Naar aanleiding van het verzoek van Minister Schippers, is Nictiz gekomen met het Doorstartmodel landelijke infrastructuur. Dit document is nog niet openbaar. Wel is een deel van het voorstel af te leiden van de Zienswijze van het College Bescherming Persoonsgegevens (“CBP”). Nictiz heeft het College gevraagd om een aantal vragen ten aanzien van de juridische toelaatbaarheid van het model te beantwoorden. Het CBP heeft hierop geantwoord dat uitdrukkelijke toestemming van de patiënt nodig is voor de toelaatbaarheid van het Doorstartmodel.

Nictiz heeft een constructie in gedachte waarbij de (nog op te richten) Vereniging van Zorgaanbieders voor Zorginformatieuitwisseling (“VZZ”) de verantwoordelijke zoals omschreven in de Wet bescherming persoonsgegevens (“Wbp”), is. Het Servicecentrum Zorg Communicatie (“SZC”) zal de feitelijke dienstverlening op zich nemen. Deze dienstverlening bestaat uit “schakeldiensten en aanverwante diensten voor gegevensuitwisseling tussen zorgaanbieders”. Om als zorgaanbieder gebruik te kunnen maken van de feitelijke dienstverlening moet je lid worden van de VZZ.

Nictiz vroeg zich af of de gegevensuitwisseling ook zonder uitdrukkelijke toestemming van de patiënt mocht. Zij gingen er daarbij vanuit dat de gegevens in ieder geval mogen worden uitgewisseld indien de patiënt vooraf toestemming heeft gegeven. Nictiz verwees daarbij naar artikel 21 eerste lid onder a Wbp en artikel 7:457 tweede lid van het Burgerlijk Wetboek. Beide artikelen gaan om een uitzondering op grond waarvan medische gegevens van een patiënt mogen worden uitgewisseld zonder uitdrukkelijke toestemming van deze patiënt.

Normaliter mogen bijzondere persoonsgegevens (hier medische gegevens) namelijk niet worden uitgewisseld. Hier geldt ook nog het medisch beroepsgeheim. De gedachte is dat een patiënt zonder schroom hulp moet kunnen inroepen en vertrouwelijke mededelingen moet kunnen doen. Als de patiënt hier niet op kan vertrouwen, zou hij of zij immers kunnen besluiten geen of te laat hulp in te roepen.

Omdat het verbod en het beroepsgeheim niet altijd in het voordeel zijn van een patiënt, zijn er een aantal uitzonderingen gemaakt op het verbod en mag het geheim doorbroken worden. De eerste door Nictiz aangehaalde uitzondering geeft de mogelijkheid om toch uit te wisselen als dat noodzakelijk is voor de behandeling of verzorging van de patiënt. Daarbij moet het wel gaan om uitwisseling tussen hulpverleners, zorgaanbieders of maatschappelijke dienstverlening. De tweede gaat over het toch mogen uitwisselen van medische informatie met diegenen die direct betrokken zijn bij de behandeling van de patiënt.

Het CBP stelt dat de uitzonderingen niet gelden voor de VZZ daar de vereniging zich niet bezig houdt met daadwerkelijke zorgverlening. Er is geen behandelrelatie, dus kunnen de uitzonderingen niet van toepassing zijn. Daarenboven zou dit het betekenen dat medische informatie verwerkt wordt door een derde op wie geen beroepsgeheim dan wel afgeleid beroepsgeheim rust.

Het CBP stelt dus dat er zonder uitdrukkelijke toestemming niet kan worden uitgewisseld via het SZC op verantwoordelijkheid van de VZZ.

Welke medische gegevens worden er dan verwerkt door de VZZ dan wel bewerkt door het SZC? Zij houden zich bezig met de verwijsindex. De verwijsindex bevat geen medische gegevens althans geen patiëntendossiers. Slechts unieke codes die verwijzen naar een patiënt en een zorgaanbieder. Als het zo gestructureerd wordt zoals in AORTA, dan zullen er ook codes worden opgenomen die verwijzen naar een “gegevenssoort”. Een gegevenssoort is bijvoorbeeld “voorschrift”. Er wordt dan bedoeld dat er medicatie is voorgeschreven. Er wordt niet aangegeven welk geneesmiddel is voorgeschreven.

Zolang deze codes alleen een verband leggen tussen één of meerdere huisartsen en een patiënt, dan is er nog geen sprake van bijzondere (medische) persoonsgegevens. Althans, zo oordeelde het Hof van Leeuwarden. Echter, ik neem aan dat specialisten (bijvoorbeeld brandwondencentrum Beverwijk) zich ook zullen gaan aansluiten. Dan is niet meer verdedigbaar dat de index met daarin een unieke code die verwijst naar een specialist, geen (indirecte) informatie bevat over de gezondheid van een persoon welke ook herleidbaar is tot die persoon. Op dat moment worden er wel bijzondere persoonsgegeven verwerkt en is uitdrukkelijke toestemming nodig. Hierbij laat ik het feit dat uiteindelijk het dossier ook over de infrastructuur wordt teruggestuurd, buiten beschouwing.

–
Itte Overing is juridisch adviseur bij ICTRecht. Zij heeft zich gespecialiseerd op de juridische aspecten van het gebruik van ICT in de zorg. Itte geeft via Digitalezorg.nl haar visie over onderwerpen die actueel zijn in het ZorgICT en Recht.

Lees meer over Itte Overing op www.ictrecht.nl.