking van medische gegevens aan politie en justitie is alleen gerechtvaardigd als er sprake is van een conflict van plichten. De verstrekking is pas gerechtvaardigd als de zorgverlener invloed kan uitoefenen op dit conflict én er kans is op ernstige schade. Wanneer de patiënt als slachtoffer wordt aangemerkt, kunnen gegevens ten behoeve van forensisch onderzoek overigens wel worden verstrekt. Indien de patiënt als verdachte wordt aangemerkt is verstrekking van medische gegevens alleen toegestaan met toestemming van de patiënt, uitgezonderd de gegevensverstrekking in het kader van staande of aanhouden. Er kan geen beslag op patiëntendossiers worden gelegd, tenzij er sprake is van een noodtoestand of conflict van plichten, hetgeen slechts in zeer uitzonderlijke omstandigheden het geval is. Samengevat heeft de zorgverlener naast een zorgplicht, de plicht een dossier te voeren en de patiënt te informeren over de verwerking hiervan. De patiënt heeft een grote invloed op de uitwisseling van zijn gegevens, behoudens enkele uitzonderingen, onder andere door het uitoefenen van zijn (toegangs-)rechten ten aanzien van zijn dossier Geheimhouding; het beroepsgeheim Het beroepsgeheim is één van de belangrijkste fundamenten om te komen tot een vertrouwelijke omgang met informatie over de patiënt. Het betreft de vrije toegang tot de gezondheidszorg, zodat de patiënt zonder schroom hulp kan inroepen. Het verstrekken van vertrouwelijke informatie is daarbij namelijk vaak onvermijdelijk. Sommigen hebben een geheimhoudingsplicht op grond van hun beroep, anderen op grond van een ambt dat zij bekleden, of vanwege een wettelijk voorschrift dat de geheimhouding regelt. Op grond van artikel 88 Wet op de Beroepen in de Individuele Gezondheidszorg hebben artsen, tandartsen, apothekers, gezondheidspsychologen, 13 Rechtbank Rotterdam, Rb , KG 1989, Nouwt 2005, p Idem, p Idem, p Idem, p

10 psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen een medisch beroepsgeheim 18. Het beroepsgeheim is een recht van de patiënt 19. Het is opgebouwd uit een zwijgplicht en een verschoningsrecht. De zwijgplicht dwingt de zorgverlener dat zonder (schriftelijke) toestemming geen informatie mag worden verstrekt aan anderen dan de patiënt. Het verschoningsrecht is de plicht van de zorgverlener te zwijgen tegenover een derde. Het belang van het verschoningsrecht is gelegen in het feit dat iedere burger medische hulp moet kunnen zoeken, zonder dat openbaring van informatie hierover voor bijvoorbeeld een rechtbank kan worden afgedwongen. De Hoge Raad heeft beslist dat het belang van waarheidsvinding moet wijken voor het maatschappelijke belang en dat een ieder zich zonder vrees voor openbaarmaking van het toevertrouwde moet kunnen wenden tot een verschoningsgerechtigde 20. De geheimhouding is ook na leven geboden 21. Slechts in uitzonderlijke gevallen kan de inbreuk op het verschoningsrecht worden gerechtvaardigd. Doorbreking is bijvoorbeeld mogelijk indien er sprake is van een (ernstige) verdenking van de verschoningsgerechtigde, de aard en omvang van de gegevens in de strafprocedure van belang (inhoud en frequentie) zijn én deze niet op andere wijze te verkrijgen zijn 22. De WGBo is niet de enige plaats waar het beroepsgeheim is geregeld. Artikel 88 van de wet Beroepen in de Individuele Gezondheidszorg (Wet BIG) vereist tevens geheimhouding bij de uitoefening van een beroep op het gebied van de individuele gezondheidszorg. De schending van de geheimhoudingsplicht is strafrechtelijk geregeld in artikel 272 van het wetboek van strafrecht (WvSr.) en in artikel 218 van het wetboek van strafvordering (WvSv.). In het bestuursrecht kan worden verwezen naar artikel 33 van de algemene wet bestuursrecht (Awb), dat verwijst naar artikel 191 van de Wet Rechtsvordering (WRv.). Dat betreft een verschoningsrecht voor getuigen en deskundigen op grond van hun ambts- of beroepsgeheim. Ook is voor de tuchtrechter het geheim een te beschermen norm 23. De omvang van de geheim te houden gegevens, de voorrang die het heeft op andere bepalingen, de inhoud en het afgeleide beroepsgeheim komen hier aan bod. Het gaat bij het beroepsgeheim niet alleen om de geheimhouding van medische gegevens. De geheimhouding geldt ook ten aanzien van de logistieke gegevens die zijn opgenomen in het dossier zoals de financiële gegevens en persoonlijke gegevens. De wet spreekt immers over inlichtingen en bescheiden van en over de patiënt. De behandelrelatie dient ruim te worden geïnterpreteerd, zo valt de verleende zorg in het kader van een vriendendienst eveneens onder het beroepsgeheim 24. De primaire verantwoordelijkheid voor goede zorg inclusief de vertrouwelijke omgang met de patiëntgegevens ligt bij de zorgverlener zelf. Bij een conflict van wettelijke regelingen, bijvoorbeeld als er volgens de WBP informatie verstrekt móet worden en volgens de WGBo is dit niet toegestaan, gaat het beroepsgeheim in beginsel voor 25. De zorgaanbieders die geen zelfstandig beroepsgeheim bezitten, maar wel toegang hebben tot de gegevens (zie hiervoor: doorbreking van het beroepsgeheim) vallen onder 18 Nouwt 2005, p KNMG 2004c, p HR 2 oktober 1990, Kg 1990, nr. 45/46, p CBP 2006c 22 Nouwt en Lucieer 2005, p Leenen 2000, p Nouwt en Lucieer 2005, p Hooghiemstra 2004c, p. 2 11

11 een afgeleide zwijgplicht. Het kan beschouwd worden als een beroep op het verschoningsrecht van de zorgverlener 26. Er kunnen zich situaties voordoen die een doorbreking van het beroepsgeheim vereisen. De voorwaarden om het beroepsgeheim te kunnen doorbreken komen hier aan bod Doorbreking van het beroepsgeheim Er zijn enkele uitzonderingen die het beroepsgeheim kunnen doorbreken. Het verstrekken van informatie is dan zonder (of met minder) toestemming gerechtvaardigd. In de volgende gevallen kan het beroepsgeheim worden doorbroken: -vanwege het algemene belang, -vanwege het behoren tot hetzelfde behandelteam of -wegens een conflict van plichten. Op grond van het algemene belang, zoals bijvoorbeeld het geval is bij een landelijke uitbraak van een ziekte die voorkomt op de lijst van Infectieziekten of bij een wettelijke ontheffing kan het beroepsgeheim worden doorbroken. De patiënt kan, gezien de hulpvraag en de omstandigheden, in redelijkheid verwachten dat de gegevens beschikbaar moeten zijn voor direct betrokkenen. Een manier om het beroepsgeheim te kunnen doorbreken is dan ook het behoren tot hetzelfde behandelteam. De zorgverlener moet dan wel rechtstreeks betrokken zijn bij de behandeling van de patiënt. De toestemming van de patiënt wordt stilzwijgend verleend, ofwel verondersteld 27. Onder de categorie direct betrokkenen kunnen ook medewerkers voor intercollegiale toetsing en de administratieve of financiële afhandeling behoren. Van belang voor de omvang van inzage door het behandelteam is de mate van gevoeligheid van de gegevens van doorslaggevende betekenis. Het criterium voor rechtstreekse betrokkenheid is dat de medebehandelaar over de gegevens op basis van noodzakelijkheid moet beschikken Er moet dus sprake zijn van een concrete behandeling, een verwijzing of zorgoverdracht of van materiele verzorging. De zorgaanbieders die binnen het behandelteam behoren maar geen zelfstandig beroepsgeheim bezitten, vallen onder een afgeleid beroepsgeheim en zijn dan aan dezelfde bepalingen gebonden. Opgemerkt dient te worden dat het behandelteam als een eenheid gezien moet worden. Het kan voorkomen dat de eenheid bestaat uit behandelaars die niet tot dezelfde instelling behoren, bijvoorbeeld de verstrekking tussen de huiszorgverlener en een specialist in het ziekenhuis, maar niet tussen de huiszorgverlener en de maatschappelijk werker 28. De informatie over patiënten binnen een bepaalde instelling kan dus niet voor álle zorgverleners toegankelijk zijn 29. Voor verstrekking aan álle anderen dan rechtstreeks betrokken is immers toestemming vereist. De zwijgplicht kan ook worden doorbroken bij een conflict van plichten. Een voorbeeld van een conflicterende plicht is het geval bij een zwaarwegend belang van de patiënt zelf of een ander. De doorbreking moet dan gerechtvaardigd zijn door dat zwaarwegende belang, hetgeen in uitzonderlijke situaties het geval kan zijn. Het moet dus gaan om een noodsituatie. Een voorbeeld van een zwaarwegend belang kan het melden van kindermishandeling zijn. Het verschoningsrecht kan eveneens worden doorbroken wegens een conflict van plichten, hetgeen het geval kan zijn bij ernstige strafbare kwesties (beraamde moord, kindermisbruik) én de zorgverlener is in staat om in te grijpen door bijvoorbeeld de 26 KNMG 2004c, p Roscam-Abbing 2000, p idem, p Dute e.a. 2003, hoofdstuk 4 p

12 politie te waarschuwen 30. De zorgverlener beroept zich dan op wettelijke overmacht. Er moet dus duidelijk sprake zijn van gewetensnood én een kans op ernstige schade. De zorgaanbieder zal dus in beginsel aan ieder ander dan de patiënt de gegevens geheim moeten houden. Echter, de meest voorkomende en belangrijkste doorbreking van het beroepsgeheim is dat de patiënt toestemming verleent. De bepalingen en de verschillende vormen van toestemming worden hier apart behandeld Toestemming Eén van de belangrijkste mogelijkheden om het beroepsgeheim te doorbreken is indien de patiënt toestemming geeft. Toestemming kan mondeling of schriftelijk gegeven worden. Na de invoering van de WBP (in opvolging van de Wet Persoonsregistraties) is de schriftelijkheidseis verdwenen. Op verzoek van de patiënt legt de hulpverlener deze toestemming wél schriftelijk vast indien er sprake is van een ingrijpende situatie (art. 4:451 BW). Voor minderjarigen tussen de 12 en de 16 jaren geldt een dubbel toestemmingsvereiste. Voor het aangaan van de behandelingsovereenkomst en de verstrekking van patiëntinformatie aan anderen is naast de toestemming van de patiënt de toestemming van de ouders vereist (7:450 lid 2 BW). Voor jongeren ouder dan 16 jaren geldt het dubbele toestemmingsvereiste alleen indien deze niet in staat is voor zichzelf op te komen (lid 3). De verschillende vormen van toestemming komt hier aan bod. Uiteraard kan de toestemming te allen tijde weer worden ingetrokken. Er kan sprake zijn het geven van verschillende gradaties van toestemming. De meest duidelijke is de geïnformeerde toestemming. De toestemming wordt dan uitdrukkelijk en ondubbelzinnig gegeven. Er kan ook sprake zijn van een minder uitgesproken vorm, namelijk door het geven van expliciete, veronderstelde of stilzwijgende of generieke toestemming. De zorgverlener kan er dan vanuit gaan dat de patiënt instemt door dit uit zijn gedrag te concluderen. Als de patiënt geen bezwaar maakt, kan de toestemming als verleend worden beschouwd. Uiteraard moet het voor de patiënt kenbaar (te overzien) zijn waarvoor hij toestemming verleent en de patiënt moet bewust zijn van het feit dát hij toestemming verleent, uiteraard moet de toestemming in vrijheid zijn gegeven. De volgende invullingen van het toestemmingsvereiste uit de WGBo worden gehanteerd binnen de zorgverlener-patiëntrelatie die hieronder aan bod gaan komen zijn: -geïnformeerde toestemming, -expliciete toestemming, veronderstelde toestemming en -generieke toestemming. Geïnformeerde toestemming Onder geïnformeerde toestemming wordt een vrije, specifieke en op informatieuitwisseling beruste wilsuiting verstaan. De patiënt aanvaardt daarmee de verwerking van zijn persoonsgegevens. Bij het geven van geïnformeerde toestemming, ook wel uitdrukkelijke of ondubbelzinnige toestemming genoemd, is het van belang dat er geen twijfel is over de verleende toestemming door de patiënt. De afwezigheid van de twijfel kan ook blijken uit het gedrag van de patiënt. Bij twijfel moet de verantwoordelijke de gegeven toestemming bewijzen. De WBP spreekt van een zwaardere eis van uitdrukkelijke toestemming als het gaat om gegevens betreffende iemands gezondheid. Een algemene machtiging voldoet dus niet aan voldoende omschreven doel 31. Ondubbelzinnige toestemming moet worden gegeven bij de verstrekking aan niet-hulpverleners of indien sprake is van een nieuwe behandelrelatie dan wel nieuwe behandelepisode. Daarnaast is bij de verwerking van 30 Nouwt 2005, p idem 13

13 zeer gevoelige gegevens ondubbelzinnige toestemming altijd vereist, zelfs als het gaat om wetenschappelijk onderzoek. Expliciete toestemming Van expliciete toestemming is sprake als de zorgverlener de patiënt al kent uit een eerdere behandelepisode. De zorgverlener moet zich dan nog wel nadrukkelijk vergewissen of de patiënt toestemming verleent voor de nieuwe behandelepisode. De patiënt zal vooraf geïnformeerd moeten worden over het doel, de inhoud en mogelijke consequenties. De verwerking is eveneens onderhevig aan de beperkte omvang (noodzakelijkheidsvereiste 32 ). Veronderstelde toestemming Als het gaat om een actuele zorgvraag naar een andere hulpverlener, die dus rechtstreeks betrokken is binnen een functionele eenheid, dan kan de verstrekking op basis van veronderstelde toestemming plaatsvinden. De uitwisseling kan dan ook plaatsvinden in het kader van secundaire doelen, bijvoorbeeld het beheer van dossiers, de financiële afwikkeling, intercollegiale toetsing, intervisie, supervisie, kwaliteitsbewaking en/ of kwaliteitsbevordering. Met dien verstande dat zoveel mogelijk gegevens geanonimiseerd dienen te worden. De voorwaarden voor een verwerking op basis van veronderstelde toestemming zijn dat de toegang wordt verleend in een concrete situatie (inclusief spoedeisende zorg), het voor de patiënt redelijkerwijs te verwachten is (kenbaarheid), het om zorgdoeleinden (ook secundair) gaat, er geen sprake van bezwaar is door de patiënt en de verstrekking beperkt is tot noodzakelijkheid (bij de ontvanger). Indien er sprake is van spoed kan er terug gegrepen worden op een zogenoemde noodprocedure. Naast de eis van noodzakelijkheid wordt de verstrekking achteraf gecontroleerd door middel van logging. Dit om te kunnen controleren op eventueel misbruik. Geen toestemming hoeft te worden verleend indien sprake is van een wettelijke verplichting. Een voorbeeld van een doorbreking op basis van een wettelijke verplichting is de verwerking van persoonsgegevens naar aanleiding van een uitbraak van een ziekte die voorkomt op de lijst Infectieziekten. Een voorbeeld van een onterechte doorbreking van het beroepsgeheim op basis van een wettelijke verplichting illustreert de volgende casus: casus MRSA; In een ziekenhuis was een epidemie ontstaan door de gevaarlijke ziekenhuisbacterie MRSA. Men wilde medische gegevens van werknemers inzien en opslaan in een nieuw bestand om te kunnen controleren of medewerkers besmet waren. Aangezien er sprake was van een structurele en centrale opslag en er geen ontheffing was verleend door het CBP (de bacterie kwam niet voor op de lijst Infectieziekten), er geen sprake was van rechtstreekse betrokkenheid, én er geen conflict van plichten was (immers: structureel verwerkt), was deze verwerking niet toegestaan. 33 De veronderstelde toestemming, bijvoorbeeld voor verstrekking binnen het behandelteam, heeft de patiënt het recht om (achteraf) bezwaar te maken, de zogenoemde opt-out. Een veelvoorkomende en pragmatische uitwerking van de veronderstelde/ impliciete toestemming is de open brief van de zorgverlener die aan de patiënt wordt meegegeven Op 24 februari 2004 hebben het CBP en het Ministerie van Volksgezondheid, Welzijn en Sport Werkwijze in een brief omtrent privacyaspecten bij de invoering van DBC-systematiek onder meer het noodzakelijkheidsvereiste (doel van de verstrekking, aard en omvang van de gegevens) nader uitgewerkt. 33 CBP Dute e.a., hoofdstuk 4 p. 9 14

14 Generieke toestemming Generieke toestemming kan worden gebruikt indien men de toestemming wil gebruiken voor toekomstige, althans nog niet concrete situaties, vooruitlopend op een behandelrelatie. De criteria voor een rechtmatige toepassing van generieke toestemming zijn dat de toestemming voldoende specifiek moet worden gegeven en daarnaast dat de verstrekking beperkt moet zijn tot noodzakelijke informatie, bijvoorbeeld als de zorgketen van tevoren vast staat 35. Het CBP beoordeelde een uitwisseling binnen een zorgregio in West-Brabant op basis van generieke toestemming als rechtmatig omdat toestemming voldoende specifiek was gegeven. Zij kwam tot dit oordeel ook omdat de verstrekking op beperkte schaal plaatsvond en noodzakelijkheid was voor een goede behandeling 36. Tevens was het voor patiënten kenbaar doordat zij goed geïnformeerd en geïdentificeerd konden worden. Een belangrijk criterium bij het rechtmatige gebruik van de generieke toestemming is dus de specificiteit of bepaaldbaarheid, dat de verwerking is gericht op specifieke gegevens en de verstrekking aan specifieke zorgaanbieders. Ook de generieke toestemming kan altijd worden ingetrokken Samenvatting De zorgverlener heeft de plicht zich als een goede hulpverlener te gedragen door zorg te verlenen volgens de actuele professionele standaard, door een dossier te voeren en de patiënt over de opgenomen gegevens te informeren. Het dossier heeft beperkingen qua omvang en de bewaartermijn. De zorgverlener is te allen tijde verantwoordelijk voor de inhoud. De patiënt heeft op zijn beurt verschillende mogelijkheden door het uitoefenen van zijn rechten de omvang van de verstrekking te beïnvloeden. De zorgverlener is gehouden de gegevens geheim te houden aan ieder aan ander dan de patiënt. De zorgverlener kan de geheimhouding slechts doorbreken op basis van verleende toestemming van de patiënt, dat op verschillende wijzen kan worden verleend. Daarnaast kan het beroepsgeheim worden doorbroken wanneer de verstrekking plaats vindt binnen het behandelteam of als er sprake is van een conflict van plichten. Hoe qua bescherming volgens de Wet bescherming Persoonsgegevens met medische gegevens van de patiënt omgegaan zal moeten worden, zal in de volgende paragraaf worden behandeld. 35 zoals bijvoorbeeld de keten voor diabetes van tevoren voldoende vast staat. 36 Nouwt 2005, p

15 1.3 Bescherming van persoonsgegevens Door de toenemende automatisering kunnen steeds méér gegevens over personen worden verzameld, gekopieerd, verstuurd, oftewel worden verwerkt. Hierdoor is de mogelijkheid van schending van iemands privacy ook toegenomen. Een aanpassing van wetgeving wordt gezien de toenemende digitalisering van persoonsgegevens noodzakelijk. Digitaal beschikbare gegevens zijn immers makkelijker en op grotere schaal te verspreiden. Ook in de zorg maken vorderingen van informatietechnologieën de verwerking en uitwisseling van gegevens aanzienlijk makkelijker. We spreken in het kader van de WBP over regels omtrent de bescherming van persoonsgegevens, ook wel informationele privacy. De Nederlandse Wet Bescherming Persoonsgegevens (WBP) is gebaseerd op de Europese privacyrichtlijn 95/46/EG. De wet legt aan de verantwoordelijken van de verwerkingen verplichtingen op om garanties te kunnen geven voor de vastgestelde rechten van de betrokken personen. Het is niet alleen de zorgverlener die belang heeft bij een goede verwerking en een zorgvuldige omgang met de gegevens. Dit treft ook zeker het individuele belang van de patiënt. De patiënt mag er op rekenen dat de gegevens die zijn opgenomen correct zijn en correct worden gebruikt. De rechten van de betrokkene zijn daarom wettelijk verankerd Inleiding De Wet Bescherming Persoonsgegevens (WBP) is een uitwerking van de Europese privacyrichtlijn 95/46/EG. Vanwege het vaak grensoverschrijdende karakter van verwerkingen waren uniforme maatregelen binnen de gehele EU noodzakelijk. De Europese algemene beginselen zijn geïmplementeerd in de Wet Bescherming persoonsgegevens die op in werking is getreden. In 2001 verving de WBP de Wet persoonsregistraties. De grootste verandering was dat vanaf dat moment niet alleen persoonsregistraties aan privacybepalingen moesten voldoen, maar álle handelingen omtrent persoonsgegevens, van verzamelen tot en met het vernietigen en alles wat daartussen zit. De wet spreekt dan ook over het verwerken van persoonsgegevens. Van belang is voor de mate van de beschermende maatregelen is het onderscheid dat de wet maakt tussen gewone en bijzondere (ook wel gevoelige) gegevens. Daarnaast is de omvang van die verwerkingen, de grondslagen, de doelbepaling, het toezicht en de beveiliging van de persoonsgegevens 37 van invloed op de te nemen maatregelen Soorten persoonsgegevens De WBP maakt onderscheid tussen gewone en gevoelige persoonsgegevens. Gevoelige gegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, lidmaatschap van een vakbond, gezondheid en ten slotte de strafrechtelijke gegevens. Alle andere gegevens worden als gewone persoonsgegevens aangemerkt. Aangezien de meeste inbreuk op de informationele privacy wordt verondersteld bij de verwerking van gevoelige gegevens verbiedt de WBP in artikel 16 de verwerking van die gegevens. Medische gegevens zijn bijzondere gegevens en vallen in beginsel onder het verwerkingsverbod. Aangezien het in bepaalde situaties, bijvoorbeeld in de zorg, van belang is deze gegevens te verwerken, denk ook aan de dossierplicht, zijn er enkele verplichte en facultatieve uitzonderingen op het verwerkingsverbod. De uitzonderingen zijn te vinden in de artikelen 21 en 23 van de WBP. Zorgverleners met een BIG-registratie 38 vallen onder de uitzondering uit artikel 21 WBP voor zover de 37 gegevens die personen identificeren of tot personen te herleiden zijn. 38 De Wet op de beroepen in de individuele gezondheidszorg, de Wet BIG, regelt de zorgverlening door beroepsbeoefenaren. Alleen wie in het register is ingeschreven, mag de door de wet beschermde titel voeren. De deskundigheid van de geregistreerde beroepsbeoefenaren is hiermee voor iedereen herkenbaar. 16

16 verwerking van medische gegevens met het oog op een goede behandeling noodzakelijk is. Ook als de verwerking geschiedt voor doeleinden van preventieve geneeskunde, bijvoorbeeld ten behoeve van een medische diagnose, kunnen zorgverleners medische gegevens verwerken. Daarnaast is het toegestaan in het belang van het beheer van gezondheidsdiensten medische gegevens te verwerken. De bijzondere persoonsgegevens moeten worden verwerkt door zorgverleners die zijn onderworpen aan het in wet- en regelgeving vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt 39 (art. 12 WBP). Het verbod om medische gegevens te verwerken, wordt kort samengevat dus opgeheven voor instanties die gehouden zijn aan bepalingen omtrent het beroepsgeheim. Tevens moeten verwerkingen, uitgaande van de doeleinden waarvoor zij worden verzameld, ter zake dienend en mogen niet bovenmatig zijn (art. 6 WBP). De gegevens moeten bovendien nauwkeurig zijn en waar nodig worden bijgewerkt. Zorgverleners kunnen de medische gegevens niet zomaar verwerken, daarvoor is een wettelijke grondslag vereist Grondslagen In artikel 8 van de WBP worden de grondslagen voor een rechtmatige verwerking limitatief opgesomd. Ten eerste mogen persoonsgegevens worden verwerkt door middel van uitdrukkelijke toestemming, ten tweede kan de verwerking geschieden indien dit in het vitale belang van de betrokkene is. De overige grondslagen, namelijk de verstrekking in het belang van een wettelijke taak of voor de uitvoering van een overeenkomst zulle verder onbesproken blijven, aangezien zij voor de zorg niet relevant zijn. De toestemmingsgrondslag komt neer op een vrije, specifieke en op informatie berustende wilsuiting. Indien deze wordt gegeven onder dreiging van niet-behandeling of een minder goede behandeling in een medische situatie, dan kan het geven van toestemming niet als vrij worden beschouwd. De specifieke toestemming moet betrekking hebben op een welbepaalde, concrete situatie waarin het voornemen bestaat medische gegevens te verwerken. Dat wil zeggen dat de specifieke toestemming op informatie berust, volledig en nauwkeurig is, informatie verschaft over de aard, de doeleinden, de ontvangers van mogelijke doorgifte, de rechten van de patiënt, en dat de patiënt bewust is van gevolgen van het onthouden van de toestemming. Ten tweede kan de verwerking voor de zorg geschieden wanneer dit in het vitale belang van de betrokkene is, bijvoorbeeld indien deze lichamelijk of juridisch niet in staat zijn toestemming te verlenen, denk bijvoorbeeld aan bewusteloosheid na een ongeluk. De persoonsgegevens die rechtmatig zijn verkregen, dus op basis van een hiervoor omschreven grondslag, mogen daarna echter niet voor ieder doel worden aangewend Doelbepaling De gebruiksbeperking of doelbepaling van artikel 7 en 9 van de WBP verbiedt onder meer verdere verwerking die onverenigbaar is met het doel of de doeleinden waarvoor de gegevens zijn verzameld. De gegevens die voor zorgdoeleinden zijn verzameld kunnen dus ook enkel voor dat doel worden gebruikt. Artikel 10 van de WBP stelt dat persoonsgegevens niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. Naast de beperkingen die zorgverleners in acht moeten nemen ten aanzien van het verwerken van medische gegevens, hebben zij tevens de plicht de patiënt te informeren, teneinde zijn rechten uit te kunnen oefenen Informatieverplichting en rechten van betrokkenen Evenals de WGBo vereist de WBP dat de verantwoordelijke van de verwerking, in dit geval de zorgverlener, bepaalde informatie moet verstrekken aan de patiënt (art Roscam-Abbing 2000, p

17 WBP), waaronder begrepen de doeleinden van de verwerking, de ontvangers van de gegevens en het bestaan van een recht op toegang. Het recht van toegang uit artikel 36 WBP geeft de patiënt het recht de juistheid van de gegevens na te gaan en erop toe te zien dat de gegevens bijgewerkt worden Toezicht Het College Bescherming Persoonsgegevens (CBP) is de onafhankelijke toezichthouder met betrekking tot de naleving van de WBP en ziet erop toe dat de (informationele) privacy burgers, en dus ook van patiënten, gewaarborgd blijft. Het CBP houdt op basis van artikel 51 e.v. WBP toezicht op de naleving ervan. Zorgverleners dienen verwerkingen aan het CBP te melden. Daarnaast geeft het CBP adviezen over en antwoorden op vragen omtrent privacykwesties. Ook doet het CBP onderzoek binnen bepaalde maatschappelijke sectoren en publiceert daarover achtergrondstudies. Aangezien de verwerkingen niet beperkt zijn tot de nationale landsgrenzen is tevens aandacht voor het Europese kader. Het CBP neemt samen met andere nationale toezichthoudende autoriteiten deel in de Artikel 29 Werkgroep van de EU (WP29) 40 om gezamenlijk beleid te ontwikkelen als het gaat om de bescherming van persoonsgegevens onder andere in het digitale tijdperk. Verwerkingen dienen door deze digitalisering en de daardoor toenemende risico s van onrechtmatige verspreidingen op passende wijze beveiligd te worden Beveiliging De zorgverlener dient volgens art. 13 van de WBP ten aanzien van de verwerkingen met patiëntgegevens passende technische en organisatorische maatregelen te nemen. De medische gegevens dienen te worden beveiligd tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig. Tevens zullen de maatregelen moeten voorkomen dat de verwerking op niet toegelaten wijze kan worden verspreid. Het CBP spreekt een voorkeur uit voor technische methoden, gezien het gemak ervan betreffende de controle en werkingsfeer 41. De beveiliging van medische persoonsgegevens is geen doel op zich, maar een middel ter realisatie van de vertrouwelijkheid, integriteit en beschikbaarheid van medische gegevens 42. De vereiste mate van beveiliging hangt onder andere af van stand van de informatie- en communicatietechnologie 43 en de aard en omvang van de gegevens. Medische gegevens moeten als bijzondere of gevoelige gegevens worden beschouwd en vereisen dan ook een hoger beschermingsniveau CBP zelfreguleringinstrumenten, 42 Nouwt 2007a, p idem, p

18 1.4. Normen in de zorg De WGBo en de WBP laten ruimte voor de praktijk om bepaalde begrippen nader in te vullen. Het draagt bij aan een zo uniform mogelijke garantie van de vertrouwelijke omgang met gegevens en de bescherming van de privacy. De NEN 7510 is bijvoorbeeld een uitwerking van de beveiligingseis uit artikel 13 WBP. De Koninklijke Nederlandse Maatschappij ter bevordering van de Geneeskunst (KNMG) heeft het begrip goed hulpverlenerschap uit de WGBo nader uitgewerkt in verschillende richtlijnen. De belangenorganisatie van de patiënt, de Nederlandse Patiënten en Consumenten Federatie (NPCF) ontwikkelt beleid dat het patiëntenbelang behartigt. De drie normerende instellingen komen hieronder aan bod NEN 7510 De norm NEN bevat regels over informatiebeveiliging binnen de zorgsector. Onder informatiebeveiliging in de zorg wordt verstaan dat de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden wordt gewaarborgd. Instellingen worden door de IGZ gecontroleerd op een deugdelijke implementatie van deze norm. De norm kan worden beschouwd als een kader. Binnen dit kader kan elke proceseigenaar de voor zijn/haar proces relevant geachte informatiebeveiliging specificeren, inclusief de daarbij behorende maatregelen. De zorginstelling kan per hoofdstuk nadere invulling geven aan de opsomming die daarin gegeven is. Wanneer men aandacht besteedt aan deze punten wordt men geacht een compleet pakket aan beveiligingsmaatregelen te hebben. De norm bevat onder andere bepalingen over beveiligingseisen ten aanzien van personeel en toegang. Aspecten als het laten afgeven van een verklaring omtrent het gedrag door personeel dat met gevoelige informatie werkt, het hebben van beschrijvingen van functies met diens rollen, verantwoordelijkheden, toegangsrechten, zwijgplichten en geheimhouding, maar ook het uitvoeren van beleid omtrent bewustwording over de beveiligingseisen worden in de norm behandeld. De norm bevat tevens richtlijnen om het fysieke beveiligingsbeleid deugdelijk op te zetten en gaat daarbij voornamelijk over de beveiliging van de omgeving. Aspecten als versleuteling, toegangsbeheer, firewalls, virusscanners (naast de fysieke beveiliging als sloten op kantoorruimtes ) komen in de norm aan bod. Met betrekking tot het onderdeel operationeel beheer van ICT gaat de norm voornamelijk in op aspecten als functionaliteit, betrouwbaarheid, doelmatigheid, onderhoudbaarheid en overdraagbaarheid van ICT. Ook schrijft de norm bepalingen voor omtrent functiescheidingen, ISO 9126, de norm om kwaliteitseisen aan ICT-diensten of producten te operationaliseren, de te nemen maatregelen tegen kwaadaardige apparatuur, het maken van reservekopieën, de keuze en beveiliging van gebruikte media en systeemdocumentatie, maar bevat vooral beleid omtrent gegevensuitwisseling. De norm is gebaseerd op de eisen uit de relevante wetgeving. Zij noemt daarbij de hiervoor beschreven WGBo, de WBP, maar ook de Wet Computercriminaliteit (WCC) en de Wet Identificatie bij Dienstverlening (WID). Naast het borgen van de kwaliteitscriteria vereist de norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht voordat kan worden gesproken over adequate informatiebeveiliging. De norm is voornamelijk gespitst op technische maatregelen, voor de organisatorische maatregelen kunnen we kijken naar de normen zoals opgesteld door de praktijk

19 1.4.2 De Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst De Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst (KNMG) is een federatieve organisatie van en voor zorgverleners die staat voor de bevordering van de kwaliteit van de beroepsuitoefening en van de kwaliteit van de volksgezondheid. De normen zijn opgesteld door de beroepsgroep zelf en zijn voor zowel zorgverleners die zijn aangesloten bij de KNMG van toepassing, als van toepassing op niet-leden 45. De KNMG heeft verscheidene uitwerkingen opgesteld zoals bijvoorbeeld de Gedragsregels voor artsen 46, de Richtlijn inzake het omgaan met medische gegevens 47 en de Richtlijn online arts-patiënt contact 48. Gedragsregels voor artsen De richtlijn Gedragsregels voor artsen kan worden gezien als een richtlijn voor de arts, maar richt zich op de relatie arts-patiënt. De uitwerkingen kunnen worden beschouwd als een nadere invulling van het begrip zorg van een goed hulpverlener uit de WGbo, danwel de professionele standaard. De bepalingen die toezien op de privacyaspecten zullen hieronder worden behandeld. De richtlijn bestaat uit een algemeen gedeelte dat gedragsregels bevat over het zelfbeschikkingsrecht. De zorgverlener laat zich bij zijn beroepsuitoefening leiden door het respect voor zelfbeschikking van de patiënt. Naast het algemene gedeelte bevinden zich in de richtlijn gedragsregels voor de zorgverlener in relatie tot de patiënt. Er is onder andere in opgenomen dat de zorgverlener slechts na het verlenen van gerichte toestemming en nadat de patiënt voldoende geïnformeerd is, kan overgaan tot de behandeling. Daarnaast is de plicht te zwijgen tegen een ieder die niet bij de behandeling betrokken is, uitgezonderd de doorbreking op basis van een conflict van plichten, opgenomen in de richtlijn. Het derde onderdeel van de richtlijn betreffen de gedragsregels omtrent de zorgverlener in relatie tot collegae en andere hulpverleners. Medische en/of andere privacygevoelige gegevens, die gericht zijn aan zorgverleners die werkzaam binnen een organisatorisch verband, dienen uitsluitend te worden geopend door en onder ogen te komen van de zorgverlener voor wie deze gegevens zijn bestemd of door personen die door de zorgverlener daartoe uitdrukkelijk zijn geautoriseerd (III.5). De richtlijn bevat tevens gedragsregels over de relatie tussen de zorgverlener en wetenschappelijk onderzoek, de publiciteit en het bedrijfsleven. Tenslotte bevat de richtlijn regels die te maken hebben met de volksgezondheid en de samenleving in het algemeen. Richtlijn omgaan met medische gegevens De KNMG heeft naar aanleiding van veranderingen in privacywetgeving, de verplichtingen tot het informeren van patiënten, de veranderingen omtrent de uitwisseling van gegevens de richtlijn omgaan met medische gegevens opgesteld. De richtlijn, in de zorg ook wel bekend als het groene boekje, bevat regels over de uitwisseling, opslag en vernietiging van gegevens. De richtlijn is onderverdeeld in regels omtrent de dossierplicht en diens bewaartermijnen, rechten van patiënten en het beroepsgeheim in algemene en bijzondere situaties. De regels komen overeen met de bepalingen uit de WGbo en zijn daar waar nodig meer expliciet gemaakt. De regels omtrent het beroepsgeheim in specifieke situaties zien op regels bij de doorbreking van het beroepsgeheim, door bijvoorbeeld de toestemming van de patiënt, het behoren tot de behandelrelatie, de wettelijke plicht en het conflict van plichten. Bij de bepaling over de toestemming wordt bepaald dat deze geïnformeerd moet zijn gegeven. Een schriftelijk verleende toestemming is niet altijd nodig. Ook mondeling gegeven toestemming kan door middel van een aantekening in het dossier worden opgenomen. Voor wat betreft de 45 KNMG KNMG, Gedragsregels voor artsen 47 KNMG 2004c 48 KNMG/ NPCF

20 rechtstreekse betrokkenheid (behandelrelatie) zal de zorgverlener na moeten gaan welke gegevens relevant zijn en verstrekt mogen worden. Er wordt een onderscheid gemaakt tussen gewone en privacygevoelige gegevens én gegevens die extra gevoelig zijn, met name de gegevens omtrent seksuele geaardheid, mishandeling, incestverleden of kunstmatige inseminatie 49. De richtlijn bevat tevens een gedeelte over elektronische gegevens en gaat daarbij ook in op het EPD. De uitwisseling zal in de elektronische omgeving aan dezelfde voorwaarden moeten voldoen als in de papieren omgeving, met dien verstande dat de beveiliging zodanig ingericht moet zijn dat onrechtmatig gebruik zoveel mogelijk wordt voorkomen. Er wordt in het kader van de uitwisseling dan ook gesteld dat vooraf duidelijk moet zijn welke zorgverleners toegang hebben tot welke onderdelen van het dossier. Wanneer vervolgens gegevens verzonden worden zullen deze versleuteld moeten zijn. De KNMG heeft tevens normen opgesteld voor het online zorgverlener-patient contact. Richtlijn online arts-patiënt contact De richtlijn online arts-patiënt contact ziet niet op een landelijke uitwisseling van medische gegevens tussen zorgverleners, maar op een gerichte vraag van een patiënt die online wordt gesteld. Een voorbeeld hiervan is een e-consult of het digitaal aanvragen van een herhaalrecept. De belangrijkste regel voor wat betreft de vertrouwelijkheid is dat het uitgangspunt moet zijn dat de online contacten dienen te zijn ingebed in een bestaande behandelrelatie, dat wil zeggen een relatie waarin beide partners elkaar kennen, elkaar hebben ontmoet en zo nodig elkaar weer kunnen ontmoeten. Daarnaast dienen zowel de zorgverlener als de patiënt zich te realiseren dat online communicatie vooralsnog niet volledig veilig is Nationale Patiënten en Consumenten Federatie De Nationale Patiënten en Consumenten Federatie (NPCF) is een organisatie die het belang behartigt van de patiënt 50. Zij doet dit onder andere door het ontwikkelen van visies en beleid op verschillende gebieden. Daarnaast bewerkstelligt de NPCF innovatie en organiseert activiteiten ten behoeve van de gemeenschappelijke belangen van aangesloten patiënten en consumenten. De NPCF heeft ook ICT (en het EPD) als thema opgenomen. De NPCF is van mening dat alleen met een deugdelijke autorisatie en authenticatie van patiënten de toepassing van ICT in de zorg een bijdrage kan leveren aan de ontwikkeling van een EPD 51. De NPCF heeft tevens onderzoek verricht naar de wensen van patiënten over het EPD. Deze uitkomsten zullen in hoofdstuk 3 worden behandeld. 49 KNMG 2004c, p idem 21