LANDELIJKE ZORGREGISTRATIES

Transcriptie

1 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL FAX INTERNET LANDELIJKE ZORGREGISTRATIES mr. J.A.L. Krabben DATUM maart 2005

2 Het College bescherming persoonsgegevens (CBP) publiceert in zijn serie Rapporten resultaten van onderzoek naar de stand van zaken bij de bescherming van persoonsgegevens in organisaties en sectoren. De Rapporten zijn gebaseerd op onderzoeken uitgevoerd door of in opdracht van het CBP. Door publicatie van deze Rapporten vraagt het CBP aandacht voor feiten die de persoonlijke levenssfeer van de burger raken. Het CBP wil hiermee bewustwording en naleving van de normen voor de bescherming van persoonsgegevens bevorderen. Het onderzoek naar landelijke zorgregistraties werd uitgevoerd door mw. mr. J.A.L. Krabben met medewerking van dhr. G.W. van Blarkom RE en dhr. R.R.A. Beugelsdijk. Onderzoek landelijke zorgregistraties, Rapport 3; College bescherming persoonsgegevens, Den Haag, maart College bescherming persoonsgegevens. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.

3 maart 2005 VOORWOORD Steeds meer gegevens van patiënten worden opgeslagen in landelijke gegevensregistraties voor onder andere medisch- en kwaliteitsonderzoek. Deze onderzoeken zijn van groot maatschappelijk belang. Juist daarom is het evenzeer van belang dat patiënten kunnen vertrouwen op een zorgvuldige omgang met hun (medische) gegevens. Het rapport Landelijke zorgregistraties is het verslag van oriënterend feitenonderzoek bij vijf grote landelijke registraties in de zorg. De centrale vraag was in hoeverre de registraties gegevens bevatten die herleidbaar zijn tot individuele patiënten, in relatie tot de vraag naar de rechtmatigheid van dit soort gegevensverzamelingen en de rechtmatigheid van de verstrekking van gegevens daaruit voor onder meer onderzoek en beleid. Op grond van de bevindingen uit het onderzoek heeft het CBP een aantal aanbevelingen geformuleerd. De belangrijkste aanbevelingen zijn: de registraties dienen zo min mogelijk te werken met gegevens die direct of indirect herleidbaar zijn tot individuele personen; herleidbaarheid van gegevens kan verregaand beperkt worden door het toepassen van Privacy-Enhancing Technologies (PET) zonder nadelig gevolg voor de onderzoekswaarde van de gegevens; patiënten van wie gegevens in de registraties worden opgenomen, dienen over het algemeen meer en beter geïnformeerd te worden; de beveiliging van de gegevens dient verbeterd te worden. Het CBP heeft er alle vertrouwen in dat de aanbevelingen uit het rapport door de landelijke zorgregistraties ter harte worden genomen. Verantwoordelijken voor de onderzochte registraties zijn zich bewust van het belang van de bescherming van persoonsgegevens. De Stichting Federatie van Medisch Wetenschappelijke Verenigingen heeft een gedragscode opgesteld om richtlijnen te geven voor het gebruik van persoonsgegevens bij gezondheidsonderzoeken. Deze Gedragscode voor gezondheidsonderzoek Goed Gedrag is ook relevant voor het verzamelen en verstrekken van gegevens voor onderzoek. In 2004 gaf het CBP zijn goedkeuring aan de code. Zelfregulering ten behoeve van de bescherming van de persoonlijke levenssfeer is een nodig en door de wetgever gewenst complement op het controlerend toezicht door het CBP. Jacob Kohnstamm voorzitter

4 maart 2005 INHOUDSOPGAVE Hoofdstuk 1. Inleiding en aanpak onderzoek...5 Inleiding Aanpak Onderzoeksvragen Deelnemers aan het onderzoek... 7 Hoofdstuk 2. Algemeen wettelijk kader voor dit onderzoek Inleiding Beginselen van de WBP Geheimhoudingsplicht Informeren van betrokkene Beveiliging Hoofdstuk 3. Belangrijkste bevindingen in het onderzoek bij de registraties Inleiding Belangrijkste bevindingen Herleidbaarheid Rechtmatige grondslag en noodzakelijkheid van gegevens Informeren van betrokkenen Beveiliging Bijlage relevante wetteksten WBP Burgerlijk Wetboek Boek

5 maart HOOFDSTUK 1. INLEIDING EN AANPAK ONDERZOEK Inleiding In zorgend Nederland wordt heel wat geregistreerd. In de eerste plaats is dit natuurlijk noodzakelijk om het zorgproces direct te ondersteunen en ook om de financiële afwikkeling in de zorg mogelijk te maken. Maar het is gebleken dat er daarnaast steeds meer landelijke registraties van medische en patiëntengegevens bijkomen voor andere doeleinden. Wat weet eigenlijk de patiënt van de registratie van zijn gegevens in landelijke databanken? De indruk is ontstaan dat de patiënt daar weinig van weet. Als toezichthouder op de verwerking van persoonsgegevens vroeg het CBP zich af waarvoor deze registraties precies worden gebruikt. Voor het CBP was in de eerste plaats belangrijk te onderzoeken of de gegevens in registraties tot de persoon van de patiënt herleidbaar zijn. En zo ja, wordt zijn privacy dan voldoende beschermd? Ook vroeg het CBP zich af of er eigenlijk wel een rechtmatige grondslag bestaat voor al die registraties. Voor het verwerken van herleidbare patiëntengegevens biedt de wet namelijk maar beperkte mogelijkheden. Dit in verband met de gevoeligheid van de gegevens en het voor artsen mede om die reden geldende beroepsgeheim. De Registratiekamer, voorganger van het CBP, heeft begin jaren negentig in het kader van een knelpuntennotitie medisch wetenschappelijk onderzoek een overzicht gemaakt van landelijke registraties in de zorg en mogelijke knelpunten. Intussen is er ook op zaaksniveau ervaring opgedaan met een aantal landelijke registraties, waarbij werd geconstateerd dat sommige situaties wel en sommige niet door de wettelijke beugel konden. Tegen deze achtergrond is het doel van dit project vastgesteld: het doen van een oriënterend feitenonderzoek en het daarmee inzichtelijk maken van het functioneren van een aantal landelijke registraties. 1.1 Aanpak Het CBP heeft een beperkte inventarisatie gemaakt van landelijke registraties die gerelateerd zijn aan de zorgsector, waarbij gebruik is gemaakt van informatie van de 'Tellen en Meten' website van het ministerie van Volkshuisvesting Welzijn en Sport. Vervolgens zijn vijf registraties uitgekozen, waarop het onderzoek is gericht. Het kiezen van de registraties voor het onderzoek is gebeurd aan de hand van de volgende uitgangspunten. De behoefte bestond een aantal voor het CBP nog onbekende registraties te onderzoeken.

6 maart Daarnaast wilde het CBP een aantal bekende registraties onderzoeken om inzicht te krijgen in wat verantwoordelijken gedaan hebben met eerdere uitspraken of aanbevelingen van de toezichthouder. Er zou in elk geval een grote registratie onderzocht worden. Groot in de zin dat bijna iedere persoon ermee te maken heeft. De verwachte gevoeligheid van verwerkte gegevens of verwachte interessante uitkomsten van onderzoek naar aanleiding van hetgeen uit de inventarisatie van de registraties naar voren is gekomen. De keuzes voor de deelnemende registraties zijn hieronder gemotiveerd. 1.2 Onderzoeksvragen In het onderzoek stonden de hieronder geformuleerde vragen centraal. Welke gegevens worden geregistreerd; Wie is verantwoordelijke 1 voor de verwerking; Wie is de eventuele bewerker 2 ; Wat is het doel of zijn de doelen van de registratie; Wie vormen de groep van betrokkenen 3 ; Is er een wettelijke verplichting of aanleiding voor het voeren van de registratie; Wat is de rechtmatigheidsgrondslag voor de registratie; Hoe en bij wie worden gegevens verkregen; Is de betrokkene geïnformeerd over de registratie en op welke wijze; Is er eventueel sprake van toestemming om opgenomen te worden; Wie hebben toegang tot de gegevens; Wie zijn de ontvangers van gegevens uit de registratie; Welke technische en organisatorische beveiligingsmaatregelen zijn er; Deze vragen zijn beantwoord door middel van het combineren van een aantal onderzoeksmethoden. Middels een introducerende brief werden de verantwoordelijken medio juli 2002 op de hoogte gesteld van het onderzoek. Daarin werden deze vragen gesteld aan de verantwoordelijke. Naar aanleiding van de brief werden afspraken gemaakt om met de verantwoordelijke en eventueel ook met bewerkers te spreken. Een interview en een beperkte feitelijke controle van de verwerking hebben vervolgens plaats gehad tussen eind augustus 2002 en januari Afhankelijk van de behoefte van het onderzoek bij verschillende registraties is het vervolgtraject enigszins verschillend geweest. Met verschillende registraties hebben vervolggesprekken plaatsgehad in 2003 en begin Juni 2004 werd aan de 1) Verantwoordelijke in de zin van de WBP is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vastgesteld. 2) Bewerker in de zin van de WBP: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. 3) Betrokkene in de WBP is degene op wie een persoonsgegeven betrekking heeft.

7 maart betrokken verantwoordelijken het hun betreffende deel van de bevindingen toegezonden. Met dit rapport is het onderzoek afgesloten. Dit rapport dient om de belangrijkste bevindingen uit het onderzoek in bredere kring beschikbaar te maken, in de hoop dat ook andere registraties in de zorg daarmee hun voordeel kunnen doen. Voor zover er sprake is van een bewerker van de geregistreerde gegevens, is ook deze in het onderzoek betrokken. Prismant (fusie van Stichting Informatiecentrum voor de Gezondheidszorg (SIG) en het Nationaal Ziekenhuis Instituut (NZi) te Utrecht speelt een centrale rol. Prismant is voor vele registraties in de zorg de bewerker en zo ook voor een aantal van de onderzochte registraties. Prismant houdt daarnaast ook als verantwoordelijke enkele registraties, hetgeen in dit onderzoek echter niet aan de orde is. 1.3 Deelnemers aan het onderzoek De volgende registraties zijn in het onderzoek betrokken: - Het Pathologisch Anatomisch Landelijk Geautomatiseerd Archief (PALGA). Het PALGA bevat gegevens van alle patiënten die via hun huisarts of specialist een pathologieonderzoek hebben laten verrichten, zoals weefsel- en celonderzoek. Het PALGA bestaat al sinds Het was de eerste registratie waarvan het SIG (opgegaan in Prismant) destijds de bewerker was, in de tijd dat de naam van de registratie SIG- PALGA luidde. De verantwoordelijke voor de PALGA registratie is de Stichting PALGA en Prismant is de bewerker. Het CBP heeft in het verleden regelmatig contact gehad met het PALGA of diens voorganger, maar nooit eerder heeft er een op PALGA gericht onderzoek plaatsgehad. De keuze voor het PALGA is gelegen in de toenemende nieuwsgierigheid van de toezichthouder om eens van dichtbij naar de registratie te kijken waarover al veel gesproken/gehoord is. Daarnaast is de registratie naar zijn aard interessant omdat deze zich richt op verzamelen van alle uitslagen van PA-laboratoria in Nederland. De verschillende doeleinden van deze registratie maakt dat een bepaalde mate van herleidbaarheid van gegevens in de registratie verwacht werd door het CBP. Tot slot is het feit dat vrijwel alle personen in Nederland in de registratie zullen (gaan) voorkomen van belang geweest voor de keuze. Naast de genoemde vragen, vraagt het CBP zich af in hoeverre er in deze registratie gegevens betreffende erfelijke eigenschappen' worden verwerkt en zo ja, in hoeverre daarbij uitvoering is gegeven aan het bepaalde in artikel 21 lid 4 WBP.

8 maart Het doel van de gegevensverwerking in PALGA is als volgt: 1. Ondersteuning van het pathologisch onderzoek in het kader van de behandeling van de patiënt; 2. Wetenschappelijk onderzoek en onderwijs; 3. Kwaliteitscontrole voor clinici zowel als pathologen; 4. Ondersteuning van bevolkingsonderzoeken Baarmoederhalskanker en Borstkanker. - De Perinatale Registratie Nederland (PRN). Deze nog nieuwe registratie is een samenvoeging van de Landelijke Verloskunde Registratie- eerste lijn (inclusief de Landelijke Verloskunde Registratie- huisartsen), de Landelijke Verloskunde Registratie- tweede lijn, alsmede de Landelijke Neonatologie Registratie. De registratie bevat gegevens van vrouwen en hun kinderen omtrent de zwangerschap, geboorte van het kind en andere medische informatie over de pasgeborene en de moeder in de perinatale periode. Deze registratie is gekozen voor het onderzoek vanwege de aard van de registratie en de verwachte gevoelige items. Daarbij komt dat uit eerdere gesprekken van het CBP met de Stichting Perinatale Registraties Nederland is gebleken dat men met toestemming van de betrokkenen wil gaan (ver)werken. Het CBP was benieuwd naar de uitwerking van dit voornemen en verwachtte iets te leren over de werkbaarheid daarvan. Tot slot vraagt het CBP zich af in hoeverre er in deze registratie gegevens betreffende erfelijke eigenschappen' worden verwerkt en zo ja, in hoeverre daarbij uitvoering is gegeven aan het bepaalde in artikel 21 lid 4 WBP. De doelen voor verwerking van gegevens in de PRN zijn: 1. De bewaking en verhoging van de kwaliteit van handelen in de (perinatale) gezondheidszorg. 2. Het uitvoeren en mogelijk maken van wetenschappelijk onderzoek. - Het landelijke Zorg Registratiesysteem (ZRS). Het ZRS bevat gegevens omtrent de vraag, indicatie en toewijzing van zorg- en dienstverlening aan (verstandelijk) gehandicapten, die zijn geïndiceerd voor AWBZ zorg. Bij het CBP bestond het vermoeden, mede op grond van informatie verkregen uit de inventarisatie, dat er in de ZRS veel bijzondere persoonsgegeven op herleidbaar niveau worden verwerkt. Dit wekte de nieuwsgierigheid naar de organisatie en grondslagen van de registratie. Het ZRS functioneert naast de AWBZ brede zorgregistratie (AZR). Op termijn wordt de ZRS vervangen door de AZR.

9 maart Het doel van de ZRS registratie is: 1. Landelijke informatie genereren omtrent de vraag, indicatie en toewijzing van zorg- en dienstverlening aan (verstandelijk) gehandicapten ten behoeve van beleid. - De landelijke GGZ registratie, het ZORGIS. Gezien de gevoeligheid van gegevens gerelateerd aan de geestelijke gezondheidszorg en de verwachte beveiligingsgraad van de gegevensverwerking (het CBP heeft eerder met de verantwoordelijke om de tafel gezeten om over de registratieopzet te spreken) is het CBP geïnteresseerd geraakt in de praktische werkbaarheid van het systeem en de feitelijke gang van zaken. Het doel van deze registratie is door GGZ Nederland als volgt omschreven: 1. Ondersteuning landelijk en regionaal beleid; 2. Informatieverschaffing over de verlening van geestelijke gezondheidszorg ten behoeve van beleid en de sturing en verantwoording van de zorg; 3. Ondersteuning bij wetenschappelijk onderzoek inzake de geestelijke gezondheidszorg. - Het Landelijk Informatienetwerk Huisartsen. In deze registratie worden medische gegevens opgenomen van patiënten betreffende de consulten bij huisartsen die deelnemen aan het netwerk. Het CBP kwam door de inventarisatie op de hoogte van het bestaan van deze registratie. Gedurende het onderzoek bleek echter ook de Registratiekamer al contact te hebben gehad met de verantwoordelijken voor deze registratie in het kader van de uitvoering van een studie waarvoor in het verleden tijdelijk extra informatie is geregistreerd. De inventarisatie maakte dat het CBP zich afvroeg of de verantwoordelijken voor deze registratie en de betrokken deelnemers zich voldoende bewust zijn van het geregelde in de WBP en de WGBO. Het CBP was benieuwd naar het doel van deze registratie en naar de omvang van de vastgelegde gegevens. De doelen van het LINH zijn als volgt omschreven: 1. Onderbouwing landelijk beleid van beroepsgroep en overheid; 2. Het doen van wetenschappelijk onderzoek ten behoeve van kwaliteitsbeleid huisartsen; 3. Het beantwoorden van vraagstellingen op het gebied van gezondheidszorgbeleid.

10 maart HOOFDSTUK 2. ALGEMEEN WETTELIJK KADER VOOR DIT ONDERZOEK Inleiding Het CBP is op grond van artikel 51 lid 1, in samenhang met artikel 60 WBP bevoegd tot het instellen van een onderzoek naar de verwerking van persoonsgegevens. Bij landelijke registraties in de gezondheidszorg gaat het vaak om persoonsregistraties waarin tevens bijzondere gegevens, namelijk gegevens betreffende de gezondheid zijn opgenomen. In het geval er geen persoongegevens worden verwerkt, is de Wet bescherming persoonsgegevens (WBP) niet van toepassing en vervalt de bevoegdheid van het CBP. In dit onderzoek is vastgesteld of zulks het geval is. Bij persoonsgegevens gaat het erom of er sprake is van direct dan wel indirect identificerende gegevens. De WBP bepaalt het juridisch kader voor de bescherming van persoonsgegevens. Andere wetgeving regelt aanvullend die bescherming. In het kader van dit onderzoek zijn de Wet BIG en de WGBO van belang, waarin het beroepsgeheim van onder andere artsen geregeld wordt. Een geheimhoudingsverplichting kan ook uit beroepscodes en andere regelingen voorvloeien die zonodig aan de orde komen. Daarnaast bestaat er een gedragscode over de spelregels bij gezondheidsonderzoek. Deze code, Gedragscode Goed Gedrag, van de FMWV werkt ook nader de regels uit met betrekking tot de omgang met persoonsgegevens. In 2004 is deze (herziene) code opnieuw van een goedkeurende verklaring voorzien door het CBP. Deze code mag niet in strijd met de WGBO of WBP worden uitgelegd. 2.1 Beginselen van de WBP In zijn algemeenheid dienen persoonsgegevens op een behoorlijke en zorgvuldige wijze te worden verwerkt in overeenstemming met de wet. De gegevens worden voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel verzameld en mogen alleen worden verwerkt als daartoe een grondslag is aan te wijzen in artikel 8 WBP. Daarnaast moet de verwerking noodzakelijk zijn om het gestelde doel te dienen. Dit wil zeggen dat de te verwerken gegevens toereikend, ter zake dienend en niet bovenmatig mogen zijn gelet op het doel (artikel 11 WBP). Een verdere verwerking van gegevens is bovendien alleen toegestaan als de verwerking niet onverenigbaar is met het doel waarvoor de gegevens zijn verkregen (artikel 9 WBP). Een en ander komt aan de orde als de verwerking niet reeds uit andere hoofde verboden is. Paragraaf 2 van Hoofdstuk 2 van de WBP regelt de verwerking van bijzondere gegevens. De registraties die aan dit onderzoek onderworpen zijn bevatten zonder uitzondering gegevens betreffende de gezondheid. Het verwerken daarvan is op grond van artikel 16 van de WBP in zijn algemeenheid verboden. Echter voor de

11 maart gezondheidszorg en aangrenzende gebieden regelt artikel 21 WBP logischerwijs een ontheffing van dat verbod, onder de daar gestelde voorwaarden. In aanvulling op - maar onverminderd - artikel 21 biedt artikel 23 WBP enkele gronden waarop van het algemene verbod ontheven wordt. In dit onderzoek is van die gronden uit artikel 23 WBP de 'uitdrukkelijke toestemming van de betrokkene' voor het verwerken van de gegevens betreffende de gezondheid van belang, alsmede de uitzondering van het tweede lid, betreffende de verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek, onder bepaalde voorwaarden. 2.2 Geheimhoudingsplicht Als een geheimhoudingsplicht in de weg staat aan een bepaalde verwerking van persoonsgegevens is deze uit dien hoofde reeds niet toegestaan. Kenmerkend voor de deelnemende landelijke registraties in de zorg is dat gegevens van patiënten of cliënten in de zorg ten behoeve van de registratie worden verkregen bij hulpverleners in de zorg of zorg- of welzijnsinstellingen. Deze dienen zorg te dragen voor de geheimhouding van de gegevens van betrokkenen. De geheimhoudingsplicht heeft echter geen absoluut karakter. Op grond van artikel 457 van boek 7 Burgerlijk Wetboek (zgn. WGBO) zijn de uitzonderingen op de geheimhouding: een (specifieke) wettelijke verplichting; de toestemming van de patiënt; de situatie waarin gegevens worden gedeeld met iemand die direct bij de uitvoering van de behandelingsovereenkomst betrokken is of die optreedt als vervanger van de hulpverlener, voorzover de gegevens noodzakelijk zijn voor diens taak; Op grond van artikel 458 van boek 7 Burgerlijk Wetboek kunnen daarnaast zonder toestemming van de patiënt gegevens worden verstrekt door de geheimhoudingsplichtige ten behoeve van wetenschappelijk onderzoek en statistiek, indien: het vragen van toestemming in redelijkheid niet mogelijk is en de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad, of het vragen van toestemming, gelet op aard en doel van het onderzoek, in redelijkheid niet kan worden verlangd, en de hulpverlener de gegevens in zodanige vorm verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen. Verstrekking is op die gronden echter alleen mogelijk indien het onderzoek een algemeen belang dient, zonder de betreffende gegevens niet kan worden uitgevoerd, én de patiënt tegen de verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.

12 maart Informeren van betrokkene Als de verantwoordelijke gegevens rechtmatig heeft verkregen en verder verwerkt, is het voorts van belang dat hij de betrokkene informeert over de registratie en de verantwoordelijke (artikel 34 WBP), indien betrokkene daarvan niet reeds op de hoogte is, en het informeren niet onmogelijk is gebleken of een onevenredige inspanning kost. Informatie behoeft niet te worden gegeven als de vastlegging van de gegevens of de verstrekking daarvan door de wet is voorgeschreven. Het informeren van de betrokkenen is nodig om de transparantie van gegevensverwerkingen te waarborgen. Alleen als iemand voldoende op de hoogte is van de gegevensverwerking is het ook mogelijk om de wettelijk toegekende rechten van betrokkene te effectueren. Zo moet een betrokkene in staat worden gesteld gegevens in te zien, afschrift daarvan te ontvangen en foutieve gegevens te laten corrigeren of verwijderen. Daarnaast heeft de patiënt het recht gegevens te laten vernietigen op grond van de WGBO, voorzover van toepassing. Het informeren van betrokkenen kan achterwege blijven (artikel 44 WBP) indien de verwerking van persoonsgegevens plaatsvindt door een instelling of dienst voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de gegevens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden gebruikt. In dat geval is ook het verlenen van inzage in gegevens en het bieden van een mogelijkheid tot correctie, aanvulling of verwijdering van foutieve gegevens niet verplicht. 2.4 Beveiliging Artikel 13 WBP verplicht de verantwoordelijke om technische en organisatorische maatregelen te treffen teneinde persoongegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Bij de verwerking van bijzondere gegevens, waarop vaak een geheimhoudingsplicht rust, klemt deze verplichting te meer. Het aantal mogelijke rechtmatige verwerkingen is immers beperkt. In het onderzoek zal het CBP de beveiligingsmaatregelen slechts op globale manier onder de loep nemen.

13 maart HOOFDSTUK 3. BELANGRIJKSTE BEVINDINGEN IN HET ONDERZOEK BIJ DE REGISTRATIES Inleiding In dit onderzoek heeft het CBP in beperkte omvang onderzoek verricht naar de wijze waarop en de zorgvuldigheid waarmee door landelijke registraties in de zorg persoonsgegevens worden verwerkt. Kenmerkend van deze registraties is dat gegevens, veelal patiëntengegevens, ergens centraal worden opgeslagen, waarbij vervolgens voor een bepaald doel, vaak wetenschappelijk of kwaliteitsonderzoek, uit deze database gegevens kunnen worden verstrekt. De registratie is daarbij in feite intermediaire leverancier van onderzoeksgegevens welke daarnaast rechtstreeks bij of via de hulpverlener beschikbaar zijn (en blijven). In een enkel geval is de verantwoordelijke voor de registratie zelf onderzoeksinstituut (met eigen onderzoekers), maar in de meeste gevallen niet. Het CBP onderkent het grote nut en de noodzaak van zowel wetenschappelijk- als kwaliteitsonderzoek in de zorg en onderhavig onderzoek heeft dan ook allerminst als een doelstelling om een oordeel te geven over het nut van de gegevensverwerking voor onderzoek. Het CBP heeft slechts de wijze waarop dat bij deze registraties gebeurt vergeleken met de voorschriften die daarvoor zijn, en de zorgvuldigheid waarmee een en ander plaatsvindt, als een soort totaalbevinding, getoetst. Een en ander overeenkomstig de taken van het CBP als toezichthouder. 3.2 Belangrijkste bevindingen Voor het onderzoek bij de vijf landelijke registraties geldt dat het CBP over het algemeen een redelijke tot goede indruk heeft gekregen van de manier waarop door de registraties met persoonsgegevens wordt omgegaan. Daarbij werd echter duidelijk dat verbeteringen in bijna alle gevallen mogelijk en noodzakelijk waren. Het CBP acht verbeteringen met relatief eenvoudige ingrepen mogelijk zonder de waarde van gegevens voor onderzoek werkelijk te beperken. Het gaat daarbij in de eerste plaats om het zo veel mogelijk beperken van herleidbaarheid van gegevens. Een aantal belangrijke aanbevelingen zijn inmiddels door de registraties overgenomen. Belangrijke terugkerende elementen van de bevindingen zijn: De vraag van de herleidbaarheid van gegevens tot individuele personen (zie 3.3) Ten onrechte wordt nog vaak aangenomen dat indirect herleidbaar, anoniem is en de WBP daarom niet van toepassing. Dit kan te maken hebben met de kennis van regelgeving dan wel de interpretatie van normen, waarbij het veld soms geneigd is regelingen ruimer te interpreteren dan volgens het CBP juist is. Maatregelen die zijn getroffen om herleidbaarheid van gegevens tot personen te beperken betekenen in onderzochte gevallen vaak niet dat gegevens niet meer als persoonsgegevens dienen te worden beschouwd. Het beschouwen van gegevens

14 maart als persoonsgegevens heeft natuurlijk gevolgen voor hoe voorts met de gegevens om dient te worden gegaan en wat is toegestaan met die gegevens. Als het niet noodzakelijk is herleidbare gegevens te verwerken is dit in elk geval niet toegestaan. Herleidbaarheid kan (verdergaand) beperkt worden door het goed samenstellen van de dataset en het toepassen van Privacy Enhancing Technologies (PET), zoals versleuteling van gegevens. Een rechtmatige grondslag voor de verwerking van persoonsgegevens (zie 3.4) Het formuleren van de grondslag is in het onderzoek niet eenvoudig gebleken. Vaak geldt de verantwoordelijke niet als een verantwoordelijke in de zin van artikel 21 WBP en is er ook geen sprake van uitdrukkelijke toestemming van betrokkene voor verwerking, overeenkomstig art. 23 WBP. Wat resteert is dan de grondslag voor het verwerken van gegevens voor wetenschappelijk onderzoek, welke aan strikte voorwaarden is gebonden. Bij dit onderwerp is het belangrijk om te kijken naar de doelen voor het registreren van gezondheidsgegevens in relatie tot de hoeveelheid verzamelde gegevens en de samenstelling van de gegevens (hoe gemakkelijk het is om tot identificatie te komen). De vraag van de noodzakelijkheid van gegevens komt daarbij ook aan de orde. De vraag is vaak of identificatie van personen nodig is bij de verwerking gelet op het doel van de registratie of mogelijk alleen verificatie van het gebruik van gegevens van dezelfde persoon (zonder de identiteit te kennen). Problemen die worden aangekaart door verantwoordelijken hebben vaak te maken met de mogelijkheid gegevens van dezelfde persoon bij elkaar te brengen (en aldus het uitsluiten van het hebben van administratieve meerlingen) en de mogelijkheid terug te gaan naar een persoon in bijv. cohort-studies. De goede toepassing van Privacy Enhancing Technologies (PET) komt hierbij aan de orde. Verwerking van erfelijkheidsgegevens is daarenboven in de registraties slechts toegestaan met betrekking tot de betrokkene bij wie de gegevens zijn verkregen, tenzij deze verwerking noodzakelijk is voor wetenschappelijk onderzoek en statistiek en overigens aan de spelregels voor wetenschappelijk onderzoek is voldaan of een zwaarwegend geneeskundig belang prevaleert. Het informeren van betrokkene door de verantwoordelijke (zie 3.5) Op grond van de WBP dienen betrokkenen in beginsel te worden geïnformeerd over de verwerking van hun gegevens. In het onderzoek bleek dat verbetering van de informatie nodig is. Er is in een aantal gevallen wel informatiemateriaal bij de berichtgevers voorhanden, maar die informatie was niet steeds toereikend. Ook was niet duidelijk of de informatie de betrokkenen bereikt. Dit is dus ook algemeen aandachtspunt. De uitzonderingsgrond van 44 WBP op de

15 maart informatieverplichting is niet zonder meer van toepassing op registraties in de zorg. Algemene beveiliging De beveiliging van gegevens is in een aantal gevallen enigszins tot behoorlijk onder de maat. De beveiliging is slechts beperkt onderzocht. De meeste informatie is verkregen door interviews. Het gaat om zowel de beveiliging van de databases als de gegevensaanlevering aan de registraties en de beveiliging van het gebruik en de toegang tot gegevens. Wat er van de verantwoordelijke in de huidige tijd, met de huidige behoefte aan gegevensverwerking (informatie) alsmede de mogelijkheden van de techniek, verwacht mag worden ten aanzien van veilige gegevensverwerking komt hier aan de orde. Deze elementen, die alle onderdeel vormen van de normen voor gegevensverwerking, worden hieronder nader besproken aan de hand van de ervaringen bij het onderzoek van de registraties. 3.3 Herleidbaarheid De WBP is slechts van toepassing als het om persoonsgegevens gaat. Om vast te stellen of een registratie een verwerking van persoonsgegevens is dient te worden vastgesteld of er sprake is van verwerking van direct, dan wel indirect identificerende gegevens. De mate van herleidbaarheid 4 is verder een interessant gegeven om de regels van de WBP toe te kunnen passen. Zo mogen onder andere slechts die gegevens worden verwerkt die ook noodzakelijk zijn voor het doel van de verwerking en slechts voorzover de verwerking is toegelaten in de wet, er met andere woorden een grondslag voor bestaat. Niet direct herleidbaar De onderzochte registraties bevatten geen van alle direct herleidbare gegevens zoals bijvoorbeeld een naam of een naam in combinatie met geboortedatum. De mate waarin een gegeven uniek voor een bepaalde persoon is, bepaald of er sprake is van directe identificatie. Geen van de onderzochte registraties bevat de namen van betrokkenen als zodanig. Een tweetal registraties, het PALGA en het ZORGIS, bevat wel naamsgegevens in versleutelde vorm. De verschillende manieren waarop dit gebeurt worden hieronder beschreven. Het CBP heeft geconstateerd dat geen van de onderzochte registraties ook 4) In deze rapportage worden de begrippen herleidbaar en identificerend naast elkaar gebruikt om hetzelfde aan te duiden.

16 maart overigens direct herleidbare gegevens bevat. De Stichting PRN heeft aangegeven in de toekomst mogelijk naamsgegevens te willen gaan verwerken met de uitdrukkelijke toestemming van betrokkenen. De registraties bevatten overigens een vrij omvangrijke, gedetailleerde en gevarieerde gegevensset, waarin ook bijzondere gegevens, voornamelijk gegevens betreffende de gezondheid, zijn opgenomen. Deze combinatie van gegevens kan bijdragen aan de indirecte herleidbaarheid van betrokkenen. Er is sprake van indirecte herleidbaarheid als de verantwoordelijke, eventueel met hulp van anderen, zonder een onevenredige inspanning te moeten leveren tot herleiding van de identiteit van de betrokkene kan komen. Ook de (maatschappelijke) omstandigheden waarin de verantwoordelijke zich bevindt kunnen daarbij een rol spelen. Geen persoonsgegevens Een van de registraties, het ZORGIS, werkt met pseudonimisering van patiëntgegevens. Dat wil zeggen dat een aantal vaststaande soorten gegevens (bijv. achternaam, geboortedatum en geboorteplaats) worden gebruikt om daarvan een code te genereren (door een Trusted Third Party) die bij die combinatie van gegevens hoort en derhalve bij een bepaalde persoon. Dit nummer wordt vervolgens als koppelingsgegeven bij andere gegevens over de persoon verwerkt, zonder dat de gegevens waaruit de code is opgebouwd worden verwerkt door de verantwoordelijke. Wat ZORGIS betreft heeft het CBP geoordeeld dat er onder voorbehoud van uitgegaan kan worden dat in het ZORGIS geen persoonsgegevens worden verwerkt. Het CBP redeneert daarbij als volgt: Voor het onderzoek is belangrijk vast te stellen of er sprake is van verwerking van persoonsgegevens. Direct identificerende gegevens zijn deels verwijderd door middel van dubbele encryptie. Door gebruikmaking van dubbele encryptie van voorletter, naam, geboortedatum en geslacht, met behulp van een Trusted Third Party is het niet mogelijk om uit de versleutelde code de identiteit van een cliënt te achterhalen. Alle datumvelden worden daarnaast teruggebracht naar weekniveau. Het Zorgis is een omvangrijke en gevarieerde gegevensset. Het gaat in principe om gegevens van alle GGZ-cliënten in Nederland. De gegevens zijn voor een groot deel bijzondere gegevens met een gevoelig en onderscheidend karakter. Met de mogelijkheid van incidentele spontane herkenning dient rekening te worden gehouden. Evenwel is er in beginsel geen sprake van directe identificatie. De bijzondere gevallen waarin dit anders zou kunnen zijn dienen te worden vermeden. Daarbij valt ook te denken aan de herhaalbaarheid van de versleutelingsprocedure door de betrokken partijen op basis van voorletter, naam, geboortedatum en geslacht.

17 maart Ter beoordeling van het feit of er nog sprake is van persoonsgegevens moet worden bepaald of er sprake is van indirecte identificeerbaarheid. Het CBP meent dat redelijkerwijs mag worden aangenomen dat er geen sprake is van indirecte identificeerbaarheid. Daarbij past het voorbehoud dat geen koppeling of vergelijking met gegevens uit andere bron plaatsvindt, waardoor er alsnog sprake zou kunnen zijn van herleidbaarheid. Bij verstrekking van gegevens uit de database aan derden dient derhalve rekening te worden gehouden met het elimineren van velden op grond waarvan koppeling mogelijk is. Onder die voorwaarden zal het CBP de Zorgis registratie beschouwen als een registratie die geen persoonsgegevens bevat. De WBP kan dan geacht worden niet van toepassing te zijn op de verwerking. Evenwel is het nuttig de WBP als richtsnoer te gebruiken voor de zorgvuldige omgang met gegevens en als handvat voor het instandhouden van de situatie waarin aangenomen mag worden dat geen persoonsgegevens worden verwerkt. Indirect herleidbaar Hoewel in het PALGA zoals gesteld naamsgegevens (maximaal eerste 8 letters) versleuteld zijn vastgelegd, is uit het gesprek met de Stichting PALGA naar voren gekomen dat het mogelijk is om aan de hand van naamsgegevens de versleutelingsprocedure te herhalen en op die wijze identificatie tot stand te brengen. Dit gebeurde op het moment van dit onderzoek ten behoeve van cohort-vragen. Op die grond kan al gesteld worden dat er sprake is van verwerking van persoonsgegevens, hoewel de combinatie van gegevens daarnaast ook als indirect herleidbaar kan worden beschouwd. Ook bij de PRN en het LINH is sprake van indirect herleidbare gegevens. Gegevens die onder andere worden verwerkt bij deze laatste drie registraties en die het CBP in combinatie als indirect herleidbaar beschouwd zijn bijvoorbeeld geboortedatum, geslacht, vier cijfers van de postcode, diagnose informatie, andere medische gegevens, andere datumvelden en soms ook geboorteplaats. Ook bevatten de gegevensrecords een cliënt- of patiëntnummer dat in de praktijk of instelling van herkomst als patiënt- of cliëntidentificatie wordt gebruikt. Uit het nummer zelf of uit een extra nummer blijkt de hulpverlener of instantie welke de gegevens heeft aangeleverd.

18 maart Geen persoonsgevens nodig Ook bij de ZRS registratie is het CBP van mening dat ten tijde van het onderzoek sprake was van indirecte herleidbaarheid, zij het in mindere mate omdat de combinatie van indirecte identificatoren minder uitgebreid is. Gelet op het doel van deze registratie vond het CBP daarnaast dat het eigenlijk niet nodig is om persoonsgegevens te verwerken in het ZRS. Dit was ook niet gewenst door het CVZ, de verantwoordelijke voor het ZRS. Het CBP oordeelde daarom dat deze situatie door een kleine aanpassing gewijzigd kon worden en redeneerde daarbij als volgt: Binnen de verwerking van gegevens bij het CVZ zijn de rubrieken met de direct identificeerbare gegevens zoals die aanwezig zijn bij de aanleverende regionale instellingen, voor de verstrekking aan het CVZ verwijderd. Directe identificatie van betrokkenen door het CVZ wordt redelijkerwijs voorkomen. Landelijk uniek nummer Omdat het in het belang van het CVZ is, om cliënten anoniem te kunnen volgen binnen alle regio s waar een betrokkene zorg ontvangt, is het landelijk uniek nummer geïntroduceerd. De methode waarop dit nummer wordt aangemaakt is identiek voor alle regio s. Binnen elke regio wordt dit nummer gegenereerd en toegevoegd aan de gegevensset, vóór de verstrekking aan het CVZ. De techniek die hiervoor wordt gebruikt maakt het voor het CVZ lastig om betrokkene te kunnen achterhalen. Het gebruikte MD5-algorime is een zogenaamd one-way hashing-algoritme waardoor het onmogelijk is om de oorspronkelijke string te berekenen aan de hand van het landelijk uniek nummer. Wel zou het in principe mogelijk zijn een aanwijsbare persoon na te zoeken door de versleutelingsprocedure te herhalen. Hiervoor zijn echter extra gegevens nodig. De gebruikte versleutelingsprocedure is volgens de bewerker niet geheim. Er is derhalve niet echt sprake van anoniem volgen met behulp van het landelijk unieke nummer. Dit is echter eenvoudig te veranderen door het aangeleverde versleutelde nummer, nogmaals met een geheime sleutel via een one-way hashing methode te (laten) versleutelen, alvorens het in de registratie op te nemen en het bestand te lezen. Het niet anoniem volgen van cliënten heeft met het oog op de doeleinden van de registratie geen noodzaak en dient om die reden te worden voorkomen. Cliëntnummer Het CVZ verwerkt in de ZRS registratie echter ook een bij de zorgverlening toegekend cliëntnummer. Het betreft een uniek nummer, dat zowel naar instelling als naar de cliënt te herleiden is, waarbij de herleidbaarheid naar de cliënt afhankelijk is van de medewerking van de betreffende instelling, of anderen die het nummer noodzakelijk verwerken. Naar zijn aard zou dit nummer als persoonsgegeven kunnen worden aangemerkt. Het is echter

19 maart tevens van belang te bepalen of de verantwoordelijke over mogelijkheden beschikt om identificatie tot stand te brengen. Een gegeven is geen persoonsgegeven indien doeltreffende maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van personen redelijkerwijs wordt uitgesloten. De vraag of er in dit geval gesproken kan worden van persoonsgegevens is afhankelijk van de mate waarin medewerking van de berichtgevende instellingen aan de CVZ om tot herleiding te komen verwacht kan worden, alsmede de mate waarin verwacht mag worden dat ontvangers (gebruikers) van de gegevens uit de ZRS registratie door de beschikking over andere (koppelbare) gegevens redelijkerwijs in staat zullen zijn personen te identificeren. Ook hier geldt dat nazoeken aan de hand van een bekend cliëntnummer steeds mogelijk is. Het CBP meent dat aan de hand van de gegevens die in de ZRS registratie worden vastgelegd en gelet op de hiervoor omschreven context, zonder onevenredige moeite, door de verantwoordelijke identificatie van personen zou kunnen plaatshebben. Er dient derhalve vanuit te worden gegaan dat het ZRS een registratie is die persoonsgegevens bevat. De WBP is dus van toepassing op de verwerking van gegevens ten behoeve van de ZRS registratie door CVZ. Advies tot verwijdering cliëntnummer In de gesprekken met de bewerker van de landelijke ZRS registratie, Prismant, is het CBP meegedeeld dat het veld cliëntnummer geen onderdeel uitmaakt van de door of namens het CVZ te vervaardigen rapportages. Overigens wordt het veld ook niet noodzakelijk geacht voor het doel dat wordt beoogd met het landelijke ZRS. Het veld cliëntnummer wordt derhalve vooralsnog bovenmatig beschouwd. Het verwerken van bovenmatige gegevens dient op grond van de WBP voorkomen te worden. Het CBP adviseert derhalve om het veld cliëntnummer te verwijderen uit het ZRS en uit de te verwerken gegevensset. Vanzelfsprekend dient dit laatste vervolgens te gebeuren binnen de regio s vóór deze nieuwe gegevens aan het CVZ verstrekt, om te voorkomen dat bovenmatige gegevens worden aangeleverd. Het verwijderen van dat veld zal tot gevolg hebben dat redelijkerwijs mag worden aangenomen dat niet langer persoonsgegevens worden verwerkt door CVZ ten behoeve van het ZRS. Daarbij past het voorbehoud dat het landelijk unieke nummer door dubbele versleuteling wordt beveiligd tegen nazoeken van bepaalde personen, alsmede dat geen koppeling of vergelijking met gegevens uit andere bron plaatsvindt,

20 maart waardoor er alsnog sprake zou (kunnen) zijn van verwerking van persoonsgegevens. 3.4 Rechtmatige grondslag en noodzakelijkheid van gegevens Een rechtmatige gegevensverwerking behoeft gerechtvaardigde doeleinden en een grondslag daarvoor in de wet 5. Dat betekent ook dat de gegevens die worden opgenomen in een registratie rechtmatig moeten zijn verkregen. In dit verband spelen de berichtgevers 6 een rol Aanlevering van gegevens Bij alle onderzochte registraties waren de berichtgevers van de registratie hulpverleners die een behandelrelatie hebben met degenen van wie de gegevens worden verstrekt aan de registratie, dan wel personen door de arts bij die behandeling direct betrokken. De hulpverlener heeft een geheimhoudingsverplichting ten aanzien van de gegevens van de betrokken patiënt zoals verwoord in 7:457 BW (WGBO). Ook het ziekenhuis heeft op grond van die regel een zorgplicht tot geheimhouding van die gegevens die binnen zijn muren worden verwerkt. Toestemming Voor het verstrekken van deze gegevens aan een registratie, anders dan aan een persoon direct bij de behandeling betrokken, is overeenkomstig het bepaalde in de WGBO in principe toestemming van de patiënt nodig, tenzij er een wettelijke verplichting bestaat die het verstrekken van de persoonsgegevens dwingend voorschrijft. Dergelijke verplichtingen kent de wetgeving niet veel. Ook bij verstrekking aan onderzochte registraties is daarvan geen sprake, hoewel er in sommige gevallen wel een wettelijke aanleiding bestaat om een registratie (niet in de eerste plaats een persoonsregistratie) op te zetten of gegevens uit de registratie te gebruiken voor een bepaald doel. Algemeen geformuleerde bepalingen omtrent het verstrekken van bepaalde informatie worden in artikel 7:457 BW niet bedoeld 7. Deze doorbreken de geheimhoudingsbepaling niet en leiden hooguit tot een verplichting 5) In hoofdstuk 2 van dit rapport wordt uitgelegd met welke vereisten men te maken krijgt als men wil vaststellen of er een voldoende grondslag is om gegevens te mogen verwerken. Kort gezegd komt dat op het volgende neer bij de verwerking van gezondheidsgegevens: Is er een mogelijkheid de gezondheidsgegevens te verwerken met inachtneming van een beroepsgeheim? Zo ja, staat het hoofdstuk over bijzondere gegevens in de WBP de verwerking van gezondheidsgegevens door de verantwoordelijke toe? Zo ja, is er in algemene termen een grondslag voor de verwerking aan te wijzen in artikel 8 WBP? Zo ja, dan is er sprake van een rechtmatige grondslag voor de verwerking. 6) De term berichtgevers wordt hier gebruikt om de instantie of persoon aan te duiden die de gegevens aan de verantwoordelijke aanlevert ter (verdere) verwerking. 7) Het moet kort gezegd gaan om een voldoende specifieke wettelijke verplichting die een noodzakelijke gegevensverwerking beoogt.

21 maart tot het verstrekken van niet-persoonsgebonden informatie over patiënten, zoals bijvoorbeeld ten behoeve van beleidsinformatie. Een toestemming tot verstrekking van persoonsgegevens kan verschillende vormen hebben. Soms is expliciete toestemming noodzakelijk en in andere gevallen kan de in de WGBO bedoelde toestemming verondersteld worden. Het is afhankelijk van de situatie welke toestemming voldoende is. Voor het verstrekken van patiëntgegevens mag de hulpverlener de toestemming van de patiënt veronderstellen in concrete situaties, waarin het kenbaar is voor de patiënt dat gegevens voor zorgdoeleinden worden verstrekt en de gegevens noodzakelijk zijn voor ontvanger. Een toestemming kan echter nooit verondersteld worden als er gebleken is van bezwaar. Voor verstrekking aan een registratie in de zorg zal deze vorm van toestemming niet snel aan de orde komen, omdat in beginsel expliciete toestemming vereist is bij het verstrekken van gegevens voor wetenschappelijk onderzoek en statistiek. Hierop bestaat een uitzondering als het vragen van toestemming niet mogelijk is of in redelijkheid niet kan worden verlangd. Die uitzondering komt verderop aan de orde. Uitdrukkelijke toestemming Tegelijkertijd verlangt ook de WBP een ontheffing voor het verstrekken van gezondheidsgegevens door de hulpverlener teneinde een rechtmatige grondslag te hebben. Immers op grond van artikel 16 WBP is de verwerking (waaronder het verstrekken) in zijn algemeenheid verboden van gegevens betreffende de gezondheid, tenzij er sprake is van een ontheffing als beschreven in artikel 21 of 23 WBP. Wanneer de toestemming van betrokkene als ontheffing wordt gebruikt (artikel 23 lid 1 onder a WBP), dan spreekt de WBP van uitdrukkelijke toestemming, ongeacht dus welke vorm van toestemming volgens de WGBO voldoende is om de zwijgplicht te doorbreken. Wanneer een ontheffing kan worden gevonden in artikel 21 lid 1 onder a WBP, bijvoorbeeld omdat de verstrekking noodzakelijk is in verband met de behandeling van de patiënt en de ontvanger een instelling is voor gezondheidszorg of maatschappelijke dienstverlening, dan kan de zwijgplicht worden doorbroken met de vorm van toestemming die op basis van de WGBO voldoende is. In sommige gevallen kan dan dus volstaan worden met veronderstelde toestemming. Een voorwaarde voor het uitgaan van veronderstelde toestemming is het deugdelijk informeren van de patiënt over de het verstrekken van zijn gegevens en het wijzen op de mogelijkheid van het maken van bezwaar hiertegen. Voor verstrekking van de gegevens aan een landelijke database door een geheimhoudingsplichtige kan aldus een grondslag worden gevonden in de toestemming.

22 maart Bij geen van de onderzochte registraties worden op het moment van onderzoek gegevens op basis van expliciete en uitdrukkelijke toestemming aangeleverd. Veronderstelde toestemming Het CBP heeft geredeneerd dat gegevens aan het PALGA mogelijk op basis van veronderstelde toestemming kunnen worden aangeleverd. Wat de PALGA database anders maakt dan de andere registraties is dat de gegevens hierin ook worden gebruikt voor de behandeling van de patiënt, namelijk ten behoeve van het diagnosticeren door de patholoog anatoom. De meerwaarde van PALGA op het eigen dossier is dat ook door collega s in het land uitgevoerde onderzoeken kunnen worden betrokken bij latere onderzoeken hetgeen het stellen van een goede diagnose en het uitbrengen van juist advies bevordert. Het PALGA heeft dus in feite ook de functie van een landelijk dossier voor de pathologen. Het uitgaan van veronderstelde toestemming vergt in elk geval kenbaarheid over de verstrekking van gegevens aan PALGA, opdat het maken van bezwaar mogelijk is. Voorts is natuurlijk van belang of de Stichting PALGA overeenkomstig de WBP gerechtigd is deze gegevens op te slaan, en verder te verwerken voor de doeleinden van de registratie. Dit komt hieronder voor alle registraties aan de orde, nadat de aanlevering van gegevens volledig is besproken. De uitzondering voor wetenschappelijk onderzoek De WGBO (artikel 7:458 BW) biedt de hulpverlener de mogelijkheid om zonder toestemming van de betrokken patiënt gegevens van hem te verstrekken ten behoeve van wetenschappelijk onderzoek of statistiek, wanneer het niet mogelijk blijkt te zijn om de toestemming te vragen of dit niet kan worden verlangd en tevens aan een aantal voorwaarden is voldaan. Die extra voorwaarden zijn dat het onderzoek een algemeen belang dient en het niet zonder de bedoelde gegevens uitgevoerd kan worden. De toelichting op de wetgeving beschrijft voorbeelden van situaties waarin aangenomen kan worden dat het vragen van toestemming aan een betrokkene niet kan worden verlangd en situaties waarin het vragen van toestemming niet mogelijk is. Tevens werkt de Code Goed Gedrag dit nader uit 8. Tegelijkertijd stelt deze uitzondering een grens aan het gebruik van persoonsgegevens. In geval het vragen van toestemming niet mogelijk is, moet er met betrekking tot de uitvoering van het onderzoek zijn voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad. In geval het vragen van toestemming niet kan worden verlangd, mag de hulpverlener de gegevens slechts in zodanige vorm verstrekken dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen. 8) Deze code van de Federatie van Medisch Wetenschappelijke Verenigingen is een gedragscode in de zin van de WBP.

23 maart De meeste registraties in de zorg hebben als een van de doeleinden het doen of bevorderen van wetenschappelijk onderzoek of statistiek (zie ook de doelen van de registraties in hoofdstuk 1). Er is hier echter nog een interessante vraag te stellen. Namelijk in hoeverre deze bepaling bedoeld is om een voldoende grondslag te bieden voor gegevensverstrekking aan registraties in de zorg, wanneer deze registraties niet zelf tevens de verantwoordelijke zijn die ook het wetenschappelijk onderzoek en de statistiek (doen) uitvoeren. Op zichzelf laat de letterlijke bewoording ten behoeve van wetenschappelijk onderzoek of statistiek wel enige ruimte voor de doorgaans intermediaire rol (doorgeefluik) van de registraties. Maar de aanvullende voorwaarden die de bepaling stelt, dat het onderzoek een algemeen belang moet dienen en het niet zonder de bedoelde gegevens kan worden uitgevoerd, kunnen pas achteraf, bij verder verstrekken van de gegevens aan onderzoekers, worden vervuld. Als deze voorwaarden achteraf niet kunnen worden vervuld, dan zou in feite de levering aan de registraties (op grond van deze uitzondering) met terugwerkende kracht niet kunnen worden gebillijkt. Ook is het maar zeer de vraag of voor de structurele aanlevering van gegevens aan de registraties in zijn algemeenheid sprake zou kunnen zijn van een situatie waarin het vragen van toestemming van betrokkene niet mogelijk is of niet kan worden verlangd. Naar het oordeel van het CBP zal dit slechts bij een aantal registraties het geval kunnen zijn, afhankelijk van het doel van de registratie en het soort gegevens dat verwerkt wordt. In verband met de beperkte opzet van dit onderzoek heeft het CBP als uitgangspunt voor zijn beoordeling aangenomen dat de organisatorische maatregelen bij de registraties voldoende zijn om ervoor te zorgen dat alleen gegevens worden verstrekt uit de registraties voor onderzoek dat een algemeen belang dient, en dat alleen die gegevens worden verstrekt die voor uitvoering van het onderzoek noodzakelijk zijn. Mede in verband hiermee is het CBP extra aandachtig voor de omvang van de gegevensset die de registraties vastleggen bij gegevensaanlevering door hulpverleners op grond van artikel 7:458 BW. Alle gegevens die worden aangeleverd moeten dan namelijk strikt genomen noodzakelijk zijn voor een onderzoek of statistiek. Waar deze uitzondering een rol speelt bij de aanlevering van gegevens aan de registraties heeft het CBP niet onderzocht of het vragen van toestemming voor de hulpverlener onmogelijk geacht moest worden of niet kon worden verlangd. Wel heeft het CBP aangenomen dat het vragen van toestemming in zijn algemeenheid niet onmogelijk is. In afzonderlijke gevallen kan dat wel zo zijn Verwerking door de verantwoordelijke van de registraties Op de vraag naar de rechtmatigheid van de gegevensaanlevering aan de registraties volgt de vraag of de verantwoordelijken gerechtigd zijn de aangeleverde gegevens op te slaan, alsook anderszins te verwerken voor de beschreven doelen. Immers op grond