Digitale uitwisseling patiëntgegevens niet in strijd met privacyregels

maandag, 8 september 2014

De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) ontwikkelt een systeem waarbij medische persoonsgegevens digitaal kunnen worden uitgewisseld via een “Landelijk Schakelpunt” (LSP). De Vereniging van Praktijkhoudende Huisartsen (VPH) had een vordering ingesteld tegen de VZVZ om de invoering en verdere ontwikkeling van dit systeem te verbieden, omdat dit niet zou voldoen aan de privacyregelgeving en bovendien in strijd zou zijn met het medisch beroepsgeheim. De Rechtbank Midden-Nederland heeft op 23 juli 2014 de vorderingen van het VPH afgewezen.

De verwerking van persoonsgegevens betreffende iemands gezondheid is - in principe - wettelijk verboden. Daarop bestaan uitzonderingen. Voor niet-hulpverleners, zoals de VZVZ, geldt dat zij slechts medische persoonsgegevens mogen verwerken met de uitdrukkelijke toestemming van de patiënt. De verwerking van deze gegevens dient bovendien te voldoen aan alle overige vereisten van de Wet bescherming persoonsgegevens (Wbp), zoals het proportionaliteitsbeginsel en het zorgen voor passende technische en organisatorische maatregelen om de gegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

De VPH, die opkomt voor de belangen van praktijkhoudende huisartsen, had een verbod gevorderd tegen de invoering van een infrastructuur voor de digitale uitwisseling van medische persoonsgegevens, wegens strijdigheid met de privacyregels en de geheimhoudingsplicht van artsen.

De Rechtbank Midden-Nederland heeft bij vonnis van 23 juli 2014 geoordeeld dat het ontwikkelde systeem van VZVZ voldoende waarborgen biedt om te voldoen aan de privacyregelgeving. Daartoe heeft de rechtbank onder meer het volgende overwogen. Patiënten moeten aan hun huisarts en apotheek toestemming geven voordat hun medische gegevens kunnen worden gedeeld via het systeem. De wijze van verkrijging van deze uitdrukkelijke toestemming is volgens de rechtbank in overeenstemming met de Wbp. Tevens zijn er voldoende beveiligingsmaatregelen getroffen om ervoor te zorgen dat de digitale uitwisseling van de medische persoonsgegevens op een veilige manier kan plaatsvinden. De medische gegevens zijn tijdens de digitale verzending  voldoende versleuteld en het authenticatiesysteem is veilig genoeg, aldus de rechtbank. Dat de huisarts in het systeem niet zelf bepaalt welke gegevens van welke patiënt precies aan de andere zorgverlener - bijvoorbeeld een arts op de huisartsenpost - worden verstrekt is volgens de rechtbank gerechtvaardigd en proportioneel. Er wordt namelijk gewerkt met een professionele standaard die al sinds 1998 wordt gebruikt in het geval van waarneming en de huisarts heeft de mogelijkheid om bepaalde gegevens van verstrekking uit te sluiten.

Van schending van het medisch beroepsgeheim is volgens de rechtbank eveneens geen sprake, omdat dit niet zover strekt dat de arts onder alle omstandigheden exact díe medische gegevens mag verstrekken aan een andere behandelaar die voor de actuele zorgbehoefte van de patiënt noodzakelijk is. Vervolgens oordeelt de rechtbank dat het feit dat het onderhoud van het LSP wordt verricht door een Amerikaans bedrijf , waardoor de Amerikaanse overheid op grond van de Patriot Act toegang tot de gegevens zou kunnen verkrijgen, niet een onaanvaardbaar risico inhoudt. Daarbij overweegt de rechtbank dat anders de situatie zou ontstaan dat dergelijke dienstverlening door geen enkel Amerikaans bedrijf nog mogelijk zou zijn, hetgeen onwerkbaar is. De vorderingen van VPH zijn afgewezen.