Rechtbank oordeelt dat het LSP (voorheen: EPD) niet in strijd is met de Wet bescherming persoonsgegevens

De Rechtbank is van mening dat de uitwisseling van medische gegevens via het Landelijk Schakelpunt alleen plaatsvindt als een patiënt daarvoor uitdrukkelijk toestemming heeft gegeven. De Artikel 29 Werkgroep (een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer), heeft in haar “Werkdocument inzake de verwerking van persoonsgegevens betreffende de gezondheid in elektronische medische dossiers (EMD)” een aantal uitgangspunten geformuleerd ten aanzien van het begrip “uitdrukkelijke toestemming”, waarvan de belangrijkste zijn:

“[…] Toestemming moet uit vrije wil worden gegeven: “vrij” betekent dat de toestemming een wilsuiting moet zijn van een persoon die over al zijn verstandelijke vermogens beschikt zonder enige vorm van dwang, of die nu van maatschappelijke, financiële, psychologische of andere aard is. Toestemming die is gegeven onder dreiging van niet-behandeling of minder goede behandeling in een medische situatie, kan niet als vrij worden beschouwd. […] Toestemming moet specifiek zijn: “specifieke toestemming” moet betrekking hebben op een welbepaalde concrete situatie waarin het voornemen bestaat medische gegevens te verwerken. Een “algemeen akkoord” van de betrokkene met bijvoorbeeld het verzamelen met het oog op opneming in een EMD (Elektronisch Medisch Dossier) en de verstrekking van dergelijke medische gegevens over de situatie in verleden en toekomst aan bij behandelingen betrokken zorgverleners, is derhalve geen toestemming […] Toestemming moet op informatie berusten: “op informatie berustende toestemming” betekent dat de betrokkene zijn toestemming geeft op basis van beoordeling en begrip van de feiten en implicaties van een wijze van handelen. De betrokkene moet op duidelijke en begrijpelijke wijze volledig en nauwkeurig worden geïnformeerd over alle relevante aspecten, en met name de aspecten die in de artikelen 10 en 11 van de richtlijn worden genoemd, zoals de aard van de te verwerken gegevens, de doeleinden van de verwerking, de ontvangers van mogelijke doorgifte van gegevens, en de rechten van de betrokkene. Dit houdt ook in dat de betrokkene zich bewust moet zijn van de gevolgen die het onthouden van zijn toestemming heeft. […] Anders dan in artikel 7 van de richtlijn wordt bepaald, moet in het geval van gevoelige persoonsgegevens en dus wanneer het om een EMD gaat, de toestemming uitdrukkelijk worden verleend. Opt-outformules voldoen niet aan de eis dat de betrokkene “uitdrukkelijk” moet toestemmen. […]”

De VPH was van mening dat het LSP van de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) niet aan voornoemde voorwaarden voldeed. De Rechtbank bespreekt uitgebreid alle relevante punten en komt vervolgens tot de conclusie dat het LSP echter wel degelijk aan alle wettelijke eisen voldoet.

De VPH was voorts van mening dat de systematiek van het zorginformatiesysteem de huisartsen dwingt tot overtreding van hun geheimhoudingsplicht. Volgens de VPH komt het beroepsgeheim er op neer dat de arts onder alle omstandigheden gehouden is aan een andere behandelaar exact de informatie te geven die voor de actuele zorgbehoefte noodzakelijk is. De Rechtbank is het echter niet eens met deze definitie van de geheimhoudingsplicht en oordeelt “gesteld noch gebleken is dat deze invulling van de geheimhoudingsplicht is gebaseerd op enig (wettelijk) voorschrift of op enig in de beroepsgroep algemeen aanvaarde regel.” Voor de goede orde: de geheimhoudingsplicht is geregeld in art. 7:457 BW, art. 88 van de Wet op de beroepen in de individuele gezondheidszorg (wet BIG) en art. 272 Wetboek van Strafrecht.

Daarnaast merkt de Rechtbank op: “Daar komt nog bij dat enerzijds de mogelijkheid bestaat om bepaalde informatie af te schermen en anderzijds aansluiting op de zorginfrastructuur de huisarts niet de mogelijkheid ontneemt, om – indien hij dat in een gegeven geval noodzakelijk acht – de andere behandelaar voorafgaand aan een waarneemperiode langs andere weg (bijvoorbeeld op de klassieke wijze per brief, of door overlegging van het gehele dossier) te informeren over de toestand van de patiënt.”

Ook oordeelde de rechtbank dat er voldoende technische en organisatorische maatregelen zijn genomen waardoor de uitwisseling van medische gegevens veilig kan worden uitgevoerd. Krachtens art. 13 Wbp is de “verantwoordelijke” verplicht genoemde maatregelen te treffen, vooral als het gaat om “bijzondere persoonsgegevens” als bedoeld in art. 16 Wbp e.v. De praktische kant van deze beveiligingseisen is uitgewerkt in een aantal NEN-normen, waaronder NEN 7510, NEN 7512 en NEN 7513. Volgens de Rechtbank voldoet het LSP aan al deze eisen.

We schreven al eerder op deze website over de (moeilijke) verhouding van de Amerikaanse Patriot Act tot de Wet bescherming persoonsgegevens (zie hier en hier). De VPH is van mening dat de Europese privacyregelgeving (onder meer met betrekking tot de zogenaamde “doorgifte naar derde landen”) niet wordt nageleefd doordat de bouw en onderhoud van het LSP zijn uitbesteed aan een Amerikaans bedrijf. VZVZ erkent dat de Amerikaanse overheid op grond van de Patriot Act inderdaad verstrekkende bevoegdheden heeft. VZVZ stelt echter dat ook de nationale en Europese overheden de gereedschappen hebben voor het afluisteren van communicatie en het opvragen van informatie uit informatiesystemen. Verder heeft VZVZ erop gewezen dat leveranciers in de openbare aanbesteding waarin het contract is gesloten, gelijk behandeld moeten worden, zodat VZVZ bij de aanbesteding geen onderscheid mag maken op basis van de nationaliteit van de moedermaatschappij. VZVZ stelt dat CSCS uit oogpunt van aanbesteding als beste uit de bus kwam op het punt van privacy- en beveiligingskwesties. Naar het oordeel van de rechtbank heeft VZVZ hiermee afdoende weerlegd dat zij door de bouw en het onderhoud van het LSP te laten uitvoeren door CSCS uit oogpunt van gegevensbescherming een onaanvaardbaar risico heeft genomen. Daarbij nam de Rechtbank in aanmerking dat indien het uitgangspunt van VPH c.s. zou worden gevolgd, dienstverlening door geen enkel Amerikaans bedrijf meer mogelijk zou zijn, hetgeen tot een onwerkzame situatie zou leiden. Dit oordeel lijkt in lijn met hetgeen de Landsadvocaat hierover heeft opgemerkt.

Op grond van voorgaande komt de Rechtbank tot de conclusie dat “hetgeen VPH c.s. heeft aangevoerd niet [kan] leiden tot het oordeel dat met de wijze waarop gegevensverwerking door middel van het zorginformatiesysteem plaatsvindt zodanige risico’s met zich brengt dat dit systeem in strijd moet worden geacht met de bepalingen van de Wbp. Nu niet kan worden vastgesteld dat de grenzen van de Wbp zijn overschreden, is evenmin sprake van een ontoelaatbare inbreuk op de privacy op grond van artikel 8 EVRM.” Hiermee heeft het voormalig EPD, nu het LSP genaamd, niet alleen de politieke toets, maar ook de eerste rechtelijke toets doorstaan. Het is nog niet bekend of de VPH in hoger beroep zal gaan. “Nader commentaar zal volgen op deze site”, zo valt te lezen op de website van de VPH. Ook wij houden u vanzelfsprekend op de hoogte.

Heeft u vragen over het LSP,  neemt u dan contact op met ons team IT, Privacy & Cybersecurity.