De introductie van blockchain in de
gezondheidszorg
In hoeverre is de verwerking van gezondheidsgegevens op een blockchain
verenigbaar met de AVG?
Masterscriptie Publiekrecht Naam: A. Atema
Afstudeerrichting Gezondheidsrecht Inleverdatum: 25 juli 2018
Universiteit van Amsterdam Begeleider: Mr. dr. W.I. Koelewijn Faculteit der Rechtsgeleerdheid Tweede lezer: Prof. dr. J. Legemaate
Abstract
Blockchaintechnologie is een relatief nieuwe databasetechnologie en is inmiddels ook geïntroduceerd in de zorgsector. Blockchain is een gedistribueerd systeem voor het registeren en opslaan van allerlei soorten gegevens, waaronder ook gezondheidsgegevens. Blockchain heeft een aantal kenmerkende eigenschappen. Zo worden gegevens in beginsel permanent op de blockchain vastgelegd. Het onveranderlijkere karakter draagt bij aan de betrouwbaarheid en integriteit van de gegevens die op een blockchain worden vastgelegd. Blockchain wordt gepresenteerd als een oplossing voor verschillende informatiseringvraagstukken in deze sector. Blockchain kan onder andere mogelijk een bijdrage leveren aan het veilig uitwisselen van gezondheidsgegevens. Er worden verschillende blockchainpraktijkproeven uitgevoerd in de gezondheidszorg. Zo wordt onder andere onderzocht hoe blockchain kan worden ingezet bij het afhandelen van declaraties in de kraamzorg. Echter, het grootschalig verwerken van gezondheidsgegevens op een blockchain roept ook allerlei vragen op ten aanzien van privacy, gegevensbescherming en informatieveiligheid.
Met behulp van literatuuronderzoek heb ik een antwoord geformuleerd op de volgende vraag: ‘In hoeverre is de verwerking van gezondheidsgegevens op een blockchain verenigbaar met
de AVG?’ Concluderend kan worden gesteld dat de verwerking van gezondheidsgegevens op
een blockchain op een aantal punten knelt met de AVG. Ten eerste knelt het permanente karakter met de beginselen van dataminimalisatie en opslagbeperking. Ten tweede is het onderscheid dat de AVG maakt tussen verwerkingsverantwoordelijken en verwerkers lastig te vertalen naar de blockchainpraktijk. Met name in een volledig openbare blockchain lijkt het lastig om verwerkingsverantwoordelijke(n) en verwerker(s) aan te wijzen. Bij het ontbreken van (een) verwerkingsverantwoordelijke(n) of onduidelijkheid tussen partijen ten aanzien van de taken en verantwoordelijkheden op het gebied van gegevensbescherming, neemt het risico op het ontstaan van een ‘accountability gap’ toe.
Daarnaast blijkt de keuze voor het type blockchain doorslaggevend. Een openbare blockchain lijkt op voorhand niet verenigbaar met de AVG. Om die reden heeft de hybride of gesloten blockchain de voorkeur. Blockchainontwikkelaars dienen voortdurend privacy als uitgangspunt te nemen bij het ontwerp, met name wanneer er sprake is van grootschalige verwerkingen van gezondheidsgegevens. Desalniettemin kan blockchaintechnologie een belangrijke bijdrage leveren aan de zorgsector. De toekomst zal moeten gaan uitwijzen in hoeverre blockchain concreet kan worden toegepast in de zorgsector.
Inhoud
Abstract...2
Lijst van gebruikte afkortingen...4
1. Inleiding...5
1.1 Aanleiding en relevantie...5
1.2 Onderzoeksvraag en deelvragen...6
2. Blockchaintechnologie en toepassingen in de zorg...7
2.1 Inleiding...7
2.2 Kenmerken van blockchain...8
2.3 Openbare versus gesloten blockchain...11
2.4 Gegevensopslag...12
2.5 Blockchaintoepassingen in de zorg...12
3. Juridisch kader voor verwerking van gezondheidsgegevens...17
3.1 Het recht op privacy...17
3.2 Algemene Verordening Gegevensbescherming...18
3.3 Uitvoeringswet AVG...27
3.4 Sectorspecifieke wetgeving...28
3.5 Deelconclusie...29
4. Juridische knelpunten...30
4.1 Inleiding...30
4.2 Verwerking van (bijzondere categorieën) persoonsgegevens...30
4.3 Identificeren van verwerkingsverantwoordelijke(n) en verwerker(s)...31
4.4 Rechtsgrondslagen en transparantie...33
4.5 Doelbinding, dataminimalisatie en opslagbeperking...34
4.6 Juistheid...35
4.7 Integriteit en vertrouwelijkheid...36
4.6 Rechten van betrokkenen...37
4.6 Privacy by design...38
4.7 Deelconclusie...38
5. Conclusie en aanbevelingen...40
Lijst van gebruikte afkortingen
AP Autoriteit Persoonsgegevens
AVG Algemene Verordening Gegevensbescherming
BSN Burgerservicenummer
BW Burgerlijk Wetboek
EHRM Europees Hof voor de Rechten van de Mens
EU-Handvest Handvest van de Grondrechten van de Europese Unie EVRM Europees Verdrag voor de Rechten van de Mens FG Functionaris gegevensbescherming
Gw Grondwet
IAM Identity and Access Management
MvT Memorie van Toelichting
PETs Privacy enhancing technologies
PGB Persoonsgebonden budget
PGD Persoonslijk gezondheidsdossier
Wceg Wet cliëntenrechten bij de elektronische verwerking van gegevens Wet BIG Wet beroepen op de individuele gezondheidszorg
Wgbo Wet op de geneeskundige behandelingsovereenkomst Wkkgz Wet kwaliteit, klachten en geschillen zorg
1. Inleiding
1.1 Aanleiding en relevantie
In de gezondheidszorg wordt op steeds grotere schaal gegevens verwerkt. Daarnaast nemen de technologische mogelijkheden om meer met die gegevens te doen toe. Inmiddels hebben Big
Data en Internet of Things hun intrede gedaan in de zorgsector.1 Ook buiten de muren van
ziekenhuizen en zorginstellingen wordt op grote schaal gezondheidsgegevens verwerkt. Met behulp van wearables kunnen individuen 24 uur per dag gezondheidsdata verzamelen. Daarnaast bestaat er een grote hoeveelheid aan gezondheids- en leefstijl apps, die bijvoorbeeld slaap- en voedingspatronen bijhouden. Ondanks dat er een grote hoeveelheid data beschikbaar is, is het informatielandschap in het huidige zorgstelsel versnipperd.2
Blockchain wordt gepresenteerd als een mogelijke oplossing voor grote informatiserings-vraagstukken in de zorgsector.3 Deze technologie kan mogelijk een relevante bijdrage leveren
aan onder andere de uitwisselbaarheid van gegevens en het stroomlijnen van bestaande processen.4 Blockchain is een nieuwe gedistribueerde databasetechnologie. De meest bekende
toepassing hiervan is de Bitcoin, een cryptovaluta of digitale munt. In de berichtgeving van verschillende media wordt gesproken over een baanbrekende technologie die ‘de wereld gaat
veranderen’.5 Er wordt op steeds grotere schaal geëxperimenteerd met deze veelbelovende
technologie, zo ook in de zorgsector.
De toepassing van een nieuwe technologie roept echter ook een aantal vragen op ten aanzien van privacy, gegevensbescherming en informatieveiligheid, met name wanneer deze technologie wordt toegepast op grootschalige verwerkingen van gezondheidsgegevens. Daarnaast bestaat er bij het wegvallen van impliciete technische waarborgen meer behoefte aan juridische waarborgen, waaronder zeggenschap over gegevensverwerkingen en transparantie.
Ook de toepassing van blockchain roept een aantal vragen op, die (nog) niet of slechts ten dele zijn beantwoord.
1 Ottes 2017, p. 26.
2 Nictiz Blockchain in de Zorg 2017, p. 13. 3 Nictiz Blockchain in de Zorg 2017, p. 4. 4 Nictiz Blockchain in de Zorg 2017, p. 16 en 17.
Deze vragen hebben onder andere betrekking op gegevensbescherming in het algemeen en meer specifiek dataminimalisatie, het verwijderen en corrigeren van gegevens en grondslagen voor het verwerken van persoonsgegevens. Deze vragen hebben geleid tot de onderstaande onderzoeksvraag.
1.2 Onderzoeksvraag en deelvragen
In hoeverre is de verwerking van gezondheidsgegevens op een blockchain verenigbaar met de AVG?
Aan de hand van de onderstaande vier deelvragen zal antwoord worden gegeven op de onderzoeksvraag.
1. Wat is blockchain en wat zijn kenmerkende eigenschappen van blockchain? 2. Op welke wijze kan blockchain worden toegepast in de gezondheidszorg?
3. Op welke wijze is de verwerking van gezondheidsgegevens gereguleerd in de AVG?
4. Tot welke juridische knelpunten leidt de toepassing van blockchain op de verwerking van gezondheidsgegevens?
Deze vragen zullen door middel van literatuuronderzoek worden beantwoord. In hoofdstuk 2 komen de eerste twee deelvragen aan bod. In dit hoofdstuk zal worden ingaan op de belangrijkste eigenschappen van blockchaintechnologie, de huidige knelpunten in het zorginformatielandschap en op welke wijze blockchaintechnologie een bijdrage kan leveren aan de zorgsector. Vervolgens wordt in hoofdstuk 3 beschreven op welke wijze de verwerking van gezondheidsgegevens is gereguleerd in de AVG, de uitvoeringswet AVG en sectorspecifieke wet- en regelgeving. In hoofdstuk 4 worden verschillende aspecten van blockchaintechnologie getoetst aan het wettelijk kader en wordt een aantal juridische knelpunten geïdentificeerd. Tot slot wordt in hoofdstuk 5 antwoord gegeven op de onderzoeksvraag en wordt een aantal mogelijke oplossingsrichtingen aangereikt.
2. Blockchaintechnologie en toepassingen in de zorg
2.1 InleidingBlockchain is een databasetechnologie dat een nieuw model voor gegevensopslag en gegevensuitwisseling biedt. Blockchain vervangt echter niet bestaande databases, berichtendiensten of bedrijfsprocessen. De meest bekende toepassing van deze blockchain is de Bitcoin. De Bitcoin is een cryptovaluta, een digitale munt. Met de Bitcoin is het mogelijk om zonder tussenkomst van een bank transacties uit te voeren.6 Waar doorgaans transacties
door de bank worden geverifieerd, worden in een Bitcoin-netwerk transacties geverifieerd door de gebruikers in dat netwerk.7 Omdat een centrale organisatie ontbreekt, vindt er geen
beheer over het Bitcoin-netwerk en toegangscontrole plaats.8 In beginsel kan iedereen een
gebruikersaccount aanmaken. Daarnaast zijn de transacties voor iedere gebruiker in het netwerk zichtbaar. In het onderstaande schema wordt de werking van de Bitcoin eenvoudig weergeven.9
6 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 3. 7 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 3. 8 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 3. 9 Hwang Blockchain Explained 2017.
De Bitcoin demonstreert dat het technisch mogelijk is om waarde op een veilige manier over te dragen zonder tussenkomst van een vertrouwde derde partij, zoals een bank, verzekeringsmaatschappij of notaris.10 Blockchain is een gedistribueerd systeem voor het
registreren en opslaan van transacties.11 Het is te vergelijken met een digitaal grootboek
waarin transactieregels zijn opgeslagen.12 Dit digitale grootboek is niet centraal opgeslagen,
maar verspreid over verschillende computers (nodes) in een netwerk die met elkaar verbonden zijn.13 Elke node beschikt derhalve over een kopie van het digitale grootboek.
Een uniek aspect van blockchain is dat een set van transacties wordt samengevoegd in een gegevensblok.14 Iedere gegevensblok is voorzien van een unieke code (hash), te vergelijken
met een digitale vingerafdruk.15 Daarnaast bevat een blok een tijdsstempel van recent
gevalideerde transacties en de hash van het voorgaande blok.16 Tot slot bevat ieder
gegevensblok een nonce. Een nonce is een willekeurig getal waarmee de hash kan worden 10 Dutch Blockchain Coalition Smart contracts als specifieke toepassing van blockchaintechnologie 2017, p. 12. 11 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 2.
12 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 2. 13 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 2. 14 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 3. 15 Nofer e.a. 2017, p. 184.
geverifieerd.17 Gegevensblokken worden met elkaar verbonden op grond van de hash,
waardoor er een lange ketting gegevensblokken ontstaat. Daardoor is het niet mogelijk om een gegevensblok te wijzigen of een gegevensblok tussen twee bestaande blokken in te voegen. Omdat elke gegevensblok verwijst naar een voorgaande gegevensblok kunnen foutieve transacties eenvoudig worden geïdentificeerd. Transacties worden in beginsel permanent op de blockchain opgeslagen.18 Het digitale grootboek bevat derhalve de volledige
transactiegeschiedenis. Dit betekent dat een blockchain in beginsel onveranderlijk is. De betrouwbaarheid en integriteit van blockchaintechnologie wordt op deze wijze gewaarborgd.
2.2 Kenmerken van blockchain
Blockchaintechnologie heeft een aantal eigenschappen waarmee het zich onderscheid van andere databasetechnologieën. Deze karakteristieke eigenschappen dragen onder andere bij aan de veiligheid en betrouwbaarheid van deze technologie. In deze paragraaf worden de meest belangrijke eigenschappen en aspecten van blockchaintechnologie kort uiteengezet.
2.2.1 Encryptie
Blockchaintechnologie maakt gebruik van encryptie, het versleutelen van gegevens.19 Alle
transacties op de blockchain zijn asymmetrisch versleuteld. Bij asymmetrische versleuteling wordt gebruik gemaakt van een sleutelpaar, bestaande uit een publieke sleutel en een privésleutel.20 De publieke sleutel is openbaar en fungeert als een digitale handtekening. Met
behulp van de publieke sleutel van de ontvanger kan de afzender gegevens versleutelen. Vervolgens kan de ontvanger met de bijbehorende privésleutel de gegevens ontcijferen. Omdat de privésleutel slechts bij de ontvanger bekend is zijn de gegevens niet toegankelijk voor derden. De privésleutel kan wel worden gedeeld met bepaalde personen of organisaties zodat deze toegang hebben tot de gegevens.
Indien een node een transactie wil vastleggen op de blockchain worden de gegevens versleuteld met behulp van de privésleutel en geeft de node zijn publieke sleutel mee. Met behulp van deze publieke sleutel kunnen derden de versleutelde gegevens ontcijferen. Indien het lukt om de versleutelde gegevens te ontcijferen met de publieke sleutel, staat het vast dat 17 Nofer e.a. 2017, p. 184.
18
19 Dutch Blockchain Coalition Smart contracts als specifieke toepassing van blockchaintechnologie 2017, p. 14. 20 Dutch Blockchain Coalition Smart contracts als specifieke toepassing van blockchaintechnologie 2017, p. 14.
de bijbehorende privésleutel bij de afzender bekend is. Op deze wijze kan met voldoende zekerheid de identiteit van de afzender worden geverifieerd.
2.2.2 Peer-to-peer-netwerken
Blockchaintechnologie maakt gebruik van peer-to-peer netwerken.21 Dit zijn decentrale
netwerken zonder een gezaghebbende partij. In tegen stelling tot client-servernetwerken, waarin een gezaghebbende partij de toegang tot de servers regelt, bestaat een peer-to-peer netwerk uit computers die zowel als client en als server functioneren.
2.2.3 Consensus
Om een nieuw gegevensblok op een blockchain vast te leggen is het vereist dat de nodes in het netwerk consensus bereiken over de inhoud van het nieuwe gegevensblok.22 Derhalve
kunnen nieuwe transacties kunnen alleen met instemming van de meerderheid van de deelnemers, op basis van een consensusprotocol, op een blockchain worden vastgelegd. Er zijn verschillende consensusmechanismen die kunnen worden toegepast, waaronder een op
proof-of-work gebaseerd systeem.23 Andere veelvoorkomende alternatieve mechanismen zijn
proof-of-stake en proof-of-capacity. De verschillende consensusmechanismen maken gebruik
van algoritmes om overeenstemming te bereiken over de inhoud van het nieuwe gegevensblok. Het is de blockchainontwikkelaar die bepaalt welk consensusmechanisme op een blockchain wordt toegepast. Indien de nodes geen overeenstemming bereiken over de gegevens die in het nieuwe gegevensblok worden vastgelegd, worden de gegevens niet op de blockchain vastgelegd.24 Het geautomatiseerde consensusmechanisme dat aan de blockchain
ten grondslag ligt waarborgt dat iedereen in het netwerk over hetzelfde exemplaar van het digitale grootboek beschikt en draagt bij aan de betrouwbaarheid van de gegevens die op de blockchain zijn vastgelegd. Op deze wijze ontstaat er een ‘gedeelde bron van waarheid’.25
2.2.4 Volledige transparantie
Transacties op een blockchain zijn in beginsel openbaar.26 Op deze wijze kan onder andere
data-integriteit worden gewaarborgd. Volledige transparantie betekent echter niet dat in alle 21 Berberich & Steiner 2016, p. 422.
22 Nofer e.a. 2017, p. 184
23 Dutch Blockchain Coalition Smart contracts als specifieke toepassing van blockchaintechnologie 2017, p. 15. 24 Nofer e.a. 2017, p. 184
25 DutchChain Whitepaper 2016, p. 13.
gevallen duidelijk is wie bepaalde transacties heeft verricht. In een openbare blockchain, bijvoorbeeld de bitcoinblockchain, zijn gebruikers anoniem. Vanwege het ontbreken van een gezaghebbende partij die een openbare blockchain reguleert, is het ook niet mogelijk om via deze partij de persoon achter een gebruikersaccount te identificeren.27
2.2.5 Smart contracts
Kenmerkend voor blockchaintechnologie is dat het de toepassing van smart contracts ondersteunt. Smarts contracts worden vaak in een adem genoemd met blockchain. Smart
contracts zijn namelijk in grote mate afhankelijk van gevalideerde data. Het concept van
slimme contracten is niet nieuw. Het concept is in de jaren negentig door Nick Szabo geïntroduceerd.28 Een smart contract is een programma dat op een blockchain kan worden
uitgevoerd. Deze slimme contracten bestaan uit een set regels die de transacties op een blockchain reguleert. De term smart contract is enigszins verwarrend omdat er in beginsel geen juridisch bindende overeenkomst tot stand komt. Of een smart contract juridische betekenis heeft hangt af van de omstandigheden van het geval. Smart contracts bestaan uit een stuk programmeercode dat bij een gegeven input altijd dezelfde output zal generen.29
Anders geformuleerd, een handeling is volledig afhankelijk gemaakt van het voltrekken van een of meer gebeurtenissen. Er wordt gebruik gemaakt van een ‘als A, dan B’ constructie, bijvoorbeeld: als de uren worden geaccordeerd (A), dan wordt er een vergoeding uitgekeerd aan de zorgverlener(B). De code van een smart contract wordt permanent op de blockchain vastgelegd en is derhalve in beginsel onveranderlijk.30 Het is mogelijk om elke soort
handeling in programmeercode op de blockchain vast te leggen, waaronder maar niet beperkt tot de overdracht van waarde, de afhandeling van verzekeringsclaims of de overdracht van eigendom.
2.3 Openbare versus gesloten blockchain
Er kan een belangrijk onderscheid worden gemaakt tussen openbare en gesloten blockchains. Openbare en gesloten blockchains verschillen op het punt van toegangscontrole en rechten. Gegevensopslag vindt in beide type blockchains op dezelfde wijze plaats. In een volledig gesloten blockchain is er slechts één partij die de blockchain beheert, een zogenoemde
super-27 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 5. 28 Nofer e.a. 2017, p. 185.
29 Dutch Blockchain Coalition Smart contracts als specifieke toepassing van blockchaintechnologie 2017, p. 18. 30 Dutch Blockchain Coalition Smart contracts als specifieke toepassing van blockchaintechnologie 2017, p. 19.
user.31 Een gesloten blockchain kan worden beheerd door één of meerdere organisaties. Een
gesloten blockchain wordt afgeschermd door middel van toegangscontrole. Om die reden wordt een gesloten ook wel een permissioned blockchain genoemd. Om deel te kunnen nemen is een toegangsaanvraag en/of goedkeuring vereist, op deze wijze kunnen aan een deelnemer verschillende lees- en mutatierechten worden toegekend. In een gesloten blockchain ligt vast welke partijen de nodes beheren waaruit de blockchain bestaat, welke partijen toegang krijgen tot een blockchain of welke informatie partijen kunnen zien binnen een blockchain. Daarnaast bestaat er ook de hybride blockchain.32 In een hybride blockchain, ook wel een consortium
blockchain genoemd, is er een beperkt aantal partijen dat consensus kan bereiken.33
In tegenstelling tot gesloten en hybride blockchain, is de broncode van een open blockchain openbaar en kan iedere gebruiker deze code aanpassen. Daarnaast vindt er geen toegangscontrole plaats waardoor iedereen direct kan deelnemen aan de blockchain.34 Er is
gezaghebbende partij die de blockchain beheert of rechten uitgeeft.
Een deelnemer kan worden aangemerkt als een gewone gebruiker of als een full node. Een
full node valideert de transacties op de blockchain. Ook vindt er op een openbare blockchain
geen identificatie en authenticatie van gebruikers plaats.35 Om die reden zijn de deelnemers
nagenoeg anoniem. 2.4 Gegevensopslag
In beginsel kunnen veel soorten gegevens op een blockchain worden vastgelegd. Er dient een onderscheid te worden gemaakt tussen on-chain data en off-chain data.36 De eerste categorie
data is opgeslagen op de blockchain zelf. Off-chain data is opgeslagen in afzonderlijke traditionele databases. Voorbeelden van traditionele databases zijn onder andere ziekenhuis-en huisartsinformatiesystemziekenhuis-en. Het is mogelijk om op de blockchain meta-gegevziekenhuis-ens vast te leggen die een versleutelde link bevatten naar de off-chain data.37 Deze meta-gegevens
verwijzen slechts naar de data die off-chain is opgeslagen. Uit deze meta-gegevens is bijvoorbeeld slechts af te leiden dat er informatie over een patiënt beschikbaar is en wat de vindplaats van die informatie is. Dit type informatie wordt ook wel aangeduid als
‘dat-31 Nictiz Blockchain in de Zorg 2017, p. 10.
32 Dutch Blockchain Coalition Smart contracts als specifieke toepassing van blockchaintechnologie 2017, p. 15. 33 Nictiz Blockchain in de Zorg 2017, p. 10.
34 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 3. 35 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 5. 36 Deloitte Blockchain: Opportunities for Health Care 2016, p. 6.
informatie’.38 De inhoudelijke gegevens zelf worden aangeduid als ‘wat-informatie’. Indien
ervoor wordt gekozen om alleen meta-gegevens op de blockchain vast te leggen, fungeert de blockchain als een index die bijvoorbeeld verwijst naar gezondheidsgegevens die in ziekenhuis- en huisartsinformatiesystemen zijn opgeslagen. De keuze om gegevens al dan niet op de blockchain zelf vast te leggen hangt onder andere af van de aard en de gevoeligheid van de gegevens en de grootte van het gegevensbestand.39 Zo is het bijvoorbeeld niet mogelijk om
bestandstypen zoals röntgenfoto’s en MRI-beelden op een blockchain zelf vast te leggen.40
2.5 Blockchaintoepassingen in de zorg
2.5.1 Huidige knelpunten
In de zorg wordt op steeds grotere schaal gegevens geproduceerd en vastgelegd. Daarnaast nemen de mogelijkheden om meer met die gegevens te doen toe, zoals het koppelen van verschillende gegevensbestanden. Wanneer gegevensverzamelingen dusdanig omvangrijk en complex zijn dat traditionele databases niet in staat zijn deze optimaal te verwerken wordt er gesproken over big data.41
Verwacht wordt dat big data een belangrijke bijdrage zal leveren aan onder andere
kostenbesparingen in de zorg en effectievere en betere behandelingen van patiënten.42 In de
afgelopen jaren hebben steeds meer zorginstellingen de overstap van papieren dossiers naar elektronische patiëntendossiers gemaakt.43 Er worden op grote schaal gegevens digitaal
vastgelegd, waaronder laboratoriumuitslagen, röntgenfoto’s, MRI- en CT-scans.44 Niet alleen
binnen de muren van zorginstellingen worden grote hoeveelheden gegevens verwerkt, ook in het sociaal domein vinden gegevensverwerkingen plaats. De decentralisatie van onder andere jeugdhulp en maatschappelijke ondersteuning heeft geleid tot grootschalige verwerkingen van gezondheidsgegevens door gemeenten. Daarnaast verwerken ook andere organisaties, bijvoorbeeld biobanken, grote hoeveelheden gezondheidsgegevens. Een voorbeeld is de biobank van Lifelines, waarin data en lichaamsmateriaal van ongeveer tien procent van de Noord-Nederlandse bevolking is opgeslagen. Met de komst van Internet of Things kunnen individuen ook zelf eenvoudig gezondheidsgegevens verzamelen. Met behulp van draagbare technologieën zoals fitnessarmbanden en horloges is het mogelijk om 24 uur per dag 38 Pels Rijcken Whitepaper Juridische aspecten van Blockchain 2017, p. 10.
39 Deloitte Blockchain: Opportunities for Health Care 2016, p. 6. 40 Deloitte Blockchain: Opportunities for Health Care 2016, p. 6. 41 Ottes 2017, p. 28.
42 Kits 2017, p. 43. 43 Ottes 2017, p. 22. 44 Ottes 2017, p. 22.
gezondheidsdata te verzamelen.45 Ook in zorginstellingen heeft Internet of Things zijn intrede
gemaakt, bijvoorbeeld in de vorm van pleisters die centrale functies zoals bloeddruk en hartslag kunnen bewaken. 46
Het op steeds grotere schaal verwerken van gezondheidsgegevens en de voortgaande technologische ontwikkelingen op dit gebied roepen echter ook nieuwe vragen op, met name ten aanzien van privacybescherming en informatieveiligheid.47 Een andere belangrijke
vraagstuk is hoe er moet worden omgegaan met het versnipperde zorginformatielandschap. Gegevens zijn veelal afkomstig uit verschillende informatiesystemen, die zich bovendien vaak in verschillende domeinen bevinden.48 Informatiesystemen van bijvoorbeeld ziekenhuizen,
verpleeghuizen, zorgverzekeraars en gemeenten zijn aparte datasilo’s welke lastig aan elkaar te koppelen zijn. Ook de interoperabiliteit van informatiesystemen is een belangrijk punt van aandacht.
In de zorg worden grote hoeveelheden verschillende soorten gegevens vastgelegd, waaronder niet alleen medische persoonsgegevens maar ook transactiegegevens zoals declaraties, biometrische gegevens, machine-to-machine data en zogenoemde human generated data.49
Deze gegevens worden niet altijd op een uniforme wijze vastgelegd en geactualiseerd
Echter, met het oog op de continuïteit en kwaliteit van zorg is het van groot belang dat gegevens die in een elektronisch patiëntendossier zijn vastgelegd juist, volledig en actueel zijn. Onvoldoende dossiervorming is niet alleen vanuit privacy oogpunt problematisch, maar heeft mogelijk ook gevolgen ten aanzien van de dossierplicht op grond van de Wet op de geneeskundige behandelingsovereenkomst (hierna: Wgbo). Het onvoldoende vastleggen of uitwisselen van patiëntgegevens kan mogelijkerwijs ook een schending van (verschillende) kwaliteitsnormen opleveren, waaronder de volgende normen: ‘goed hulpverlener’ op grond van de Wgbo, ‘goede zorg’ op grond van de Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz) en ‘verantwoorde zorg’ op grond van de Wet beroepen op de individuele gezondheidszorg (hierna: Wet BIG). Tot slot zijn gegevens die zijn vastgelegd in het elektronisch patiëntendossier niet altijd eenvoudig door patiënten te raadplegen.50 Relevant
zijn de ontwikkelingen rondom het persoonlijk gezondheidsdossier (PGD) en realtime inzage 45 Van der Mersch 2018, p. 100.
46 Ottes 2017, p. 26. 47 Leenen, e.a 2014, p. 180. 48 Ottes, p. 29.
49 Kits 2017, p. 46. 50 Nictiz 2017, p. 11.
in medische gegevens.51 Het PGD is een digitale gezondheidsomgeving waarvan de patiënt
eigenaar is. De zeggenschap over de gegevens ligt volledig bij de patiënt.52 Ook bieden steeds
meer ziekenhuizen de mogelijkheid tot realtime inzage in uitslagen van medische onderzoeken aan.
2.5.2 Kansen voor blockchain in de zorg
Blockchaintechnologie is volop in ontwikkeling. De impact van deze technologie op de zorgsector zal echter in de praktijk moeten blijken.53 Ondanks dat blockchain niet het
antwoord is op alle hierboven geschetste informatiseringsvraagstukken, kan wel geconcludeerd worden dat deze technologie relevant is voor de zorgsector. 54 Blockchain kan
bijvoorbeeld een bijdrage leveren aan het waarborgen van data-integriteit of het stroomlijnen van allerlei (administratieve) processen.55
Er zijn verscheidende toepassingen van blockchaintechnologie in de zorg denkbaar. Zo kan de technologie onder andere worden ingezet om de identiteit van patiënten en zorgverleners vast te stellen, informed consent van patiënten vast te leggen of het traceren van de herkomst van geneesmiddelen. Daarnaast is het mogelijk om het elektronisch patiëntendossier (deels) op een blockchain vast te leggen en kan blockchain een rol spelen bij horizontaal toezicht.56
Blockchain biedt met name kansen wanneer er op grote schaal gegevens uitgewisseld worden of wanneer de betrouwbaarheid van gegevens dient te worden gewaarborgd. Omdat de gegevens in beginsel permanent op de blockchain worden vastgelegd is het (vrijwel) onmogelijk om gegevens achteraf te wijzigen. Blockchain zou dan ook een bijdrage kunnen leveren aan vergroten van het wederzijdse vertrouwen tussen verschillende ketenpartners. Wederzijds vertrouwen vormt onder andere de basis van horizontaal toezicht in de zorg. Daarnaast kan blockchain ook worden ingezet bij het voorkomen van declaratiefraude door zorgorganisaties of fraude rondom persoonsgebonden budgetten (hierna: PGB).
Het Zorginstituut Nederland onderzoekt wat de toepassing van blockchaintechnologie op langere termijn kan betekenen voor de zorg. Om inzicht te verkrijgen in de mogelijkheden van blockchaintechnologie en de impact hiervan op wet- en regelgeving, processen en de (digitale) zorginfrastructuur heeft het Zorginstituut Nederland in samenwerking met een 51 Leenen, e.a 2014, p. 145.
52 Leenen, e.a 2014, p. 145. 53 Nictiz 2017, p. 18.
54 Deloitte Blockchain: Opportunities for Health Care 2016, p. 1; Nictiz, 2017, p. 18. 55 Nictiz 2017, p. 16 en 17.
blockchainontwikkelaar de blockchaintoepassing Mijn Zorg Log ontwikkeld.57 Mijn Zorg Log
is te vergelijken met een digitaal logboek. Het digitale logboek is toegankelijk voor de patiënt, vertegenwoordigers en familieleden van de patiënt en betrokken hulpverleners.58 Het
uitgangspunt is dat de regie volledig bij de patiënt ligt, de patiënt bepaalt wie er toegang krijgt tot het logboek.59 Mijn Zorg Log is getoetst aan relevante wet- en regelgeving en heeft in
september 2017 een juridisch certificaat ontvangen.60 Met behulp van Mijn Zorg Log kunnen
verschillende praktijkproeven worden uitgevoerd. Een voorbeeld is de praktijkproef ‘blockchain in de kraamzorg’ van het Zorginstituut Nederland, coöperatie VGZ en een drietal kraamzorgorganisaties betreffende de registratie en declaratie van kraamzorg.61 Met behulp
van Mijn Zorg Log registreren zowel de kraamzorghulpverlener als de cliënt de geleverde kraamzorguren.
Nadat de cliënt de uren heeft geaccordeerd, wordt er op basis van een smart contract rechtstreeks aan de kraamzorghulpverlener uitbetaald. De controle op de geleverde uren vindt dus niet meer achteraf plaats. Tevens biedt Mijn Zorg Log de cliënt de mogelijkheid verschillende kraamzorghulpverleners toegang te verlenen tot de gegevens die in de applicatie zijn vastgelegd. Tot slot is het voor de cliënt inzichtelijk hoeveel kraamzorguren binnen het budget kunnen worden ingezet.
Een ander voorbeeld van een proef met blockchaintechnologie is de ‘Smart PGB’ pilot van de gemeente Amsterdam.62 Deze toepassing richt zich op de administratieve processen rondom
het persoonsgebonden budget. Ook hier wordt gebruik gemaakt van een smart contract, op grond waarvan de zorgverlener rechtstreeks wordt uitbetaald. Tot slot, een voorbeeld van een blockchaintoepassing voor herhaalrecepten. Het REshape Center van het Radboud UMC bouwde samen met Deloitte en SNS Bank PreScrypt, een blockchainprototype voor het aanvragen van nieuwe medicatie.63 Met behulp van PreScrypt kan de patiënt zelf de toegang
tot het medicatieoverzicht beheren.64
2.6 Deelconclusie
57 Zorginstituut Nederland, Blockchain: Mijn Zorg Log 2017.
58 Zorginstituut Nederland, Blockchain in plaats van ‘logboek op het aanrecht’ 2016. 59 Zorginstituut Nederland, Blockchain in plaats van ‘logboek op het aanrecht’ 2016. 60 Zorginstituut Nederland, Blockchain: Mijn Zorg Log 2017.
61 Nictiz 2017 , p. 11. 62 Verhelst 2017, p. 17. 63 Nictiz 2017 , p. 12. 64 Nictiz 2017 , p. 12.
Blockchain is een databasetechnologie dat een nieuwe manier voor het vastleggen en uitwisselen van gegevens biedt. Blockchaintechnologie maakt gebruik van bestaande concepten zoals encryptie, het gebruik van peer-to-peer netwerken en proof-of-work. Op deze wijze wordt de betrouwbaarheid en de integriteit van de gegevens op een blockchain gewaarborgd. Daarnaast ondersteunt blockchaintechnologie het gebruik van smarts contracts. Het oorspronkelijke uitgangspunt is dat ‘de blockchain van niemand en daarmee van iedereen
is’.65 Echter, de gesloten en hybride blockchain bieden de mogelijkheid om de toegang te
beperken tot geautoriseerde partijen. Een dergelijke constructie doet wel af aan het oorspronkelijke uitgangspunt van de Bitcoin dat er geen vertrouwde derde partijen meer nodig zijn. De introductie van een nieuwe technologie voor gegevensverwerking roept een aantal vragen op ten aanzien van gegevensbescherming en informatieveiligheid. Afgevraagd kan worden in hoeverre de Algemene verordening gegevensbescherming op de gegevensverwerking op een blockchain van toepassing is en in welke mate blockchaintechnologie het recht op privacy van betrokkenen raakt.
3. Juridisch kader voor verwerking van gezondheidsgegevens
3.1 Het recht op privacyHet recht eerbiediging van de persoonlijke levenssfeer (hierna: het recht op privacy) heeft een breed bereik en het is niet eenvoudig om een allesomvattende definitie te geven.66 Het
privacyconcept werd eind negentiende eeuw voor het eerst geïntroduceerd.67 Het recht op
privacy werd in 1890 door rechtsgeleerden Warren en Brandeis geformuleerd als “het recht
om alleen gelaten te worden”68. In de loop van de decennia is het recht op privacy verder
vormgegeven. Tegenwoordig zijn er een aantal aspecten van het recht op privacy te onderscheiden, waaronder informationele privacy (bescherming van persoonsgegevens), ruimtelijke privacy (huisrecht), lichamelijke integriteit en het communicatiegeheim.69 Deze
scriptie beperkt zich tot informationele privacy, de overige elementen van het recht op privacy zullen dan ook buiten beschouwing blijven.
Het recht op privacy wordt in verschillende verdragen erkend, waarbij het zelfbeschikkingsrecht van het individu het uitgangspunt is.70 Het recht op privacy is
neergelegd in artikel 8 Verdrag tot bescherming van de rechten van de mens (hierna: EVRM). Een beperking van dit recht is alleen toegestaan voor zover aan de voorwaarden van legaliteit, legitimiteit en noodzakelijkheid is voldaan.71 Artikel 8 EVRM wordt door het Europese Hof
voor de Rechten van de Mens (hierna: EHRM) ruim uitgelegd.72 Daarnaast heeft het EHRM
heeft het medisch beroepsgeheim erkend als een belangrijk element van het recht op privacy.73
Ook volgt uit de jurisprudentie van het EHRM dat de overheid de toegankelijkheid tot (medische) persoonsgegevens dient te waarborgen.74 Het recht op privacy vloeit eveneens
voort uit artikel 7 en 8 van het Handvest van de Grondrechten van de Europese Unie (hierna: EU-handvest). In artikel 7 EU-handvest is het recht op eerbiediging van privéleven, familie-en gezinslevfamilie-en, woning familie-en communicatie neergelegd. Artikel 8, lid 1 EU-handvest regelt het recht op bescherming van persoonsgegevens.
66 Kits 2017, p. 48. 67 Kits 2017, p. 49. 68 Kits 2017, p. 49.
69 Van der Pot/Elzinga & De Lange 2006, p. 387. 70 Kits 2017, p. 48.
71 Artikel 8, lid 2 EVRM.
72 Van Hellemondt, in: Tekst & Commentaar Gezondheidsrecht EVRM aanhef, item 1. 73 EHRM 25 februari 1997, 22009/93 (Z./Finland)
Ook artikel 10 van de Grondwet erkent het recht op privacy. De bewoording van deze bepaling is ruim en valt deels samen met artikelen 11, 12 en 13 van de Grondwet.75 Het recht
op privacy is geen absoluut recht. Het recht op privacy dient te worden afgewogen tegen andere grondrechten. Daarnaast kunnen bij of krachtens de wet beperkingen worden gesteld aan het recht op privacy.76
3.2 Algemene Verordening Gegevensbescherming
3.2.1 Totstandkoming en doelstellingen
In 1995 is Richtlijn 95/46/EG (hierna: Privacyrichtlijn) tot stand gekomen. In Nederland was de Privacyrichtlijn uitgewerkt in de Wet bescherming persoonsgegevens (hierna: Wbp). Met de Privacyrichtlijn beoogde de Europese wetgever een zekere harmonisatie van de versnipperde privacywetgeving in de Europese Unie. Echter, de Privacyrichtlijn heeft de verschillen tussen de regels betreffende de bescherming van persoonsgegevens die in de verschillende lidstaten gelden onvoldoende weg kunnen nemen.77
De Algemene Verordening Gegevensbescherming (hierna: AVG) is op 25 mei 2016 in werking getreden en vanaf 25 mei 2018 van toepassing. De AVG heeft daarmee de Privacyrichtlijn en de Wbp vervangen. Vanwege het rechtstreeks bindende karakter van de AVG behoeven de bepalingen niet te worden geïmplementeerd in nationale wetgeving. Nationale wetgeving dient echter wel te voorzien in noodzakelijke uitvoerings- en handhavingsstructuren.78 Er is sprake van gelaagde regelgeving inzake de bescherming van
persoonsgegevens.79 Op Europees niveau zijn de materiele verplichtingen ten aanzien van
gegevensbescherming in de AVG neergelegd.80 Op nationaal niveau zijn de algemene regels
voor de uitvoering van de AVG zijn neergelegd in de Uitvoeringswet AVG.81 Daarnaast
bevatten sectorspecifieke wetten concrete rechtsgrondslagen voor de verwerking van (bijzondere categorieën) persoonsgegevens. 82
75 Van der Pot/Elzinga & De Lange 2006, p. 388. 76 Artikel 10, lid 1 Gw.
77 Zwenne & Mommers 2016, p. 2.
78 Tweede Kamer der Staten-Generaal, vergaderjaar 2017 – 2018, 34 851, nr. 3, p. 10. 79 Tweede Kamer der Staten-Generaal, vergaderjaar 2017 – 2018, 34 851, nr. 3, p. 14. 80 Tweede Kamer der Staten-Generaal, vergaderjaar 2017 – 2018, 34 851, nr. 3, p. 14. 81 Tweede Kamer der Staten-Generaal, vergaderjaar 2017 – 2018, 34 851, nr. 3, p. 15. 82 Tweede Kamer der Staten-Generaal, vergaderjaar 2017 – 2018, 34 851, nr. 3, p. 15.
De AVG heeft ten doel harmonisatie te bevorderen. Daarnaast draagt de Verordening bij aan rechtszekerheid en een consistent en hoog gegevensbeschermingsniveau.83 Net als de
Privacyrichtlijn, beoogt de AVG primair de grondrechten en fundamentele vrijheden van natuurlijke personen te beschermen. Daarnaast heeft de Verordening ten doel het vrij verkeer van persoonsgegevens te waarborgen. De Europese wetgever heeft bewust voor open normen gekozen, met name ten aanzien van eisen die worden gesteld aan de beveiliging van persoonsgegevens. De AVG onderstreept dat gegevensbescherming technologieneutraal dient te zijn en niet afhankelijk mag zijn van gebruikte technologieën.84
3.2.2 Werkingssfeer
De AVG is van toepassing op de “geheel of gedeeltelijk geautomatiseerde verwerking van
persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”85. De reikwijdte van het
begrip van persoonsgegevens blijft ten opzichte van de Privacyrichtlijn ongewijzigd. Persoonsgegevens zijn gegevens over een geïdentificeerde of identificeerbare persoon.86
Tevens zijn er in de definitiebepaling een aantal categorieën gegevens opgenomen die in ieder geval als identificeerbaar moeten worden aangemerkt.87 De Artikel 29-werkgroep, bestaande
uit nationale privacytoezichthouders, heeft een voorstel gedaan om het persoonsgegevensbegrip in de AVG verder op te rekken.88 In dit voorstel vallen ook gegevens
betreffende natuurlijke personen die kunnen worden onderscheiden onder het persoonsgegevensbegrip, ook wel singling-out genoemd.89 Er is dan geen sprake van het
identificeren maar van individualiseren. Uiteindelijk is het voorstel niet overgenomen en heeft
signling-out geen zelfstandige juridische betekenis gekregen.90 Desalniettemin kan
signling-out wel een bijdrage leveren aan de identificeerbaarheid. Het begrip persoonsgegevens moet
ruim worden geïnterpreteerd. Gegevens vallen slechts buiten de reikwijdte van de AVG indien anonimsering volledig onomkeerbaar is. De drempel om van anonieme gegevens te kunnen spreken ligt derhalve hoog.
83 Zwenne & Mommers 2016, p. 2. 84 Considerans sub 15 AVG. 85 Artikel 2, lid 1 AVG. 86 Artikel 4, sub 1 AVG. 87 Artikel 4, sub 1 AVG.
88 Zwenne & Mommers 2016, p. 6. 89 Zwenne & Mommers 2016, p. 6. 90 Zwenne & Mommers 2016, p. 6.
Al met al kan worden geconcludeerd kan worden dat de materiele werkingssfeer van de AVG overeenkomst met die van de Privacyrichtlijn.91 De AVG heeft wel aantal nieuwe begrippen
en aanduidingen geïntroduceerd.92 Nieuwe aanduidingen zijn onder andere
‘verwerkingsverantwoordelijke’ en ‘verwerker’. In de Wbp werd gesproken over de ‘verantwoordelijke’ en ‘bewerker’. De inhoud van deze begrippen is echter ongewijzigd. Het onderscheid tussen verwerkingsverantwoordelijken en verwerkers blijft onder de AVG gehandhaafd.
De AVG heeft wel de territoriale reikwijdte uitgebreid. Op grond van de Privacyrichtlijn was de vestigingsplaats van de verantwoordelijke bepalend. Deze hoofdregel blijft onder de AVG gehandhaafd, maar de werking ervan wordt uitgebreid naar verwerkers.93 De Verordening is
niet alleen van toepassing op gegevensverwerkingen van verwerkingsverantwoordelijken maar ook op de gegevensverwerkingen van verwerkers. Bepalend is of een vestiging van de verwerkingsverantwoordelijke of de verwerker zich in een van de lidstaten bevindt. Tevens is de AVG van toepassing indien de verwerking van persoonsgegevens verband houdt met het aanbieden van goederen of diensten aan betrokkenen in de Europese Unie of het monitoren van gedrag van betrokkenen, voor zo ver dit gedrag in de Europese Unie plaatsvindt.94
3.2.3 Beginselen van de verwerking
In artikel 5 AVG zijn de beginselen neergelegd die van toepassing zijn op de verwerking van persoonsgegevens. Ten eerste moeten persoonsgegevens worden verwerkt “op een wijze die
[…] rechtmatig, behoorlijk en transparant is”95. Voor de betrokkene dient het transparant te
zijn op welke wijze de op betrokkene betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt.96 De betrokkene dient op een beknopte,
toegankelijke en begrijpelijke wijze te worden geïnformeerd over de identiteit van de verwerkingsverantwoordelijke, de doeleinden van de gegevensverwerking en de manier waarop de betrokkene zijn/haar rechten kan uitoefenen ten aanzien van de verwerking van persoonsgegevens.97
91 Zwenne & Mommers 2016, p. 5; Balen & Nijveld 2017, p. 609. 92 Zwenne & Mommers 2016, p. 4.
93 Zwenne & Mommers 2016, p. 7 94 Zwenne & Mommers 2016, p. 8. 95 Artikel 5, lid 1 sub a AVG. 96 Considerans sub 39 AVG. 97 Considerans sub 39 AVG.
Ten tweede mogen gegevens slechts worden verzameld voor “welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doeleinden” 98 en “mogen vervolgens niet verder op een met
die doeleinden onverenigbare wijze worden verwerkt”99. Daarnaast moet de
gegevensbeperking worden beperkt tot hetgeen noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt (beginsel van dataminimalisatie).100 Ook dient te
worden gewaarborgd dat de gegevens juist, volledig en actueel zijn (beginsel van juistheid) en niet langer worden bewaard dan noodzakelijk (beginsel van opslagbeperking).101 Tot slot
dienen persoonsgegevens op een passende wijze te worden beveiligd (beginsel van integriteit
en vertrouwelijkheid). De beveiliging van de verwerking van persoonsgegevens dient zo te
worden ingericht dat verlies van gegevens en onrechtmatige toegang tot of gebruik van de gegevens wordt voorkomen.102 De bovengenoemde beginselen zijn complementair. Dit
betekent dat bij gegevensverwerkingen alle beginselen in gelijke mate in acht dienen te worden genomen.103 De beginselen zijn bindend, behoudens bij of krachtens de Verordening
of nationale wetgeving te stellen beperkingen.
3.2.4. Rechtsgrondslagen voor de verwerking van persoonsgegevens
Artikel 6, lid 1 AVG somt limitatief de rechtsgrondslagen voor de verwerking van persoonsgegevens op. Deze bepaling is een uitwerking van het in artikel 5 AVG neergelegde beginsel van rechtmatigheid. Dit beginsel houdt in dat persoonsgegevens slechts mogen worden verwerkt indien er een deugdelijke rechtsgrondslag aanwezig is. De gegevensverwerking is bijvoorbeeld rechtmatig indien de betrokkene toestemming heeft gegeven voor de gegevensverwerking.104 Daarnaast is de verwerking van persoonsgegevens
rechtmatig indien deze verwerking noodzakelijk is ter uitvoering van een overeenkomst waarbij de betrokkene partij is.105 Dit is bijvoorbeeld het geval indien gezondheidsgegevens
worden verwerkt ter uitvoering van een behandelingsovereenkomst die de betrokkene met een zorgverlener heeft gesloten.
Daarnaast is de verwerking van persoonsgegevens rechtmatig indien de verwerking noodzakelijk is om te voldoen aan een wettelijke plicht die op de 98 Artikel 5, lid 1 sub b AVG.
99 Artikel 5, lid 1 sub b AVG. 100 Artikel 5, lid 1 sub c AVG. 101 Artikel 5, lid 1 sub d en e AVG. 102 Artikel 5, lid 1 sub f AVG.
103 Tweede Kamer der Staten-Generaal, vergaderjaar 2017 – 2018, 34 851, nr. 3, p. 27. 104 Artikel 6, lid 1 sub a AVG.
verwerkingsverantwoordelijke ligt.106 In sectorspecifieke wetgeving zijn een aantal
grondslagen voor gegevensverwerking opgenomen. Bijvoorbeeld de verwerking van het Burgerservicenummer (hierna: BSN) op grond van artikel 86 van de Zorgverzekeringswet. Tot slot is de gegevensverwerking ook rechtmatig indien deze verwerking noodzakelijk is ter bescherming van vitale belangen, voor de vervulling van een taak van algemeen belang of voor de behartiging van gerechtvaardigde belangen.107
In artikel 7 AVG zijn specifieke voorwaarden ten aanzien van toestemming als grondslag voor de verwerking neergelegd. De AVG benadrukt dat de toestemming “vrijelijk, specifiek,
geïnformeerd en ondubbelzinnig” 108 moet worden gegeven. Artikel 7, lid 1 AVG bepaalt dat
de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de gegevensverwerking. Daarnaast heeft de betrokkene het recht om de toestemming op ieder moment in te trekken.109
3.2.5 Verwerking van bijzondere categorieën persoonsgegevens
Artikel 9 AVG regelt de verwerking van bijzondere categorieën persoonsgegevens, waaronder gegevens over de gezondheid. Nieuw ten opzichte van de Privacyrichtlijn en de Wbp is dat genetische en biometrische gegevens afzonderlijk worden aangemerkt als bijzondere persoonsgegevens. Het algemene uitgangspunt is dat de verwerking van persoonsgegevens in beginsel is verboden, tenzij er sprake is van een van de in artikel 9, lid 2 onder sub a tot en met sub j AVG genoemde uitzonderingen. De AVG wijkt op dit punt niet af van de Richtlijn en de Wbp. Relevante uitzonderingen in het kader van de verwerking van gezondheidsgegevens zijn de uitdrukkelijke toestemming van betrokkene (sub a) en de noodzaak voor doeleinden van geneeskunde, waaronder “de beoordeling van
arbeidsongeschiktheid, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten, van op grond van Unierecht of lidstatelijk recht of uit hoofde van een behandelingsovereenkomst”
(sub h)110. In artikel 9, lid 3 AVG wordt de uitzondering van sub h nader uitgewerkt.
Persoonsgegevens mogen slechts worden verwerkt door of onder verantwoordelijk van een beroepsbeoefenaar die aan beroepsgeheim verbonden is of tot geheimhouding verplicht is of 106 Artikel 6, lid 1 sub c AVG.
107 Artikel 6, lid 1 sub d – f AVG. 108 Considerans sub 32 AVG. 109 Artikel 7, lid 3 AVG. 110 Artikel 9, lid 1 sub
door “een andere persoon die krachtens Unierecht of lidstatelijk recht of krachtens door
nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden”111.
Ook ‘indirect’ bijzondere persoonsgegevens vallen onder de reikwijdte van artikel 9 AVG. Dit zijn gegevens die niet als zodanig betrekking hebben op een gevoelig kenmerk, maar waaruit de aanwezigheid van een gevoelig kenmerk wel kan worden afgeleid. De definitie van gezondheidsgegevens wordt door Europese privacytoezichthouders ruim geïnterpreteerd.112
Onder de definitie van gezondheidsgegevens vallen niet alleen medische gegevens, zoals de inhoud van het patiëntendossier, maar ook rook- en drinkgedrag, lidmaatschap van een patiëntenorganisatie of de uitslag van een IQ of persoonlijkheidstest.113 Dat het begrip
gezondheidsgegevens ruim moet worden uitgelegd blijkt ook uit een onderzoek van de AP naar de Nike Running app. De AP oordeelde dat locatiegegevens die door de app worden verwerkt om loopafstanden, -snelheden en -tijden te meten, moeten worden aangemerkt als bijzondere persoonsgegevens.114 Omdat de sportieve prestaties een indicatie gegeven van de
conditie van de gebruiker van de app, kwalificeren deze gegevens als gezondheidsgegevens in de zin van de Wbp.
3.2.6 Verplichtingen van verwerkingsverantwoordelijken en verwerkers
De AVG introduceert een aantal nieuwe verplichtingen voor de verwerkingsverantwoordelijke. Met de komst van de AVG is er meer nadruk op de verantwoordingsplicht van organisaties komen te liggen.115 Verwerkingsverantwoordelijken
dienen aan te tonen dat er is voldaan aan de wettelijke vereisten. Voortvloeiend uit deze verantwoordingsplicht, rust er op de verwerkingsverantwoordelijke de verplichting om een verwerkingsregister bij te houden. Het bijhouden van een verwerkingsregister is in ieder geval verplicht indien een organisatie meer dan 250 werknemers in dienst heeft of als er stelselmatig (bijzondere categorieën) persoonsgegevens worden verwerkt.
In het register worden alle categorieën van verwerkingen van persoonsgegevens vastgelegd, evenals de contactgegevens van de verwerkingsverantwoordelijke en de functionaris gegevensbescherming, de doeleinden van de gegevensverwerking, een beschrijving van de 111 Artikel 9, lid 3 Avg.
112 WP 29, Annex: health data in apps and devices 2015, p. 2. 113 WP 29, Annex: health data in apps and devices 2015, p. 2. 114 CBP, Z-2014-00859 2015.
categorieën betrokkenen, beoogde bewaartermijnen, eventuele ontvangers van de persoonsgegevens en beveiligingsmaatregelen.116 Ook bevat de AVG een verplichting tot het
sluiten van verwerkersovereenkomsten met verwerkers.
Daarnaast is de verwerkingsverantwoordelijke verplicht om voorafgaand aan bepaalde gegevensverwerkingen een gegevensbeschermingseffectbeoordeling uit te voeren.117 Deze
beoordeling heeft ten doel privacy-risico’s in een vroeg stadium te signaleren opdat er tijdig beheersmaatregelen kunnen worden getroffen. Een beoordeling is in ieder geval vereist indien er sprake is van grootschalige verwerking van bijzondere categorieën van persoonsgegevens, waaronder gezondheidsgegevens.118 Het vastleggen van patiëntgegevens in
een elektronische patiëntendossier is een voorbeeld van grootschalige verwerking van bijzondere gegevens. Op de individuele zorgverlener rust deze verplichting niet, omdat er geen sprake is van een grootschalige verwerking van persoonsgegevens. 119 Indien uit de
beoordeling blijkt dat de beoogde verwerking een hoog risico oplevert en er onvoldoende beheersmaatregelen kunnen worden getroffen om dit risico te mitigeren, is de verwerkingsverantwoordelijke voorafgaand aan deze verwerking verplicht de Autoriteit Persoonsgegevens te raadplegen.120
Verwerkingsverantwoordelijken en verwerkers die op grote schaal gezondheidsgegevens verwerken, zijn op grond van artikel 37, lid 1 sub c AVG tevens verplicht een functionaris voor gegevensbescherming aan te stellen. De functionaris houdt onafhankelijk toezicht op de naleving van de AVG, andere Europese en nationale privacywet- en regelgeving en sectorspecifieke wetgeving en gedragscodes. Ook is de FG verantwoordelijk voor de afhandeling van verzoeken van betrokkenen, waaronder het verzoek tot inzage en correctie.
De verwerkingsverantwoordelijke en de verwerker zijn verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen. Bij het nemen van deze maatregelen dient rekening te worden gehouden met de stand van de techniek, de uitvoeringskosten, alsook de 116 Artikel 30, lid 1 AVG.
117 Artikel 35 AVG.
118 Artikel 35, lid 3, sub b AVG. 119 Considerans sub 91, AVG. 120 Artikel 36 AVG.
aard, context en omvang van de verwerkingsdoeleinden en de waarschijnlijkheid en ernst van privacy-risico’s.121 Deze maatregelen hebben ten doel onrechtmatige toegang tot
persoonsgegevens of verlies van persoonsgegevens te voorkomen. In de zorg gelden specifieke beveiligingsnormen. NEN 7510 is een beveiligingsnorm voor het organisatorisch en technisch inrichten van informatiebeveiliging in de zorg. Op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders, dient een elektronisch uitwisselingssysteem te voldoen aan de criteria overeenkomstig NEN 7510. Indien er, ondanks de getroffen maatregelen, sprake is van een inbreuk in verband met persoonsgegevens, is de verwerkingsverantwoordelijke verplicht dit binnen 72 uur na de ontdekking van de inbreuk te melden bij de Autoriteit persoonsgegevens.122
Tot slot verplicht de AVG de verwerkingsverantwoordelijke om gegevensbescherming door ontwerp (privacy by design) en door standaardinstelling (privacy by default) te hanteren als uitgangspunt voor gegevensverwerking.123 Privacy by design ziet voornamelijk op de
ontwikkeling van nieuwe producten of diensten. Er kunnen een zevental privacy by design principes worden onderscheiden, waaronder het integreren van gegevensbescherming en beveiliging in het ontwerp en end-to-end beveiliging.124 Een ontwikkelaar kan er bijvoorbeeld
voor kiezen om standaard updates te laten uitvoeren. Privacy by default verplicht verwerkingsverantwoordelijken en verwerkers maatregelen te nemen om te waarborgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Een voorbeeld is het standaard uitschakelen van locatievoorzieningen op een smartphone.125
121 Artikel 32 AVG. 122 Artikel 33, lid 1 AVG. 123 Artikel 25 AVG.
124 O’Connor e.a. 2017p. 656. 125 Artikel 25, lid 2 AVG.
3.2.7 Rechten van de betrokkene
Met de komst van de AVG zijn de rechten van betrokkenen versterkt en uitgebreid. Het recht op transparantie wordt ontleend aan de artikelen 12, 13 en 14 AVG. In artikel 12, lid 1 AVG is een algemene zorgplicht opgenomen op grond waarvan de verwerkingsverantwoordelijke passende maatregelen dient te treffen opdat de betrokkene informatie in een begrijpelijke vorm ontvangt.126 In artikel 13 en 14 AVG zijn de verplichtingen van de
verwerkingsverantwoordelijke tot het verstrekken van informatie aan de betrokkene neergelegd.
Artikel 15 AVG regelt het recht op inzage van de betrokkene. Het recht op inzage ziet niet alleen op de persoonsgegevens die van betrokkene worden verwerkt, maar ook op de verwerkingsdoeleinden, eventuele ontvangers van de gegevens en bewaartermijnen. De betrokkene ontleent aan de AVG ook een recht op rectificatie.127 Dit recht houdt in dat
betrokkenen onjuiste persoonsgegevens kunnen laten wijzigen of aanvullen. De verwerkingsverantwoordelijke is verplicht om iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie.128 Het recht van bezwaar, dat in artikel
21 AVG is neergelegd, komt grotendeels overeen met het recht van verzet op grond van de Privacyrichtlijn. Betrokkenen hebben het recht om bezwaar de maken tegen de verwerking van de op hen betrekking hebbende persoonsgegevens indien de gegevens worden verwerkt op grond van artikel 6, lid 1 onder e of f AVG.
Een belangrijk nieuw recht van de betrokkene is het recht op vergetelheid. Dit recht wordt ontleend aan jurisprudentie van het Hof van Justitie van de Europese Unie.129 In de zaak
Google v Costeja erkende het Hof van Justititie van de Europese Unie het interneetvergeetrecht. Het internetvergeetrecht kan echter niet volledig gelijk worden gesteld aan het algemene recht op vergetelheid dat in de AVG is neergelegd.130 Het recht op
vergetelheid gaat verder dan het verwijderingsrecht op grond van de Privacyrichtlijn en de Wbp.
126 Tweede Kamer der Staten-Generaal, vergaderjaar 2017 – 2018, 34 851, nr. 3, pagina 51. 127 Artikel 16 AVG.
128 Artikel 19 AVG.
129 HvJ EU 13 mei 2014, C-131/12 (Google v. Costeja) 130 Zwenne 2015, p. 71.
Het verwijderingsrecht was beperkt tot het verwijderen van objectief onjuiste gegevens, niet volledige gegevens of niet ter zake doende gegevens. Waar de Privacyrichtlijn en de Wbp uitgaan van de objectieve onjuistheid van de gegevens, is in de AVG de subjectieve wens van de betrokkene als uitgangspunt genomen.131
Een ander nieuw recht is het recht op beperking van de verwerking dat is neergelegd in artikel 18 AVG. Op grond van deze bepaling kan een betrokkene de verwerking van gegevens opschorten. Opschorting van de gegevensverwerking is mogelijk indien de betrokkene stelt dat de gegevens onrechtmatig of onjuist worden verwerkt. Zwenne en Mommers (2016) merken op dat dit recht verstrekkende gevolgen kan hebben.132 Enkel het stellen dat de
verwerking onrechtmatig is, is voldoende om de verwerking op te schorten.
Tot slot introduceert de AVG het recht op gegevensoverdraagbaarheid. Betrokkenen hebben het recht om de persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te ontvangen.133
Betrokkenen hebben tevens het recht die gegevens rechtstreeks te laten overdragen aan een derde partij. Het recht op dataportabiliteit is op grond van artikel 20 AVG beperkt tot digitale persoonsgegevens welke met toestemming van de betrokkene of ter uitvoering van een overeenkomst met de betrokkene worden verwerkt. Het recht op dataportabiliteit is voor de zorgsector van belang omdat persoonsgegevens vaak worden verwerkt op grond van toestemming of ter uitvoering van de behandelingsovereenkomst.134
3.3 Uitvoeringswet AVG
Ondanks het rechtstreeks bindende karakter van een verordening laat de AVG op een groot aantal plaatsen ruimte aan de nationale wetgever om keuzes te maken. Van deze ruimte is door de Nederlandse wetgever op verschillende punten gebruik gemaakt. De Uitvoeringswet AVG geeft uitvoering aan de AVG en is op 25 mei 2018 in werking getreden. Het uitgangspunt van de Uitvoeringswet AVG is dat beleidskeuzes die zijn gemaakt onder het regime van de Privacyrichtlijn en de Wbp zoveel mogelijk blijven gehandhaafd.135
131 Tweede Kamer der Staten-Generaal, vergaderjaar 2017 – 2018, 34 851, nr. 3, pagina 62. 132 Zwenne & Mommers 2016, p. 10.
133 Artikel 20, lid 1 AVG. 134 Balen & Nijveld 2017, p. 614.
Ten eerste biedt artikel 8 AVG lidstaten de ruimte om bij nationaal recht te voorzien in een lagere leeftijdsgrens. De Nederlandse wetgever heeft er voor gekozen de leeftijdsgrens van 16 jaar op grond van de Wbp in de Uitvoeringswet AVG over te nemen.
Ten aanzien van de verwerking van bijzondere categorieën persoonsgegevens, heeft de Uitvoeringswet AVG het algemene verbod van artikel 9 AVG overgenomen. In artikelen 23 en 24 Uitvoeringswet AVG zijn algemene uitzonderingsgronden opgenomen die van toepassing zijn op alle bijzondere categorieën persoonsgegevens. Deze uitzonderingsgronden zijn een uitwerking van artikel 9, lid 2, sub g en j AVG. Daarnaast bevat artikel 30 Uitvoeringswet een aantal specifieke uitzonderingen die op de verwerking van gezondheidsgegevens van toepassing zijn.
Tot slot kan de verwerkingsverantwoordelijke op grond van de Uitvoerinsgwet AVG de verplichtingen en rechten van een betrokkene buiten toepassing laten voor zover dit noodzakelijk en evenredig ten einde algemene belangen en de bescherming van de betrokkene of de rechten of vrijheden van anderen te waarborgen. 136
3.4 Sectorspecifieke wetgeving
De AVG beoogt een uniforme toepassing van de privacy-regels binnen de Europese Unie. Desondanks laat de AVG lidstaten de ruimte om, op terreinen waar behoefte is aan specifieke regelingen, sectorspecifieke wet- en regelgeving op te stellen. De AVG maakt het mogelijk om inzake de verwerking van bijzondere persoonsgegevens nadere regels vast te stellen in nationale wetgeving. 137 Op grond van artikel 6, lid 2 AVG kan, indien de verwerking
plaatsvindt op basis van de rechtsgrondslagen onder c of e , bij of krachtens nationale wetgeving invulling aan de verordening worden gegeven.
In de gezondheidszorg zijn veel sectorspecifieke wetten van toepassing. In deze sectorspecifieke wetgeving zijn onder andere concrete rechtsgrondslagen opgenomen voor de verwerking van (bijzondere) persoonsgegevens. Zo is bijvoorbeeld in de Wet gebruik burgerservicenummer in de zorg en in de Zorgverzekeringswet de grondslag voor het verwerken van het BSN opgenomen.
136 Zie voor de volledige opsomming van gronden artikel 41 Uitvoeringswet AVG. 137 Considerans sub 10 AVG.
Het uitgangspunt van de Nederlandse wetgever is dat bestaande wet- en regelgeving inhoudelijk waar mogelijk wordt gehandhaafd. De AVG wijzigt bijvoorbeeld niet de Wgbo. Dit betekent dat de Wgbo en de AVG naast elkaar bestaan. De Wgbo bevat een aantal bepalingen die specifiek zien op de verwerking van gezondheidsgegevens. Op grond van artikel 7:454 BW rust op de hulpverlener een dossierplicht. Daarnaast is in artikel 7:457 BW de geheimhoudingsplicht neergelegd.138 De geheimhoudingsplicht ziet niet alleen op de
bescherming van gezondheidsgegevens in de individuele arts-patiënt relatie maar ook in andere behandelrelaties.139 De geheimhoudingsplicht is echter niet absoluut, doorbreking van
het geheim kan bijvoorbeeld geschieden op grond van (veronderstelde) toestemming, een wettelijk voorschrift of een conflict van plichten.140
De Wet cliëntenrechten bij elektronische verwerking van gegevens (hierna: Wceg) ziet specifiek op het gebruik van elektronische uitwisselingssystemen in de zorg. Cliënten ontlenen aan de Wceg een groot aantal rechten, waaronder het recht op elektronische inzage, het recht om gespecificeerde toestemming te geven of het recht op een overzicht van wie en wanneer bepaalde informatie beschikbaar heeft gemaakt of ingezien. Daarnaast stelt deze wet een aantal eisen aan de beveiliging van elektronische uitwisselingssystemen. Dit is nader uitgewerkt in het Besluit elektronische gegevensverwerking door zorgaanbieders, waarin is bepaalt dat dat elektronische uitwisselingssystemen dienen te voldoen aan het bepaalde in NEN 7510.141 NEN 7510 is een informatiebeveiligingsnorm voor de zorgsector.
3.5 Deelconclusie
Met de AVG beoogt de Europese wetgever harmonisatie van privacyregels binnen de Europese Unie te bewerkstelligen. Desondanks bevat de AVG een groot aantal open normen. Met de komst van de AVG is meer nadruk komen te liggen op de algemene verantwoordingsplicht van organisaties. Daarmee hebben verwerkingsverantwoordelijken en verwerkers een actievere rol gekregen ten aanzien van gegevensbescherming. Daarnaast is de positie van betrokkenen onder de AVG verstevigd. Met de versterking en uitbreiding van de rechten van betrokkenen, hebben betrokkenen meer zeggenschap gekregen over hun gegevens. Op deze wijze legt de AVG nog meer nadruk op de bescherming van natuurlijk personen.
138 Leenen e.a. 2017, p. 168. 139 Leenen e.a. 2017, p. 150. 140 Leenen e.a. 2017, p. 158.
4. Juridische knelpunten
4.1 InleidingDe toepassing van blockchaintechnologie in de zorg roept een aantal vragen ten aanzien van privacy en gegevensbescherming op, in het bijzonder wanneer er sprake is van grootschalige verwerking van gezondheidsgegevens. De verschillende aspecten van blockchaintechnologie worden getoetst aan de AVG, de Uitvoeringswet AVG en sectorspecifieke wet- en regelgeving. In dit hoofdstuk worden een aantal juridische knelpunten geïdentificeerd en waar mogelijk worden oplossingsrichtingen gegeven.
4.2 Verwerking van (bijzondere categorieën) persoonsgegevens
Om te beoordelen of de blockchain onder het toepassingsbereik van de AVG valt, is het van belang om vast te stellen of er sprake is van het verwerken van persoonsgegevens. Er dient te worden bepaald of de gegevens die op de blockchain zijn vastgelegd kwalificeren als persoonsgegevens in de zin van artikel 4, sub 1 AVG. Ten eerste dient te worden uitgesloten dat de gegevens die op de blockchain zijn vastgelegd anoniem zijn. Anonieme gegevens vallen niet onder het toepassingsbereik van de AVG. Een belangrijk aspect van blockchaintechnologie het gebruik van encryptie. De gegevens worden op zodanige wijze versleuteld dat deze niet toegankelijk zijn onbevoegden. Omdat encryptie omkeerbaar is, leidt het versleutelen van persoonsgegevens tot pseudonimisering en niet tot anonimisering.142 Van
anonimisering is slechts sprake indien de gegevens op zodanige wijze anoniem zijn gemaakt dat het individu niet of niet meer identificeerbaar is. 143 Persoonsgegevens die versleuteld op
een blockchain zijn vastgelegd vallen derhalve onder het toepassingsbereik van de AVG. Bij de kwalificatie van de gegevens is het onderscheid tussen on-chain data en off-chain data van belang.144 Zo kan ervoor worden gekozen bijzondere categorieën persoonsgegevens,
waaronder gezondheidsgegevens, niet op de blockchain zelf vast te leggen. De blockchain bevat dan slechts meta-gegevens, die verwijzen naar traditionele databases zoals ziekenhuis-en huisartsinformatiesystemziekenhuis-en. Echter, ook meta-gegevziekenhuis-ens kunnziekenhuis-en kwalificerziekenhuis-en als persoonsgegevens en er dient dus beoordeeld te worden of deze meta-gegevens ook persoonsgegevens zijn in de zin van de AVG.
142 CBP Richtsnoeren beveiliging van persoonsgegevens 2013, p. 25.
143 CBP Richtsnoeren beveiliging van persoonsgegevens 2013, p. 25.
