Big Data in de zorg. Privacyvraagstukken bij big data. Prof.mr. Jaap Sijmons. Molengraaff Instituut voor Privaatrecht

Big Data in de zorg Privacyvraagstukken bij big data

Prof.mr. Jaap Sijmons

Molengraaff Instituut voor Privaatrecht

Privacy in de zorg

• Gevoelig thema! • „Handle with care‟ • CBP: zorg speerpunt!

Groene Hart Ziekenhuis lekt medische dossiers

GOUDA - Tientallen medische dossiers en de gegevens van honderdduizenden patiënten van het Groene Hart Ziekenhuis in Gouda zijn jarenlang via internet toegankelijk geweest op een nauwelijks beveiligde computer.


Geheimhouding in de zorg

• Persoonlijke geheimhouding • Sinds „Hippocrates‟ (470-360 v.Chr)

• Institutionele databescherming • Mark Siegler 1982: • “Medical confidentiality no longer exists” • Col.Beroep bedrijfsl. 8 maart 2012, LJN BV8297

• Big data: nieuwe waarde data • Sprong in betekenis • McKinsey: waarde in health care: $ 300 mrd/jr • “Privacy is dead. Get over it”?


Big data in zorg

Sprong: in kwantiteit en kwaliteit beheer


Big Data extern opslaan?

• • • •

Big Data intrede in de zorg Geen bijzondere juridische status door omvang Alle regelgeving blijft dus van kracht Bijzondere opslag extern: • Mag externe data-opslag eigenlijk wel?

• Ontstaat door „centrale opslag‟ een nieuwe situatie? • Is centrale opslag een opstap voor eenvoudige beschikbaarheid van nieuwe data voor wetenschappelijk onderzoek? • Publieke meerwaarde Big Data rechtvaardigingsgrond

voor ontsluiten?


EPD – Big data

• Gegevensuitwisseling („EPD‟) • Kwaliteit, doelmatigheid & veiligheid • Snelle toegang hulpverleners • Na landelijk EPD: VZVZ (Infrastructuur)

• Van opt-out naar opt-in patiënt

• Van interne naar externe opslag • Big data: opslag outsourcen • Data warehouse • Datamining op centrale opslag? • Opt-out voldoende?


Wetgeving/ wettelijke bepalingen inzake privacybescherming • Internationaal

• art. 8 EVRM (1950, Raad van Europa) • art. 8 Handvest van de Grondrechten (2000, Europese Unie) • Art. 16 Verdrag werking EU

• Art. 10 Grondwet • Wet inzake de geneeskundige behandelingsovereenkomst (WGBO) • art. 7:457 BW (beroepsgeheim) • overige privacyrechten patiënt

• Wet bescherming persoonsgegevens (Wbp) • Algemeen • artt. 16 en 21 (medische gegevens)


Art. 10 Grondwet

• Art. 10 Gw: eerbiediging en bescherming persoonlijke levenssfeer • “Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. • De wet stelt regels (…) in verband met het vastleggen en verstrekken van persoonsgegevens. • De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt

gemaakt, alsmede op verbetering van zodanige gegevens.”


Van wie zijn de big data? Data onstoffelijk • • • • • •

Big data zijn onderdeel „medisch dossier‟ Medisch dossier is van behandelaar(s) Data niet. Nl. geen „zaken‟ (art. 3:2 BW) Dus geen „eigendom‟ mogelijk (art. 5:1 BW) Wel van dragers (server/dvd/usb) NB: HvJ EU: Usedsoft vs Oracle

Gevolg • • • •

Opslag is geen eigendomsoverdracht Hulpverlener verantwoordelijk data Onvervreemdbare privacy-rechten op persoonsgegevens Twee belangrijkste regelingen: • WGBO (= afdeling 7.7.5 BW) • Wet bescherming persoonsgegevens Molengraaff Instituut voor Privaatrecht

Wettelijke regeling (1)

•

WGBO Art. 7:457 BW “1.Onverminderd het in artikel 448 lid 3, tweede volzin, bepaalde draagt de hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden, bedoeld in artikel 454, worden verstrekt dan met toestemming van de patiënt. Indien verstrekking plaatsvindt, geschiedt deze slechts voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. De verstrekking kan geschieden zonder inachtneming van de beperkingen, bedoeld in de voorgaande volzinnen, indien het bij of krachtens de wet bepaalde daartoe verplicht. 2.Onder anderen dan de patiënt zijn niet begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden. 3.(…)”


Wettelijke regeling (2)

•

Wet BIG Art. 88 BIG “Een ieder is verplicht geheimhouding in acht te nemen ten opzichte van al datgene wat hem bij het uitoefenen van zijn beroep op het gebied van de individuele gezondheidszorg als geheim is toevertrouwd, of wat daarbij als geheim te zijner kennis is gekomen of wat daarbij te zijner kennis is gekomen en waarvan hij het vertrouwelijke karakter moest begrijpen.”

•

WvS Art. 272 Sr “1. Hij die enig geheim waarvan hij weet of redelijkerwijs moet vermoeden dat hij uit hoofde van ambt, beroep of wettelijk voorschrift dan wel van vroeger ambt of beroep verplicht is het te bewaren, opzettelijk schendt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie. 2.Indien dit misdrijf tegen een bepaald persoon gepleegd is, wordt het slechts vervolgd op diens klacht.”


Geheimhoudingsplicht: jegens wie? • Artsen en andere hulpverleners (afhankelijk van aard van hun beroep of ambt • Overigen rechtstreeks bij de uitvoering van de behandelingsovereenkomst betrokken (bv. in ondersteunende functies): afgeleide zwijgplicht: assistent/secretaresse. • Tevens afgeleid: uit hoofde van de functie of contractueel: de hulpverlener schakelt derden in voor dienstverlening (ICT) met geheimhoudingsbeding. • Rechtstreeks betrokken: d.w.z. noodzakelijk betrokken! • Provider data warehouse: contractuele geheimhoudingsplicht • Dan: geen toestemmingsvereiste opslag big data • Precedenten (zorgaanbieders zonder eigen opslag) • Niet in de de „ Cloud‟ (open einde)


Wet bescherming persoonsgegevens (1)

• Achtergrond (implementatie EG-privacyrichtlijn 95/46/EG) • Voorwaarden gegevensverwerking • Doelgebondenheid verwerking • Recht van informatie en correctierecht • Specifieke regeling medische informatie


Wet bescherming persoonsgegevens (2) Art. 8 Wbp: eisen verwerking persoonsgegevens: • Met ondubbelzinnige toestemming • Noodzakelijk bij uitvoeren overeenkomst (dus bij

dossierplicht WGBO) • Noodzakelijk krachtens wettelijk voorschrift • Vb: art. 53.1 wet op de Jeugdzorg • Vitaal belang (vgl. TBC-registratie)

Art. 9, lid 4 Wbp: verwerking geblokkeerd door geheimhoudingsplicht • “De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit

hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat” Molengraaff Instituut voor Privaatrecht

Wet bescherming persoonsgegevens (3)

• Art. 16 Wbp, lid 1: verbod op verwerking gevoelige gegevens o.a. over gezondheid • Art. 21 Wbp lid 1 (sub a): verbod op verwerking medische gegevens niet van toepassing indien deze geschiedt door hulpverleners/instellingen voor goede behandeling dan wel beheer (casus big data) • Of altijd…met toestemming: art. 23 Wbp • Toestemming voor opslag/beheer dus op zich niet nodig.


Wet bescherming persoonsgegevens (4) • Art. 21, lid 2 Wbp: geheimhoudingsplicht algemeen • Door wie?: “(…) [Medische] gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.‟‟ NB dus beheer van big data bij overeengekomen geheimhouding.

• Geheimhouding t.o.v. wie? • Een ieder, tenzij wettelijke plicht tot spreken of • Uit taak mededelen aan derden bevoegd cfm. 21 lid 1 Wbp

• Hier dekken WGBO en WBP • Opslag: Toestemming/overeenkomst vereist (met WGBO aanwezig) • Geheimhouding contractueel regelen, want zie….


Beveiliging

• Art. 13 Wbp: beveiligingseis • Art. 14 Wbp: indien verwerker (data warehouse) een derde is door overeenkomst met de verantwoordelijke (zorgaanbieder), dan ziet verantwoordelijke toe op beveiliging door de verwerker

• Art. 2 en 3 Kwaliteitswet zorginstellingen: idem • NEN 7510, 7511 (toegang) en 7513 (logging) • Compliance ziekenhuizen: • IGZ en CBP 2007: onvoldoende • Niscayah 2009: 23% voldoende • Ernst & Young 2011: 75% voldoende • CBP 2012: Ruwaard van Putten ZH onvoldoende beveiligd

• Centrale aanpak beveiliging mogelijk voordeel


Internationale achtergrond Wbp • Richtlijn 95/46/EG:

• Harmoniseren bescherming persoonsgegevens • Vrij verkeer van persoonsgegevens • Nieuw ontwerp: COM (2012) 10

• Ontwerp verordening: General data protection regulation (2012/0011) • • • • • • • •

Nodig vanwege ontwikkeling van internet en intensievere dataverkeer „Right to be forgotten‟ Consent is steeds expliciet „Right of data portability‟ Versterking positie nationale privacy-autoriteiten Procesrecht nationale privacy-autoriteiten Meer verantwoordelijkheid en aansprakelijkheid data verwerkers. (zie workshop)

• • • •

Risico‟s Cloud computing: chain processing/derde landen buiten EU Zwaardere transparantie verplichting verantwoordelijke Afdekken door contractering subcontractors Voldoende?

• Art. 29 Data Protection Working Party:


Eerste conclusies • Centrale opslag voor Big Data zonder gevraagde toestemming patiënt mogelijk, mits voldoende beveiligd en geheimhouding bewaakt. • Verantwoordelijkheid voor Big Data blijft bij hulpverlener (ziekenhuis/medisch specialist) • Bundelen gebruikers in rechtspersoon als voor regelen kwaliteit van opslag en beveiliging

• Organiseer centraal toezicht op centrale opslag • Patiënt wendt zich voor uitoefenen rechten tot verantwoordelijke = zorgaanbieder (ziekenhuis)


Ontsluiten big data • • • •

Stel er is centrale opslag Datamining in het algemeen belang? Precedent: Nederlandse Kankerregistratie Uitbreiding in VWS-beleid: • Goed Gebruik Geneesmiddelen (registratie) • Volgen resultaten oncologie met dure geneesmiddelen

• Opt in (toestemming) of opt out (bezwaar)? • Zorgdata nodig voor beleid


Wetenschappelijk onderzoek met gegevens (1) •

Hoofdregel (art. 7: 457 BW) •

verstrekking van herleidbare gegevens aan derdenonderzoekers alleen na toestemming patiënt (opt in), tenzij geldig beroep op uitzonderingen (zie art. 458)

•

Uitzonderingen (art. 7: 458 lid 1 a en b BW) 1. toestemming is in redelijkheid niet mogelijk (verhuizing/overlijden/psych. belasting van patiënt)

2. toestemming kan in redelijkheid niet worden verlangd (onderzoeksmatige belemmeringen, zoals zeer grote aantallen patiënten of aantoonbaar risico op selectieve respons)

•

Idem 23 lid 2 Wbp


Wetenschappelijk onderzoek met gegevens (2) • Bijkomende voorwaarden wanneer beroep wordt gedaan op uitzonderingen • patiënt heeft recht bezwaar te maken (opt out: hierin ligt informatieplicht besloten) • gegevens noodzakelijk voor onderzoek • onderzoek dient algemeen belang • passende privacywaarborgen òf codering • aantekening in het medisch dossier

• Precedent: Nederlandse Kankerregistratie: • Bij verwerking: kennisgeving • Mogelijkheid van bezwaar • Reglement


Tweede conclusie • Wetenschappelijk onderzoek centrale big data: • In beginsel toestemming vereist • Centrale opslag niet voldoende reden anoniem gebruik • Niet te gemakkelijk gebruik maken van de uitzonderingen van art. 7: 458 BW/23 lid 2 Wbp • Nadere regulering gewenst

• Overigens • Commercieel gebruik: altijd toestemming nodig • Na anonimisering: privacybescherming Wbp vervalt • Maar anonimiseren is „verwerken‟: doelgebonden • Na overlijden: privacybescherming Wbp vervalt • Nog wel geheimhouding ex WGBO • Uitzondering 7: 458 BW!


Tot slot: Mega-lek of algemeen veiligheidsrisico • Patriot Act: symbool voor overheidsinterventie • TK 2011/12, 31 734, nr. 8: zorgen minister BZ (Morpho BV) • Art. 50 USC • Algemene „foreign intelligence‟ (dus data uit NL) • Niet alleen voor terrorisme: FAA 2008 • Bij alle in VS gevestigde bedrijven (toegang tot data) • „ Gag order‟ (contractueel niet te voorkomen) • Zie IViR, UvA september 2012 • Geen aanwijzingen misbruik • Actie EU (Kroes) richting VS

Dank voor uw aandacht

Zie verder: Rapport Big Data in de zorg: www.almeredatacapital.nl

Contactgegevens: Molengraaff Instituut voor Privaatrecht Janskerkhof 12, Utrecht E [email protected] Nysingh advocaten-notarissen NV T 038 4259200 E [email protected]

Big Data in de zorg. Privacyvraagstukken bij big data. Prof.mr. Jaap Sijmons. Molengraaff Instituut voor Privaatrecht

Recommend Documents