Kan het LSP blijven bestaan? : gegevensuitwisseling via het LSP getoetst aan de Algemene verordening gegevensbescherming

(1)

0

KAN HET LSP BLIJVEN

BESTAAN?

Gegevensuitwisseling via het LSP getoetst aan de Algemene verordening gegevensbescherming

L.R. Jacobs 10261583

(2)

1

INHOUD

1. Inleiding ... 3

1.1 Probleemstelling ... 3

1.2 Opbouw ... 4

2. Het elektronisch patiënten dossier en het Landelijk Schakelpunt... 5

2.1 Het EPD ... 5 2.1.1 Landelijk EPD ... 5 2.2 Het LSP ... 6 2.2.1 Betrokken organisaties ... 6 2.2.2 Werkwijze... 6 2.2.3 Beveiliging ... 8 2.3 Privacy ... 9

2.3.1 Het begrip privacy ... 9

2.3.2 Gevaar voor privacy ... 10

2.4 Samenvattend ... 11

3. De huidige situatie ... 12

3.1 Wettelijk kader ... 12

3.1.1 Wet bescherming persoonsgegevens ... 12

3.1.2 de WGBO ... 15

3.1.3 Toestemming ... 16

3.2 Het wettelijk kader toegepast op het LSP ... 17

3.2.1 Uitspraak rechtbank Midden-Nederland ... 17

3.2.2 Toestemming ... 18

3.2.3 Proportionaliteit ... 20

3.2.4 Beveiliging ... 21

3.2.5 Beroepsgeheim ... 22

3.3 Samenvattend ... 23

4. De Europese Algemene verordening gegevensbescherming ... 24

4.1 De Algemene verordening gegevensbescherming... 24

4.1.1 Stand van zaken ... 25

4.1.2 Inhoud ... 25

4.1.3 Rechten van de betrokkene ... 29

4.1.4 Verplichtingen van de verantwoordelijke ... 30

(3)

2

4.2 De Algemene verordening gegevensbescherming toegepast op het LSP ... 34

4.2.1 Rechten van de patiënt ... 35

4.2.3 Verplichtingen van de VZVZ ... 36 4.2.4 Beveiliging ... 38 4.2.5 Sanctionering ... 39 4.3 Samenvattend ... 40 5. Conclusie ... 42 5.1 Beantwoording hoofdvraag ... 42 5.2 Aanbevelingen ... 46 Bijlagen ... 47 1. Toestemmingsformulier ... 47 Literatuurlijst ... 48 Regelgeving ... 49 Rechtspraak ... 49 Kamerstukken ... 50 Overig ... 50

(4)

3

1. INLEIDING

Er is altijd al veel ophef geweest over het landelijk Elektronisch patiëntendossier (hierna: EPD). Het landelijk EPD is uiteindelijk stopgezet door de Eerste Kamer, het senaat wees het wetsvoorstel

af. 1,2_{Daarna hebben private partijen het project weer opgepakt, dit mondde uit in het Landelijk}

Schakelpunt (hierna: LSP) waarbij de overheid niet meer betrokken is. Het LSP zorgt voor gegevensuitwisseling tussen bepaalde zorgverleners, zoals huisartsen en apothekers. Nadat de desbetreffende patiënt toestemming heeft gegeven kunnen gegevens uit het patiëntendossier van de ene zorgverlener verstuurd worden naar de andere zorgverlener wanneer deze zorgverlener de gegevens opvraagt. Het gaat dus niet om een centrale database waarin gegevens verzameld worden. Er is veel ophef over het LSP en het landelijk EPD omdat men bang is dat er gevoelige gezondheidsgegevens openbaar worden en het uitwisselen van gegevens in strijd zou zijn met het beroepsgeheim. Uit een onderzoek van het College bescherming persoonsgegevens (hierna: CBP) blijkt bijvoorbeeld dat er gegevens zijn uitgewisseld zonder toestemming van de

betrokkene.3_{De Wet bescherming persoonsgegevens (hierna: Wbp) stelt strenge eisen aan het}

verwerken van gezondheidsgegevens, dit is in eerste instantie verboden.4_{Daarom moet er onder}

andere toestemming worden gegeven door de patiënt voordat er gegevens uitgewisseld kunnen

worden via het LSP.5

Onlangs heeft rechtbank Midden-Nederland bepaalt dat het LSP niet in strijd is met de Wbp. De Vereniging van Praktijkhoudende Huisartsen wilde het LSP onrechtmatig laten verklaren

vanwege, onder andere, strijd met de Wbp, maar de rechtbank wees deze claim af.6

1.1 Probleemstelling

De Wbp is een uitwerking van de Europese richtlijn bescherming persoonsgegevens (95/46/EG). De Europese Commissie heeft een voorstel gedaan voor een verordening betreffende de bescherming van persoonsgegevens. Het gaat om de Algemene verordening bescherming

1_{Kamerstukken II, 2007/08, 31 466 nr. 2 (wetsvoorstel)} 2_{Handelingen I, 2010/11, nr. 23/ 4, p.4}

3_{College bescherming persoonsgegevens, Onderzoek naar de toestemming voor de uitwisseling van medische}

persoonsgegevens via het Landelijk Schakelpunt, 1-11-2014, geraadpleegd via https://cbpweb.nl/sites/default/files/atoms/files/rap_2014_lsp-vzvz.pdf

4_{Zie art. 16 Wbp}

5_{Zie art. 23 lid 1 sub a Wbp}

(5)

4

persoonsgegevens (hierna: de verordening).7_{Deze verordening wordt in 2016 verwacht en is van}

belang voor het LSP omdat de verordening de Wbp gaat vervangen en onder andere regels bevat omtrent het verwerken van gezondheidsgegevens. De verordening heeft rechtstreekse werking en hoeft daarom niet geïmplementeerd te worden. Omdat de rechtbank het LSP rechtmatig heeft verklaard is de vraag of het LSP dan wel in strijd is met de nieuwe verordening. De vraag die in deze scriptie centraal staat luidt dan ook:

In hoeverre is het LSP verenigbaar met de aankomende Europese privacy verordening? Om deze vraag te beantwoorden zullen een aantal deelvragen behandeld worden:

 Wat houden het EPD en LSP in?

 Aan welke regelgeving moet het LSP op dit moment voldoen? (Wettelijk kader)

 Voldoet het LSP aan de huidige regelgeving en waarom?

 Wat houdt de verordening in en wat verandert er door de verordening?

Door het onderzoeken van toepasselijke wetten, rechtspraak, kamerstukken en literatuur worden de hoofdvraag en de deelvragen beantwoord.

1.2 Opbouw

In hoofdstuk 2 wordt de eerste deelvraag beantwoordt, het LSP en het EPD worden behandeld. Daarbij zal worden ingegaan op wat het LSP en het EPD precies inhouden en waarom zij een gevaar vormen voor de privacy van een persoon. Daarnaast wordt er in dit hoofdstuk behandeld wat privacy is en waarom het beschermd moet worden. In hoofdstuk 3 wordt de huidige regelgeving omtrent privacy besproken en of het LSP daaraan voldoet, daarbij wordt ingegaan op de uitspraak van Rechtbank Utrecht en de Wbp. Dit is de tweede deelvraag. In het volgende hoofdstuk worden de laatste deelvragen beantwoordt door de bespreking van de nieuwe Europese verordening. Wat houdt de verordening in en wat gaat er veranderen door deze verordening? Daarna kan bepaald worden in hoeverre het LSP aan deze verordening voldoet en wat het LSP moet veranderen. In de conclusie wordt de hoofdvraag beantwoord.

(6)

5

2. HET ELEKTRONISCH PATIËNTEN DOSSIER EN HET LANDELIJK SCHAKELPUNT

In dit hoofdstuk wordt uiteengezet wat het (landelijk) EPD en het LSP inhouden. Daarnaast wordt er ingegaan op het gevaar voor de privacy en waarom privacy beschermd moet worden.

2.1 Het EPD

EPD staat voor elektronisch patiëntendossier. Dit is vergelijkbaar met een papieren patiënten dossier, de inhoud is hetzelfde, maar het dossier is opgeslagen op de computer. Toch ontstond er veel ophef over het landelijk EPD, en nu over het LSP. Zorgverleners verzamelen in het EPD gegevens over patiënten die nodig zijn om zorg te verlenen en patiënt gegevens zijn gevoelige gegevens. Doordat deze systemen gegevens kunnen uitwisselen tussen verschillende zorgverleners wordt dit systeem gevaarlijk gevonden.

2.1.1 Landelijk EPD

Het idee was om een stelsel te ontwikkelen voor het uitwisselen van medische gegevens op landelijk niveau, het landelijk EPD. Het was de bedoeling dat dit stelsel tot stand zou komen door

wijziging van de Wet gebruik Burgerservicenummer in de zorg.8_{Deze wet zou de kaders voor het}

landelijk EPD scheppen. Zorgverleners slaan (medische) gegevens van patiënten geordend op in de computer en een andere zorgaanbieder kan door de wijziging van deze wet deze gegevens opvragen, inzien en bewaren. Gegevens kunnen opgevraagd worden via een centraal punt, het Landelijk Schakelpunt, waar de locatie van de gegevens in een landelijke verwijsindex wordt weergegeven. Zorgverleners kunnen in de index nagaan of er relevante informatie over patiënten beschikbaar is en deze opvragen. Via het LSP komt een verbinding tot stand en worden, na het opvragen, de gegevens verstuurd van de ene zorgverlener naar de andere. In de index wordt alleen weergegeven bij welke zorgverlener zich gegevens bevinden, de medische gegevens zelf zijn niet opgenomen in de index. Het BSN-nummer zou gebruikt worden om de medische gegevens aan een patiënt te koppelen. De zorgverleners zouden geauthentiseerd en geautoriseerd worden door middel van een UZI-pas. Het nummer op deze pas fungeert als een persoonsnummer voor de betreffende arts waardoor achterhaald kan worden welke zorgverlener medische gegevens heeft opgevraagd.

(7)

6 Uiteindelijk is dit wetsvoorstel afgewezen door de Eerste Kamer.9_{Het wetsvoorstel verplichte}

zorgverleners zich bij dit systeem aan te sluiten, gegevens in te voeren en bij te houden.10_{Dit om}

het succes van het systeem te garanderen. Wanneer niet alle zorgverleners bij het systeem aangesloten zouden zijn, zou er mogelijk een verkeerd beeld van de patiënt kunnen ontstaan. Daarnaast werd er in het wetsvoorstel bepaald dat er voor het verwerken van gegevens door de zorgverlener geen toestemming nodig is van de patiënt zodat er waarschijnlijk meer gegevens in het systeem zouden kunnen worden opgenomen. Er werd gekozen voor een ‘opt out systeem’: de gegevens van de patiënt mogen verwerkt worden tenzij de patiënt daar bezwaar tegen

maakt.11_{Dit systeem stuitte op veel weerstand en daarnaast was de angst voor een gebrek aan}

privacy en beveiliging een belangrijke overweging van de Eerste Kamer om het wetsvoorstel af te wijzen.

2.2 Het LSP

In de vorige paragraaf is besproken dat het LSP werd gebruikt als centraal punt waar gegevens worden opgevraagd. In deze paragraaf wordt met het LSP de privaatrechtelijke doorstart van het landelijk EPD bedoeld.

2.2.1 Betrokken organisaties

Na het aandringen van de Eerste Kamer op het terug trekken van de overheid bij de ontwikkeling van het landelijk EPD en het afwijzen van het wetsvoorstel is het project opgepakt door private partijen. Deze partijen hebben een doorstart gemaakt met de bestaande landelijke infrastructuur voor elektronische uitwisseling van medische gegevens. De Vereniging Van Zorgaanbieders Voor Zorgcommunicatie (hierna: de VZVZ) is op dit moment de beheerder van het LSP. De VZVZ is opgericht door verschillende koepelorganisaties van huisartsen (LHV), apotheken (KNMP) en huisartsenposten (VHN). Naast deze organisaties kunnen ook individuele zorgaanbieders lid worden van de vereniging zodat ze gebruik kunnen maken van het LSP.

2.2.2 Werkwijze

Het LSP is bijna gelijk aan het eerder besproken landelijk EPD. Het gaat om een privaatrechtelijke doorstart waarbij hetzelfde systeem wordt gebruikt. Huisartsen en apotheken houden hun eigen

9_{Handelingen I, 2010/11, nr. 23/ 4, p.4}

10_{Kamerstukken II, 2007/08, 31 466 nr. 2, art. 13 f lid 1} 11_{Kamerstukken II, 2007/08, 31 466 nr. 2, art. 13 f lid 2 sub b}

(8)

7 elektronische patiënten dossiers bij. Als zorgverleners zijn aangesloten bij het LSP kunnen er regionaal medische patiënten gegevens uitgewisseld worden. Net als het landelijk EPD bestaat het LSP uit een index waarin wordt weergegeven waar zich welke gegevens bevinden. Deze gegevens zijn gekoppeld aan het BSN nummer van de patiënt. Wel zijn er een aantal fundamentele elementen van het systeem veranderd. Ten eerste wordt er niet meer van het ‘opt out’ systeem maar van een ‘opt in’ systeem gebruik gemaakt. Dit betekent dat medische gegevens pas worden weergegeven in de verwijs index van het LSP als patiënten daar toestemming voor hebben gegeven. Zorgverleners mogen geen medische uitwisselen zonder toestemming van de

patiënt, dit is in strijd met het beroepsgeheim en de Wbp.12_{Het tweede element wat is}

veranderd, is dat het LSP geen landelijk maar een regionaal uitwisselingssysteem is. Nederland is opgedeeld in 42 regio’s, zorgverleners in een regio kunnen gegevens met elkaar uitwisselen. Alleen academische ziekenhuizen kunnen gegevens opvragen in meerdere regio’s omdat zij vaak patiënten behandelen uit verschillende regio’s.

Op dit moment kunnen alleen huisartsen, waarnemende huisartsen, apothekers (waaronder ziekenhuisapothekers) en medisch specialisten gebruik maken van het LSP. Andere zorgverleners hebben geen toegang tot het systeem. Ook zorgverzekeraars hebben geen toegang tot het systeem. Op dit moment zijn alleen medicatiegegevens en een samenvatting van het huisartsendossier beschikbaar voor uitwisseling via het LSP. De samenvatting van het huisartsendossier bestaat uit de huidige gezondheidsproblemen van de patiënt, de voorgeschreven medicijnen, bekende allergieën, de contacten van de laatste vier maanden of de laatste vijf contacten en andere bijzonderheden die belangrijk zijn voor waarnemende huisartsen. De samenvatting van het huisartsen dossier kan namelijk alleen geraadpleegd worden door een waarnemend huisarts, die op het moment van waarneming dienst heeft, en wanneer dit van belang is voor de behandeling van de patiënt. Medicatiegegevens bestaan uit een overzicht van de medicatie die de patiënt op het moment gebruikt en persoonsgegevens zoals naam, adres en geslacht. Deze gegevens zijn alleen toegankelijk, mits in het belang van de behandeling, voor apothekers, waarnemende huisartsen en voorschrijvende medisch specialisten.

(9)

8 De patiënt kan bepaalde gegevens afschermen door dit aan te geven bij de huisarts of apotheek. Deze gegevens zijn dan niet te zien in het gedeelde dossier, ook niet in het geval van een noodsituatie. Daarnaast kunnen andere zorgverleners niet zien dat deze gegevens afgeschermd zijn.

2.2.3 Beveiliging

Omdat het EPD gevoelige (medische) gegevens bevat is een hoog beveiligingsniveau wenselijk en

vereist.13_{Het LSP is op verschillende manieren beveiligd. Voordat zorgverleners kunnen}

toetreden tot het netwerk moeten zij voldoen aan strenge veiligheidseisen. De zorgaanbieder moet een Goed Beheerd Zorgsysteem (GBZ) inrichten. Dit houdt in dat zorgaanbieders medische gegevens uitwisselen via een zorginformatiesysteem, een XIS, en een netwerkleverancier, Goed Beheerd Zorgnetwerk (GBN). Het XIS en het GBN moeten ook weer aan een aantal eisen

voldoen. 14 _{Daarnaast moet het GBZ beheerd worden door een interne en externe}

beheerorganisatie zodat er 24 uur per dag gegevens opgevraagd en verstuurd kunnen worden.

Als de zorgverlener voldoet aan deze eisen kan er alleen ingelogd worden met een speciale pas, de UZI-pas, en een wachtwoord. UZI staat voor Unieke Zorgverlener Identificatie en is persoonsgebonden. Ook organisaties in de zorg hebben een uniek nummer: het Unieke Registratie Abonneehouder (URA) nummer. Door middel van deze nummers kunnen organisaties en zorgverleners geïdentificeerd worden. Patiënten worden geïdentificeerd door middel van hun BSN nummer waarmee zij in de index van het LSP staan. Om patiënten extra te beschermen mogen alleen zorgverleners die een behandelrelatie met de patiënt hebben gegevens opvragen en daarnaast moeten de opgevraagde medische gegevens noodzakelijk zijn voor behandeling van de patiënt.

Door de verschillende identificatie nummers kan er toezicht worden gehouden op het gebruik van het LSP. Er kan gecontroleerd worden wie, wanneer, welke gegevens heeft opgevraagd. Ook kan de patiënt zelf inzien, op de website van de VZVZ, welke zorgverlener gegevens heeft opgevraagd en welke zorgverlener gegevens heeft ingevoerd in het EPD. De patiënt heeft geen

13_{Art. 13 Wbp}

14_{Zie Programma van Eisen Goed beheerd Zorgsysteem. Geraadpleegd via:}

(10)

9 inzage in zijn dossier via het LSP. De patiënt heeft wel recht op inzage in zijn dossier, dat kan

aangevraagd worden bij de zorgverlener, niet bij de VZVZ.15

2.3 Privacy

Het wetsvoorstel dat het landelijk EPD faciliteerde is voornamelijk afgewezen door de Eerste

Kamer omdat er teveel risico’s waren voor de privacy van patiënten.16_{Patiënten hebben recht op}

privacy, dit is geregeld in onder andere de grondwet 17_{, de Wet op de Geneeskundige}

Behandelingsovereenkomst (hierna: WGBO)18_{en de Wbp. Het recht op privacy is ook geregeld in}

Europese regelgeving.19_{In deze paragraaf wordt er ingegaan op de risico’s die het LSP met zich}

meebrengt voor de privacy van patiënten.

2.3.1 Het begrip privacy

Het begrip privacy wordt breed uitgelegd door het Europese Hof voor de rechten van de mens.

Het EHRM heeft bepaald dat gegevens betreffende de gezondheid20_{van een individu en}

bescherming van persoonsgegevens onder het privacy begrip vallen.21_{Er bestaan verschillende}

vormen van privacy:

 relationele privacy

 communicatie geheim

 informationele privacy

Relationele privacy kan het best beschreven worden als het recht om met rust gelaten te worden. Het communicatie geheim houdt in dat men aanspraak kan maken op de vertrouwelijkheid van een medium, zoals telefoon en email. De derde vorm van privacy betreft de informationele privacy. Het LSP is een gevaar voor de informationele privacy van een individu. Deze vorm van privacy heeft betrekking op het kunnen beschikken over de eigen persoonsgegevens. Dit houdt

15_{Art. 7:456 Bw} 16_{van Driel 2014} 17_{Art. 10 Gw}

18_{Art. 7:457 en 7:459 Bw}

19_{Art. 16 lid 1 VWEU en art. 8 EU Handvest van de Grondrechten} 20_{EHRM, 30 april 2009, 13444/04 (Glor v. Switzerland)}

(11)

10 ook in dat een individu mag bepalen hoe, wanneer en in welke mate zijn gegevens beschikbaar

worden voor anderen.22

2.3.2 Gevaar voor privacy

Omdat de informatie technologie zich steeds verder ontwikkeld wordt het gevaar voor schending van de privacy van een individu steeds groter. Er worden meer gegevens opgeslagen en gedeeld dan ooit. Burgers maken meer persoonsgegevens openbaar en bedrijven en de overheid kunnen

deze gebruiken bij het uitvoeren van hun activiteiten.23_{In paragraaf 2.3.1 is besproken dat privacy}

onder andere inhoudt dat een individu zelf kan bepalen hoe, wanneer en in welke mate gegevens beschikbaar worden voor derden. Omdat gegevens veelvuldig gedeeld worden heeft het individu minder controle over zijn gegevens waardoor het gevaar voor schendig van de privacy groter is dan voorheen. Onbevoegden kunnen makkelijker dan eerst over persoonsgegevens beschikken.

Door de technologische ontwikkelingen bestaat bijvoorbeeld het gevaar voor koppeling van gegevensbestanden. Het koppelen van gegevensbestanden houdt in dat er relaties worden gelegd tussen verschillenden bestanden die gegevens bevatten. Het LSP gebruikt het BSN nummer van patiënten als identificatienummer. Door het gebruik van het BSN nummer wordt de mogelijkheid van koppeling van bestanden aanzienlijk verruimd. Het BSN nummer wordt gebruikt door verschillende overheidsinstanties voor persoonsidentificatie, waardoor het gevaar bestaat

dat door koppeling er een beeld van een individu gevormd kan worden. 24

Koppeling van gegevensbestanden leidt tot extrinsiek en intrinsiek verlies van vrijheid. Wanneer andere personen informatie krijgen over een individu wordt deze kwetsbaar voor sociale druk, controle en manipulatie (extrinsiek verlies van vrijheid). Intrinsiek verlies van vrijheid houdt in dat het in de gaten houden van mensen, door middel van het controleren van gegevens maar ook bijvoorbeeld bewakingscamera’s, als zodanig een beperking van de vrijheid van het individu oplevert.25

22_{Doppegieter 1993} 23_{COM(2012) 11 final p. 1}

24_{Wet algemene bepalingen Burgerservicenummer} 25_{Reiman 2004}

(12)

11 Een ander gevaar van het delen van medische gegevens en het gebruik van het BSN nummer is identiteitsdiefstal. In de huidige samenleving zijn we steeds meer afhankelijk van het gebruik van identificatiemiddelen om toegang te krijgen tot bepaalde diensten en voorzieningen. Hierdoor

neemt het gevaar voor gegevensmisbruik en identiteitsfraude en -diefstal toe.26

Door toestemming te geven voor het gebruik van het LSP verliezen patiënten de controle over hun gedigitaliseerde medische gegevens. Daardoor worden patiënten kwetsbaar voor misbruik van deze gegevens. De patiënt heeft geen controle meer over de gegevens en geen zicht op wat er met de gegevens gebeurt. In de folder en de brochure over het LSP wordt wel de illusie van controle gewekt door het kopje ‘Afschermen van gegevens’ en het kopje ‘Toestemming

intrekken’.27_{Hierdoor krijgt de patiënt het idee dat hij controle heeft maar wanneer iets gedeeld}

is kan dat nooit meer uit het geheugen van een zorgverlener of een derde die de informatie onder ogen heeft gekregen worden gewist. De patiënt kan vergeten om bepaalde gegevens af te schermen waardoor deze toch ongewenst gedeeld worden of een patiënt kan het gevaar van het delen van bepaalde gegevens niet zien waardoor deze toch gedeeld worden. Ook kunnen patiënten in het ‘inzage overzicht’ inzien welke hulpverlener de gegevens heeft opgevraagd en bekeken. Dit wekt ook de illusie van controle op, echter het gaat hier om controle achteraf.

2.4 Samenvattend

Door middel van het LSP kunnen bepaalde zorgaanbieders medische gegevens uitwisselen. Voor dat een patiënt opgenomen wordt in de verwijsindex moet er toestemming worden gegeven via een toestemmingsformulier. Het LSP is op verschillende manieren beveiligd, er worden strenge veiligheidseisen gesteld aan zorgverleners die gebruik maken van het LSP. Omdat een systeem nooit water dicht is kan door het gebruik van het LSP het recht privacy van de patiënt geschonden worden. Daarnaast wekt het systeem op verschillende manieren de illusie van controle op.

26_{van Driel 2014 p. 27}

27_{VZVZ, ‘Uw medische gegevens elektronisch delen? Alleen met uw toestemming!’, (brochure over het LSP).}

Geraadpleegd via: https://www.vzvz.nl/uploaded/FILES/htmlcontent/Brochure_VZVZ_2013-12.pdf

VZVZ, ‘Beter geholpen met goede informatie. Over het elektronisch delen van uw gegevens’, (folder over het LSP). Geraadpleegd via:

(13)

12

3. DE HUIDIGE SITUATIE

In dit hoofdstuk wordt er ingegaan op de regelgeving die op dit moment geldt voor het LSP. De rechtbank Midden-Nederland heeft onlangs bepaald dat het LSP niet in strijd is met de deze regelgeving. Eerst wordt de regelgeving waaraan de VZVZ aan moet voldoen besproken en daarna wordt er in gegaan op de uitspraak van de rechter.

3.1 Wettelijk kader

In het EPD worden persoonsgegevens en medische gegevens verzameld, deze worden

uitgewisseld via het LSP. Dit betekent dat onder andere de WGBO28_{en Wbp van toepassing zijn}

op het LSP. Deze wetten zullen achtereenvolgens behandeld worden.

3.1.1 Wet bescherming persoonsgegevens

De Wbp verstaat onder persoonsgegeven: ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’.29_{De wet is van toepassing op de geheel of gedeeltelijk}

geautomatiseerde verwerking van persoonsgegevens, alsmede de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om

daarin te worden opgenomen.30_{In deze omschrijving is het begrip ‘verwerking’ van belang. De}

definitie van dit begrip is omschreven in art. 1 Wbp: ‘Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’. Hieruit blijkt dat de Wbp van toepassing is op het verwerken van medische gegevens door het LSP. De VZVZ is de verantwoordelijke in de zin van de Wbp omdat De VZVZ de rechtspersoon is die het doel van en de middelen voor verwerking van de persoonsgegevens vaststelt.31

De artt. 6 tot en met 15 Wbp bevatten de voorwaarden voor verwerking. Gegevens mogen alleen verzameld worden voor een welbepaald doel, dat uitdrukkelijk omschreven en gerechtvaardigd

28_{Bw boek 7, titel 7, afdeling 5} 29_{Art. 1 sub a Wbp}

30_{Art. 2 lid 1 Wbp} 31_{Art. 1 sub d Wbp}

(14)

13 is.32_{Vervolgens schrijft de wet voor dat gegevens niet verwerkt mogen worden op een wijze}

onverenigbaar met de doeleinden waarvoor ze zijn verkregen.33_{Daarnaast moet er sprake zijn}

van een verwerkingsgrond.34_{Er wordt een limitatieve opsomming van verwerkingsgronden}

gegeven:

 toestemming

 noodzakelijk om een contractuele verplichting na te komen

 wettelijke verplichting

 vrijwaring van een vitaal belang van betrokkene

 publiekrechtelijke taak

 behartiging van gerechtvaardigd belang betrokkene of derde

Deze verwerkingsgronden houden verband met het gerechtvaardigde doel uit art. 7 Wbp. Een doel kan alleen gerechtvaardigd zijn als deze met inachtneming van art. 8 Wbp kan worden

bereikt.35_{Artikel 10 Wbp bepaalt vervolgens dat gegevens niet langer bewaard mogen worden}

dan nodig voor de verwezenlijking van de doeleinden waarvoor de gegevens zijn verzameld of zijn verwerkt.

Daarnaast is art. 13 Wbp van belang voor de VZVZ. Het betreft een beveiligingsvoorschrift dat zich richt tegen verlies of enige vorm van onrechtmatige verwerking van gegevens zoals aantasting van de gegevens, onbevoegde kennisneming, wijziging of verstrekking van de gegevens.36_Alle

onderdelen van het proces van de verwerking moeten voldoen aan art. 13 Wbp. Dit artikel bepaalt dat de verantwoordelijke, in het geval van het LSP de VZVZ, passende en organisatorische maatregelen neemt om verlies en onrechtmatige verwerking tegen te gaan. Deze maatregelen moeten een passend beveiligingsniveau garanderen gelet op de risico’s die de verwerking en de aard van de gegevens met zich meebrengen. Daarbij wordt rekening gehouden met de stand van de techniek en de kosten van de te nemen maatregelen. Het begrip passend houdt in dat de 32_{Art. 7 Wbp} 33_{Art. 9 lid 1 Wbp} 34_{Art. 8 lid 1 Wbp} 35_{Kamerstukken II, 1997/98, 24 892 nr 3 p. 78 (MvT)} 36_{Kamerstukken II, 1997/98, 24 892 nr 3 p. 98 (MvT)}

(15)

14 maatregelen proportioneel moeten zijn gelet op de aard van de gegevens. Wanneer de gegevens gevoeliger zijn worden de eisen gesteld aan de beveiliging zwaarder. Dit betekent dat de verantwoordelijke niet verplicht is om het systeem zo zwaar mogelijk te beveiligen.

Medische gegevens zijn bijzondere gegevens in de zin van de Wbp.37_{Regels betreffende}

bijzondere gegevens zijn neergelegd in de artt. 16 tot en met 23 Wbp. Het is verboden om de bijzondere gegevens te verwerken. Dit verbod kan opgeheven worden door één van de daaropvolgende bepalingen. Voor medische gegevens geldt art. 21 Wbp en de rest bepaling art. 23 Wbp. De in de bovenstaande paragraaf besproken artikelen van de Wbp zijn ook van belang. Eerst moet worden gekeken of het verwerken van medische gegevens überhaupt is toegestaan (art. 21 of 23 Wbp) en aansluitend moet onderzocht worden of aan de voorwaarden voor verwerking is voldaan (artt. 6-15 Wbp).

Het verbod om medische gegevens te verwerken wordt door art. 21 lid 1 Wbp opgeheven voor bepaalde gevallen die worden genoemd in dit artikel. Verwerking van medische gegevens is toegestaan indien gegevens verwerkt worden door hulpverleners en instellingen voor gezondheidszorg. Het verwerken van medische gegevens moet dan wel noodzakelijk zijn voor de behandeling of verzorging van de patiënt, of het beheer van de instelling of praktijk. Verder is verwerking van medische gegevens op grond van dit artikel toegestaan (onder voorwaarden) voor verzekeraars, scholen, bestuursorganen, werkgevers en uitvoeringsinstellingen. Lid 2 van het artikel legt nog een beperking op, gegevens mogen alleen verwerkt worden door personen die tot geheimhouding verplicht zijn uit hoofde van ambt, beroep of een wettelijk voorschrift dan wel krachtens een overeenkomst.

Artikel 23 Wbp is ook van belang voor het LSP. In deze restbepaling zijn een aantal algemene ontheffingsgronden opgenomen. Voor het LSP is lid 1 sub a van dit artikel van belang. Daarin wordt bepaald dat medische gegevens verwerkt mogen worden indien de betrokkene uitdrukkelijke toestemming voor de verwerking heeft gegeven. Het geven van toestemming wordt verder besproken in paragraaf 3.1.3.

(16)

15 3.1.2 de WGBO

Naast de Wbp is de WGBO van toepassing op het verwerken van medische gegevens. In deze wet

is namelijk het beroepsgeheim vastgelegd.38_{Het beroepsgeheim is verder in art. 88 BIG}

vastgelegd en daarnaast is er in de Wbp ook een bepaling over het beroepsgeheim opgenomen.39

Het beroepsgeheim bestaat uit een zwijgplicht en een verschoningsrecht. De zorgverlener heeft het recht om te zwijgen tegenover derden, het verschoningsrecht, en de zwijgplicht houdt in dat de zorgverlener geen informatie mag verstrekken aan derden zonder toestemming van de patiënt. Wanneer het gaat om het delen van gegevens met anderen die rechtstreeks bij de behandeling zijn betrokken mag de toestemming van de patiënt verondersteld worden. Dit betekent niet dat gegevens onbeperkt gedeeld mogen worden, gegevens verstrekking moet

noodzakelijk zijn voor de door de derde te verrichten behandeling(en).40_{Veronderstelde}

toestemming houdt niet in dat de patiënt geen bezwaar kan maken. Indien de patiënt niet wil dat zijn gegevens gedeeld worden kan er bezwaar gemaakt worden zodat het beroepsgeheim niet doorbroken mag worden.

Het beroepsgeheim mag alleen in bepaalde situaties doorbroken worden. Bijvoorbeeld wanneer er sprake is van een conflict van plichten of zwaarwegende belangen. Dit is niet het geval bij het delen van gegevens door middel van het LSP. Daarom kan het beroepsgeheim alleen doorbroken worden met (veronderstelde) toestemming van de patiënt of op grond van een wettelijk voorschrift. Omdat het wetsvoorstel voor een landelijk EPD is afgewezen is er geen wettelijke grondslag om via het LSP gegevens te delen.

38_{Art. 7:457 Bw} 39_{Art. 9 lid 4 Wbp} 40_{Art. 7:457 lid 2 Bw}

(17)

16 3.1.3 Toestemming

Een van de manieren om het beroepsgeheim en het verbod van art. 16 Wbp te doorbreken is door middel van toestemming. Het gaat hierbij om uitdrukkelijke toestemming van de patiënt.

Deze toestemming moet voldoen aan een aantal voorwaarden:41

1. Toestemming moet uit vrije wil gegeven worden

Uit vrije wil betekent dat de betrokkene over al zijn verstandelijke vermogen beschikt en dat toestemming is gegeven zonder enige vorm van dwang. Daarbij mag ook niet gedreigd worden met een minder goede behandeling, of zelfs geen behandeling, in medische situaties. Toestemming is ook niet vrij wanneer de betrokkene geen tijd heeft gehad om echt een keuze te maken of wanneer de betrokkenen voor een voldongen feit is geplaatst.

2. Toestemming moet specifiek zijn

Toestemming kan alleen worden gegeven voor een welbepaalde concrete situatie, een algemeen akkoord voor het verwerken van medische gegevens is niet genoeg.

3. Toestemming moet op informatie berusten

De betrokkene moet toestemming geven op basis van beoordeling en begrip van de feiten en implicaties van een wijze van handelen. Dit houdt ook in dat de betrokkene zich bewust moet zijn van de mogelijkheid om toestemming te onthouden. Het moet duidelijk en begrijpelijk worden uitgelegd voor de betrokkene wat de verschillende aspecten inhouden, zoals bijvoorbeeld het doel en de aard van verwerking.

4. Toestemming moet uitdrukkelijk worden gegeven

Dit betekent dat opt-out systemen, zoals beoogd bij het landelijk EPD, niet voldoen. Toestemming hoeft niet schriftelijk worden gegeven maar betrokkene moet zich ervan bewust zijn dat hij afstand doet van zijn bijzondere bescherming.

41_{Dit heeft de Groep Gegevensbescherming Artikel 29 bepaalt in het “Werkdocument inzake de verwerking van}

persoonsgegevens betreffende de gezondheid in elektronische medische dossiers (EMD)” (werkdocument van 15 februari 2007 (WP131).

(18)

17 3.2 Het wettelijk kader toegepast op het LSP

In deze paragraaf wordt het wettelijk kader toegepast op het LSP met behulp van de uitspraak van de rechtbank Midden-Nederland.

3.2.1 Uitspraak rechtbank Midden-Nederland

Op 23 juli 2014 heeft de rechtbank een uitspraak gedaan over het LSP. De Vereniging voor Praktijkhoudende Huisartsen (hierna: VPH) startte een procedure tegen de VZVZ. De VPH vorderde dat voor het recht werd verklaard dat de VZVZ onrechtmatig handelde door het LSP in de zorg in te voeren. De rechtbank wees deze vordering af en oordeelde dat de manier waarop het systeem van het LSP is ingericht niet in strijd is met Wbp.

De VZVZ is de verantwoordelijke in de zin van art. 1 onder d Wbp.42_{De VZVZ kan geen medische}

gegevens verwerken op grond van art. 21 Wbp, de VZVZ is namelijk geen zorginstelling of hulpverlener in de zin van dit artikel. Dit betekent dat de VZVZ alleen met uitdrukkelijke

toestemming medische gegevens mag verwerken.43

Voor het verwerken van medische gegevens is een welbepaald doel nodig. In een convenant

hebben de betrokken partijen bij het LSP, waaronder de VZVZ, de doelen van het LSP vastgelegd:44

 Betere en veiligere zorg

 Bevorderen van doelmatigheid in de zorg

 Meer betrokkenheid patiënten bij hun eigen gezondheid

Deze doelen hebben volgens de rechtbank betrekking op de registratie en verwerking van medische gegevens en zijn voldoende gerechtvaardigd. Daarnaast worden er alleen gegevens uitgewisseld nadat de patiënt toestemming heeft gegeven aan de hand van het toestemmingsformulier.

persoonsgegevens via het Landelijk Schakelpunt, 1-11-2014, geraadpleegd via: https://cbpweb.nl/sites/default/files/atoms/files/rap_2014_lsp-vzvz.pdf

43_{Art. 23 lid 1 sub a Wbp}

44_{Convenant gebruik landelijke zorginfrastructuur 2013-2916, geraadpleegd via:}

(19)

18 3.2.2 Toestemming

De toestemming is volgens de rechtbank uit vrije wil gegeven. Omdat er gekozen is voor een procedure waarbij de zorgverlener de patiënt registreert in een systeem, kan de zorgverlener nagaan of de patiënt zich werkelijk uit vrije wil registreert. Daarnaast moet er bij registratie worden aangegeven op welke manier informatie aan de patiënt is verstrekt, hierdoor kan er geen onduidelijkheid bestaan over het onderwerp van de gegeven toestemming. Bij registratie wordt gebruik gemaakt van een toestemmingsformulier, brochure en een folder. De teksten in de brochure en folder geven geen blijk van dwang om de patiënt te bewegen zich te registreren, de brochure en folder zijn in neutrale bewoordingen opgesteld. Ook heeft het onthouden van toestemming geen consequenties voor de patiënt, niet bij de te verlenen zorg en ook heeft het geen financiële consequenties.

Omdat het toestemmingsformulier verwijst naar de brochure is het duidelijk voor de patiënt waar toestemming voor wordt verleend. Het toestemmingsformulier maakt ook duidelijk welke gegevens met welke zorgaanbieders worden gedeeld. Hieruit blijkt dat toestemming specifiek is. Hier kan tegenin worden gebracht dat de patiënt niet weet welke gegevens in de toekomst in zijn dossier komen te staan. De Rechtbank overweegt daaromtrent dat in de brochure duidelijk is omschreven voor welke situatie toestemming wordt verleend en daarmee is voldaan aan de eis van een welbepaalde concrete situatie. De eis dat de patiënt bekend is, op het moment van het verlenen van toestemming, met de inhoud van de gegevens wordt daarbij niet gesteld. Ook kan hier tegen in worden gebracht dat toestemming altijd in getrokken kan worden op het moment dat de te delen gegevens bekend worden.

Volgens de rechtbank berust de toestemming op informatie. De brochure vermeldt welke gegevens met wie worden gedeeld en dat de gegevens in de computer van de huisarts staan en op welke manier deze gedeeld worden. Daarnaast worden patiënten geïnformeerd over het gebruik van hun BSN nummer. De brochure maakt voldoende duidelijk dat persoonsgegevens en medische gegevens gedeeld worden via een netwerk dat deel uit maakt van de zorginfrastructuur.

De toestemming wordt uitdrukkelijk gegeven omdat er gebruik wordt gemaakt van een opt-in systeem.

(20)

19 Volgens de rechtbank kan er geconcludeerd worden dat er wordt voldaan aan de vereisten voor het geven van toestemming. De rechtbank stelt dat de zorgaanbieder bij het registreren na kan gaan of de toestemming uit vrije wil is gegeven, maar het formulier kan ook bij bijvoorbeeld een assistent worden ingeleverd. Deze heeft niet altijd de kennis om na te gaan of de toestemming uit vrije wil is gegeven en kent de patiënt misschien niet goed genoeg. Daarnaast kan de assistent of een ander persoon, niet zijnde de arts, niet in alle gevallen alle eventuele vragen van de patiënt beantwoorden. Als de patiënt dan bijvoorbeeld wordt doorverwezen naar de website van de VZVZ, in plaats van een arts, kan het zijn dat de toestemming niet op informatie beruste. De website van de VZVZ is gekleurd, de VZVZ wil haar product aanprijzen en zoveel mogelijk aanmeldingen hebben.

De verzekeraars die de VZVZ en het LSP financieren maken de hoogte van hun financiering afhankelijk van het aantal BSN nummers dat is aangesloten bij het LSP. Dit had een aanleiding moeten zijn voor de rechtbank om strenger te toetsen omdat dit gegeven zich moeilijk laat combineren met het geven van vrije toestemming.

Het CBP heeft in 2014 onderzoek gedaan naar de toestemming van patiënten die in de index van

het LSP staan.45_{Er is onderzocht of de BSN nummers van patiënten die in de index staan zijn van}

burgers die daar toestemming voor hebben gegeven en het CBP heeft onderzocht of welke waarborgen er zijn getroffen om te bewerkstelligen dat toestemming in overeenstemming is met de Wbp. Uit dit onderzoek bleek dat voor 8 van de 149 onderzochte BSN nummers geen correcte toestemming was gegeven. Dit betekent dat 5,4% van de BSN nummers onterecht geregistreerd

was. Op 13 april 2015 gebruikten 7.564.951 patiënten het LSP.46_{Er zouden dus op dit moment}

408.508 patiënten onterecht geregistreerd kunnen zijn.47_{Na dit onderzoek is het LSP aangepast}

maar het is niet uit te sluiten dat er een aantal BSN nummers onterecht geregistreerd is in de index van het LSP.

persoonsgegevens via het Landelijk Schakelpunt, 1-11-2014, geraadpleegd via https://cbpweb.nl/sites/default/files/atoms/files/rap_2014_lsp-vzvz.pdf

46_{https://www.vzvz.nl/page/Zorgconsument/Links/Over-VZVZ/Feiten-en-cijfers} 47_{5,4% van 7.564.951}

(21)

20 Het onderzoek van het CBP had een reden voor de rechtbank moeten zijn om zeer streng te toetsen. Als er namelijk patiënten geregistreerd zijn bij het LSP waarvan de toestemming niet correct is, is het uitwisselen van gegevens in strijd met de Wbp en het beroepsgeheim. De rechtbank gaat er bij de toetsing van het beroepsgeheim vanuit dat toestemming correct is gegeven. De rechtbank had het geval moeten meewegen waarin er geen correcte toestemming is gegeven en een belangen afweging moeten maken. Er had onderzocht moeten worden hoe groot de kans is, of hoe vaak de toestemming onvolledig is. Daarna had de belangenafweging gemaakt kunnen worden.

Op dit moment is het LSP het enige informatie uitwisselingssysteem in de gezondheidszorg. Als de patiënt geen toestemming geeft voor het gebruik van het LSP is er geen andere mogelijkheid om gegevens op dezelfde manier uit te wisselen in de zorg. Dit heeft de rechtbank niet meegenomen in de uitspraak. Het onthouden van toestemming mag geen consequenties hebben voor de te verlenen zorg en er mag geen sprake zijn van dreiging. Omdat er geen alternatief is

voor de patiënt is de toestemming niet vrij omdat er sprake is van een ‘fait acompli’.48_{De patiënt}

kiest voor uitwisseling van gegevens via het LSP of helemaal geen uitwisseling. Dit kan betekenen dat de toestemming van de patiënt niet vrij is.

3.2.3 Proportionaliteit

De verwerking van persoonsgegevens moet proportioneel zijn. Gegevens kunnen uitgewisseld worden op basis van een ‘pull-systematiek’ en een ‘push-systematiek’. Het LSP werkt op basis van de pull-systematiek, de opvrager haalt de gegevens op. Er is voor deze systematiek gekozen zodat er geen actie nodig is van de verzender. In nood- en waarneemsituaties is het wenselijk dat de gegevens snel verzonden kunnen worden, zonder dat daarvoor actie van de verzender nodig is dit kan het proces vertragen. Omdat de toestemming van de patiënt ziet op specifieke situaties (noodgevallen en waarneming) is het pull-systeem proportioneel volgens de rechtbank. In deze situaties is de eigen behandelaar vaak niet in staat om de gegevens beschikbaar te stellen en het is daarom proportioneel om een pull-systeem te gebruiken volgens de rechtbank.

(22)

21 3.2.4 Beveiliging

In art. 13 Wbp zijn regels opgenomen omtrent de beveiliging van het LSP. Dit is een open norm die door andere normen ingevuld wordt. De medische gegevens die worden verstuurd naar het LSP zijn versleuteld, wanneer de gegevens bij het LSP binnen komen worden ze ontsleuteld om gegevens samen te voegen, bij het versturen naar de opvrager zijn de gegevens weer versleuteld. Omdat het LSP een schakelpunt is zijn die normen die art. 13 Wbp invullen niet volledig toepasbaar. Een van de normen die art. 13 Wbp invult is NEN 7512: Informatie beveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling, deze norm is ontwikkeld door het Nederlands Normalisatie instituut en wordt gebruikt in de zorg. In de norm is een vertrouwensmodel opgenomen. Deze norm is niet volledig toepasbaar op het LSP omdat gegevensuitwisseling plaats vindt via een schakelpunt en daar is geen rekening mee gehouden tijdens het opstellen van de norm. Toch is het beveiligingsniveau voldoende gewaarborgd door de gegevens te versleutelen tijdens de verzending. De rechtbank sluit aan bij het advies van het CBP waarin geen bijzondere risico’s voor het overtreden van de Wbp werden gesignaleerd.

De NEN 7512 stelt dat de ontvanger en verzender elkaars identiteit met voldoende zekerheid moeten kunnen vaststellen. In het GBZ wordt getoetst of de opvrager een behandelrelatie heeft met de patiënt van wie hij de gegevens opvraagt. Er wordt hierbij getoetst aan het autorisatieprotocol waarin is opgenomen welke bevoegdheden de zorgverlener op grond van zijn functie heeft. Daarna wordt de behandelrelatie getoetst. Er wordt ingelogd met een UZI-pas. Deze wijze van autorisatie wordt door het CBP niet in strijd met de Wbp geacht. Omdat het CBP volgens de rechtbank voldoende kennis heeft gaat de rechtbank met het oordeel van het CBP mee.

Er wordt door het LSP vastgelegd wie wanneer en waarom het systeem gebruikt, dit kan achteraf geraadpleegd worden. In de NEN 7513 zijn normen voor ‘logging’ opgenomen: er moet achterhaald kunnen worden wat voor acties door wie zijn uitgevoerd met het dossier. Volgens de rechtbank voldoet het LSP aan deze norm, ook al vindt logging achteraf plaats en kan uit de logging niet afgeleid worden wat de noodzaak van de aanvraag is. Dit eist NEN 7513 niet.

De rechtbank heeft bepaald dat het LSP niet in strijd is met art. 13 Wbp en dat er voldoende beveiligingsmaatregelen zijn genomen. Echter, de rechtbank heeft niet meegenomen dat het gebruik van een UZI-pas onveilig kan zijn. Deze kan namelijk gebruikt worden door onbevoegde

(23)

22 personen. Ook omdat de loggegevens achteraf beoordeeld worden is het niet uit te sluiten dat onbevoegde personen kennis kunnen nemen van de behandelrelaties van de patiënt met verschillende zorgverleners.

3.2.5 Beroepsgeheim

Wanneer patiënt gegevens gedeeld worden met behulp van het LSP heeft de zorgverlener geen zicht meer op wat er met de gegevens gebeurt en wie de gegevens onder ogen krijgt. Het beroepsgeheim kan alleen doorbroken worden in gevallen waarbij er een belangenafweging gemaakt moet worden. Het gaat echter niet om een individuele belangenafweging. Huisartsen maken gebruik van een standaard voor het verstrekken van gegevens aan een waarnemer. Dit gebeurt ook bij het delen van gegevens via het LSP. Daarnaast kunnen bepaalde gegevens afgeschermd worden indien de patiënt dit wenst en de huisarts kan de waarnemer op een andere manier op de hoogte brengen van de situatie van de patiënt. Volgens de rechtbank wordt het beroepsgeheim dan ook niet geschonden.

De vraag is echter of de patiënt zich wel realiseert wat er met zijn gegevens kan gebeuren als deze gedeeld worden en of de patiënt een afweging kan maken. De patiënt vertrouwt vaak op de arts en wanneer deze het niet afraad om bepaalde gegevens af te schermen is het mogelijk dat de patiënt deze mening zonder na te denken overneemt of, wanneer er niet over gesproken is, de patiënt niet aan de mogelijkheid denkt om de gegevens af te schermen. Dit betekent dat bepaalde gegevens die beter afgeschermd zouden kunnen worden niet afgeschermd worden omdat de patiënt daar niet naar vraagt. Op deze manier zou het beroepsgeheim toch geschonden kunnen worden.

Ook is het te betwijfelen of het beroepsgeheim op dit moment niet in alle gevallen geschonden wordt bij het uitwisselen van medische gegevens. De rechtbank stelt dat huisartsen gebruik maken van een standaard bij het delen van gegevens met een waarnemer. Hier is een wettelijke

basis voor.49_{Maar de medische gegevens worden via het LSP niet alleen met waarnemers gedeeld}

maar ook met andere zorgverleners, waar geen wettelijke basis voor is. Als toestemming correct

(24)

23 wordt gegeven is het delen niet in strijd met het beroepsgeheim omdat art. 7:457 lid 1 Bw bepaalt dat gegevens na toestemming gedeeld mogen worden.

3.3 Samenvattend

De rechtbank heeft de eis van de VPH weliswaar afgewezen toch zijn er een aantal knelpunten te signaleren bij de toepassing van het wettelijk kader. Ten eerste blijkt uit onderzoek dat er BSN nummers zijn opgenomen in het LSP waarvoor geen uitdrukkelijke toestemming is gegeven. De VZVZ mag geen gegevens verwerken zonder toestemming, daar is geen grond voor in de Wbp en dit is in strijd met het beroepsgeheim. Daarnaast had de rechtbank de uitdrukkelijke toestemming strenger moeten toetsen omdat de financiering van het LSP gebaseerd is op het aantal patiënten dat ingeschreven is en omdat er geen alternatief systeem is. Verder is het de vraag of de patiënt zich wel realiseert wat er met zijn gegevens kan gebeuren als hij toestemming geeft om zijn gegevens te delen via het LSP. Het beroepsgeheim komt daardoor ook in de knel want het kan zijn dat de patiënt niet beseft dat hij zijn gegevens liever niet wil delen. Omdat logging achteraf plaats vindt kunnen onbevoegde personen toegang krijgen tot medische gegevens. De Wbp bepaalt dat gegevens niet langer dan nodig bewaard mogen worden op een wijze dat de patiënt

geïdentificeerd kan worden.50_{Als de loggegevens bewaard worden kunnen onbevoegde}

personen deze gegevens achterhalen en zo opmaken met welke zorgverleners de patiënt contact heeft. Daaruit zou kunnen opgemaakt worden welke medische problemen een patiënt heeft.

(25)

24

4. DE EUROPESE ALGEMENE VERORDENING GEGEVENSBESCHERMING

Op 25 januari 2012 heeft de Europese Commissie een voorstel ingediend bij de Raad van Europese Unie en het Europees Parlement voor de herziening van de huidige Europese

privacyregelgeving.51_{De Algemene verordening gegevensbescherming zal de Privacyrichtlijn uit}

1995 gaan vervangen.52_{Er is dringende behoefte aan nieuwe regelgeving, de huidige regelgeving}

is tot stand gekomen in 1995 toen het internet nog in kinderschoenen stond. Nu de technologie zich snel ontwikkeld en steeds meer gegevens op internet beschikbaar zijn is er behoefte aan nieuwe regelgeving. Door deze ontwikkelingen zijn er nieuwe uitdagingen ontstaan op het gebied van bescherming van persoonsgegevens. Daarnaast is het van belang om vertrouwen bij burgers tot stand te brengen met betrekking tot de onlinewereld. Consumenten moeten online diensten durven te accepteren en online aankopen durven te doen.53_{Dit zal eerder gebeuren als zij}

vertrouwen hebben in de onlinewereld, dit vertrouwen kan tot stand komen door wetgeving.

De Privacyrichtlijn is in Nederland geïmplementeerd in de Wbp maar de verordening zal

rechtstreeks toepasbaar zijn in de meeste gevallen.54_{In dit hoofdstuk wordt beschreven wat de}

verordening inhoudt en wat er verandert door de verordening. Daarna zal er in gegaan op het LSP en de verordening.

4.1 De Algemene verordening gegevensbescherming

De Algemene verordening gegevensbescherming is gebaseerd op art. 16 VWEU. In lid 2 is vastgelegd dat op grond van deze bepaling voorschriften kunnen worden vastgesteld betreffende de bescherming van natuurlijke personen ten aan zien van de verwerking van persoonsgegevens door lidstaten en betreffende het vrije verkeer van persoonsgegevens. De verordening is rechtstreeks toepasbaar waardoor de rechtszekerheid wordt bevorderd en de juridische

verdeeldheid in lidstaten afneemt.55_{De belangrijkste doelen van de verordening zijn het}

51_{COM(2012) 11 final} 52_{Richtlijn 95/46/EG} 53_{COM(2012) 11 final p. 1} 54_{Bats 2012 p.269} 55_{Art. 288 VWEU}

(26)

25 bevorderen van de Europese digitale economie en het versterken van de (online) privacy rechten van de burger.56

De algemene verordening is toepasbaar op alle activiteiten met persoonsgegevens en heeft daardoor ook gevolgen voor het LSP en de VZVZ.

4.1.1 Stand van zaken

Na het indienen van het voorstel voor een verordening door de Commissie hebben het Europees parlement en de Raad van ministers van Europa het voorstel bekeken. Het Parlement heeft in

maart 2014 haar standpunt bekend gemaakt.57_{Er vinden momenteel onderhandelingen plaats in}

de raadswerkgroep over de verordening. De vergaderingen zijn gericht op het bereiken van

overeenstemming over de verordening.58_{De Raad heeft op 13 maart 2015 partiële algemene}

oriëntatie bereikt over specifieke delen van de verordening, er is op dit moment nog geen akkoord

over het gehele voorstel. 59 _{Wanneer de Raad zijn positie heeft bepaalt kunnen de}

onderhandelingen tussen de Commissie, de Raad en het Parlement starten.

4.1.2 Inhoud

De voorgestelde verordening is opgebouwd uit 11 hoofdstukken. Hoofdstuk I bevat de algemene bepalingen. In art. 2 van de verordening gegevensbescherming komt het toepassingsgebied aan de orde. De verordening is van toepassing op de geheel of gedeeltelijke geautomatiseerde

verwerking van persoonsgegevens. Ook niet-geautomatiseerde verwerking van

persoonsgegevens valt onder de reikwijdte van de verordening als de gegevens in een bestand opgenomen worden of daarvoor bestemd zijn. Een papieren dossier valt niet onder deze verordening. In lid 2 van art. 2 worden een aantal uitzonderingen opgesomd, de verordening is bijvoorbeeld niet van toepassing op activiteiten die buiten de werkingssfeer van het EU-recht vallen. De genoemde uitzonderingen zijn niet van toepassing op het LSP en de VZVZ en worden verder buiten beschouwing gelaten.

56_{COM(2012) 11 final, p. 2} 57_{P7_TA-PROV(2014)03-12}

58_{Kamerstukken I, 2014/15, 33 169, X}

59_{Persbericht geraadpleegd via:}

(27)

26 Artikel 2 brengt geen veranderingen met zich mee, in art. 2 Wbp is ongeveer het zelfde toepassingsgebied opgenomen. Wel nieuw is het geografische toepassingsgebied, deze wordt

uitgebreid tot buiten het grondgebied van de EU. 60 _{Daarmee heeft de verordening}

extraterritoriale werking. De VZVZ verwerkt gegevens van Nederlanders in Nederland waardoor er niets zal veranderen voor de VZVZ en het LSP.

In artikel 4 van de verordening is de begrippenlijst opgenomen. Hierin komen begrippen terug die ook in de Wbp worden genoemd. Dit betekent dat de VZVZ ook de verantwoordelijke in de zin van de nieuwe verordening is omdat het begrip hetzelfde inhoudt. Ook vallen de gegevens die de VZVZ verwerkt onder de verordening.

Het verwerken van iedere informatie betreffende een betrokkene valt onder de verordening. De betrokkene is de persoon die geïdentificeerd kan worden aan de hand van de te verwerken gegevens, bijvoorbeeld aan de hand van een identificatienummer. De betrokkene is in het geval van het LSP de patiënt. De patiënt kan geïdentificeerd worden aan de hand van het BSN nummer dat gebruikt wordt door de VZVZ als identificatienummer. De VZVZ verwerkt dus informatie van een betrokkene waardoor de verordening van toepassing is op de VZVZ en het LSP.

Tot zo ver verandert er niets voor de VZVZ en het LSP door de verordening. Aan de verwerking van persoonsgegevens horen algemene beginselen ten grondslag te liggen. Deze algemene beginselen zijn opgenomen in art. 5 van de verordening. Er worden twee elementen aan de bestaande elementen toegevoegd namelijk transparantie en verantwoordingsplicht van de

verantwoordelijke.61_{Het element transparantie houdt in dat bij het verwerken van gegevens}

geheimen vermeden moeten worden, alle aspecten van het verwerken van gegevens moeten transparant zijn. Het tweede element, de verantwoordingsplicht, houdt in dat dat degene die gegevens verwerkt dit openlijk moet doen en verantwoording moet kunnen afleggen over de aard en het doel van de verwerking. Deze verantwoording moet kunnen worden afgelegd aan de

betrokkene en toezichthouder.62_{In art. 28 Wbp is de meldingsplicht opgenomen voor het}

verwerken van gegevens. In de verordening is deze meldingsplicht niet meer opgenomen daarom

60_{Art. 3 Algemene verordening gegevensbescherming} 61_{Art. 5 sub a en f Verordening gegevensbescherming} 62_{de Jong 2015}

(28)

27 is het algemene beginsel verantwoordingplicht van de verantwoordelijke belangrijk. Door deze plicht kan bij de verantwoordelijke, in plaats van bij de toezichthouder, worden nagegaan welke gegevens worden verwerkt.

De verwerkingsgronden blijven hetzelfde, er moet sprake zijn van toestemming, een contract, wettelijke verplichting, bescherming van belangen van de betrokkene, uitvoering van een

publiekrechtelijke taak of er moet sprake zijn van behartiging van een gerechtvaardigd belang.63

De verwerking van medische gegevens valt onder bijzondere categorieën persoonsgegevens waarvoor specifieke regels gelden. In het eerste lid van art. 9 van de verordening is een verbod op het verwerken van, onder andere, gezondheidsgegevens neergelegd. Het verwerkingsverbod van de Wbp blijft dus gelden. In lid 2 worden de uitzonderingen op het verbod opgesomd. Gevoelige gegevens mogen verwerkt worden wanneer de betrokkene daar toestemming voor heeft gegeven.64_{Er verandert ook hier niet veel voor de VZVZ, dit is de enige grond waarop}

medische gegevens verwerkt kunnen worden door de VZVZ. De uitzonderingen blijven van de

Wbp blijven gelijk.65_{In art. 9 lid 2 onder h jo. artikel 81 van de verordening is opgenomen wanneer}

gezondheidsgegevens verwerkt mogen worden. Verwerking mag wanneer dit noodzakelijk is voor gezondheidsdoeleinden, daarnaast moet er voldaan worden aan art. 81 van de verordening. Artikel 81 verplicht de lidstaten om specifieke garanties vast te stellen voor verwerking voor gezondheidsdoeleinden. In deze wetgeving moeten passende en specifieke waarborgen worden opgenomen om de gerechtvaardigde belangen van de betrokkene te beschermen. Daarnaast moet verwerking noodzakelijk zijn:

1. Voor doeleinden van preventieve geneeskunde, medische diagnose, behandelingen en verstrekken van zorg of het beheren van gezondheidsdiensten. Hierbij geldt de eis dat de gegevens verwerkt moeten worden door een hulpverlener waarvoor het beroepsgeheim geldt, al dan niet afgeleid.66

63_{Art. 6 Verordening gegevensbescherming}

64_{Art. 9 lid 2 sub a Verordening gegevensbescherming} 65_{Art. 21 Wbp}

(29)

28 2. Om redenen van openbaar belang op het gebied van volksgezondheid. Het gaat hier

bijvoorbeeld om de bestrijding van (grensoverschrijdende) infectieziekten.67

3. Om andere redenen van openbaar belang op gebieden zoals sociale bescherming.68

De VZVZ zal in beginsel niet onder de regelgeving vallen die Nederland vast moet stellen. Het verwerken van gegevens door de VZVZ is namelijk (nog) niet noodzakelijk in de zin van art. 81 van de verordening. Het is op dit moment niet noodzakelijk voor het stellen van een medische diagnose of het verlenen van zorg dat gegevens via het LSP gedeeld worden. Het is mogelijk om diagnoses te stellen en zorg te verlenen zonder gebruik te maken van het LSP, ook nu maken de meeste patiënten en artsen geen gebruik van het LSP. Er bestaat een mogelijkheid dat in de toekomst het LSP onder de op te stellen regelgeving zal vallen omdat men tot conclusie is gekomen dat het uitwisselen van gegevens noodzakelijk is. Wanneer er bijvoorbeeld richtlijnen of standaarden worden ontwikkeld die verplichten tot het uitwisselen van medische gegevens kan het LSP onder de door Nederland te ontwikkelen regelgeving vallen. Dit is op dit moment niet het geval en daarom wordt deze mogelijkheid verder buiten beschouwing gelaten. Daarnaast geldt het beroepsgeheim niet voor het LSP omdat de personen die gegevens verwerken voor het LSP niet uit hoofde van ambt, beroep of op grond van een wettelijk voorschrift of een overeenkomst verplicht zijn om te zwijgen over de medische gegevens van een patiënt. Er geldt ook geen afgeleid beroepsgeheim voor de VZVZ en de verwerker van de gegevens. Een afgeleid beroepsgeheim geldt voor personen waarover de hulpverlener met een beroepsgeheim controle

heeft.69_{In het geval van het LSP gaat het om een grootschalige verwerking van medische}

gegevens waarover de hulpverlener feitelijk geen controle over kan uitoefenen.

De verwerkingsgronden blijven grotendeels hetzelfde wat betekent dat de VZVZ nog steeds toestemming van de patiënt moet hebben voor het verwerken van zijn gegevens, dit is de enige

67_{Art. 81 lid 1 sub b Verordening gegevensbescherming} 68_{Art. 81 lid 1 sub c Verordening gegevensbescherming}

69_{CBP, Zienswijze CBP over doorstartmodel voor landelijke uitwisseling medische gegevens 9 augustus 2011.}

Geraadpleegd via:

(30)

29

rechtvaardigingsgrond voor het verwerken van gegevens door de VZVZ.70_{De andere gronden zijn}

niet wezenlijk verandert waardoor de VZVZ niet op deze gronden gegevens kan gaan verwerken.

De VZVZ heeft dus toestemming nodig om gegevens te kunnen verwerken. Er is een aparte

bepaling over toestemming opgenomen in de verordening.71_{Ondubbelzinnige toestemming is}

niet meer toegestaan, de verordening stelt uitdrukkelijke toestemming verplicht om verwarring te voorkomen.72_{Ondubbelzinnige toestemming houdt in dat elke twijfel over de vraag of er}

toestemming is gegeven uitgesloten moet zijn, dit betekent echter niet dat toestemming

schriftelijk verleend dient te worden.73_{Uitdrukkelijke toestemming gaat een stap verder.}

Toestemming moet gegeven worden door een expliciete wilsverklaring, impliciete toestemming is onvoldoende. Op grond van de verordening wordt toestemming gegeven door een verklaring dan wel een handeling waarbij de betrokkene zich er bewust van is dat zijn persoonsgegevens

worden verwerkt.74

De bewijslast voor het aantonen van gegeven toestemming wordt bij de verantwoordelijke gelegd. Dit betekent dat de VZVZ moet kunnen aantonen dat een patiënt toestemming heeft gegeven voor het verwerken van zijn gegevens. Daarnaast moet, bij het geven van schriftelijke toestemming die betrekking heeft op twee aangelegenheden, de toestemming voor het verwerken van gegevens duidelijk gescheiden worden van elke andere aangelegenheid waarvoor tegelijkertijd toestemming gegeven kan worden.

4.1.3 Rechten van de betrokkene

Tot zo ver verandert er niet veel voor het LSP en de VZVZ door de verordening. Echter, de rechten van de betrokkene veranderen ingrijpend. De betrokkene krijgt door de verordening het recht om

‘vergeten te worden’.75_{De betrokkene heeft recht op het wissen van zijn gegevens wanneer hij}

zijn toestemming intrekt, bezwaar maakt tegen verwerking76_{, de gegevens niet langer nodig zijn}

in verband met de doeleinden waarvoor zij worden verzameld en verwerkt of de verwerking niet

70_{Art. 9 lid 2 sub a Verordening gegevensbescherming} 71_{Art. 7 Verordening gegevensbescherming}

72_{Voorstel verordening gegevensbescherming p. 8} 73_{Kamerstukken II, 1997/98, 24 892 nr. 3 blz. 80 (MvT)} 74_{Voorstel verordening gegevensbescherming p. 23} 75_{Art. 17 Verordening gegevensbescherming} 76_{Art. 19 Verordening gegevensbescherming}

(31)

30 voldoet aan de verordening. Daarnaast moet de verantwoordelijke, wanneer de gegevens openbaar zijn gemaakt, alle redelijke maatregelen nemen om derden die deze gegevens verwerken op de hoogte te stellen dat de betrokkene hun verzoekt de gegevens te wissen. Het

gaat hierbij om het vergeten worden door onlinetoepassingen.77_{Ook iedere koppeling naar de}

gegevens, kopie of reproductie van de gegevens dient gewist te worden. Dit verschilt van art. 36 Wbp, waarin dit niet wordt geëist. Wanneer de betrokkene zich beroept op zijn recht om vergeten te worden moet aan alle partijen waarmee gegevens van de betrokkene gedeeld zijn mede gedeeld worden dat de gegevens gewist moeten worden. De verantwoordelijke moet daartoe

alle mogelijke, waaronder ook technische, maatregelen nemen.78_{Naast het recht om vergeten te}

worden blijft het recht op rectificatie bestaan.79

Een ander nieuw recht van de betrokkene is het recht op gegevens overdraagbaarheid.80_{Dit recht}

houdt in dat de gegevens van het ene elektronische verwerkingssysteem naar het andere over te dragen zonder te worden belemmerd door de verantwoordelijke. Dit is niet van toepassing op het LSP omdat er geen ander schakelpunt is waarmee medische gegevens van patiënten uitgewisseld worden.

In art. 20 van de verordening is het recht niet onderworpen te worden aan een maatregel op basis van profilering opgenomen. Het artikel beschermt de betrokkene onderworpen te worden aan volledig geautomatiseerde besluiten op basis van persoonlijke gegevens. Hiervoor is toestemming nodig of een wettelijk voorschrift. Daarnaast vormt een contract een grondslag voor het nemen van deze besluiten.

4.1.4 Verplichtingen van de verantwoordelijke

Om transparantie te bereiken moet de verantwoordelijke aan een aantal verplichtingen voldoen voordat persoonsgegevens verwerkt mogen worden. De VZVZ heeft nu de verplichting op grond van de Wbp om privacy verklaringen af te geven en een meldingsplicht van verwerking bij de

toezichthouder.81_{Dit houdt in dat de verantwoordelijke bijna alles met persoonsgegevens kan}

77_{Voorstel verordening gegevensbescherming p. 29} 78_{Voorstel verordening gegevensbescherming p. 29} 79_{Art. 16 Verordening gegevensbescherming} 80_{Art. 18 lid 2 Verordening gegevensverwerking} 81_{Art. 27 Wbp}

(32)

31 doen zolang er aangegeven wordt wie de verantwoordelijke is, wat hij doet en waarom hij iets doet met persoonsgegevens.

Als de verordening in werking treedt, vervalt de meldplicht van de verantwoordelijke omdat er geen meldingsplicht in de verordening is opgenomen. Echter de verantwoordings- en openbaarheidsplicht blijven bestaan. Daarnaast moet de verantwoordelijke actief beleid voeren

en maatregelen treffen om een aantal van de verplichtingen van de verordening uit te voeren.82

Artikel 22 van de verordening geeft invulling aan het verantwoordingsbeginsel van art. 5 van de verordening. In de Wbp is geen verplichting tot het maken van beleid in de zin van art. 22 van de verordening opgenomen. Dit betekent dat het LSP beleid zou moeten gaan maken wanneer de verordening in werking treedt.

Op grond van art. 23 van de verordening krijgt de verantwoordelijke de verplichting om privacy by design en privacy by default toe te passen. Privacy by design houdt in dat er bij het ontwikkelen van het systeem, en als dat al gebeurd is zo snel mogelijk daarna, wordt nagedacht over de inrichting van het systeem zodat er zo min mogelijk belasting voor de gegevensverwerking ontstaat. Er moeten passende technische en organisatorische maatregelen worden genomen zodat de verwerking aan de verordening voldoet. Het nadenken over privacy bij het ontwikkelen van het systeem geeft de meeste kans op bescherming van de rechten van de betrokkene. Dit principe is ook opgenomen in de Wbp, maar de verordening legt meer nadruk op de handhaving en uitvoering. Privacy by default heeft een andere strekking. Dit betekent dat, wanneer het systeem al bestaat, het systeem maatregelen moet nemen om privacy te waarborgen via default

settings. De verplichting om gegevens te beveiligen blijft natuurlijk bestaan.83_{Bij het voldoen aan}

de verplichtingen wordt rekening gehouden met de kosten van de maatregelen en de stand van de techniek.84

De verordening legt de plicht op aan de verantwoordelijke om documenten te bewaren inzake

alle verwerkingen die onder hun verantwoordelijkheid vallen. 85 _{Alle facetten van}

82_{Art. 22 lid 1 Verordening gegevensbescherming} 83_{Art. 22 lid 2 sub g Verordening gegevensbescherming} 84_{de Jong 2015}

(33)

32 gegevensverwerking moeten in een document opgenomen worden zoals contactgegevens van de verantwoordelijke, doeleinden van verwerking, ontvangers van persoonsgegevens, categorieën betrokkenen en bijvoorbeeld termijnen waarbinnen gegevens gewist behoren te worden. Deze documenten moeten op verzoek getoond worden aan de toezichthouder. Een andere nieuwe verplichting is de plicht om datalekken te melden bij de toezichthouder. De inbreuk moet binnen 24 uur gemeld worden, daarnaast moet in sommige gevallen de inbreuk ook gemeld worden bij de betrokkene. Een een datalek die mogelijkerwijs negatieve gevolgen heeft voor de privacy van de betrokkene moet gemeld worden bij de betrokkene. Er is sprake van een lek wanneer persoonsgegevens zijn blootgesteld aan de aanmerkelijke kans op verlies of onrechtmatige verwerking. Dit hoeft niet te betekenen dat er te weinig maatregelen zijn genomen om inbreuk te voorkomen omdat er altijd ingebroken kan worden ook al is het systeem voldoende beveiligd. Wanneer er onvoldoende beveiligingsmaatregelen zijn genomen kan dit wel gevolgen hebben voor de verantwoordelijke. De melding van een inbreuk moet een aantal elementen bevatten waardoor de verantwoordelijke in kaart moet kunnen brengen waar de inbreuk zicht bevindt, welke bestanden zijn geraakt en welke betrokkenen geïnformeerd moeten worden. Op 26 mei 2015 is door de Eerste Kamer het wetsvoorstel Meldplicht datalekken en uitbreiding bestuurlijke

boetebevoegdheid aangenomen.86_{De Wbp zal gewijzigd worden zodat er een meldplicht}

datalekken wordt opgenomen in de Wbp. Het wetsvoorstel is niet volledig toegesneden op de

verordening.87_{Een datalek moet gemeld worden wanneer de technische en organisatorische}

maatregelen niet hebben gefunctioneerd.88_{De verordening zal deze plicht daarom uitbreiden.}

Een andere nieuwe plicht die de verantwoordelijke krijgt door de verordening is het uitvoeren

van een privacyeffectbeoordeling.89_{De privacyeffectbeoordeling moet uitgevoerd worden}

wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s voor de rechten en vrijheden van de betrokkenen. In lid 2 worden verwerkingen genoemd die specifieke risico’s inhouden. De privacyeffectbeoordeling bevat een aantal elementen zoals een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s van de betrokkene,

86_{Kamerstukken I, 2014/15, 33 662 A}

87_{Kamerstukken II, 2012/13 33 662 nr. 3 (MvT) p. 2,3} 88_{Kamerstukken II, 2012/13 33 662 nr. 3 (MvT) p. 5} 89_{Art. 33 Verordening gegevensbescherming}