Het rapport van het College Bescherming Persoonsgegevens over de toestemming van patiënten voor de digitale uitwisseling van medische persoonsgegevens

vrijdag, 21 november 2014

Het Landelijk Schakelpunt (LSP) zorgt voor een uitwisseling van medische persoonsgegevens tussen verschillende zorgverleners. De medische gegevens kunnen door een zorgverlener opgevraagd worden door middel van het burgerservicenummer (BSN) van een patiënt. Voor deze werkwijze is toestemming van de patiënt nodig. De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) is verantwoordelijk voor het LSP en de vereiste toestemming. Het College Bescherming Persoonsgegevens (CBP) heeft onderzocht of VZVZ alleen BSN’s gebruikt van patiënten die daar uitdrukkelijke toestemming voor hebben gegeven. In een aantal gevallen ontbreekt de toestemming van de patiënt.

De verwerking van persoonsgegevens over iemands gezondheid is – in beginsel – wettelijk verboden. Dit bepaalt de Wet bescherming persoonsgegevens. De uitdrukkelijke toestemming van de patiënt vormt een uitzondering op dit verbod. De patiënt moet daarvoor voldoende concreet worden geïnformeerd. Deze informatie moet in ieder geval bevatten welke gegevens van de patiënt worden verwerkt en met welk doel de verwerking plaats gaat vinden. Voor de patiënt moet het ook duidelijk zijn wie de verantwoordelijke is en of er sprake is van verstrekking van zijn persoonsgegevens aan een derde. Bovendien moet deze informatie makkelijk toegankelijk zijn voor de patiënt. Het neerleggen van een folder in een rek, waarin deze informatie staat, is onvoldoende. Aan de patiënt moet het materiaal met daarin de betreffende informatie daadwerkelijk zijn verstrekt. Alleen expliciete toestemming volstaat bij de verwerking van medische gegevens. De patiënt moet bijvoorbeeld een toestemmingsformulier ondertekenen of er moet een paraaf van de zorgverlener bij de aantekening van de toestemming in het dossier staan.

Het LSP bevat al BSN’s van miljoenen patiënten. In al deze gevallen moet een vrije, specifieke en op volledige informatie berustende toestemming zijn gegeven. Het CBP heeft door middel van een steekproef gecontroleerd of patiënten daadwerkelijk toestemming hebben gegeven voor het gebruik van hun BSN voor de verwerking van medische gegevens. Uit de steekproef blijkt dat in 8 van de 149 onderzochte dossiers de Wet bescherming persoonsgegevens wordt overtreden. In 2 gevallen is niet duidelijk of er überhaupt toestemming is gegeven. In de resterende gevallen is er onvoldoende informatie gegeven aan de patiënt over de betekenis van de uitwisseling van medische gegevens via het LSP. Het CBP schrijft in het rapport van 1 september 2014 dat in deze gevallen de Wet bescherming persoonsgegevens wordt overtreden.

Het CBP heeft vervolgens onderzocht welke maatregelen de verantwoordelijke partij – de VZVZ – heeft genomen om te zorgen voor een toestemming die conform de Wet bescherming persoonsgegevens wordt gegeven. De software is zodanig ingesteld dat alleen gegevens worden uitgewisseld als er toestemming is verkregen. Daarnaast heeft de VZVZ contractuele afspraken met de zorgverleners over de controle en vastlegging van de vereiste toestemming. Via informatiebrieven en ander informatiemateriaal legt VZVZ uit aan zorgverleners wat de noodzaak van de toestemming is en welke eisen er aan de toestemming gesteld worden. Het CBP oordeelt dat deze maatregelen afdoende zijn om ervoor te zorgen dat medische gegevens alleen worden verwerkt als patiënten daar daadwerkelijk toestemming voor hebben gegeven. Dit oordeel van het CBP is conform de uitspraak van de Rechtbank Midden-Nederland van 23 juli 2014, die besproken is in het zorgbulletin van september