Faculteit Rechtsgeleerdheid Universiteit Gent. Academiejaar

Faculteit Rechtsgeleerdheid Universiteit Gent

Academiejaar 2009-2010

PRIVACYBESCHERMING EN DE ELEKTRONISCHE GEGEVENSVERWERKING IN DE GEZONDHEIDSZORG

Masterproef van de opleiding „Master in de rechten‟

Ingediend door

Barbara Aerts 20051689 Major Burgerlijk recht en Strafrecht

Promotor: Prof. Dr. Tom Balthazar Commissaris: Mevrouw Tessa Gombeer

Woord vooraf Vooreerst wil ik mijn promotor Prof. Dr. Tom Balthazar bedanken voor zijn professionele steun tijdens het voorbije academiejaar.

Eveneens wil ik mijn vrienden bedanken voor de mentale steun bij het schrijven van deze masterproef, voor het spreekwoordelijke schouderklopje en de samenhorigheid die er tussen ons aanwezig was.

Tot slot maar niet in het minst wil ik het thuisfront bedanken. Mijn ouders, omdat ik dankzij hen al die jaren heb kunnen studeren en tot hier geraakt ben. Steeds stonden zij klaar met raad en daad, en een bemoedigend woordje. Ook wil ik hen en mijn broer bedanken voor het nalezen van deze masterproef.

Gent, mei 2010

Inhoudstafel Woord vooraf 1. Algemene Inleiding

1

2. Medisch Beroepsgeheim 2.1. Inleiding 2.2. Artikel 458 Strafwetboek 2.2.1. Toepassingsgebied ratione personae 2.2.2. Toepassingsgebied ratione materiae 2.2.2.1. Kennis uit hoofde van het beroep 2.2.2.2. Geheim karakter 2.2.2.3. De geheimen moeten de arts zijn toevertrouwd 2.3. Deontologische Codes 2.3.1. Code van de geneeskundige plichtenleer 2.4. Belangen van de geheimhoudingsplicht 2.5. Het openbare orde-karakter en de functionele opvatting 2.6. Draagwijdte van het medisch beroepsgeheim 2.7. Beroepsgeheim versus discretieplicht 2.8. Gedeeld beroepsgeheim 2.8.1. Ontstaan 2.8.2. Criteria 2.8.3. Rechtsgrond 2.8.4. Kritiek 2.8.5. Gezamenlijk beroepsgeheim 2.9. Nederland 2.9.1. Wetgevend kader 2.9.1.1. Toepassingsgebied ratione personae 2.9.1.2. Toepassingsgebied ratione materiae 2.9.2. Draagwijdte van het medisch beroepsgeheim 2.9.3. Deontologische Code 2.10. Verenigde Staten 2.10.1. Wettelijke grondslagen 2.10.2. Deontologische Code 2.10.3. Principe

5 5 5 5 8 9 10 12 12 12 13 14 18 19 20 20 21 23 25 25 26 26 27 27 28 29 30 31 31 32

3. Verwerking van medische gegevens 3.1. Inleiding 3.2. De Privacyrichtlijn 3.2.1. Doel van de Privacyrichtlijn 3.3. De Privacywet 3.3.1. Wat is privacy? 3.3.2. Privacy als mensenrecht en als grondrecht 3.3.3. Totstandkoming 3.3.4. Krachtlijnen en doel 3.3.5. Toepassingsgebied ratione materiae 3.3.5.1. Wat zijn persoonsgegevens? 3.3.5.1.1. Principe in verband met de verwerking ervan

33 33 34 35 35 35 36 36 37 38 40 41

3.3.5.1.1.1. Wat is verwerking? 3.3.5.1.1.2. Algemene beginselen voor de verwerking van persoonsgegevens 3.3.5.1.1.3. Wanneer verwerken? 3.3.5.1.1.4. Specifieke categorieën persoonsgegevens 3.3.5.2. Wat zijn gezondheidsgegevens? 3.3.5.2.1. Principe in verband met de verwerking ervan 3.3.5.2.1.1. Rechtsgrond 3.3.5.2.1.2. Verkrijgen van persoonsgegevens betreffende de gezondheid 3.3.5.3. Actoren bij de verwerking en de verwerking zelf 3.3.5.3.1. Verantwoordelijke voor de verwerking en de eventuele verwerker 3.3.5.3.2. Rechten en plichten van de betrokken patiënt 3.3.5.3.2.1. Recht op informatie 3.3.5.3.2.2. Mededelingsrecht en recht op verbetering en verzet 3.3.5.3.2.3. Plicht van de betrokkene 3.3.5.3.3. De verwerking zelf 3.3.6. De Privacycommissie 3.3.6.1. Taken 3.4. De Patiëntenrechtenwet 3.4.1. Inleiding 3.4.1.1. Vóór de wet van 22 augustus 2002 3.4.1.2. Sinds de wet van 22 augustus 2002 3.4.2. Rechten ter bescherming van privacy van patiënten 3.5. BeHealth – eHealth 3.5.1. BeHealth 3.5.1.1. Doel 3.5.1.2. Taken 3.5.2. eHealth 3.5.2.1. Doel 3.5.2.2. Taken 3.5.2.3. Voor- en nadelen 3.5.2.3.1. Voordelen 3.5.2.3.2. Nadelen 3.5.2.4. Het belang van eHealth in Europa 3.5.2.5. Actueel 3.5.2.6. De Healthgrids 3.6. Het Vlaams Decreet betreffende het Gezondheidsinformatiesysteem 3.6.1. Begripsomschrijving 3.6.2. Doel 3.6.3. Soorten informatiesystemen 3.6.4. Het individueel gezondheidsdossier 3.6.5 Arrest Grondwettelijk Hof van 14 februari 2008 3.6.6. Verhouding tot het eHealth-platform 3.6.7. EU-Gezondheidsinformatiesysteem 3.7. Privacyreglement in een ziekenhuis 3.8. Praktijkvoorbeeld: HERMES, Huisartsenplatform voor E-Rapportering en Medische Elektronische Samenwerking 3.9. Nederland 3.9.1. De Nederlandse Wet Bescherming Persoonsgegevens 3.9.1.1. Krachtenlijnen WBP 3.9.1.2. Begripsomschrijvingen

41 42 45 46 47 48 48 52 54 54 56 57 58 58 58 59 59 61 61 61 61 62 63 63 63 63 64 65 66 67 67 67 68 69 71 72 72 72 73 74 75 76 76 77 78 80 80 80 80

3.9.1.3. Toepassingsgebied 3.9.1.3.1. Toepassingsgebied ratione materiae 3.9.1.3.2. Toepassingsgebied ratione loci 3.9.1.4. Algemene beginselen i.v.m. de verwerking van persoonsgegevens 3.9.1.5. De verwerking van bijzondere persoonsgegevens 3.9.1.5.1. Gezondheidsgegevens 3.9.1.6. Verschillen tussen de oude WPR en de nieuwe WBP 3.9.2. College bescherming persoonsgegevens 3.10. Verenigde Staten 3.10.1. Safe Harbor Principles 3.10.2. De HIPAA 3.10.2.1. Inleiding 3.10.2.2. De verschillende “Rules” uit de HIPAA 3.10.2.2.1. De HIPAA Transactions and Code Sets Rule 3.10.2.2.2. De HIPAA Security Rule 3.10.2.2.3. De HIPAA Unique Identifiers Rule 3.10.2.2.4. De HIPAA Enforcement Rule 3.10.2.2.5. De HIPAA Privacy Rule 3.10.2.3. Toepassingsgebied ratione personae HIPAA 3.10.2.4. Toepassingsgebied ratione materiae HIPAA 3.10.2.5. Rechten van de betrokkenen 3.10.3. De ARRA 3.10.4. Lacunes in de HIPAA Privacy Rule 3.10.4.1. Lacunes en oplossingen i.v.m. het personeel toepassingsgebied 3.10.4.2. Lacunes en oplossingen i.v.m. het materieel toepassingsgebied 3.10.4.3. Lacunes en oplossingen i.v.m. de verscheidenheid aan “state laws” 3.10.4.4. Lacunes en oplossingen i.v.m. het gebrek aan inzicht en naleving van de Privacy Rule 3.10.4.5. Conclusie 3.10.5. De PSQIA 4. Eindbesluit Bibliografie

82 82 83 83 84 84 87 88 88 89 90 90 91 92 92 92 92 93 95 96 98 99 99 99 100 102 102 103 104 105

1. Algemene Inleiding 1. “Privacy” is een begrip dat moeilijk gedefinieerd kan worden. Er bestaat geen wettelijke definitie, maar reeds vele auteurs hebben een poging ondernomen om “privacy” te omschrijven. Iedereen voelt wel aan wat het ongeveer inhoudt. Algemeen kan er gesteld worden dat privacy impliceert dat men de wil heeft om bepaalde gegevens privé te houden, om ze niet openbaar te maken. Maar op andere momenten wil men wel bepaalde gegevens bekendmaken. De meeste personen willen toch een bepaald gedeelte van hun leven afgeschermd zien. Dat is dan ook een mensenrecht, terug te vinden in artikel 8 EVRM. Daarnaast is privacy ook een grondrecht, opgenomen in artikel 22 van de Belgische Grondwet.

2. Privacy en de bijhorende bescherming is in verschillende domeinen voelbaar. Gedacht kan worden aan de politieke kleur, seksuele voorkeur, godsdienstbeleving, enzoverder. Evenzeer is privacy voelbaar op medisch gebied. Gezondheidsgegevens behoren immers tot het privéleven en moeten dus beschermd worden. Men kan zonder twijfel stellen dat het van zeer groot belang is dat er een goede regeling omtrent de privacy van de patiënten voorhanden is. De reden daarvoor is niet ver te zoeken: medische gegevens zijn vaak zéér gevoelig. Zelfs uit minder gevoelige medische gegevens, kan men veel te weten komen. Er kunnen bepaalde zaken afgeleid worden uit gegevens die op het eerste zicht niet veelzeggend zijn, zoals de naam van een arts, naam van een bepaald ziekenhuis, bepaalde soorten medicijnen, enzovoort. De apotheker kan aan de hand van voorschriften voor geneesmiddelen weten welke aandoening een patiënt heeft. Ziekenfondsen kunnen aan de hand van de terugbetaling van medicijnen eveneens te weten komen aan welke ziektes een bepaalde persoon lijdt. De medische secretaresse in een artsenpraktijk of in het ziekenhuis heeft eveneens toegang tot het medisch dossier waar er zeer veel privé dus gevoelige, gegevens in genoteerd staan. Daarnaast komt de arts in aanraking met verhalen van patiënten die op het eerste zicht vreemd zijn aan de pathologie, maar die een verklaring kunnen bieden voor het aanwezig zijn van een bepaalde ziekte. De patiënt verwacht van personen, die met zulke gevoelige informatie in aanraking komen, een vertrouwelijke behandeling van die gegevens. Zoals verder gezien zal worden, is het concept „vertrouwelijkheid‟ in de arts-patiëntrelatie een noodzakelijke vereiste voor het correcte en efficiënte verloop van de zorgverlening.

3. Wanneer men de privacybescherming van de patiënten bespreekt, is het - naar mijn mening noodzakelijk om de situatie te schetsen vóór de geboorte van de Privacyrichtlijn, en na het in werking treden van deze richtlijn.

1

4. Omwille van bovenstaande redenen heeft de wetgever vooreerst voorzien in een regeling van een medisch beroepsgeheim. Dit is neergeschreven in artikel 458 Strafwetboek. Hieronder zal het toepassingsgebied van dit artikel uiteengezet worden. Verder zullen ook de belangen verbonden aan het beroepsgeheim, de draagwijdte ervan en het karakter van de geheimhoudingsplicht besproken worden. Voor zij die niet onder dat toepassingsgebied vallen, maar toch in aanraking komen met medische gegevens, is er in de arbeidsovereenkomsten meestal voorzien in een discretieplicht. Hierop wordt ook kort ingegaan. Maar de afbakening van het beroepsgeheim is niet zo eenvoudig als het op het eerste zicht lijkt. Aan de ene kant is het duidelijk dat de arts in de meeste gevallen een zwijgplicht heeft, maar hoe rijmen we dat met een andere plicht van de arts, namelijk het voorzien in een correcte en efficiënte zorgverlening? Het komt immers veel voor, zeker in de huidige maatschappij, waar de pathologieën niet meer zuiver maar complex zijn, dat de arts een beroep moet doen op collega-zorgverstrekkers, specialisten met het oog op een correcte diagnosestelling, behandeling en/of nazorg. Om deze twee plichten te verzoenen is er door rechtstheoretici voorzien in een constructie van het gedeeld beroepsgeheim. Aangezien de communicatie tussen artsen belangrijk is in functie van de zorgverlening, maar daarbij ook de privacy van de patiënt niet uit het oog verloren mag worden, is het belangrijk bij dit collectief beroepsgeheim halt te houden.

Niet alleen artikel 458 Sw. voorziet in bescherming ten aanzien van de patiënten, ook de Code van de geneeskundige plichtenleer reguleert de geheimhoudingsplicht. Het beroepsgeheim is dus niet enkel strafbaar gesteld in het Strafwetboek, maar als artsen deze plicht schenden, begaan zij ook een deontologische overtreding. In deze masterproef wordt kort stilgestaan bij de bepalingen uit de Code die deze geheimhoudingsplicht regelen.

Verder wordt ook de situatie met betrekking het medisch beroepsgeheim in Nederland en in de Verenigde Staten nagegaan.

5. Al snel is gebleken dat artikel 458 Sw. niet voldoende was om de privacy van de patiënt te beschermen. De arts die zijn beroepsgeheim geschonden heeft, kan op grond van artikel 458 Sw. gesanctioneerd worden. Maar voor de verwerking van gezondheidsgegevens biedt artikel 458 Sw. geen oplossing. De laatste jaren is informatica en informatisering een “hot item.” Computers en internet zijn niet meer weg te denken. De tijd van papieren en manuele bestanden, bundels en boekhouding is stilaan voorbij. Ook het bewaren van medische gegevens en de overdracht ervan naar collega-zorgverstrekkers, ziekenhuizen, wetenschappelijke onderzoekers en anderen, gebeurt steeds meer via de computer en het internet.

2

De opkomst van de informatica en de informatisering van de maatschappij heeft vele voordelen. Zo kan de overdracht van medische gegevens veel sneller gebeuren. Ze zijn dus onmiddellijk beschikbaar, wat er op zijn beurt dan weer voor zorgt dat professionelen meteen kunnen (re)ageren en accurater kunnen werken. Een ander voordeel is dat de gegevens gemakkelijker na te gaan zijn voor de professionele gebruiker. Anderzijds brengt een dergelijk systeem ook een aantal belangrijke nadelen en gevaren met zich mee. Door het feit dat deze gevoelige informatie op computers wordt opgeslagen en via het internet wordt doorgestuurd, kan ze gebruikt worden voor verschillende doeleinden waarvoor zij initieel niet altijd bedoeld zijn. Eveneens kan deze medische informatie gemakkelijker door de “verkeerde” personen of door niet-geautoriseerde personen nagegaan en/of misbruikt worden.

Deze belangrijke gevaren, het steeds gevoeliger worden van gegevens en de stijgende vraag naar medische gegevens, hebben ervoor gezorgd dat er nood was aan bescherming van die persoonlijke gegevens. Nood aan een regeling inzake het verwerken van persoonsgebonden gegevens en de overdracht ervan.

Hieronder wordt dan ook stilgestaan bij de Privacyrichtlijn en haar doel. Vervolgens wordt Belgische omzettingswet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, beter gekend als de Wet Verwerking Persoonsgegevens of de Privacywet, onder de loep genomen. Vooreerst wordt de betekenis van “privacy” nagegaan. Vervolgens wordt de totstandkoming van de Privacywet besproken. Verder zal er aan de hand van de bespreking van enkele wetsbepalingen nagegaan worden of deze wetgeving rekening houdt met de belangen van de verschillende actoren die in het spel zijn. Daarnaast wordt er kort stilgestaan bij de Privacycommissie en haar taken.

Nadien wordt er even halt gehouden bij de Wet betreffende de rechten van de patiënt. Er wordt nagegaan welke rechten een bescherming van het privéleven inhouden. Deze wetsbepalingen worden dan ook kort besproken.

Verder wordt de beheersinstelling eHealth en haar voorganger BeHealth aangehaald. Het doel van dit eHealth-platform wordt beschreven, alsook de voor- en de nadelen. Het belang van eHealth in Europa wordt vermeld, evenals recente rechtspraak van het Grondwettelijk Hof met betrekking het bestaan van het eHealth-platform.

Daarna wordt er bij het Vlaams Decreet dat het Gezondheidsinformatiesysteem invoert, stilgestaan. Het Decreet wordt deels besproken. De verschillende soorten informatiesystemen worden toegelicht, alsmede het individueel gezondheidsdossier. Daarnaast wordt ook de verhouding met het eHealth3

platform

weergegeven.

Heel

kort

wordt

er

ook

halt

gehouden

bij

het

EU-

Gezondheidsinformatiesysteem.

Voorts wordt de figuur van het Privacyreglement toegelicht.

Vervolgens wordt een voorbeeld uit de praktijk aangehaald, namelijk HERMES. Het Huisartsenplatform voor E-Rapportering en Medische Elektronische Samenwerking, dat georganiseerd wordt door het fusieziekenhuis O.L.Vrouw te Aalst.

Wederom zal de situatie in België vergeleken worden met de situatie in Nederland. Dat zal leiden tot het besluit dat deze grotendeels dezelfde is als in België, aangezien Nederland ook de Privacyrichtlijn in haar nationale recht moest omzetten.

Ook de situatie met betrekking tot de privacybescherming van de patiënt in de Verenigde Staten zal nagegaan worden.

6. Tot slot zal er dan gepoogd worden tot een algemeen besluit te komen.

4

2. Medisch Beroepsgeheim 2.1.Inleiding 7. Wanneer we spreken over de privacybescherming, spreekt het voor zich dat de Privacywet niet de enige regelgeving is op grond waarvan het onthullen van bepaalde vertrouwelijke informatie verboden kan zijn. Bepaalde professionele dienstverleners zijn immers afhankelijk van het bestaan van een vertrouwensrelatie met hun cliënteel: de cliënt/patiënt moet volledige of minstens voldoende informatie aan de dienstverlener kunnen bezorgen, om deze toe te laten op een behoorlijke en correcte manier zijn diensten te verstrekken. Dat zou voor sommige beroepen echter onmogelijk zijn wanneer de cliënt daarbij telkens zou moeten afwegen welk gebruik de dienstverlener van deze informatie zou maken buiten de doeleinden waarmee de cliënt heeft ingestemd. Immers, in dat geval zou de cliënt geneigd kunnen zijn om onvolledige informatie te verstrekken teneinde zijn belangen te beschermen. De wetgever heeft via artikel 458 Strafwetboek een wettelijk kader gecreëerd voor de bescherming van het beroepsgeheim. En dit reeds lang voordat er enige sprake was van de Privacywet.1 Dus vooraleer hier de Privacywet wordt besproken, wordt er eerst bij het medisch beroepsgeheim stilgestaan.

2.2 Artikel 458 Strafwetboek 8. De geheimhoudingsplicht van artsen is neergelegd in artikel 458 Strafwetboek.2 Dit artikel stelt dat “geneesheren, heelkundigen, officieren van gezondheid, apothekers, vroedvrouwen en alle andere personen die uit hoofde van hun staat of beroep kennis dragen van geheimen die hun zijn toevertrouwd, en deze bekendmaken buiten het geval dat zij geroepen worden om in rechte of voor een parlementaire onderzoekscommissie getuigenis af te leggen en buiten het geval dat de wet hen verplicht die geheimen bekend te maken, gestraft worden met een gevangenisstraf van acht dagen tot zes maanden en met geldboete van honderd frank tot vijfhonderd frank.”

2.2.1 Toepassingsgebied ratione personae 9. Artikel 458 Sw. onderscheidt twee categorieën: enerzijds diegenen die uitdrukkelijk worden aangewezen in de wet, en anderzijds een residuaire categorie van personen aan wie uit hoofde van hun staat of beroep geheimen worden toevertrouwd.3

1

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 62. S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000 , Antwerpen, Maklu, 1995, 166, nr. 186. 3 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 15, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 2

5

10. In het Strafwetboek worden dus een aantal beroepen uitdrukkelijk opgesomd: artsen, heelkundigen, officieren van gezondheid, apothekers en vroedvrouwen. Het is duidelijk dat alle artsen, zonder enig onderscheid, onder de bepalingen met betrekking tot het medisch beroepsgeheim vallen; voor zover zij door hun beroep kennis hebben van geheimen. Voor de afbakening van het personeel toepassingsgebied van het beroepsgeheim is het criterium van de noodzakelijke vertrouwenspersoon doorslaggevend.4 Van belang is dus of de arts de “noodzakelijke vertrouwenspersoon” of “noodzakelijke confident” is van degene die zich, op eigen initiatief of op verzoek van een derde, tot hem heeft gewend. Het is deze noodzakelijkheid, “het moeten” voor de patiënt om vertrouwelijke gegevens betreffende zijn persoon toe te vertrouwen aan een arts, die de grondslag vormt voor de wettelijke bescherming van het beroepsgeheim in artikel 458 Sw.5

Bijgevolg gaat het over die personen aan wie patiënten

vertrouwelijke gegevens moeten toevertrouwen betreffende hun persoon in het algemeen en hun gezondheid in het bijzonder.6

Een patiënt kiest er meestal niet vrij voor om een beroep te doen op een arts. Het is zijn pijn, zijn onzekerheid die hem daartoe drijft. Hij wendt zich noodgedwongen tot een arts en laat die arts noodgedwongen delen in zijn privéleven. Als de patiënt dat zou weigeren, zou de arts hem ook niet kunnen helpen. Net daarom is de arts geen gewone vertrouwenspersoon.7

11. De arts die een patiënt aan een onderzoek onderwerpt met het oog op het bepalen van een diagnose en eventueel instellen van een therapie, oefent uiteraard zijn beroep uit en valt onder de toepassing van artikel 458 Sw.8 Artsen die kennis krijgen van geheimen buiten de toepassing van hun beroep, vallen dus niet onder artikel 458 Sw. Deze geheimen vallen dus niet onder het beroepsgeheim.

Artsen die iemand aan een medisch onderzoek onderwerpen in het kader van een procedure tot onbekwaamverklaring (artikel 1244 Ger. W.), tot aanstelling van een voorlopig bewindvoerder (artikel 488bis, a BW) of tot gedwongen opname in een psychiatrische ziekenhuisdienst, zijn géén noodzakelijke vertrouwenspersonen voor de toepassing van artikel 458 Sw.9

4

W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 103. H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 524-525, nr. 1224-1225. 6 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 103. 7 H. NYS, De rechten van de patiënt, Leuven, Universitaire Pers Leuven, 2001, 139-140. 8 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 524, nr. 1223-1224. 9 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 526, nr. 1227. 5

6

Ook de gerechtsdeskundige is geen noodzakelijke vertrouwenspersoon en valt dus niet onder toepassing van artikel 458 Sw.10 Gerechtsdeskundigen worden aangesteld door een rechter met een specifieke opdracht. Zij zijn dan ook niet gebonden door het beroepsgeheim en mogen voor de vervulling van hun opdracht een verslag maken over de medische vaststellingen die zij gedaan hebben.11

12. Het feit dat de gerechtsdeskundige niet aan artikel 458 Sw. is onderworpen en de behandelende arts wel, heeft gevolgen voor de professionele relatie tussen beide artsen. Dat behandelende artsen niet kunnen optreden als gerechtelijke deskundigen t.a.v. hun patiënten, wordt nagenoeg algemeen aanvaard. Minder eens staat men ten opzichte van de vraag of de behandelende arts het medisch dossier van één van zijn patiënten mag of moet meedelen aan een gerechtsdeskundige die belast is met een opdracht jegens de patiënt. NYS is de mening toegedaan dat de behandelende arts medische gegevens mag overmaken aan een deskundige als de patiënt daarmee instemt, maar daartoe niet verplicht is. Aan de andere kant hebben artsen die belast zijn met een opdracht die niets te maken heeft met de behandeling van een patiënt op diagnostisch en/of therapeutisch vlak, zoals een arts die is tewerkgesteld door een verzekeringsinstelling, niet het recht om de gegevens die zij binnen het welomlijnde kader van hun opdracht hebben verkregen met betrekking tot deze patiënt mede te delen aan een gerechtsdeskundige.12

13. Zoals hoger beschreven onderscheidt artikel 458 Sw. twee categorieën: naast de uitdrukkelijk opgesomde personen valt ook een residuaire categorie van personen, aan wie uit hoofde van hun staat of beroep geheimen worden toevertrouwd, onder het beroepsgeheim.13 Alle personen die beroepshalve een taak vervullen in de gezondheidszorg, die hen in direct contact brengt met de patiënt en die in deze hoedanigheid als noodzakelijk aanspreekpunt fungeren voor de patiënt, vallen eveneens onder het beroepsgeheim.14 Met de algemene omschrijving van de residuaire categorie in artikel 458 Sw. heeft de wetgever de rechtspraak de nodige ruimte willen geven om het beroepsgeheim te kunnen toepassen op nieuwe beroepen, die de wetgever niet in gedachten had bij de opstelling van artikel 458 Sw. De rechtspraak heeft daar dan ook gebruik van gemaakt. Zo oordeelde het Hof van Cassatie15 dat het artikel zonder onderscheid van toepassing is “op alle personen die een vertrouwensfunctie uitoefenen, vastgelegd bij wet, traditie, of gewoonte, en die noodzakelijke verkrijger zijn van geheimen die hen toevertrouwd 10

H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 527, nr. 1229. W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 103. 12 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 527-528, nr. 1230. 13 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 15, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 14 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 103. 15 Cass. 20 februari 1905, Pas., 1905, I, 141. 11

7

worden.”16 Er wordt dus in de rechtsleer en rechtspraak niet betwist dat alle personen die beroepshalve een taak vervullen in de gezondheidszorg die hen in direct contact brengt met de patiënt onder de toepassing van artikel 458 Sw. vallen.17 Er moet dus aangenomen worden dat het medisch beroepsgeheim zich opdringt aan alle noodzakelijke medewerkers, bedienden, helpers en stagiairs van de beroepsbeoefenaar.18 Daaruit kan men afleiden dat ook verpleegkundigen, kinesitherapeuten, ambulanciers, beoefenaars van niet-conventionele geneeskunde19, paramedici, psychologen, maatschappelijke assistenten, straathoekwerkers, enzovoort onder toepassing van artikel 458 Sw. vallen. Deze lijst geldt enkel bij wijze van exemplatieve opsomming. Een limitatieve lijst is geen realistische opdracht voor de wetgever.20 Ook alle samenwerkende vertrouwenspersonen (bv. een arts die het advies van een collega inroept) zijn gebonden aan het beroepsgeheim.21 (voor het gedeeld beroepsgeheim, zie verder de randnummers 34 tot en met 43.) Onthaalbediendes en poetspersoneel van een ziekenhuis22, medisch secretaresses, vallen daarentegen niet onder het medisch beroepsgeheim. Zij zijn echter wel gebonden door een arbeidsovereenkomst en zijn in dit kader gebonden door een gelijksoortig beroepsgeheim, veelal discretieplicht genoemd. 23 (infra 2.7.)

2.2.2 Toepassingsgebied ratione materiae 14. Artikel 458 Sw. bevat drie elementen die van belang zijn voor het bepalen van het materiële toepassingsgebied van dat artikel. Opdat een gegeven zou vallen onder de toepassing van dat artikel

16

K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 15, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 17 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 529, nr. 1234. 18 J. KERKHOFS, “Het beroepsgeheim van paramedici, verpleegkundigen en personeelsleden van O.C.M.W.‟s: een pad in de mand van het gerechtelijk onderzoek?”, noot onder K.I. Antwerpen, 2 november 2000, Limb. Rechtsl. 2002, 195-204. 19 Art. 9, § 3, lid 2 Wet 29 april 1999 betreffende de niet-conventionele praktijken inzake de geneeskunde, BS 24 juni 1999. 20 M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 158. 21 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 15, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 22 Poetspersoneel in een ziekenhuis, onthaalbedienden, technici in laboratoria zijn geen noodzakelijke vertrouwenspersonen. De patiënt die vertrouwelijke informatie meedeelt aan een poetsvrouw in een ziekenhuis doet dit niet noodgedwongen maar vrijwillig. Wel kunnen de vermelde beroepsgroepen vallen onder een burgerlijk/arbeidsrechtelijke discretieplicht. (NYS, Geneeskunde; Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 530, nr. 1234.) 23 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 103 – 104.

8

moet de arts er uit hoofde van zijn beroep kennis van hebben gekregen (2.1.2.1), moet het een geheim karakter hebben (2.1.2.2) en moet het hem zijn toevertrouwd (2.1.2.3).24

2.2.2.1 Kennis uit hoofde van het beroep 15. De Orde van geneesheren omschrijft in artikel 56 van de Code van de geneeskundige plichtenleer het beroepsgeheim van de arts als “al wat de patiënt aan de arts gezegd of toevertrouwd heeft, als wat de arts weet of ontdekt heeft ten gevolge van onderzoekingen of van door hem gedane of aangevraagde navorsingen.” Artikel 57 van diezelfde Code stelt ook dat alles wat de arts “gezien, gehoord, vernomen, vastgesteld, ontdekt of opgevangen heeft tijdens of bij gelegenheid van de uitoefening van zijn beroep” onder het medisch beroepsgeheim valt. Het medisch beroepsgeheim slaat dus enkel op geheimen waarvan men door zijn beroep kennis krijgt.25

16. Hierbij rijzen twee vragen. Is artikel 458 Sw. ook van toepassing op mededelingen gedaan aan een arts buiten diens beroepsuitoefening maar als kennis, vriend of collega? En vervolgens, geldt het artikel ook voor gegevens toevertrouwd in het kader van de beroepsuitoefening, maar die niet relevant zijn daarvoor? De eerste vraag wordt negatief beantwoord.26 De mededelingen die men bijgevolg aan een arts buiten diens beroepsuitoefening doet, zijn geen geheimen en vallen niet onder toepassingsgebied van artikel 458 Sw.

Ook de tweede vraag wordt door bepaalde rechtsleer27

ontkennend beantwoord. Artikel 57 van de Code van de geneeskundige plichtenleer vermeldt nochtans dat als vallend onder het beroepsgeheim niet enkel wat tijdens de uitoefening van het beroep werd vernomen, maar ook hetgeen bij gelegenheid daarvan werd vernomen.28 NYS werpt op dat men niet de werkelijke vraag uit het oog mag verliezen, namelijk of gegevens die een arts over zijn patiënt verneemt en die met de vervulling van zijn taak op het eerste gezicht niets te maken hebben, kunnen worden beschouwd als zijnde ter kennis gekomen in het kader van de beroepsuitoefening. Dat is volgens hem de kernvraag. Hij is van mening dat in het voorbeeld van LAMBERT29 het niet alleen gaat om “extra professionele” gegevens die hij over een patiënt verneemt, maar ook over derden. NYS stelt dat in dat geval het besluit van LAMBERT onderschreven zou kunnen worden. Maar, stelt de auteur, het gaat evenwel te ver om als regel te stellen dat gegevens die (ogenschijnlijk) niet te maken hebben met de gezondheidstoestand, niet onder artikel 458 Sw. vallen, omdat zij niet werden toevertrouwd in het kader van het beroep. NYS stelt - mijns inziens terecht - dat 24

H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel., E. Story – Scientia, 2005, 531, nr. 1237. W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, p. 104. 26 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 531-532, nr. 1238. 27 Onder andere P. LAMBERT, Le secret professionel, Brussel, Nemesis, 1985, 157: een arts is tijdens een huisbezoek de ongewilde getuige van een echtelijke ruzie. Wat hij zo verneemt valt niet onder de strafrechtelijke zwijgplicht, maar wel kan een tuchtsanctie opgelegd worden bij het bekend maken. 28 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 532, nr. 1238. 29 P. LAMBERT, Le secret professionel, Brussel, Nemesis, 1985, 157: een arts is tijdens een huisbezoek de ongewilde getuige van een echtelijke ruzie. Wat hij zo verneemt valt niet onder de strafrechtelijke zwijgplicht, maar wel kan een tuchtsanctie opgelegd worden. 25

9

gegevens, die voor een leek met een ziekte niets te maken hebben, zoals een echtscheiding of financiële problemen, wel degelijk relevant kunnen zijn voor de taakvervulling van de arts. Het valt, volgens de auteur, ook niet goed in te zien hoe het onderscheid zal worden gemaakt tussen de gegevens die wel en andere die niet onder het toepassingsgebied vallen van artikel 458 Sw. NYS verwijst hier naar ALLEMEERSCH, die ter hulp schiet. Deze laatste auteur schuift een oplossing naar voor. Met betrekking tot deze discussie, draagt deze auteur het begrip “redelijk verband” als criterium naar voor. Opdat de geheimhoudingsplicht van toepassing zou zijn, is een redelijk verband vereist tussen de vertrouwelijke informatie en de beroepsactiviteit. Maar het begrip “redelijk verband” mag niet geïnterpreteerd worden als een vereiste dat de informatie nuttig of belangrijk moet zijn voor de opdracht in kwestie. Ook gegevens die later onbruikbaar of futiel blijken, kunnen nog in redelijk verband staan met de vertrouwensopdracht. Ondanks deze „oplossing‟ is het niet te verwonderen dat het vaak moeilijk zal zijn om te bepalen welke gegevens een redelijk verband vertonen met de vertrouwensopdracht en welke niet. Daarom stelt ALLEMEERSCH een „algemene regel‟ voorop. Voor wat artsen betreft, neemt men aan dat het om medische gegevens moet gaan of “minstens informatie die rechtstreeks of onrechtstreeks te maken heeft met de reden voor het doktersbezoek.”30

2.2.2.2 Geheim karakter 17. Wat wordt in de wet verstaan onder een “geheim”? ALLEMEERSCH geeft een omschrijving weer. Hij stelt dat “het beroepsgeheim verplicht tot geheimhouding van alle informatie (ongeacht de vorm of de drager van de informatie), waarvan de kennisname door de confident gebeurd is tijdens de uitoefening van zijn ambt of functie of terwijl hij wegens die hoedanigheid aangesproken werd, voor zover althans deze informatie in redelijk verband staat met de uitoefening van het ambt of de functie door de confident en zij inherent vertrouwelijk is of expliciet dan wel impliciet onder voorwaarde van geheimhouding toevertrouwd is aan de confident.” 31 Met geheimen bedoelt men dus niet alleen alles wat de cliënt zelf meedeelt, maar ook alles wat de geheimplichtige of vertrouwenspersoon gezien, gehoord, vernomen, vastgesteld, ontdekt of opgevangen heeft in het kader van de uitoefening van zijn beroep.32 18. Vallen alleen “medische” geheimen onder de geheimhoudingsplicht van de arts? Anders gesteld, geldt die plicht alleen maar voor wat de arts verneemt over gezondheid en ziekte van de patiënt en het

30

H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 532, nr. 1238. K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 16, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 32 Antwerpen (1bis k.) 18 september 2000, T. Gez., 2000-2001, 290. 31

10

onderzoek en de behandeling? De geheimhoudingsplicht waarborgt immers dat een patiënt zich in volle vertrouwen tot de arts kan wenden.33 In artikel 458 Sw. valt niet te lezen dat de geheimhoudingsplicht van de arts tot medische geheimen beperkt is. Stel dat een patiënt in de spreekkamer zijn arts op de hoogte brengt van een buitenechtelijke relatie. Je zou kunnen zeggen dat de patiënt dat niet hoefde te vertellen. Anders gezegd: de arts is dan geen noodzakelijke vertrouwenspersoon meer. Dit kan tot op bepaalde hoogte gevolgd worden. Maar is het wel haalbaar om een onderscheid te maken tussen de arts als “noodzakelijke” vertrouwenspersoon, aan wie de patiënt noodgedwongen van alles vertelt, en diezelfde arts als een “vrijwillige” vertrouwenspersoon die volledig uit vrije wil in vertrouwen wordt genomen? Dat is mijn inziens bijna onmogelijk. Zowel voor de arts als de patiënt is dat een heel kunstmatig onderscheid. Het zou voor de arts moeilijk en tijdrovend zijn om het onderscheid te maken tussen de geheimen die tegen hem als noodzakelijk vertrouwenspersoon zijn toevertrouwd, en andere zaken. Ook kan de gezondheid de dag van vandaag heel ruim worden ingevuld. Wat op het eerste gezicht geen uitstaans heeft met iemands gezondheid - zoals relationele problemen - kan een invloed op de gezondheidstoestand uitoefenen.34 19. Vooral de interpretatie van “geheimen” leidt tot moeilijkheden bij de toepassing van artikel 458 Sw. NYS verwijst naar de interpretatie die VAN NESTE geeft aan „geheimen‟: “feiten, gegevens, beslissingen, oordelen, meningen die verborgen gehouden moeten worden. Particuliere waarheden dus die, overeenkomstig algemeen aanvaarde criteria en normen niet kenbaar, openbaar gemaakt mogen worden.” NYS verwijst nog verder naar de door VAN NESTE gegeven omschrijving. Namelijk, een gegeven blijkt geheim, niet zozeer omdat het als zodanig geheim is, maar omdat het “overeenkomstig algemeen aanvaarde criteria en normen niet openbaar gemaakt mag worden.” Dergelijke criteria en normen kunnen uiteraard veranderen. Wat in 1867 als geheim zou worden beschouwd, kan het thans niet meer zijn. Dergelijke criteria kunnen bovendien verschillen naargelang de situatie waarin de geheimplichtige verkeert. VAN NESTE vraagt zich af of het eventuele geheim karakter van een gegeven niet kan losgezien worden van de context waarin deze vraag gesteld wordt. De belangen die tegenover het beroepsgeheim moeten afgewogen worden, bepalen mee deze context. Soms zijn dat private belangen van derden, in andere gevallen kunnen openbare belangen betrokken zijn. De afweging van die belangen is mede bepalend voor het geheim karakter van een gegeven. Een en ander betekent dat algemene uitspraken over wat als een geheim kan worden beschouwd met terughoudendheid moeten benaderd worden.35 Het is de rechter die uiteindelijk bepaalt wat als een geheim moet worden beschouwd.36

33

H. NYS, De rechten van de patiënt, Leuven, Universitaire Pers Leuven, 2001, 143-144. H. NYS, De rechten van de patiënt, Leuven, Universitaire Pers Leuven, 2001, 144. 35 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 532-533, nr. 1239. 36 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 104. 34

11

2.2.2.3 De geheimen moeten de arts zijn toevertrouwd 20. Het laatste element dat van belang is voor het bepalen van het materieel toepassingsgebied van artikel 458 Sw., is dat de geheimen moeten toevertrouwd zijn aan de arts. Dat element is nauw verbonden met de voorgaande elementen. “In het beroepsgeheim ontstaat het geheim pas na communicatie van bepaalde gegevens aan personen uit een bepaald beroepsmilieu. Het is een toevertrouwd geheim.” M.a.w. men deelt geen geheimen mee, maar door de mededeling worden gegevens geheim.37 Artikel 458 Sw. heeft het over geheimen die aan de arts “toevertrouwd werden.” Dat mag niet letterlijk genomen worden. Wat de patiënt spontaan meedeelt aan de arts valt zeker onder de geheimhoudingsplicht. Ook wat de arts door eigen onderzoek over de patiënt verneemt, wat hem door een collega meegedeeld wordt, wat hij leest in het medisch dossier van de patiënt: dat alles valt onder die plicht.38 Men kan dat beschouwen als stilzwijgend toevertrouwen.39

2.3. Deontologische Codes 21. Er bestaan verschillende deontologische codes die aan specifieke beroepsgroepen concrete richtlijnen en grenzen aanreiken voor de uitvoering van hun ambt. Een uniforme deontologische code is onmisbaar in de vele discussies die het beroepsgeheim met zich mee brengt, aangezien de regelgeving soms als onduidelijk en onvolledig ervaren wordt.40 De Code op zich is niet dwingend, maar wordt vaak afdwingbaar gesteld in de contractuele verhouding tussen geneesheren en bijvoorbeeld het ziekenhuis. Met betrekking tot het internationale aspect wordt er vaak verwezen naar internationale aanbevelingen zoals “European standards on confidentiality and privacy in health care.” Deze zijn ook niet afdwingbaar.

2.3.1. Code van de geneeskundige plichtenleer 22. De Code van de geneeskundige plichtenleer heeft als ultiem doel de geneesheren een leidraad aan te reiken om hun beroep op een professionele, waardige en respectvolle manier in te vullen en uit te oefenen. Voor de artsen is de code een gids. Voor de patiënten en hun omgeving is de code der geneeskundige plichtenleer een waarborg dat gestreefd er wordt naar een correcte en integere uitoefening van de geneeskunst.41

37

H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 534, nr. 1241. H. NYS, De rechten van de patiënt, Leuven, Universitaire Pers Leuven, 2001, 143. 39 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 534, nr. 1241. 40 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 22-23, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 41 http://omfs.be/Default.aspx?PageID=692&Culture=nl . 38

12

Hoewel de Code van de geneeskundige plichtenleer nooit als algemeen bindend verklaard werd en de Nationale Raad van de Orde van Geneesheren door middel van de adviezen geen bindende regels mag opleggen, hebben zowel de Code als de daarbij aansluitende adviezen een belangrijke morele waarde. Ook voor de hulpverleners die geen geneesheer zijn.42

23. Voor geneesheren en geneesheren-specialisten bestaat er dus een Code van de geneeskundige plichtenleer. Artikel 55 van deze Code bevat de regelgeving omtrent het medisch beroepsgeheim. "Het beroepsgeheim dat de geneesheer moet bewaren, is van openbare orde. De door patiënten geraadpleegde of om zorgen of raad verzochte practici zijn in alle omstandigheden door het beroepsgeheim gebonden.” Artikel 56 van dezelfde Code stelt verder dat het beroepsgeheim slaat op “al wat de patiënt hem gezegd of toevertrouwd heeft, als wat de geneesheer weet of ontdekt heeft ten gevolge van onderzoekingen of van door hem gedane of aangevraagde navorsingen.” Artikel 58 van de

Code

van

de

geneeskundige

plichtenleer

bevat

vervolgens

een

aantal

wettelijke

uitzonderingsgronden. Datzelfde artikel vermeldt nog dat “de geneesheer in geweten moet oordelen of hij door het beroepsgeheim toch niet verplicht wordt om bepaalde gegevens niet mee te delen.” Daarnaast verwijst de Code naar de personen die met de geneesheer nauw samenwerken en die zelf niet door een medisch beroepsgeheim verbonden zijn. Artikel 70 bepaalt dat “de geneesheer er zal over waken dat het medisch geheim door zijn helpers dwingend nageleefd wordt.”

2.4. Belangen van de geheimhoudingsplicht 24. Wanneer we deze problematiek in een iets breder kader plaatsen, dan merken we op dat het Europees Hof voor de Rechten van de Mens meent dat de lidstaten positieve plichten hebben m.b.t. de openbaarmaking en de bekendmaking van medische gegevens. De lidstaten moeten in hun nationale recht beschermingsmaatregelen opnemen die ervoor zorgen dat bekendmakingen van medische persoonsgegevens en geheimen in strijd met artikel 8 E.V.R.M. vermeden worden.

25. Het Europees Hof voor de Rechten van de Mens heeft in een aantal zaken gezegd dat het respect voor de vertrouwelijkheid van gezondheidsgegevens niet enkel van belang is omwille van de privacy van de patiënt, maar ook om het vertrouwen van patiënten in het medisch beroep en het geheel van gezondheidsvoorzieningen te behouden.43 Uit deze rechtspraak kunnen we afleiden dat aan het medisch beroepsgeheim, vervat in artikel 458 Sw., twee belangen ten grondslag liggen.

42

S. ALEXANDRE, E. BROEKAERT, B. DE RUYVER, K. GEENENS en W. VANDERPLASSCHEN, Tussen Droom en Daad. Implementatie van case management voor druggebruikers binnen de hulpverlening en justitie, Gent, Academia Press, 2005, 209. 43 E.H.R.M. 25 februari 1997, Z. t. Finland, Bulletin 1997, 7-12; E.H.R.M. 27 augustus 1997, M.S. t. Zweden, R.W. 1998-1999, 510-511.

13

Ten eerste ligt aan het medisch beroepsgeheim ongetwijfeld een algemeen belang ten grondslag. Het is in het belang van allen dat de arts, bij het uitoefenen van zijn beroep, het vertrouwen dat het publiek in hem stelt, niet beschaamt. Een goede gezondheidszorg is namelijk niet mogelijk indien patiënten zich niet langer in vertrouwen tot een arts kunnen wenden. Vandaar dat het eerbiedigen van het medisch geheim zeer belangrijk is in onze

maatschappij.44 Dit geeft dan ook de reden aan waarom er

strafsancties voorzien zijn voor het niet-naleven van het medisch beroepsgeheim.45

Het medisch beroepsgeheim dient echter niet alleen een maatschappelijk belang. Het individueel belang vormt eveneens een fundering voor de geheimhoudingsplicht. De patiënt moet zich zonder angst en schroom in vertrouwen tot een arts kunnen wenden en de intieme sfeer “blootleggen.” Hij heeft er dus zelf alle belang bij dat wat hij de arts toevertrouwt, niet bekendgemaakt wordt.46 Patiënten moeten dus de zekerheid hebben dat hun arts niet doorvertelt wat zij hem in vertrouwen meedelen. Dit is een essentiële vereiste opdat iedereen zich in vertrouwen zou kunnen wenden tot een arts of een persoon met een ander medisch beroep.47

Kortom, zowel het individueel als het algemeen belang liggen aan het medisch geheim ten grondslag. Deze twee belangen kunnen dan ook niet los van elkaar worden begrepen. Indien men alleen het algemeen belang erkent en verabsoluteert, dan geeft men een foutieve interpretatie aan de geheimhoudingsplicht. Hetzelfde geldt indien men de zwijgplicht alleen aan het individueel belang vastknoopt. Uit de rechtspraak van het Hof van Cassatie blijkt dat het medisch beroepsgeheim niet absoluut wordt opgevat en tot doel heeft de patiënt wil beschermen.48 Ook belangrijk om voor ogen te houden is dat de geheimgerechtigde – en niet de arts – recht heeft op geheim. Het medisch beroepsgeheim is geen recht van de arts.49

2.5. Het openbare orde-karakter en de functionele opvatting 26. Omdat het medisch beroepsgeheim strafrechtelijk geregeld is en omdat het algemene belang voorrang kan hebben op het particuliere, is artikel 458 Sw. van openbare orde. De rechtspraak50 heeft

44

S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 295-296, nr. 733. Art. 8 E.V.R.M., art. 458 Sw. 46 S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 296, nr. 734. 47 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 103. 48 S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 296, nr. 735. 49 S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 168, nr. 189. 50 Cass. 30 oktober 1978, Inf. R.I.Z.I.V. 1979, noot GROSEMANS, R.: Het beroepsgeheim raakt de openbare orde en de zieke kan daarover dus niet beschikken, zie ook: S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000), Medisch Recht, Antwerpen, Maklu, 1995, 167, nr. 187. 45

14

het openbare orde karakter van artikel 458 Sw. bevestigd.51 Men kan niet van het openbare orde karakter afwijken via een overeenkomst, want het algemeen belang heeft voorrang op het particulier belang.52 Hoewel de handhaving van het beroepsgeheim een verplichting is van openbare orde, is het beroepsgeheim echter niet absoluut.53

27. Aanvankelijk werd in de rechtsleer een absolute opvatting van het beroepsgeheim verdedigd. In deze absolute opvatting staat het algemeen belang van het beroepsgeheim centraal en is het individueel belang van de patiënt ondergeschikt. Een gevolg van deze opvatting is dat een patiënt, een rechter of een belanghebbende derde, de arts niet kan ontheffen van zijn beroepsgeheim en dat alleen een wet de geheimhouder van zijn zwijgplicht kan ontheffen. Overeenkomstig de absolute opvatting zijn de toegelaten uitzonderingen op de zwijgplicht van artikel 458 Sw. enkel diegene die uitdrukkelijk door dat artikel zijn bepaald. Volgens de aanhangers van deze opvatting dienden teksten die de zwijgplicht ophieven, restrictief geïnterpreteerd te worden. Naderhand ontstond de visie dat het beroepsgeheim in de eerste instantie de bescherming van de patiënt beoogt. Dit wordt de functionele opvatting van het beroepsgeheim genoemd, waarbij de patiënt heer en meester wordt van “zijn” geheim.

In deze

opvatting primeert niet alleen het individueel belang op de absolute opvatting van het medisch geheim, maar soms ook het belang van derden of algemeen maatschappelijke belangen, zoals de openbare veiligheid en de volksgezondheid.54 Deze visie wordt soms als de relativiteit van het medisch beroepsgeheim bestempeld.55

28. Een vraag die volgt uit de vaststelling dat het beroepsgeheim niet absoluut mag geïnterpreteerd worden, is of de toestemming van de geheimgerechtigde patiënt de arts kan ontslaan van zijn beroepsgeheim?

CALLENS beschouwde in 1995 de toestemming van de geheimgerechtigde een mogelijkheid tot doorbreking van de zwijgplicht. Hij verwees naar Nederland, waar al vroeger beklemtoond werd dat het geheim een recht is van de patiënt. Door te beklemtonen dat het geheim ook een recht is van de patiënt en door te erkennen dat aan het geheim zowel een algemeen als een individueel belang ten grondslag ligt, heeft de Nederlandse rechtspraak en rechtsleer zonder problemen aanvaard dat geheimen kunnen bekendgemaakt worden indien de patiënt daarin toestemt. Maar de rechtspraak en rechtsleer in Nederland stellen wel dat de toestemming van de geheimgerechtigde de “arts niet 51

S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000), Medisch Recht, Antwerpen, Maklu, 1995, 166, nr. 187. 52 E. MORBÉ, De Wet betreffende de rechten van de patiënt, Heule, UGA, 2003, 117. 53 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 63. 54 W. DIJKHOFFZ, “Rol van medische getuigschriften in de functionele opvatting van het beroepsgeheim”, T. Gez. 2002-2003, afl. 2, 88. 55 W. DIJKHOFFZ, “Rol van medische getuigschriften in de functionele opvatting van het beroepsgeheim”, T. Gez. 2002-2003, afl. 2, 96.

15

ontslaat van zijn wettelijke verplichting, voor zover deze een aspect heeft van algemeen belang, namelijk, dat de patiënten zich in vertrouwen tot de arts kunnen wenden.” Men doelt op de situatie waar een arts bijvoorbeeld weet dat de toestemming van de patiënt op onvoldoende gronden is gegeven. In zo‟n geval blijft de zwijgplicht gelden. Onder “onvoldoende gronden” kan men de gevallen waar geen vrije toestemming of een te algemene toestemming gegeven is, of waar de patiënt niet ingelicht is over de aard en de omvang van zijn toestemming of wanneer de betrokkene de toestemming verkeerd begrepen had, sorteren.56 CALLENS stelde in dezelfde bijdrage dat in België aanvaard werd dat het recht op geheim kan worden afgeleid uit het recht op privacy of uit de geneeskundige behandelingsovereenkomst die tussen de arts en de patiënt ontstaat. Bovenvernoemde auteur stelde dat de rechtsleer en een deel van de rechtspraak eveneens op de dubbele grondslag van het geheim wezen. Bijgevolg werd door de meerderheid van de rechtsleer en een niet onbelangrijk deel van de rechtspraak aangenomen dat een arts geheimen kan bekendmaken indien de geheimgerechtigde hiervoor toestemming verleent. Volgens hen kan de arts echter wel weigeren hierop in te gaan indien hij van oordeel is dat de toestemming niet vrij is gegeven.57 Uit de rechtsleer kwam er dan ook veel kritiek op het arrest van het Hof van Cassatie58, waar het Hof oordeelde dat “het beroepsgeheim de openbare orde raakt en de zieke daarover dus niet kan beschikken; dat de geneesheer niet ontheven wordt van het geheim door de omstandigheid dat de zieke zou ingestemd hebben met het verspreiden van de door hem aan de geneesheer gedane confidenties.” De critici wezen op de te absolutistische opvatting van het medisch beroepsgeheim die het Hof leek aan te hangen. Bepaalde auteurs, zoals VAN NESTE en DUMON, schreven dat het overdreven is om te stellen dat patiënten niet kunnen beschikken over het geheim. Een bekendmaking moet, volgens hen, kunnen op grond van de toestemming van de betrokkene. Het openbare orde-karakter zou hierdoor, volgens de auteurs, trouwens niet geschonden worden. In een arrest van 9 februari 198859 lijkt het Hof van Cassatie zijn strenge houding uit het arrest van 30 oktober 1978 enigszins te nuanceren. Daarin stelde het Hof dat artikel 458 Sw. de bescherming van de patiënt beoogt. CALLENS stelde in dezelfde bijdrage dat het mogelijk is dat de arts van zijn geheimhoudingsplicht wordt ontheven indien de betrokkene toestemt in de bekendmaking. Hiervoor steunt hij op het feit dat aan het geheim zowel een algemeen als een individueel belang ten grondslag ligt. Maar, werpt CALLENS op, het algemeen belang van de maatschappij moet hier worden afgewogen tegen het individueel belang van de betrokkene. De

56

S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 172, nr. 194. 57 S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 174, nr. 196. 58 Cass. 30 oktober 1978, Arr. Cass. 1979, 235. 59 Cass. 9 februari 1988, Arr. Cass. 1988, 720.

16

auteur zegt dat hieruit volgt dat de informatie die de patiënt zelf niet meer als geheim beschouwt, kan worden verstrekt.60 Nu wordt er echter meer en meer aanvaard - tegen de oude opvatting en rechtspraak in61 - dat de voorafgaandelijke toestemming van de patiënt, de arts ontslaat van zijn beroepsgeheim.62 Maar onder andere DIJKHOFFZ stelt in een recentere bijdrage dat de vraag of een patiënt zelf kan beslissen zijn arts te ontslaan van zijn beroepsgeheim door de Orde van geneesheren betwist wordt. De Orde van geneesheren stelt duidelijk in artikel 64 van de Code van de geneeskundige plichtenleer: “de verklaring van een zieke waarbij hij de geneesheer van zijn zwijgplicht ontheft, volstaat niet om de geneesheer van zijn verplichting te ontslaan.”63 Men kan dus stellen dat de Orde van geneesheren een nogal strikte en absolute opvatting van het beroepsgeheim heeft. Alhoewel in een recent advies64 toch de functionele visie weergegeven wordt.65

In de rechtsleer dan is een duidelijke strekking aanwezig om het vrije beschikkingsrecht van de patiënt over de gegevens, die onder de geheimhoudingsplicht vallen, te erkennen. Dus de rechtsleer gaat ermee akkoord dat de patiënt de arts van zijn geheimhoudingsplicht kan ontslaan.66

De rechtspraak houdt er ten aanzien van dit onderwerp een verdeelde mening op na. Het merendeel van de rechters aanvaardt dat het beroepsgeheim ingesteld werd ten voordele van de patiënt en vindt dat het de patiënt dus vrijstaat ervan af te zien. De patiënt moet dan wel vrij, op voorhand en met kennis van zaken instemmen met het bekendmaken van zijn gegevens. Deze zienswijze wordt bevestigd in een aantal wetteksten. Zo bepaalt de wet op de patiëntenrechten67 dat een patiënt aan zijn arts kan vragen alle gegevens over hem aan een vertrouwenspersoon mee te delen.68 Ook is in de Wet verwerking persoonsgegevens bepaald dat persoonsgegevens betreffende de gezondheid in principe niet verwerkt mogen worden, tenzij de patiënt zijn toestemming geeft voor de verwerking. (zie infra 3.3.)

60

S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 177-178, nr. 197-198. 61 S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 177-178, nr. 197-198. 62 J. STEVENS, “Het beroepsgeheim van de advocaat en dat van de geneesheer”, T. Gez.2002-2003, 3. 63 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 106. 64 X, “Advies betreffende voorlopige bewindvoering en geneeskundige verklaringen”, T. Gez. 2001-2002, 278. 65 W. DIJKHOFFZ, “Rol van medische getuigschriften in de functionele opvatting van het beroepsgeheim”, T. Gez. 2002-2003, afl. 2, 93. 66 H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 546, nr. 1274. 67 Art. 7, § 2 Wet 22 augustus 2002 betreffende de rechten van de patiënt, BS 26 september 2002. 68 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 106.

17

De arts is van zijn beroepgeheim ontheven indien deze toestemming voldoet aan bepaalde criteria.69 De instemming van de patiënt moet de bekendmaking van de geheimen voorafgaan. De patiënt moet zijn toestemming in alle vrijheid kunnen geven. Er mag geen sprake zijn van druk of dwang. Het akkoord moet door de patiënt expliciet zijn gegeven. Ze moet in uitdrukkelijke bewoordingen verleend zijn. Vervolgens moet de instemming betrekking hebben op de onthulling van welbepaalde, specifieke gegevens. De patiënt kan derhalve geen machtiging geven voor het verstrekken van alle mogelijke inlichtingen. En als laatste criterium moet de patiënt op de hoogte zijn van de draagwijdte van de onthulling opdat hij de hulpen/of zorgverlener met kennis van zaken kan ontslaan van zijn geheimhoudingsplicht.70

2.6. Draagwijdte van het medisch beroepsgeheim 29. Wat familieleden van de patiënt betreft, wordt aangenomen dat ook ten aanzien van hen de geheimhoudingsplicht moet worden in acht genomen. Toch kan de onthulling van bepaalde gegevens, die onder de geheimhoudingsplicht vallen, aan naaste familieleden op enig bijval rekenen in de rechtsleer en de rechtspraak. Bepaalde auteurs stellen dan wel als voorwaarde voor de mededeling aan familieleden dat de patiënt expliciet zijn akkoord geeft. Praktisch is het niet altijd mogelijk dat de patiënt expliciet zijn akkoord geeft. Denk maar aan het geval waar de patiënt zich in een comateuze toestand bevindt. Daarom aanvaarden de rechtsleer en de rechtspraak dat de hulpen/of zorgverlener, in omstandigheden waar het praktisch onmogelijk is dat de patiënt expliciet zijn toestemming verleent, vertrouwelijke informatie aan de familieleden kan meedelen indien de patiënt er zich niet tegen verzet of indien uit bepaalde gedragingen71 de stilzwijgende toestemming van de patiënt kan worden afgeleid. Maar steeds moet in het achterhoofd worden gehouden dat de patiënt in principe recht heeft op geheimhouding ten aanzien van zijn familie.72

30. Hierbij kan er ook gemeld worden dat het beroepsgeheim ook geldt na de dood van de patiënt en erfgenamen de arts in principe zelfs niet kunnen ontslaan van dit geheim. Daarvoor kan men verwijzen naar artikel 65 van de Code van de geneeskundige plichtenleer.73

69

W. DIJKHOFFZ, “Rol van medische getuigschriften in de functionele opvatting van het beroepsgeheim”, T. Gez. 2002-2003, afl. 2, 88-89. 70 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 20, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 71 Bijvoorbeeld: een echtpaar dat samen op consultatie bij de arts verschijnt. 72 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 47-48, nr. 20. 73 W. DIJKHOFFZ, “Rol van medische getuigschriften in de functionele opvatting van het beroepsgeheim”, T. Gez. 2002-2003, afl. 2, 91.

18

2.7. Beroepsgeheim versus discretieplicht 31. Naast het beroepsgeheim is er in bepaalde beroepen ook sprake van een discretieplicht. Dat is het geval wanneer de bepalingen van artikel 458 Sw. niet van toepassing geacht worden, maar wanneer de dienstverlener toch een bijzondere vertrouwensband met zijn cliënteel heeft die hem tot een bepaalde terughoudendheid zou moeten nopen. ALLEMEERSCH omschrijft de discretieplicht “als de verplichting om bij het uitoefenen van een ambt of functie geen gegevens vrij te geven aan anderen dan diegenen die gerechtigd zijn om er kennis van te nemen.”74

32. Het is belangrijk om het beroepsgeheim te onderscheiden van de discretieplicht. Het beroepsgeheim en de discretieplicht lijken op het eerste zicht hetzelfde te beogen, namelijk het bewaren van de stilte over bepaalde informatie. Nochtans verschillen beide regelingen fundamenteel van elkaar in hun aard. Er kan in de eerste plaats gesteld worden dat een discretieplicht niets te maken heeft met artikel 458 Sw. Een discretieplicht heeft, in tegenstelling tot het beroepsgeheim, geen algemene wetsbepaling als grondslag. De discretieplicht kan eerder bestempeld worden als een gemeenschappelijke noemer voor een amalgaam van door de overheid, door een beroepsorganisatie of door particulieren opgelegde verplichtingen, om bij het uitoefenen van een ambt of functie geen gegevens vrij te geven aan anderen dan aan diegenen die gerechtigd zijn om er kennis van te nemen.75 Deze plicht zou voortvloeien uit het complexe geheel van wettelijke, contractuele en morele of deontologische verplichtingen waartoe een persoon gehouden is op grond van zijn beroep of functie, eerder dan uit een enkele wettelijke bepaling.76 Een ander argument om te ondersteunen dat de discretieplicht een andere aard heeft dan het beroepsgeheim, is dat de discretieplicht geen fiduciaire verplichting is voortvloeiend uit een vertrouwensrelatie. De discretieplicht is enkel ingesteld tot bescherming van de opdracht of het ambt in kwestie waarvoor zij werd opgelegd. Een ander verschil met het beroepsgeheim, is dat de discretie geldt voor alle informatie waarvan men kennis krijgt, ongeacht of deze geheim is of niet en zelfs al zijn de gegevens algemeen gekend of niet relevant. Het belangrijkste verschil met het beroepsgeheim ligt in het feit dat een discretieplicht aan diegene die erdoor gebonden is, niet het recht geeft zich van een getuigenis te onthouden of in het algemeen zijn medewerking aan de bewijsvoering in rechte te weigeren. Dat laatste geldt wel voor het beroepsgeheim, dat erga omnes tegenwerpelijk is.77

Hieruit kan men ook afleiden dat de miskenning van een discretieplicht enkel kan resulteren in een burgerrechtelijke vordering tot schadevergoeding, of desgevallend in de toepassing van de 74

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 64-65. B. ALLEMEERSCH, “Het toepassingsgebied van artikel 458 strafwetboek. Over het succes van het beroepsgeheim en het geheim van dat succes”, R.W. 2003-2004, 2, nr. 6. 76 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 65. 77 B. ALLEMEERSCH, “Het toepassingsgebied van artikel 458 strafwetboek. Over het succes van het beroepsgeheim en het geheim van dat succes”, R.W. 2003-2004, 2, nr. 6. 75

19

strafrechtelijke bepalingen van de Privacywet. Waar het beroepsgeheim strafrechtelijk door artikel 458 Sw. wordt gesanctioneerd.78

33. De scheidingslijn tussen het beroepsgeheim en de discretieplicht is evenwel niet steeds makkelijk te trekken. In de praktijk blijkt het verschil tussen een discretieplicht en het beroepsgeheim vooral te liggen in de onderliggende relatie en in de belangen die worden beschermd. Zoals hoger beschreven stelt artikel 458 Sw. uitdrukkelijk als voorwaarde dat een geheim “toevertrouwd” wordt. Men kan spreken van een informatieoverdracht die deels ten persoonlijken titel gebeurt. Dit is niet zo bij dragers van een discretieplicht, die informatie bekomen uit hoofde van de dienst waarvan zij deel uitmaken, en die deze informatie binnen deze dienst vrij mogen uitwisselen. Dragers van een discretieplicht beschikken, volgens diezelfde auteurs, over een “intern spreekrecht”, in tegenstelling tot dragers van een beroepsgeheim.79

2.8. Gedeeld beroepsgeheim 34. Dat het gedeeld beroepsgeheim hier wordt besproken, hoeft geen verwondering te wekken, aangezien dit handelt over de communicatie tussen verschillende beroepsbeoefenaars in de gezondheidszorg.

2.8.1. Ontstaan 35. De rechtsfiguur van het gedeeld of collectief beroepsgeheim is oorspronkelijk ontwikkeld door rechtstheoretici, teneinde de sociale geneeskunde te verzoenen met het strikt gereglementeerde beroepsgeheim. Vandaag de dag is het gedeeld beroepsgeheim echter een basis om vormen van communicatie tussen hulpen/of zorgverleners te rechtvaardigen.80

36. Wie een vertrouwensopdracht uitoefent, zal dat, zeker de dag van vandaag waar de pathologieën een meer gespecialiseerde behandeling vragen, meestal niet alleen doen. Telkens zal de geheimhouder bepaalde informatie moeten delen met degenen met wie hij samenwerkt. Deze collega zal vaak niet in directe relatie staan met de patiënt, waardoor tussen deze geen vertrouwelijke relatie opgebouwd wordt. Strikt gezien is het beroepsgeheim dan niet van toepassing, ook al gaat het om personen die een

78

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 66. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 65. 80 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 20, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 79

20

beroep uitoefenen dat doorgaans onderworpen is aan het beroepsgeheim. Om deze lacune te verhelpen heeft de rechtsleer de theorie van het gedeeld of collectief beroepsgeheim in het leven geroepen.81

Artikel 458 Sw. eist

- zoals hierboven beschreven - van de hulpen/of zorgverleners dat zij

vertrouwelijke gegevens afschermen voor derden. Maar in deze huidige samenleving wordt steeds meer en meer van deze hulpen/of zorgverleners verwacht dat zij informatie delen met collega‟s of andere instanties met als doel de kwaliteit of continuïteit van de behandeling te verbeteren. 82 Anders gezegd de gezondheidszorg is vandaag een gebeuren van samenwerking en overleg tussen verschillende zorgen/of hulpverleners uit hetzelfde en andere vakgebieden. De individuele zorgen/of hulpverlener treedt steeds vaker op binnen een breder verband van hulpverleners die zich gezamenlijk inzetten voor de oplossing van voorliggende problemen. Men kan dus stellen dat de medische praktijk gekenmerkt wordt door samenwerking tussen niet alleen verschillende artsen onderling, maar ook tussen artsen en andere hulpverleners (maatschappelijk werkers, fysiotherapeuten, psychologen, kinesisten, enzoverder).83 In artikel 458 Sw. is nergens een aanduiding terug te vinden, die

de

wijze

weergeeft

waarop

het

beroepsgeheim

moet

worden

gehanteerd

in

samenwerkingsverbanden tussen hulpen/of zorgverleners.84

37. Oorspronkelijk kreeg het gedeeld beroepsgeheim een zeer ruime draagwijdte toebedeeld. Men vertrok van het idee dat de patiënt om uiteenlopende redenen van de arts kan verlangen dat hij anderen informeert over zijn gezondheidstoestand.85 Naderhand gaf men aan het gedeeld beroepsgeheim een meer restrictieve interpretatie, namelijk dat de arts enkel toevertrouwde informatie kan delen met een andere arts, die in dezelfde mate door het beroepsgeheim gehouden is.86

2.8.2. Criteria 38.

Vandaag

kan

men

vier

criteria

onderscheiden

waaraan

de

doorbreking

van

de

geheimhoudingsplicht moet voldoen.

Eerst en vooral stelt men unaniem dat de door artikel 458 Sw. gebonden hulpverlener uitsluitend de hem toevertrouwde informatie kan delen met andere, op dezelfde wijze door het beroepsgeheim 81

B. ALLEMEERSCH, “Het toepassingsgebied van artikel 458 strafwetboek. Over het succes van het beroepsgeheim en het geheim van dat succes”, R.W. 2003-2004, 8-9, nr. 31. 82 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 59, nr. 45. 83 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 41-42, nr. 4-5. 84 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 41, nr. 2. 85 Onder “anderen” vallen naast artsen, ook familieleden, vrienden, enzoverder onder. 86 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 45, nr. 15.

21

gehouden hulpverleners.87 Anders gezegd moet de ontvanger van de informatie een beroep uitoefenen dat ook door het beroepsgeheim gebonden is.88 Automatisch stelt men hier dan de vraag hoe dit criterium zich verhoudt met het administratief en technisch personeel. Bedoeld wordt diegenen die onder de discretieplicht vallen. PUT en VAN DER STRAETEN verwijzen naar de situatie in Nederland. In de Nederlandse rechtsleer wordt traditioneel een onderscheid gemaakt tussen enerzijds het zelfstandig beroepsgeheim en anderzijds de afgeleide geheimhoudingsplicht. Dat laatste rust op diegenen die de geheimplichtige ondersteunen in de uitoefening van zijn beroep, maar die zelf geen vertrouwensrelatie opbouwen met de patiënten. De auteurs stellen dat er in België geen bijzondere variant van het beroepsgeheim in het leven geroepen is om de communicatie van gegevens met administratief of technisch personeel mogelijk te maken. In het licht van de leer van het gedeeld beroepsgeheim kan een hulpen/of zorgverlener dan met die personeelsleden vertrouwelijke informatie uitwisselen. Deze informatieuitwisseling is beperkt in omvang. Waar mogelijk moeten dus algemene en minder privacygevoelige gegevens volstaan.89

Maar naast het criterium dat de persoon met wie de vertrouwelijke informatie gedeeld wordt, eveneens gehouden is tot medisch beroepsgeheim, geldt nog een tweede criterium. Het delen van vertrouwelijke informatie is ook beperkt door het feit dat de onthulling van gegevens die onder het beroepsgeheim vallen, enkel kan gebeuren aan personen die optreden met dezelfde doelstelling (hulpen/of zorgverlening) en ten aanzien van dezelfde patiënt.90 Beide zorgen/of hulpverleners moeten dus het belang van dezelfde patiënt behartigen.91 Wat bepalend om te beslissen of de zorgen/of hulpverleners het belang van dezelfde patiënt beogen, is dat de hulpen/of zorgverleners die met elkaar vertrouwelijke medische informatie delen, allen meewerken aan of ondersteuning bieden bij de uitvoering of de voortzetting van één en dezelfde behandeling of begeleiding. De situatie waar er communicatie over vertrouwelijke gegevens is tussen een hulpen/of zorgverlener die rechtstreeks in contact komt met de patiënt en een andere die dat niet heeft, valt ook onder de leer van het gedeeld beroepsgeheim. Denk dan maar aan een geneesheer-

87

J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 45, nr. 15. 88 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 21, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 89 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 46-47, nr. 18. 90 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 51, nr. 26-27. 91 B. ALLEMEERSCH, “Het toepassingsgebied van artikel 458 strafwetboek. Over het succes van het beroepsgeheim en het geheim van dat succes”, R.W. 2003-2004, 9, nr. 31.

22

specialist die een collega-specialist consulteert met betrekking tot een bepaalde patiënt zonder dat deze laatste in direct contact staat met de patiënt.92

Vervolgens geldt als derde criterium dat de mededeling van gegevens beperkt dient te blijven tot het noodzakelijke, i.e. informatie die strikt noodzakelijk is voor het bereiken van het gemeenschappelijk objectief.93 Kortom, enkel de vertrouwelijke gegevens die noodzakelijk en pertinent zijn voor de hulp aan en de zorg van de patiënt in het algemeen en voor de uitvoering van de behandeling van de patiënt in het bijzonder medegedeeld mogen worden.94

En als vierde en laatste criterium kan dan worden gesteld dat de mededeling van de vertrouwelijke informatie noodzakelijk moet zijn, met andere woorden dat deze dus in het belang van de patiënt moet gebeuren. De theorie van het gedeeld beroepsgeheim is een perfect voorbeeld van wat men de relatieve, functionele opvatting van het beroepsgeheim noemt.95

2.8.3. Rechtsgrond 39. De leer van het gedeeld beroepsgeheim is een figuur sui generis, deze theorie vindt geen steun in de tekst van artikel 458 Sw. Er zijn weinige auteurs die deze leer in de bestaande wetgeving hebben proberen inpassen. NYS heeft dit wel geprobeerd. Deze auteur verdedigde het idee dat het doorgeven van patiëntinformatie aan een collega die belast is met de diagnosestelling of de therapie niet kan beschouwd worden als een strafbare “bekendmaking.” NYS werpt op dat het enkel gaat om een straffeloos “toevertrouwen” van informatie aan een andere hulpen/of zorgverlener die ook onder toepassing van artikel 458 Sw. valt. Maar deze alleenstaande poging om de theorie van het gedeeld beroepsgeheim in de bestaande wetgeving te laten inpassen, kreeg weinig of geen bijval in de rechtsleer. De weinige steun die deze visie in de doctrine kreeg, heeft er dan ook voor gezorgd dat in België zelden of nooit gepleit is voor de aanpassing van artikel 458 Sw. in die zin dat het gedeeld beroepsgeheim erin als uitzondering zou worden opgenomen.96

92

J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 51, nr. 26-27. 93 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 21, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 94 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 52, nr. 28-29. 95 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 52, nr. 28-29. 96 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 54, nr. 33-35.

23

Het toenemend aantal wettelijke of reglementaire bepalingen waarin uitzonderingen op het wettelijke beroepsgeheim opgenomen worden, doen vermoeden dat stilaan het belang van de patiënt als voldoende legitimatie beschouwd wordt om het beroepsgeheim opzij te schuiven. Dit brengt het gevaar mee van uitholling van het beroepsgeheim door een overvloed aan uitzonderingen op deze vertrouwelijkheidsplicht. Daarom zou een afwijking op het beroepsgeheim enkel gerechtvaardigd zijn indien ze voldoende concreet geformuleerd is en slechts een beperkte draagwijdte heeft, in die zin dat de verplichte of toegelaten overdracht van informatie zich beperkt tot de welomschreven gevallen en dat het voorwerp van de overdracht voldoende gespecificeerd is.97

40. Wat ook nog onder de aandacht dient te worden gebracht is het feit dat men in de deontologische of beroepscodes, die door of in samenspraak met beroepsverenigingen van hulpen/of zorgverleners worden opgemaakt, meer toepassingen terugvindt van het gedeeld beroepsgeheim dan in de wetgeving. Dit is niet zo verwonderlijk, aangezien de leer van het gedeeld beroepsgeheim van in het begin opgepikt is door de beroepsverenigingen en dan ook geïntegreerd werd in hun plichtenleer. De reden waarom de beroepsverenigingen deze theorie snel integreerden in hun codes, vindt zich in het feit dat deze theorie een oplossing bood voor de steeds meer manifesterende onverzoenbaarheid van het beroepsgeheim met de eisen van een adequate hulpen/of zorgverlening. In de Code van de geneeskundige plichtenleer is dan ook in een limitatief aantal gevallen98 de toelating terug te vinden tot het verschaffen van bepaalde informatie aan een andere arts.

Als men de Code van de geneeskundige plichtenleer erop naleest, dan staat men in de context van de theorie van het gedeeld beroepsgeheim wel even stil bij artikel 62 van de Code van de geneeskundige plichtenleer. Dat artikel bepaalt dat “in vertrouwen door een patiënt meegedeelde gegevens nooit mogen worden openbaar gemaakt.” Dat is toch wel een opmerkelijk artikel. Het basisbeginsel stelt dat de patiënt er van uit moet kunnen gaan dat alles wat hij aan de arts meedeelt, in vertrouwen gebeurt en dus onder het medisch beroepsgeheim valt. De patiënt hoeft dus niet nadrukkelijk te vragen om bepaalde gegevens vertrouwelijk te behandelen. Maar aan de andere kant wil de theorie van het gedeeld beroepsgeheim juist een afwijking te zijn op het strikt opgevatte beroepsgeheim uit artikel 458 Sw. Men kan het belang van vertrouwelijkheid en de theorie van het gedeeld beroepsgeheim verzoenen door te stellen dat uitdrukkelijk als vertrouwelijk aangestipte gegevens wel aan een andere arts kunnen worden meegedeeld, voor zover voldaan is aan alle voorwaarden van het gedeeld beroepsgeheim.99

97

J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 56, nr. 36. 98 Zie daarvoor art. 58, art. 68 en art. 106 van de Code van de geneeskundige plichtenleer. 99 J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 56-57, nr. 39.

24

2.8.4. Kritiek 41. Na alle voordelen van deze theorie aangehaald te hebben, moet er ook wel gesteld worden dat de leer van het gedeeld beroepsgeheim niet vrij is van ondubbelzinnigheid. Het eerste bezwaar dat men kan opwerpen, betreft de terminologie. Als er al sprake is van iets te delen dan is dat niet een geheim maar wel de kennis omtrent dat geheim. Men zou beter moeten spreken van „gedeelde kennis omtrent geheimen‟. Een tweede en belangrijker bezwaar dat kan worden opgeworpen, is dat deze theorie vlug aanleiding kan geven tot misverstanden. Als voorbeeld om deze kritiek te staven, kan er worden opgeworpen dat sommigen aanvaarden dat een arts patiëntengegevens mag verstrekken aan een notaris omdat beiden door een zwijgplicht gebonden zijn. Ze zouden dan het beroepsgeheim delen.100 Mijns inziens is deze stelling volledig fout. Het gedeeld beroepsgeheim is van kracht in de gevallen waar er communicatie noodzakelijk is tussen personen van dezelfde beroepsgroep, en dit steeds in het belang van de patiënt/cliënt. Het gaat dus te ver om te stellen dat een arts medische gegevens mag meedelen aan een notaris aangezien deze laatste ook gebonden is door een geheimhoudingsplicht.

2.8.5. Gezamenlijk beroepsgeheim 42. PUT en VAN DER STRAETE poneren een nieuwe figuur binnen het team van één bepaalde organisatie, namelijk het “gezamenlijk” beroepsgeheim. De auteurs willen daarmee aan een aantal beperkingen die het gedeeld beroepsgeheim met zich mee brengt, tegemoet komen.

Aangezien de leer van het gedeeld beroepsgeheim een afwijking op het beroepsgeheim uitmaakt, moet deze restrictief geïnterpreteerd worden. Gegevens kunnen enkel doorgegeven worden wanneer ze strikt noodzakelijk zijn voor de hulpen/of zorgverlening. Niet strikt noodzakelijke of op het eerste zicht irrelevante informatie mag dus niet doorgegeven worden. Maar net die informatie kan soms belangrijk zijn voor de therapie of behandeling. Daardoor opperen de auteurs voor de theorie van het gezamenlijk beroepsgeheim. Deze nieuwe figuur moet gezien worden als een aanvulling op het gedeeld beroepsgeheim. Het gaat hier om een evolutieve interpretatie van het, vanuit een individuele hulpverleningscontext, opgestelde artikel 458 Sw. Het gezamenlijk beroepsgeheim rust op het team als geheel, in plaats van op elk teamlid afzonderlijk, en impliceert dat er tussen de teamleden onderling geen beroepsgeheimgrenzen bestaan. Daardoor kan alle informatie inzake een patiënt en de sociale context waarin deze leeft, vrij circuleren binnen het team als geheel. Natuurlijk geldt deze “nieuwe” figuur enkel tussen de leden van het hulpen/of zorgverleningsteam. Ten aanzien van derden blijft de individuele geheimhoudingsplicht van artikel 458 Sw. gelden. Ook is deze leer slechts aanvaardbaar binnen bepaalde juridische grenzen. Er moet dus volgens de auteurs sprake zijn van een daadwerkelijke afgelijnde hulpen/of zorgverleningseenheid die werkt in een teamverband. Ook moet 100

H. NYS, Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 535, nr. 1244.

25

het samenwerkingsverband zich naar de patiënt als team profileren. De patiënt mag op geen enkel ogenblik de indruk krijgen dat hij zich tot een alleen optredende hulpen/of zorgverlener wendt. De auteurs gebieden te vermelden dat de theorie van het gezamenlijk beroepsgeheim niet nieuw is. Het idee werd reeds in de Nederlandse rechtsleer verdedigd. Ook stellen de auteurs dat voor de gegevensoverdracht op grotere schaal, beter de leer van het gedeeld beroepsgeheim onderschreven wordt.101 43. Mijns inziens is de leer van het „gezamenlijk‟ beroepsgeheim te verkiezen boven de leer van het „gedeeld‟ beroepsgeheim. Zoals PUT en VAN DER STRAETE reeds poneerden rust dit gezamenlijk beroepsgeheim op een team. In tegenstelling tot bij de leer van het „gedeeld‟ beroepsgeheim is er dus bij het „gezamenlijk‟ beroepsgeheim een vrije informatie-overdracht binnen dat team. Dat kan alleen maar de gezondheidsverlening ten goede komen.

2.9. Nederland 2.9.1. Wetgevend kader 44. De geheimhoudingsplicht van medisch hulpverleners in Nederland is vastgelegd in de Wet op de geneeskundige behandelingsovereenkomst (WGBO), dat deel uitmaakt van het Nederlandse Burgerlijke Wetboek en de Wet beroepen in de individuele gezondheidszorg102 (Wet BIG).103 Ook bestaat een strafbepaling, namelijk artikel 272 Sr., die de schending van de geheimhoudingsplicht strafbaar stelt. Naast dit artikel 272 Sr. kent het strafrecht aan artsen ook een verschoningsrecht toe (artikel 218 Sv.). Dat geeft de arts in bepaalde gevallen het recht om te zwijgen wanneer hij voor de rechter moet verschijnen.104

45. De WGBO vormt het juridische kader voor de relatie tussen de hulpen/of zorgverlener en zijn patiënt. In de Nederlandse wetgeving is dus een keuze gemaakt voor een privaatrechtelijke oplossing. Die keuze steunt op het belang van een op vertrouwen gebaseerd evenwicht in de arts-patiëntrelatie. De Nederlandse wetgever wil dus uitdrukkelijk benadrukken dat die relatie evenwichtig is.105 De Wet BIG bevat regels voor de zorgverlening door beroepsbeoefenaren en richt zich op de kwaliteit van de beroepsbeoefening en de bescherming van de patiënt. De Wet BIG heeft als doelstelling de

101

J. PUT en I. VAN DER STRAETE, “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-2005, afl. 2, 58-59, nr. 40-43 en 45. 102 Art. 88 Wet BIG. 103 W.L.J.M. DUIJST, Praktijkboek beroepsgeheim en informatieverstrekking in de zorg, Antwerpen, Maklu, 2009, 13. 104 A.W.M. VELDKAMP, “Het grote mysterie. De vertrouwensarts en het medisch beroepsgeheim”, T. v. Gez. 1995, 67. 105 S. CALLENS, H. NYS en I. VOLBRAGT, Kostenbesparende richtlijnen, kwaliteitsvolle zorg en medische aansprakelijkheid, Antwerpen, Intersentia, 2006, 117.

26

kwaliteit van de beroepsuitoefening te bevorderen en te bewaken, en de patiënt te beschermen tegen ondeskundig en onzorgvuldig handelen door beroepsbeoefenaren.106

46. In de Belgische wetgeving is het beroepsgeheim slechts geregeld in artikel 458 Sw. Dat is de enige wettelijke basis van de geheimhoudingsplicht, maar die plicht komt ook terug in de deontologische Code van de geneeskundige plichtenleer.

2.9.1.1. Toepassingsgebied ratione personae 47. Artsen, verpleegkundigen, verzorgers en andere (para-) medische hulpverleners werkzaam in een zorginstelling, zijn op grond van (één van) deze wettelijke regels gebonden door het beroepsgeheim. Voor alle anderen die werkzaam zijn in een zorginstelling - gedacht kan worden aan bewakingspersoneel, medisch secretaresses, poetspersoneel, administratief personeel, enzovoort geldt dat zij een beroepsgeheim hebben dat is afgeleid van het beroepsgeheim van de arts/verpleegkundige.107

48. Het personeel toepassingsgebied kan vergeleken worden met het personeel toepassingsgebied van Belgische artikel 458 Sw. Wel kunnen we hier één verschil met de Belgische wetgeving opmerken: in België bestaat er niet zoiets als een afgeleid beroepsgeheim voor technisch, administratief personeel. Die personen zijn in ons land onderworpen aan een discretieplicht.

2.9.1.2. Toepassingsgebied ratione materiae 49. Het medisch beroepsgeheim in Nederland strekt zich uit over alles wat de medisch hulpverlener in de uitoefening van zijn beroep te weten gekomen is. Concreet omvat het medisch beroepsgeheim onder andere de informatie die de patiënt zijn arts meedeelt, informatie die de arts van familie of van andere hulpen/of zorgverleners ontvangt en gegevens betreffende de sociale status en de privé omstandigheden van de patiënt.108

50. Ook hier kunnen we stellen dat de Nederlandse wetgeving op dit vlak niet veel verschilt van de Belgische wetgeving. De Belgische Code van de geneeskundige plichtenleer bepaalt wat er onder het medisch beroepsgeheim valt. Zowel hetgeen de patiënt aan de arts meegedeeld heeft als hetgeen de arts ontdekt heeft ten gevolge van onderzoekingen vallen onder het beroepsgeheim van de arts.109 En 106

www.minvws.nl/folders/ibe/hoofdlijnen_wet_beroepen_in_de_individuele_gezondheidszorg_big.asp . W.L.J.M. DUIJST, Praktijkboek beroepsgeheim en informatieverstrekking in de zorg, Antwerpen, Maklu, 2009, 13. 108 W.L.J.M. DUIJST, Praktijkboek beroepsgeheim en informatieverstrekking in de zorg, Antwerpen, Maklu, 2009, 14. 109 Art. 56 van de Code van de geneeskundige plichtenleer. 107

27

artikel 57 van diezelfde Code bepaalt dat ook al hetgeen de arts gezien, gehoord, vernomen, vastgesteld, ontdekt of opgevangen heeft tijdens of bij gelegenheid van de uitoefening van zijn beroep onder het medisch beroepsgeheim valt.

2.9.2. Draagwijdte van het medisch beroepsgeheim 51. Het beroepsgeheim geldt in principe ten opzichte van eenieder. Het beroepsgeheim kan dus worden ingeroepen tegen verzekeraars, politie, de familie van de patiënt, enzovoort.110 Dat geldt ook in onze wetgeving. Ten aanzien van de politie bepaalt onze wetgeving eveneens dat het medisch beroepsgeheim tegen hen ingeroepen kan worden. Bij een ondervraging in een politiekantoor kan dus zowel de Belgische als de Nederlandse arts zich steunen op zijn medisch beroepsgeheim. Maar in de praktijk wordt er ten aanzien van familieleden van patiënten vaak uitgegaan van de veronderstelde toestemming van de patiënt. Op grond van die veronderstelde toestemming krijgen partners en familieleden van de patiënt wel degelijk informatie over zijn gezondheidstoestand en dergelijke meer. Net zoals in België blijft het medisch beroepsgeheim gelden na het overlijden van de patiënt. Het medisch beroepsgeheim reikt over de dood heen. In beginsel wordt dus na de dood ook geen informatie vrijgegeven over de gezondheidstoestand van de patiënt aan familieleden. In de praktijk kunnen in Nederland de familieleden, die tijdens het leven van de patiënt informatie kregen, ook na het overlijden informatie krijgen.111

52. In Nederland bestaat - net zoals in België - het principe dat de geheimhoudingsplicht van de arts ten opzichte van iedereen geldt. Maar in de Wet op de Geneeskundige Behandelingsovereenkomst, WGBO, is voor medebehandelaars en

voor

vertegenwoordigers

een

uitzondering

op

de

geheimhoudingsplicht

gemaakt.

Medebehandelaars en wettelijke vertegenwoordigers krijgen dus informatie over de patiënt. Als voorbeeld van medebehandelaars kan men denken aan geneesheren die binnen eenzelfde instelling bij de behandeling van de patiënt betrokken zijn, verwijzende huisartsen, hulpverleners van een andere instelling die bij de behandeling worden betrokken,… Onder wettelijke vertegenwoordigers moet men denken aan de vertegenwoordigers van minderjarigen en wilsonbekwamen. Aan de medebehandelaars en aan de (wettelijke) vertegenwoordigers kan bijgevolg zonder toestemming van de patiënt informatie verschaft worden. De categorie van de wettelijke vertegenwoordigers hebben nog een extra bevoegdheid. Zij mogen, in tegenstelling tot de medebehandelaars, ook over de informatie van de patiënt beschikken.112 110

W.L.J.M. DUIJST, Praktijkboek beroepsgeheim en informatieverstrekking in de zorg, Antwerpen, Maklu, 2009, 14. 111 W.L.J.M. DUIJST, Praktijkboek beroepsgeheim en informatieverstrekking in de zorg, Antwerpen, Maklu, 2009, 14. 112 W.L.J.M. DUIJST, Praktijkboek beroepsgeheim en informatieverstrekking in de zorg, Antwerpen, Maklu, 2009, 14-15.

28

In België hebben ouders en voogden natuurlijk ook het recht op informatie over de gezondheidstoestand van hun minderjarig kind. Dat juist omwille van het feit dat zij de wettelijke vertegenwoordigers van hun kind zijn en hun kind minderjarig en dus onbekwaam is. Wat betreft medebehandelaars is in België de theorie van het gedeeld beroepsgeheim van toepassing. Zie daarvoor 2.8.

2.9.3. Deontologische Code 53. Er bestaat in Nederland geen equivalent voor onze deontologische Code voor geneesheren. Er bestaat wel een Wet Beroepen in de Individuele Gezondheidszorg, afgekort Wet BIG. Op 9 november 1993 heeft de Eerste Kamer het wetsvoorstel BIG aangenomen. De Wet BIG bevat, zoals hoger reeds gezegd, regels voor zorgverlening door beroepsbeoefenaren en richt zich op de kwaliteit van de beroepsbeoefening en de bescherming van de patiënt. De Wet BIG heeft als doelstelling de kwaliteit van de beroepsuitoefening te bevorderen en te bewaken en de patiënt te beschermen tegen ondeskundig en onzorgvuldig handelen door beroepsbeoefenaren.113

De BIG is een kaderwet, die alleen de grote lijnen aangeeft. Veel zaken moeten nog geregeld worden bij een Algemene Maatregel van Bestuur, AMvB. Met het oog op een zorgvuldige uitvoering en omdat het een complexe wet is, wordt de Wet BIG niet in één keer, maar gefaseerd in werking gesteld.114 Dat is reeds een verschil met onze Belgische Code van de geneeskundige plichtenleer. Die is van toepassing op de geneesheren. Maar in België zijn er nog verschillende andere Beroepscodes, zoals de Deontologische Code voor Psychologen, de Code van farmaceutische plichtenleer, …115 De Wet BIG spitst zich toe op de individuele gezondheidszorg, dat wil zeggen de zorg die rechtstreeks gericht is op een persoon. De Wet BIG komt in de plaats van twaalf bestaande wettelijke beroepenregelingen.116 Artikel 88 van de Wet BIG bepaalt dat eenieder verplicht is de geheimhouding in acht te nemen ten opzichte van al datgene wat hem bij het uitoefenen van zijn beroep toevertrouwd is, of wat daarbij als geheim te zijner kennis gekomen is of wat daarbij te zijner kennis gekomen is en waarvan hij het vertrouwelijke karakter moest begrijpen.117

54. Wel bestaat er iets vergelijkbaars met de Belgische Orde van geneesheren. In Nederland bestaat er een Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst, KNMG. Daarnaast bestaat er ook een Orde van Medisch Specialisten en het Nederlands Huisartsen Genootschap, NHG. 113

www.minvws.nl/folders/ibe/hoofdlijnen_wet_beroepen_in_de_individuele_gezondheidszorg_big.asp . www.minvws.nl/folders/ibe/hoofdlijnen_wet_beroepen_in_de_individuele_gezondheidszorg_big.asp . 115 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 23, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 116 www.minvws.nl/folders/ibe/hoofdlijnen_wet_beroepen_in_de_individuele_gezondheidszorg_big.asp . 117 www.fomat.nl/Big88.html . 114

29

De KNMG is de organisatie van en voor artsen in Nederland en is de enige koepelorganisatie die namens alle artsen in Nederland kan spreken. Het doel van de KNMG is het bevorderen van de kwaliteit van de volksgezondheid in Nederland.118 De KNMG heeft wel een aantal gedragsregels en een richtlijn uitgevaardigd aangezien veel wettelijke bepalingen te algemeen geformuleerd zijn. Bij het formuleren van de gedragsregels is rekening gehouden met recente wetgeving op het gebied van de rechten van de patiënt. Alle leden van een KNMG-beroepsvereniging zijn gebonden door deze richtlijn en de gedragsregels. Deze regels bieden een leidraad voor het handelen van de arts. De gedragsregels richten zich in het bijzonder op de relatie tussen arts en patiënt, maar zijn daartoe niet beperkt. Ook onderwerpen als de relatie tussen de arts en zijn collegae, de arts en wetenschappelijk onderzoek en de arts in relatie tot publiciteit, komen aan de orde. Artikel II.15 houdt de nadere bepaling in van de geheimhoudingsplicht voor artsen en stelt dat “de arts de plicht heeft tot zwijgen over alles wat hem bekend wordt in het kader van de behandeling. Hij is hiervan ontheven bij toestemming van de patiënt, door wettelijke plicht tot gegevensverstrekking, in het overleg met hulpverleners die deel uitmaken van de behandeleenheid en bij conflict van plichten. De arts heeft tot taak zijn ondersteunend personeel te wijzen op het afgeleid beroepsgeheim en toe te zien op het respecteren daarvan.”119

Voor de Orde voor de Medisch Specialisten zijn er ook gedragsregels. De basis van deze gedragsregels zijn terug te vinden in de gedragsregels van de KNMG, hierboven beschreven.

55. Een verschil met de Belgische Orde van geneesheren is dat tot deze Orde onder andere geneesheren als geneesheren-specialisten behoren. Zij zijn allen gebonden door de deontologische Code van de geneeskundige plichtenleer. In Nederland is er een Genootschap voor huisartsen met eigen regels en een Orde voor medisch specialisten, ook met eigen gedragsregels. Wel hebben deze gedragsregels een zelfde basis, namelijk de gedragsregels uitgevaardigd door de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst.

2.10. Verenigde Staten 56. Ondanks de vele wettelijke en deontologische verplichtingen tot geheimhouding betreffende gezondheidsgegevens, kan men in de Verenigde Staten meer en meer aan medische informatie van andere personen geraken. Elektronisch gehouden informatie betreffende de gezondheid zorgt voor een toename van en een gemakkelijkere toegang tot die gevoelige persoonsgebonden gegevens. Dat houdt een gevaar in dat niet-geautoriseerde personen toegang verkrijgen tot deze informatie, maar aan de andere kant kan het delen van deze gegevens tot een betere zorgverlening van de patiënt leiden. Het is 118

KNMG, http://knmg.artsennet.nl/Over-KNMG/missie.htm . KNMG, http://knmg.artsennet.nl/dossiers/Dossiers-op-thema/arts-en-recht-1/Gedragsregels-enrichtlijnen.htm. 119

30

dus een uitdaging voor de artsen om mee te gaan met de snelveranderende maatschappij en derhalve gebruik te maken van deze nieuwe technologieën, maar terzelfdertijd de rechten van de patiënt te eerbiedigen.

2.10.1. Wettelijke grondslagen 57. Het medisch beroepsgeheim speelt net zoals in België vooral een rol in verband met de gesprekken tussen patiënt en geneesheer. Maar het reikt natuurlijk niet enkel tot daar, ook het medisch dossier valt onder de geheimhoudingsplicht. De relatie arts-patiënt is net zoals in Europa een belangrijk concept. De kern van dit medisch beroepsgeheim ligt dus in het feit dat het de geneesheer verboden is medische informatie betreffende zijn patiënten openbaar te maken, dan enkel in die gevallen waar het toegelaten is door een wet. Ook een geneesheer die door de behandelend geneesheer bij de diagnose of de behandeling van de patiënt betrokken wordt, mag geen gezondheidsgegevens openbaar maken.120 Met het beroepsgeheim een wettelijke grondslag te geven, wil men een juridische bescherming verlenen aan die arts-patiëntrelatie.

58. Het fundamentele recht op privacy wordt gewaarborgd door het vijfde en het veertiende “Amendment” bij de Amerikaanse Grondwet. Een andere wettelijke grondslag betreffende de “patient confidentiality” is terug te vinden in de HIPAA-regelgeving, meer concreter, in de HIPAA Privacy Rule. Maar ook in andere wetten wordt er een geheimhoudingsplicht gereguleerd, vaak zelfs nog iets strenger dan in de Privacy Rule. Doorheen de jaren zijn er wel veel uitzonderingen geformuleerd op het beroepsgeheim van geneesheren. Er kan bijvoorbeeld gedacht worden aan de regel, die door vele deelstaten aangehangen worden en die stelt dat geneesheren die op de hoogte zijn van schotwonden of van autobestuurders onder invloed, dit ter kennis van de politie moeten brengen. Daarnaast vindt men ook normen betreffende het medisch beroepsgeheim terug in de wetten van de deelstaten en in normen gecreëerd door de rechtbanken.121

2.10.2. Deontologische Code 59. In de Code of Medical Ethics van de American Medical Association is er eveneens een grondslag voor het medisch beroepsgeheim terug te vinden. Zij stelt dat de informatie en de gegevens die gedurende de diagnose, behandeling, nazorg aan de geneesheer toevertrouwd worden, onder de geheimhoudingsplicht van de arts vallen. De onderliggende reden van het medisch beroepsgeheim is, volgens de American Medical Associaton's Council on Ethical and Judicial Affairs, dat de patiënt zich

120

www.ama-assn.org/ama/pub/physician-resources/legal-topics/patient-physician-relationship-topics/patientconfidentiality.shtml . 121 www.ama-assn.org/ama/pub/physician-resources/legal-topics/patient-physician-relationship-topics/patientconfidentiality.shtml .

31

volledig vrij zal voelen om gegevens, verhalen, … toe te vertrouwen aan de arts. Die vertrouwelijkheid kan helpen om een correcte, adequate en efficiënte diagnosestelling, behandeling en nazorg te verlenen aan de patiënt. Deze Code of Medical Ethics is niet afdwingbaar op grond van een wet. Maar de rechtbanken hebben deze deontologische, ethische verplichtingen wel als basis gebruikt voor de creatie van wettelijke verplichtingen tot geheimhouding.122

2.10.3. Principe 60. Het belangrijkste principe dat geldt in verband met de openbaarmaking van gevoelige gegevens is dat voor die openbaarmaking van medische gegevens de uitdrukkelijke toestemming van de patiënt is vereist. Dat komt overeen met onze vigerende wetgeving. Ook stelt de AMA dat de toestemming van de patiënt uit de omstandigheden afgeleid kan worden. Hier heeft men dan te maken met een stilzwijgende toestemming. Bijvoorbeeld, naast de geneesheer, heeft ook het medisch verpleegkundig team toegang tot de gezondheidsgegevens. Hier gaat de patiënt niet uitdrukkelijk toestemmen, maar zijn stilzwijgende toestemming zal blijken uit de aanvaarding van de behandeling en de verzorging door dat medische team. Naast de patiënt zelf, kunnen ook de ouders of de voogd van minderjarige of onbekwame patiënten hun toestemming tot openbaarmaking van medische gegevens verlenen.123 Natuurlijk mag men ook medische informatie vrijgeven op grond van een rechterlijk bevel of op grond van een wet.

61. De HIPAA-regelgeving heeft nog voor andere regels betreffende het beroepsgeheim gezorgd. De “covered entities”124 zijn gerechtigd om medische informatie openbaar te maken, zonder toestemming van de betrokken patiënt, enkel en alleen om de behandeling, de betaling, enzoverder te vergemakkelijken.125 (infra 3.10.2.)

62. Voor een verdere uiteenzetting betreffende de privacyregeling in de Verenigde Staten wordt verwezen naar het stuk 3.10. dat onder andere handelt over de HIPAA Privacy Rule.

122

www.ama-assn.org/ama/pub/physician-resources/legal-topics/patient-physician-relationship-topics/patientconfidentiality.shtml . 123 www.ama-assn.org/ama/pub/physician-resources/legal-topics/patient-physician-relationship-topics/patientconfidentiality.shtml . 124 Diegene die onder de toepassing van HIPAA vallen. 125 www.ama-assn.org/ama/pub/physician-resources/legal-topics/patient-physician-relationship-topics/patientconfidentiality.shtml .

32

3. Verwerking van medische gegevens 3.1. Inleiding 63. Door de intrede van de informatica bij het omgaan met gezondheidsgegevens, nemen de mogelijkheden tot inzameling, verwerking en verstrekking van gezondheidsgegevens toe, maar aan de andere kant ook de gevaren die daaraan verbonden zijn. Vrij vlug werd duidelijk dat het aloude artikel 458 Strafwetboek niet meer volstond, en dat bijkomende wetgeving voor de verwerking van persoonsgegevens vereist was. Het beroepsgeheim richt zich namelijk op situaties waarin het verstrekken van gegevens eerder de uitzondering is. Maar in de praktijk worden (medische) gegevens voor verschillende doeleinden en op verschillende niveaus verwerkt (niveau van behandeling, facturatie, …). Het verstrekken van gezondheidsgegevens is door artikel 458 Sw. niet echt geregeld, ook al komt de verstrekking van medische gegevens voor allerlei doeleinden zoals beleid, kwaliteitstoetsing, medisch-wetenschappelijk onderzoek, verzekerings- en arbeidsovereenkomsten enzovoort vaak voor. Dat is een eerste reden waarom het beroepsgeheim tekortschiet.126 Bovendien heeft de opkomst van de informatica de grenzen en de beperkingen van het medisch beroepsgeheim aangetoond. De individuele arts-patiëntrelatie waarvoor het medisch beroepsgeheim ontworpen was, verdwijnt. Het geautomatiseerd verwerken van gezondheidsgegevens heeft tot gevolg dat de arts de controle over de gegevens die hij ingezameld heeft, gedeeltelijk moet prijsgeven. Voorts komen - anders dan in de 19e eeuw bij het ontstaan van de geheimhoudingsplicht - veel meer mensen in aanraking met gezondheidsgegevens. Het medisch beroepsgeheim biedt evenwel geen voldoende bescherming voor de gegevensstromen in grotere instellingen of samenwerkingsverbanden met eigen verhoudingen en regels. Via specifieke wetgeving probeert men nu die regels in te voeren. In een geïnformatiseerde maatschappij waar het kraken van een netwerk tot gevolg kan hebben dat onbevoegden snel toegang krijgen tot zeer gevoelige informatie, moet er opgetreden kunnen worden tegen artsen of verantwoordelijken die geen veiligheidsmaatregelen nemen bij het geïnformatiseerd verwerken van gezondheidsgegevens. Het beroepsgeheim verplicht artsen niet tot het nemen van dergelijke maatregelen. Bijkomende wetgeving inzake beveiliging van gezondheidsgegevens is dus vereist.127 Ten slotte verhindert het beroepsgeheim niet dat ook de patiënt de controle verliest over gezondheidsgegevens indien die geautomatiseerd verwerkt worden. De snelheid en omvang van een geautomatiseerde verwerking, de mogelijkheid van koppeling, de grote toegangsmogelijkheden, de onbeperkte opslagmogelijkheden enzoverder kunnen er nochtans voor zorgen dat de patiënt eigenlijk niet meer beseft wie wat over hem weet. Bovendien is het niet ondenkbaar dat met onjuiste gegevens gewerkt wordt. Een patiënt heeft dan ook nood aan een recht op toegang en een recht op correctie. Die 126

S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 298-299, nr. 741-742. 127 S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 299, nr. 743.

33

belangrijke rechten zijn niet gegarandeerd via het medisch beroepsgeheim neergeschreven in artikel 458 Sw.128 Deze argumenten tonen aan dat artikel 458 Sw. op zich niet voldoende is om als regeling te dienen voor het omgaan met en het verwerken van medische persoonsgegevens.

64. Het medisch beroepsgeheim behelst alle medische elementen die betrekking hebben op het individu en die dus deel uitmaken van zijn persoonlijke levenssfeer of zijn privacy. Die persoonlijke levenssfeer is eigenlijk een tweeledig begrip. Enerzijds is het een beschermd terrein waar niemand mag binnentreden. Anderzijds heeft het individu het recht om bepaalde informatie over zichzelf mee te delen. In de dagelijkse praktijk van de medische hulpverlening wordt er steeds meer informatie over patiënten verzameld en uitgewisseld. Dat is nodig om op een kwaliteitsvolle, efficiënte en snelle manier aan hulpverlening te kunnen doen. Maar, aan de andere kant houdt dit ook iets bedreigends in. Daarom achtte de wetgever het noodzakelijk om een specifieke regelgeving betreffende de bescherming van de persoonlijke levenssfeer te ontwikkelen. Concreet heeft dit vorm en inhoud gekregen in de Wet van 8 december 1992.129 De wet heeft geen enkele wijziging aangebracht aan de reglementering wat betreft het beroepsgeheim. Integendeel, volgens SPEECKAERT en VERHULST, gaat de vraag naar het beroepsgeheim vooraf aan de vraag naar de toepassing van de Privacywet, aangezien een verwerking pas toegelaten zal zijn wanneer ze de geheimhoudingsplicht respecteert.130 Naast de Privacywet is ook de Wet betreffende de rechten van de patiënt131 een belangrijke rechtsbron voor de bescherming van de persoonlijke levenssfeer.132 Beide wetten zullen in het kader van de bescherming van de privacy van de patiënt hierna besproken worden.

3.2. De Privacyrichtlijn 65. De Europese Dataprotectie Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, is voor de lidstaten van de Europese Unie dé norm op het gebied van de bescherming van persoonsgegevens. De lidstaten hebben deze richtlijn moeten omzetten in hun nationale wetgeving. In België was het resultaat de Wet Verwerking Persoonsgegevens, of anders 128

S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 299, nr. 745746. 129 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, grondig gewijzigd door de Wet 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, BS. 3 februari 1999. Deze Wet is ook gekend onder de naam “Privacywet” of “Wet Verwerking Persoonsgegevens” (WVP). Om deze masterproef aangenaam te laten lezen, zullen de drie benamingen van deze Wet afwisselend gebruikt worden. 130 M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 158. 131 Wet 22 augustus 2002 betreffende de rechten van de patiënt, BS 26 september 2002. 132 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 226.

34

genaamd de Privacywet.133 Nationale en internationale gezondheidszorgspelers moeten dus rekening houden met de principes van de Privacyrichtlijn.134

66. Richtlijnen zijn bindende instrumenten van de Europese Unie. Zij bevatten regels voor de lidstaten waardoor de lidstaten de richtlijnen in hun interne recht moeten omzetten. Een belangrijk kenmerk van richtlijnen is dat zij enkel bindend zijn ten aanzien van het te bereiken doel. Het te bereiken resultaat is vastgelegd in de richtlijn, maar de lidstaten mogen zelf de middelen kiezen om deze richtlijn om te zetten. De wijze waarop men de richtlijn zal implementeren in het nationale recht mag men dus kiezen. Maar natuurlijk moeten de lidstaten rekening houden met de specifieke situatie die in hun land heerst.

3.2.1. Doel van de Privacyrichtlijn 67. Het doel van de Privacyrichtlijn kan omschreven worden als “het beschermen van individuen met het oog op de verwerking van persoonsgegevens.”135 De richtlijn beoogt, met andere woorden, de rechten en vrijheden van personen te beschermen bij de verwerking van persoonsgegevens door middel van het vaststellen van basisbeginselen, die de rechtmatigheid van de verwerking bepalen. Deze principes hebben betrekking op de kwaliteit van de gegevens, de toelaatbaarheid van de gegevensverwerking, de bijzondere categorieën van verwerkingen, de informatieverstrekking aan de betrokkenen, hun recht op toegang tot de gegevens, de uitzonderingen en de beperkingen op de verwerkingen, het recht van de betrokken personen op verzet tegen de gegevensverwerking, de vertrouwelijkheid en de beveiliging van de verwerking en de aanmelding van de verwerkingen bij een toezichthoudende autoriteit.136

3.3. De Privacywet 3.3.1. Wat is privacy? 68. “Privacy” is een complex begrip, waarvan de precieze invulling in grote mate afhankelijk is van socio-culturele opvattingen. Het is dus een begrip dat evolueert in tijd en ruimte. Er bestaat geen echte wettelijke definitie van de term “privacy”. Vanuit een juridisch perspectief kan “privacy” omschreven 133

Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, grondig gewijzigd door de Wet 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, BS. 3 februari 1999. Deze Wet is ook gekend onder de naam “Privacywet” of “Wet Verwerking Persoonsgegevens” (WVP). Om deze masterproef aangenaam te laten lezen, zullen de drie benamingen van deze Wet afwisselend gebruikt worden. 134 S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 345. 135 S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 345. 136 http://europa.eu/legislation_summaries/information_society/l14012_nl.htm .

35

worden als het recht van de betrokkene om het effectieve vermogen om zijn omgeving te beïnvloeden, uit te oefenen en het respect van zijn keuzes af te dwingen, in relatie tot het eventuele recht van derden om deze keuzes te doorprikken.137

3.3.2. Privacy als mensenrecht en als grondrecht 69. Het grondrecht op privacy wordt in de Westerse rechtsstaten als een bouwsteen van de maatschappij beschouwd, samen met andere fundamentele vrijheden. Het recht op privacy is in zekere zin zelfs een bestaansvoorwaarde voor intellectuele vrijheden zoals het recht op vrije meningsuiting, de vrijheid van vereniging, godsdienstvrijheid, … Want een vrije intellectuele ontplooiing vereist niet alleen dat de persoon in contact kan komen met geestesgenoten en andersdenkenden, maar het houdt ook in dat een persoon de mogelijkheid heeft om zich tijdelijk af te zonderen en zijn ideeën zelf te laten groeien en ontwikkelen. Privacy is dus een voorwaarde voor intellectuele ontwikkeling en zelfontplooiing.138 Het gaat om een recht “into which the law, generally speaking, must not intrude.” Maar het toepasselijke juridische kader moet steeds een juist evenwicht zoeken tussen het fundamentele recht op privacy en de eventuele rechtmatige belangen van derden. Op nationaal vlak werd het grondrecht privacy opgenomen in artikel 22 van de Grondwet. Op internationaal vlak vindt men het privacyrecht terug in artikel 12 UVRM, artikel 17 BUPO en artikel 8 EVRM. Dat laatste artikel geeft, volgens DUMORTIER en GRAUX, de meest realistische weergave van de interpretatie van het grondrecht weer. Artikel 8 EVRM heeft rechtstreekse werking in de Belgische rechtsorde voor zover het artikel inmenging in het privé- en familieleven van een individu verbiedt.139

3.3.3. Totstandkoming 70. Sinds het begin van de jaren zeventig streeft de wetgever ernaar om regels uit te werken die de verschillende belangen en waarden, die bij het beschikken over medische persoonsgegevens in het geding zijn, in evenwicht brengen. Het wetgevend kader rond het elektronisch verwerken van persoonsgegevens moest een evenwicht zoeken tussen het belang van de fundamentele vrijheid in de rechtsstaat - en dus recht op privéleven - en de private en publieke verwerkingsbelangen.140

71. Het verwerken van persoonsgegevens is niet nieuw. Reeds eeuwen worden persoonsgegeven verzameld, verwerkt en verstrekt. Sinds de jaren zeventig is er wel, zoals hierboven uiteengezet, een 137

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 15. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 17-19. 139 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 17-19. 140 S. CALLENS, Goed geregeld? Het gebrek van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 195, nr. 218. 138

36

plotse aandacht voor het uitwerken van een regelgeving omtrent het verwerken van persoonsgegevens. Dat was het gevolg van de opkomst van de computer, het internet en het geïnformatiseerd verwerken van persoonsgegevens.141 In tegenstelling tot de totstandkoming van onze Belgische wetgeving omtrent het verwerken van persoonsgegevens, is de wetgeving in het buitenland tot stand gekomen onder druk van de publieke opinie of naar aanleiding van grote maatschappelijke onrust voor het toenemend geautomatiseerd beschikken over persoonsgegevens. De reden waarom er in België dan toch een Wet betreffende de Verwerking van Persoonsgegevens gekomen is, is te vinden in de druk die vanuit het buitenland op de Belgische wetgever uitgeoefend werd. Eerst en vooral werd er druk uitgeoefend door de Raad van Europa, omwille van het feit dat België het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens niet kon goedkeuren. België had namelijk geen interne wetgeving voor het verwerken van persoonsgegevens. Ook in het kader van de akkoorden van Schengen rezen gelijkaardige problemen. Evenzeer zette de Europese Unie België onder druk. Door die druk heeft de Belgische wetgever dan uiteindelijk op 8 december 1992 de Wet Verwerking van Persoonsgegevens uitgevaardigd.142 Deze wet werd later in belangrijke mate gewijzigd door de wet van 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens.

3.3.4. Krachtlijnen en doel 72. De Privacywet of de Wet betreffende de bescherming van de persoonlijke levenssfeer of de Wet Verwerking Persoonsgegevens (WVP) bevat enkele belangrijke krachtlijnen. Onder andere de creatie van meer individuele waarborgen op vlak van registratie en verwerking van gevoelige gegevens, een ruime informatieplicht ten aanzien van de betrokken personen en de mogelijkheid tot controle door een onafhankelijke commissie en door hoven en rechtbanken.143 De reden waarom de Privacywet zich ook toespitst op de controle over toegelaten en niet-toegelaten vormen van verwerking en op de rol die de betrokkene speelt bij het beheersen van gegevens die op zijn persoon betrekking hebben, is het gevolg van het gegeven dat men in de jaren zeventig schrik had voor de groei van een Big Brothermaatschappij. Een maatschappij waarin één of enkele entiteiten een onbeperkte hoeveelheid persoonsgegevens over privépersonen zouden kunnen inzamelen en waarbij het doen en laten van iedereen zou kunnen gevolgd en geregistreerd worden.144

141

S. CALLENS, Goed geregeld? Het gebrek van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 195, nr. 219. 142 S. CALLENS, Goed geregeld? Het gebrek van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 195, nr. 223-224. 143 M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 189. 144 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 20.

37

73. De Wet betreffende de bescherming van de persoonlijke levenssfeer heeft als doel de burger te beschermen tegen misbruik van zijn persoonlijke gegevens en wil tegemoetkomen aan het feit dat privacy beschouwd wordt als een vrijheid en een recht, een essentieel bestanddeel van de democratie. De WVP145 regelt zowel de rechten als de plichten van de persoon wiens gegevens verwerkt worden als de rechten en de plichten van de verwerker zelf.146 Het is vanzelfsprekend omdat de wet een juist evenwicht moet zoeken tussen het fundamentele recht op privacy en de rechten van derden. Met diezelfde Privacywet werd ook een onafhankelijk controleorgaan opgericht: de Commissie voor de bescherming van de persoonlijke levenssfeer (ook gekend als "de Privacycommissie"). Op grond van deze Privacywet ziet de Commissie er als onafhankelijke instantie op toe dat persoonsgegevens zorgvuldig gebruikt en beveiligd worden zodat de privacy van de burgers gewaarborgd blijft.147 74. De Privacywet is in zijn huidige vorm hoofdzakelijk de omzetting van een Europese richtlijn.148 De achterliggende principes die in de Europese richtlijn opgenomen werden, waren voornamelijk een samenraapsel van de wettelijke tradities en regels van de toenmalige lidstaten. Deze sluiten niet altijd even goed aan bij de Belgische opvattingen en gewoontes met betrekking tot privacybescherming. Daarom bevat de Belgische omzettingswet een groot aantal uitzonderingsbepalingen die van de algemeen geldende principes afwijken.149

3.3.5. Toepassingsgebied ratione materiae 75. De Wet Verwerking Persoonsgegevens150 is van toepassing op “elke geheel of gedeeltelijke geautomatiseerde151 verwerking van persoonsgegevens en op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”152 Artikel 1, § 2 WVP legt uit wat onder een “bestand” verstaan wordt. Het is “elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze.”

145

Dit is de gangbare afkorting van de Wet Verwerking Persoonsgegevens. Deze afkorting zal verder nog gebruikt worden. 146 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 84. 147 www.privacycommission.be/nl/legislation/national/#N10096 . 148 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Publ. L. 281, 23 november 1995, 31-50. 149 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 20-21. 150 Zie verder de WVP. 151 Geautomatiseerd is een ruimere term dan geïnformatiseerd, S. CALLENS, Goed geregeld? Het gebrek van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 219, voetnoot 243. 152 Art. 3, § 1 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

38

Deze omschrijving kan verduidelijkt worden door middel van een voorbeeld. Een medisch dossier kan op een papieren of een elektronische wijze bijgehouden worden. Een verzameling van elektronische medische dossiers wordt beschouwd als een geautomatiseerde verwerking van persoonsgegevens en valt dus onder het toepassingsgebied van deze wet. Een verzameling klassieke, papieren, manueel aangelegde dossiers daarentegen vallen enkel onder het toepassingsgebied van deze wet indien het gaat om een gestructureerd geheel dat bovendien volgens bepaalde criteria toegankelijk is.153

In de periode van de jaren negentig was er volgens CALLENS in de literatuur een zekere terughoudendheid met betrekking tot de vraag of een verzameling van klassieke medische dossiers onder de toepassing van de Privacywet viel. Een verzameling van medische dossiers kan pas een bestand genoemd worden, indien aan twee voorwaarden is voldaan: eerst en vooral moet de verzameling op een logisch gestructureerde wijze samengesteld en bewaard zijn. Ten tweede moet ze systematisch raadpleegbaar zijn. Tijdens de voorbereiding van de WVP is er gepleit om de wet zo ruim mogelijk te interpreteren, om de burger van een zo groot mogelijke bescherming van de persoonlijke levenssfeer te laten genieten. Vooral de eerste voorwaarde met betrekking tot het al dan niet spreken van een bestand is belangrijk, namelijk de structuur, het patroon van de opslag en verwerking.154 In het geval waar de persoonsgegevens verwerkt worden zonder gebruik te maken van geautomatiseerde procedures, is de WVP wel van toepassing. Deze wet moet nageleefd worden wanneer de persoonsgegevens opgenomen worden in een manueel bestand, waarin de gegevens een geheel vormen en op grond van specifieke criteria geraadpleegd kunnen worden.155 De Privacywet is derhalve van toepassing op alle geïnformatiseerde databanken en op bijna alle professionele manuele databestanden, indien zij via bepaalde criteria toegankelijk zijn.

76. Artikel 3 van de Privacywet bepaalt, zoals hierboven gezien, het materiële toepassingsgebied. In paragraaf 2 en 3 van voorgaand artikel, bepaalt de WVP waar de wet of bepaalde artikelen van de wet niet van toepassing op zijn. Aldus stelt paragraaf 2 duidelijk dat de Privacywet niet van toepassing is op de verwerking van persoonsgegevens die door een natuurlijk persoon, in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden verricht wordt. Eigen agenda‟s, adressenboekjes, kalenders, privé-telefoongidsen, … vallen dus niet onder de toepassing van de Privacywet.156 Artikel 3bis WVP bepaalt het territoriale toepassingsgebied van deze Privacywet.

153

H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 159. 154 S. CALLENS, Goed geregeld? Het gebrek van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 219-221, nr. 248-250. 155 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 87. 156 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 86.

39

3.3.5.1. Wat zijn persoonsgegevens? 77. Het begrip “persoonsgegevens” is van groot belang voor het bepalen van het toepassingsgebied ratione materiae van de WVP. Enkel de verwerking van persoonsgegevens valt onder het toepassingsgebied van de Privacywet. Het tegengestelde van die persoonsgegevens zijn anonieme gegevens. Zij vallen dus niet onder het toepassingsgebied van de WVP.157 De Privacywet omschrijft in artikel 1, § 1 het begrip “persoonsgegevens” als “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.” Hetzelfde artikel omschrijft onmiddellijk wat onder “identificeerbaar” moet verstaan worden, namelijk “een persoon die direct of indirect kan geïdentificeerd worden, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.”

78. Persoonsgegevens zijn dus alle vormen van informatie over een bepaalde persoon die geïdentificeerd kunnen worden. Volgens DIJKHOFFZ moet dit ruim geïnterpreteerd worden. Ook de naam van een persoon, een foto, een telefoonnummer, een vingerafdruk, een bankrekeningnummer, … vallen onder persoonsgegevens en dus onder de Privacywet. Persoonsgegevens blijven niet beperkt tot het loutere privéleven. Gegevens uit het beroepsleven of het openbare leven van een persoon komen ook in aanmerking. Wat niet in aanmerking komt zijn gegevens over een rechtspersoon of een vereniging. Enkel persoonsgegevens over een natuurlijk persoon vallen onder de toepassing van de Privacywet.158 Ook VANDENDRIESSCHE werpt op dat de Belgische wetgever het begrip “persoonsgegevens” ruim interpreteert. De Belgische wetgever is van mening

dat

“informatie

betreffende een persoon nog als persoonsgegevens beschouwd wordt, zolang iemand nog in staat is om, met welk redelijkerwijs inzetbaar middel ook, te achterhalen op welk individu de informatie betrekking heeft.” Dat is terug te vinden in het wetsontwerp van 20 mei 1995 tot omzetting van de Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens. 159 Om de identiteit van het individu te achterhalen is het niet enkel van belang om de eigen redelijkerwijs inzetbare middelen af te wegen, maar eveneens de middelen die aangewend kunnen worden door derden die toegang hebben tot de gegevens.160

157

J. VANDENDRIESSCHE, “De verwerking van persoonsgegevens voor historische, statische en wetenschappelijke doeleinden”, TBBR 2006, 534. 158 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 85. 159 J. VANDENDRIESSCHE, “De verwerking van persoonsgegevens voor historische, statische en wetenschappelijke doeleinden”, TBBR 2006, 534. 160 J. VANDENDRIESSCHE, “De verwerking van persoonsgegevens voor historische, statische en wetenschappelijke doeleinden”, TBBR 2006, 534.

40

De ruime interpretatie van het begrip “persoonsgegevens” vindt haar steun en bevestiging in de regeling van de verdere verwerking van persoonsgegevens voor historische, statistische en wetenschappelijke doeleinden.161 Het begrip “persoonsgegevens” wordt in dit Koninklijk Besluit onderverdeeld in twee subcategorieën, namelijk de gecodeerde persoonsgegevens en de nietgecodeerde persoonsgegevens. Gecodeerde persoonsgegevens zijn “persoonsgegevens die slechts door middel van een code in verband gebracht kunnen worden met een geïdentificeerd of identificeerbaar persoon.”162 Zij mogen dus geen elementen bevatten waardoor deze gegevens kunnen leiden tot de rechtstreekse of de onrechtstreekse identificatie van personen. Gecodeerde persoonsgegevens vallen omwille van de ruime interpretatie van het begrip onder “persoonsgegevens” aangezien de houder van de sleutel tot de code, kan overgaan tot de identificatie van de betrokken persoon. Die houder beschikt dus over een eenvoudig middel om die gecodeerde gegevens te decoderen. Hij beschikt derhalve over de vereiste redelijkerwijze inzetbare middelen om de gecodeerde informatie aan een natuurlijk persoon toe te wijzen. Niet-gecodeerde gegevens zijn dan andere dan gecodeerde gegevens163. Zij vormen dus de ruimste categorie.164

3.3.5.1.1. Principe in verband met de verwerking ervan 3.3.5.1.1.1. Wat is verwerking? 79. Allereerst moet er duidelijk gemaakt worden wat het begrip “verwerking” exact inhoudt. Artikel 1, § 2 van de Privacywet bepaalt dat onder “verwerking” wordt verstaan “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.” Uit bovenstaande definitie volgt dat elke manipulatie van persoonsgegevens gelijkgesteld kan worden met een verwerking van persoonsgegevens.165 Ook DUMORTIER is deze mening toegedaan, maar deze auteur stelt wel dat deze manipulatie aan bijkomende voorwaarden inzake het toepassingsgebied ratione materiae van de WVP moet voldoen. De manipulatie van persoonsgegevens moet derhalve op een geautomatiseerde wijze gebeuren om onder toepassing van de Privacywet te vallen. Gebeuren de 161

Koninklijk Besluit 13 februari 2001 ter uitvoering van de Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 13 maart 2001. 162 Art. 1, 3° Koninklijk Besluit van 13 februari 2001. 163 Art. 1, 4° Koninklijk Besluit 13 februari 2001. 164 J. VANDENDRIESSCHE, “De verwerking van persoonsgegevens voor historische, statische en wetenschappelijke doeleinden”, TBBR 2006, 535. 165 J. VANDENDRIESSCHE, “De verwerking van persoonsgegevens voor historische, statische en wetenschappelijke doeleinden”, TBBR 2006, 535.

41

manipulaties niet op een geautomatiseerde wijze, dan moeten de gegevens, zoals reeds gesteld is, opgenomen worden in een bestand of moeten zij bestemd zijn om daarin opgenomen te worden.166 Onder “verwerking” kan dus iedere handeling die met persoonsgegevens verricht wordt, zoals verzamelen, bijwerken, ordenen, meedelen, vernietigen, … verstaan worden.167 CALLENS verwijst in een bijdrage uit 1995 naar ROBBEN die stelt dat een reeks bewerkingen van persoonsgegevens “als één verwerking beschouwd kan worden indien die als een samenhangend geheel met één of meer gemeenschappelijke doelstellingen uitgevoerd worden.” Deze laatste auteur is dus de mening toegedaan dat de technische of ruimtelijke organisatie van de verwerking niet relevant is om te bepalen of we al dan niet met een verwerking in de zin van de Privacywet te maken hebben.168 80. De Belgische Wetgever heeft geopteerd voor de term “verwerking.” Deze term is ruimer zodat ze nauw kan aansluiten bij de vooruitgang en ontwikkelingen op het vlak van informatica. Dat in tegenstelling met de oude Nederlandse Wet Persoonsregistraties waar toen slechts het begrip “persoonsregistratie” terug te vinden was. Nu definieert de Nederlandse Wet Bescherming Persoonsgegevens ook het begrip “verwerking.”169

3.3.5.1.1.2. Algemene beginselen voor de verwerking van persoonsgegevens 81. Artikel 4, § 1, 1°-5° WVP bepaalt aan welke principes de persoonsgegevens dienen te beantwoorden. Er gelden drie principes voor de rechtmatige verwerking van gegevens: het legaliteits- of transparantiebeginsel, het finaliteitsbeginsel en de proportionaliteitstoetsing.

82. Het eerste principe is de legaliteit of de transparantie. Dat betekent dat de betrokken patiënt redelijkerwijze op de hoogte moet kunnen zijn van welke gegevens over hem verwerkt worden, door wie deze verwerking gebeurt en kennis moet kunnen hebben van het waarom, de doelstellingen van de verwerking. De betrokken patiënt moet over voldoende informatie beschikken waardoor zij redelijkerwijze weten welke privacyverwachtingen ze mogen koesteren.170 Dat principe is onder andere terug te vinden in artikel 4, § 1, 1° van de WVP. Ook artikel 9, § 1 en § 2 van dezelfde wet bevatten

bepalingen

waaruit

het

transparantiebeginsel

blijkt.

Vanzelfsprekend

mag

de

166

J. DUMORTIER, “De nieuwe wetgeving over de verwerking van persoonsgegevens” in J. D UMORTIER (ed.), Recente ontwikkelingen in informatica- en telecommunicatierecht, Brugge, die Keure, 1999, 81. 167 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 85. 168 S. CALLENS, Goed geregeld? Het gebrek van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 218, nr. 247. 169 S. CALLENS, Goed geregeld? Het gebrek van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 219, voetnoot 243. 170 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 90.

42

verantwoordelijke voor de verwerking aan de betrokkene geen verkeerde mededelingen doen of geen informatie geven waardoor de betrokken patiënt misleid wordt.171 Deze verplichting voor de verantwoordelijke tot het informeren van de betrokken patiënt geldt enkel wanneer de betrokkene niet reeds vooraf over de nodige informatie beschikt, bijvoorbeeld in het geval waar een derde deze hem zou meegedeeld hebben.172 Men kan denken aan de huisarts die de patiënt op de hoogte brengt en de nodige informatie verschaft over de verwerking die door de specialist zal uitgevoerd worden.

Wanneer men het legaliteitsprincipe aanvoert, spreekt men ook over het toelaatbaarheidscriterium. Dat criterium impliceert dat er een voldoende grondslag moet zijn voor de verwerking. Er moet, met andere woorden, een omstandigheid zijn die het bestaan van een verwerking legitimeert. De mogelijke voorwaarden voor toelaatbaarheid worden opgesomd in artikel 5 WVP. De toelaatbaarheid van de verwerking is dus altijd gebonden aan een bepaalde finaliteit, en de verantwoordelijke voor de verwerking mag deze niet negeren of overschrijden.173

Om aan te tonen dat het transparantiebeginsel een belangrijk aspect is opdat de persoonlijke levenssfeer van de betrokkenen gevrijwaard wordt, bepaalt artikel 39, 1° en 4° WVP dat “de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of gemachtigde, die persoonsgegevens verwerken met overtreding van de voorwaarden in artikel 4, § 1 WVP of die de verplichtingen bepaald in artikel 9 WVP niet nageleefd hebben, gestraft worden met een geldboete van honderd frank tot honderdduizend frank.”

83. Het tweede principe is het finaliteitsbeginsel. Dat houdt in dat persoonsgegevens enkel voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel verwerkt mogen worden. Een verwerking mag dus enkel gebeuren voor duidelijke omschreven en wettige doeleinden.174 Het beginsel houdt bijgevolg in dat de verantwoordelijke voor de verwerking zich dient te beperken tot verwerkingen die overeenstemmen met de doeleinden die overeengekomen werden met de betrokkene of die aan hem gecommuniceerd werden, of waarvoor er op een andere basis een rechtsgrond bestaat.175 Dat is terug te vinden in artikel 4, § 1, 2° en 3° van de Privacywet. Persoonsgegevens kunnen, nadien, enkel voor een ander doel gebruikt worden indien dit nieuwe doel verenigbaar is met het oorspronkelijke doel. Deze verenigbaarheid moet beoordeeld worden rekening houdend met alle relevante factoren, onder andere de redelijke verwachtingen van de betrokkene, de toepasselijke

171

W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 90-91. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 31. 173 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 28 en 31. 174 M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 189. 175 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 28. 172

43

wettelijke en reglementaire bepalingen, en de noodzakelijkheid om het aangekondigde doel te bereiken.176 Specifiek gericht op het verwerken van medische gegevens houdt het finaliteitsdoel ook in dat het doel van de verwerking door de arts beperkt is tot een medische behandeling en dat de verwerking dus in geen geval marketingdoeleinden mag beogen.177 De verantwoordelijke voor de verwerking moet reeds bij de verkrijging van de persoonsgegevens, dus vóór de verwerking, een duidelijk afgelijnd en legitiem doel voor ogen hebben en communiceren. Hij dient zich bij verdere verwerkingen aan dit doel te houden. Dat laatste impliceert niet dat elke verwerking strikt moet overeenstemmen met dit doel, maar enkel dat de verwerking niet onverenigbaar mag zijn met het vastgestelde en bekendgemaakte doel. Uit de bewoordingen van artikel 4 WVP kan afgeleid worden dat de redelijke voorzienbaarheid van de verdere verwerking voor de betrokkene een belangrijk criterium is. Kon de betrokken patiënt, die op de hoogte was van het doel, redelijkerwijs voorzien dat zijn persoonsgegevens op een bepaalde manier verwerkt werden? Hoe verder men afwijkt van de doeleinden die men gecommuniceerd heeft aan de betrokkene, hetzij in de manier waarop men de persoonsgegevens gebruikt, hetzij in de context waarin ze zullen verwerkt worden, hoe groter de kans op schending van het finaliteitsbeginsel.178

84. Het laatste belangrijke principe dat aan de Privacywet ten grondslag ligt is het proportionaliteitsbeginsel. Dat houdt in dat er niet meer gegevens verwerkt mogen worden dan nodig is om het doel te bereiken. Dat is terug te vinden in artikel 4, § 1, 3° WVP dat bepaalt dat de persoonsgegevens “toereikend, ter zake dienend en niet overmatig mogen zijn, uitgaande van de doeleinden waarvoor zij verkregen worden of waarvoor zij verder verwerkt worden.”

Het proportionaliteitsprincipe speelt een rol in elke verwerking. Dat principe impliceert dat men bij de verkrijging van persoonsgegevens niet meer gegevens mag opvragen dan noodzakelijk.179 Artikel 4, § 1, 4° stelt eveneens dat persoonsgegevens “nauwkeurig moeten zijn en, zo nodig, bijgewerkt moeten worden.” De persoonsgegevens mogen ook niet langer bijgehouden worden dan noodzakelijk om het beoogde doel te bereiken.180 Onnodige gegevens mogen niet verwerkt worden.181 Dat is logisch op grond van het basisprincipe dat de verwerking van persoonsgegevens enkel toegelaten is in de gevallen bepaald in artikel 5 WVP. Vanzelfsprekend volgt hieruit ook dat de verwerking van persoonsgegevens niet langer mag duren dan noodzakelijk. 176

W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 92. M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 190. 178 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 28-29. 179 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 30-31. 180 Art. 4, § 1, 5° Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 181 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 93. 177

44

85. Naast deze specifieke algemene beginselen mag natuurlijk het principe van de rechtmatigheid niet vergeten worden. Met dit beginsel wordt bedoeld dat de verwerking enkel mag geschieden conform de toepasselijke wettelijke bepalingen. In deze context bedoelt het principe van de rechtmatigheid dat er rekening gehouden moet worden met alle bepalingen van de Privacywet.182 Zo moeten de bepalingen uit de Wet verwerking persoonsgegevens inzake veiligheid en vertrouwelijkheid van de gegevens nageleefd worden.

3.3.5.1.1.3. Wanneer verwerken? 86. Artikel 5 van de Privacywet geeft het principe in verband met de verwerking van persoonsgegevens weer. Persoonsgegevens mogen enkel verwerkt worden in de gevallen a) tot en met f) die in voorgaand artikel opgenomen zijn. En natuurlijk mogen de persoonsgegevens slechts verwerkt worden, in de gevallen die toegelaten zijn, rekening houdend met de drie beginselen en artikel 4 WVP. Volgens DUMORTIER en GRAUX houdt artikel 5 WVP een toelaatbaarheidscriterium in voor de rechtmatigheid van de verwerking van persoonsgegevens. Zoals in randnummer 82 reeds is vermeld, houdt het toelaatbaarheidscriterium in dat er een voldoende grondslag moet zijn voor de verwerking. Er moet een factor zijn die het bestaan van een verwerking legitimeert.183 Hierna zullen slechts enkele van de gevallen waar persoonsgegevens verwerkt mogen worden, besproken worden.

87. In eerste instantie mogen persoonsgegevens verwerkt worden in het geval waar de betrokken patiënt zijn ondubbelzinnige toestemming gegeven heeft. De WVP vereist niet dat de betrokkene uitdrukkelijk of schriftelijk zijn toestemming geeft, in tegenstelling tot één van de uitzonderingen op het verbod tot het verwerken van persoonsgegevens betreffende de gezondheid, in artikel 7, § 2, a) WVP. (zie infra 3.3.5.2.1.1.) Enkel de ondubbelzinnige toestemming wordt vereist. Om latere problemen te vermijden kan de verantwoordelijke voor de verwerking, naar mijn inzien, best de schriftelijke toestemming van de betrokken patiënt vragen. DUMORTIER en GRAUX werpen op dat de toestemming van de patiënt vrij, specifiek en geïnformeerd moet zijn. Hoewel een stilzwijgende of impliciete toestemming tot de mogelijkheden behoort, wordt er wel vereist dat de betrokkene zijn keuze maakt zonder enige dwang, op basis van juiste en afdoende informatie over de omvang en de doeleinden van de verwerking.184 Hieruit kan mijns inziens afgeleid worden dat men toch een voorstander is van een uitdrukkelijke, schriftelijke toestemming.

In verband met minderjarigen wordt er meer en meer aanvaard dat zij zelf hun toestemming mogen verlenen, op voorwaarde dat zij over een voldoende onderscheidingsvermogen beschikken. In deze 182

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 26. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 26. 184 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 26. 183

45

context zal men spreken van een voldoende onderscheidingsvermogen indien de minderjarige de leeftijd van 12-14 jaar bereikt heeft.185 Niet iedereen heeft op hetzelfde moment voldoende onderscheidingsvermogen en de precieze invulling varieert, zelfs in de verschillende rechtstakken. Men kan denken aan de tak van het aansprakelijkheidsrecht waar minderjarigen geacht worden vanaf hun 7 jaar over voldoende onderscheidingsvermogen te beschikken om te weten wat juist en fout is.

88. De laatste uitzonderingsgrond is terug te vinden in artikel 5, f) WVP. Dit artikel bepaalt dat de verwerking van persoonsgegevens toegelaten is “wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens verstrekt worden, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen.” Dat is de meeste delicate uitzonderingsgrond, want zij laat de verantwoordelijke voor de verwerking toe om een eventueel gebrek aan toestemming van de betrokken patiënt naast zich neer te leggen, indien verwerking gebeurt omwille van een legitiem belang dat zwaarder is dan inbreuk op de privacy van de betrokken patiënt. Hieruit kan men afleiden dat de verantwoordelijke voor de verwerking zelf die afweging moet maken. De verantwoordelijke moet derhalve zelf nagaan of men al dan niet met een legitiem doel te maken heeft dat meer doorweegt dan het recht op privacy van de patiënt. Dit kan een probleem zijn aangezien de betrokken patiënt het zwaarwegend motief van de verantwoordelijke voor de verwerking pas na de verwerking zal kunnen betwisten.186

3.3.5.1.1.4. Specifieke categorieën persoonsgegevens 89. Hetgeen hier boven reeds beschreven is geldt voor de algemene categorie van de persoonsgegevens en hun verwerking. Maar de artikelen 6, 7 en 8 van de Privacywet spitsen zich toe op specifieke categorieën persoonsgegevens. 90. Artikel 6 WVP handelt over de “verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen.” Het principe dat hieromtrent geldt, is dat de verwerking van zulke persoonsgegevens in principe verboden is. Maar onmiddellijk maakt § 2 van hetzelfde artikel een uitzondering op dat verbod tot verwerking. In de gevallen a) tot en met l) is de verwerking van persoonsgegevens betreffende raciale of etnische afkomst, politieke opvatting of godsdienstige of levensbeschouwelijke overtuigingen toegelaten. In paragraaf 2, a) van de WVP wordt, in tegenstelling tot het algemene artikel in verband met de verwerking van persoonsgegevens, namelijk artikel 5 WVP,

185 186

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 26. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 27.

46

nadrukkelijk een schriftelijke toestemming vereist van betrokken patiënt opdat de verwerking van zulke gevoelige gegevens toegestaan zou zijn. 91. Artikel 8 van de Privacywet handelt over “de verwerking van persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen.” Hier stelt § 1, net zoals in artikel 6 en net zoals in artikel 7 dat hieronder besproken zal worden, dat de verwerking van zulke persoonsgegevens verboden is. Maar onmiddellijk maakt § 2, a) tot en met e) daar uitzonderingen op.

92. Artikel 7 WVP handelt over de verwerking van persoonsgegevens betreffende de gezondheid. Dat artikel wordt hieronder besproken.

3.3.5.2. Wat zijn gezondheidsgegevens? 93. Bepaalde gegevens zijn gevoeliger dan andere. De naam, adres of leeftijd zijn onschuldige gegevens in vergelijking met medische gegevens. De Privacywet regelt de registratie en het gebruik van deze gevoelige gegevens strikter dan andere persoonsgegevens.187 Van administratieve gegevens wordt vaak verondersteld dat ze niet privacygevoelig zijn. Maar wat als het adres of de naam van een patiënt verwijst naar een voorgeschiedenis in psychiatrie? Het is zodoende duidelijk dat binnen de context van privacy administratieve gegevens wel belangrijk kunnen zijn. Daarom moet de openbaarheid van die gegevens en de verwerking ervan in sommige gevallen beschermd worden. Daarin mag men natuurlijk ook niet te ver gaan. Men mag aan deze administratieve gegevens zeker geen statuut van privé gegeven toekennen.188

94. Gezondheidsgegevens zijn alle gegevens waaruit enige informatie afgeleid kan worden betreffende de vroegere, de huidige of de toekomstige fysieke of psychische gezondheidstoestand van een persoon. Het hoeft geen uitleg dat deze medische gegevens zeer privacygevoelig zijn189. Onder de privacygevoelige gezondheidsgegevens vallen ook medische diagnoses. Zij mogen enkel doorgegeven worden aan collega-geneesheren.190 Hier komt dan het gedeeld beroepsgeheim ter sprake. In principe is de arts gehouden door zijn geheimhoudingsplicht. Maar in bepaalde gevallen vereist de continuïteit van de zorg dat medische gegevens tussen artsen gedeeld worden, zonder dat zij daarvoor een

187

W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 94. H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 128. 189 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 95. 190 H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 128. 188

47

strafsanctie riskeren. Voor de voorwaarden en meer wordt verwezen naar de randnummers 34 tot en met 43.

3.3.5.2.1. Principe in verband met de verwerking ervan 95. Gegevens die betrekking hebben op de gezondheidstoestand van een persoon, gegevens omtrent medische onderzoeken, geneeskundige verzorging of gegevens met betrekking tot bepaalde specifieke behandelingen, zoals behandelingen wegens alcoholisme, wegens druggebruik of andere intoxicaties, zijn aan een specifieke rechtsregeling betreffende de verwerking onderworpen.191

96. Vooreerst moet duidelijk gesteld worden dat indien medische gegevens verwerkt worden en dus onder toepassing van de Privacywet vallen, zij ook moeten voldoen aan de algemene principes, namelijk transparantie, finaliteit en proportionaliteit. De verwerking moet ook rechtmatig gebeuren. Voor de uiteenzetting van deze principes wordt verwezen naar de randnummers 81 tot en met 85.

Hierboven is reeds gesteld dat, met betrekking tot het finaliteitscriterium, het doel van de verwerking van medische gegevens zich beperkt tot een medische behandeling en absoluut geen marketingdoeleinden of andere doelen mag beogen. De arts mag in geen enkel geval de persoonsgegevens van zijn fysiek gehandicapte patiënt doorgeven aan een producent van rolstoelen. 192 Zo mag de oogarts de namen van zijn patiënten niet doorgeven aan een bedrijf dat contactlenzen verkoopt. De oogarts mag zijn dossiers wel doorgeven aan een collega-geneesheer van wie hij de mening wil weten.193 Deze laatste geneesheer is dan gebonden door zijn beroepsgeheim. Hier komt dan ook het gedeeld beroepsgeheim terug ter sprake. Hiervoor wordt opnieuw verwezen naar de randnummers 34 tot en met 43.

3.3.5.2.1.1. Rechtsgrond 97. Artikel 7, § 1 van de Wet betreffende de verwerking van persoonsgegevens stelt dat de verwerking van persoonsgegevens die de gezondheid betreffen, verboden is.

98. Maar § 2 van hetzelfde artikel somt onmiddellijk een aantal uitzonderingen op. Dat brengt met zich mee dat er niet veel over blijft van het verbod.194

191

W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 95. M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 190. 193 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 93. 194 H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 159. 192

48

Het Grondwettelijk Hof heeft in een arrest van 14 februari 2008195 geoordeeld dat de in artikel 7, § 2 van de Privacywet vermelde uitzonderingen op het verbod van de verwerking van persoonsgegevens in verband met de gezondheid, beperkend dienen geïnterpreteerd te worden. Het Hof was van oordeel dat “de voorwaarde in artikel 4 van het decreet van 16 juni 2006 betreffende het Gezondheidsinformatiesysteem,dat stelt dat de gegevensuitwisseling noodzakelijk moet zijn om de continuïteit en de kwaliteit van de zorgverlening te verzekeren, dermate ruim is dat zij onvermijdelijk ook gegevensuitwisselingen zal betreffen die niet onder de in artikel 7, § 2 van de Privacywet vermelde uitzonderingen ressorteren, zodat voor deze verwerkingen die niet in artikel 7, § 2 voorkomen, de schriftelijke toestemming van de betrokken persoon is vereist. Door de algemene bewoordingen waarin het is gesteld, doet artikel 19, § 1 van het decreet van 16 juni 2006 afbreuk aan de bescherming waarin artikel 7, § 2, a) van de Privacywet in voorziet door de vereiste van een schriftelijke toestemming van de betrokken patiënt voor de verwerking van gezondheidsgegevens in het leven te roepen.” Het Hof stelt dus dat “artikel 19, § 1 decreet van 16 juni 2006 moet worden vernietigd in zoverre het niet voorziet in de schriftelijke toestemming van de zorggebruiker.”196 Artikel 7, § 2 van de Privacywet dient dus beperkend te worden geïnterpreteerd, waardoor enkel in die gevallen, die opgesomd zijn in voorgaand artikel, een verwerking is toegestaan. Artikel 19, § 1 van het decreet van 16 juni 2006 geldt dus enkel in die gevallen waar zij in overeenstemming is met artikel 7, § 2 van Privacywet.

Het Grondwettelijke Hof is van mening dat de schriftelijke toestemming van de patiënt vereist is voor elke doorgifte van gezondheidsgegevens uit elektronische patiëntendossiers, tenzij dat het een uitwisseling betreft binnen het behandelingsteam dat de zorgen verstrekt, waarbij de uitwisseling kan steunen op de initiële toestemming die de patiënt gegeven heeft aan de beroepsbeoefenaar die tot dat behandelingsteam behoort. Hier verwijst het Hof - mijns inziens - naar de figuur van het gezamenlijk beroepsgeheim, geponeerd door de auteurs PUT en VAN DER STRAETE. Voor meer uitleg hierover wordt verwezen naar de randnummers 42 en 43. Volgens het Hof is er dus slechts één geval denkbaar waar er geen schriftelijke toestemming vereist is voor het delen van medische informatie en deze is terug te vinden in artikel 7, § 2, f) van de Privacywet, namelijk voor de verwerking die noodzakelijk is voor de verdediging van de vitale belangen van de betrokkene of van een ander persoon, indien de betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven.197

195

www.arbitrage.be/public/n/2008/2008-015n.pdf . J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 236. 197 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 237. 196

49

99. Artikel 7, § 2 van de WVP bepaalt dat de verwerking van gegevens betreffende de gezondheid van een persoon is toegestaan198: a) wanneer de betrokkene schriftelijk toegestemd heeft in een dergelijke verwerking; Het is dus niet voldoende dat de betrokken patiënt uitdrukkelijk toestemt in de verwerking. Zijn toestemming moet op papier opgenomen worden. Hier wijkt de Belgische Privacywet af van de Europese Dataprotectie Richtlijn. In die Richtlijn is sprake van een “uitdrukkelijke” toestemming. Er heerst daardoor onduidelijkheid over de vraag welke bepaling voorrang heeft. DUMORTIER en GRAUX zijn de mening toegedaan dat de Richtlijn in de eerste plaats als een harmonisatie-instrument moet worden beschouwd. Een Europese

Richtlijn

is

niet enkel

bedoeld om een minimum-

beschermingsniveau op te leggen met betrekking tot de bescherming van de persoonlijke levenssfeer. DUMORTIER en GRAUX hebben dus, mijns inziens, de mening dat de bewoordingen van de Europese Richtlijn moeten gevolgd worden, met het oog op de harmonisatie. Zij stellen dat een uitdrukkelijke toestemming volstaat. De artikelen 26 en 27 van het Uitvoeringsbesluit bij de Privacywet leggen verdere beperkingen op aan het gebruik van schriftelijke toestemmingen, om misbruik van de schriftelijke toestemming bij personen met verminderde geestelijke capaciteiten of onder druk zetting van personen te vermijden.199 b) (…); c) (…); d) wanneer de verwerking noodzakelijk is voor de bevordering en de bescherming van de volksgezondheid met inbegrip van bevolkingsonderzoek; Hier kan gedacht worden aan het geval waar een overheid een bepaalde pandemie in kaart wil brengen, bijvoorbeeld de Mexicaanse griep. Dat om het effect, de impact op de volksgezondheid te weten te komen. e) (…); f) wanneer de verwerking noodzakelijk is ter verdediging van vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven; Hier kan men denken aan een spoedgeval, waar de betrokken persoon onmiddellijk medische hulp nodig heeft, maar hij niet in staat is om zijn toestemming te geven aangezien hij in coma ligt of zijn bewustzijn verloren heeft. g) wanneer de verwerking noodzakelijk is voor het voorkomen van een concreet gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk;

198 199

W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 95-96. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 218-220.

50

Hier kan als voorbeeld het DNA-onderzoek in het kader van een strafrechtelijk onderzoek vermeld worden.200 h) wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene zijn openbaar gemaakt; Wanneer de betrokken persoon eerst de desbetreffende informatie zelf bekend maakt, en dit op een duidelijk manier, dan is de verwerking ook toegestaan. De intentie tot bekendmaken moet derhalve zichtbaar zijn. i) (…); j) wanneer de verwerking noodzakelijk is voor doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens verwerkt worden onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg; Waarop die aanvulling “of een verwant” slaat is niet echt duidelijk. De wetgever bedoelt waarschijnlijk dat de persoonsgegevens die de gezondheid van een ouder betreffen, verwerkt mogen worden voor het verstrekken van zorg aan een ouder, maar ook aan zijn kinderen.201 k) wanneer de verwerking noodzakelijk is voor het wetenschappelijk onderzoek en verricht wordt onder de voorwaarden vastgesteld door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer; Hiervoor kan verwezen worden naar het Koninklijk Besluit van 13 februari 2001 dat de verder verwerking van persoonsgegevens regelt met het oog op historisch, statistisch of wetenschappelijk onderzoek.202

100. Artikel 7, § 3 van de Privacywet stelt dat de Koning, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, de bijzondere voorwaarden vastlegt waaraan de verwerking van gegevens die de gezondheid betreffen, moeten voldoen. 101. Paragraaf 4 van datzelfde artikel stelt dat “de persoonsgegevens betreffende de gezondheid, behoudens de schriftelijke toestemming van de betrokkene of wanneer de verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk, enkel verwerkt kunnen worden onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg” en in de gevallen in artikel 7, § 2 WVP opgesomd. Dat zijn dus geneesheren, tandartsen, apothekers. Artikel 7, § 4 Privacywet kan dus beschouwd worden als een algemeen 200

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 219. H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 159. 202 Koninklijk Besluit 13 februari 2001 ter uitvoering van de Wet 8 december 1993 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 13 maart 2001. 201

51

principe.203 In de gevallen waar persoonsgegevens betreffende de gezondheid verwerkt mogen worden (artikel 7, § 2, a) tot en met k)) moeten zij dus steeds onder de verantwoordelijkheid van een beroepsbeoefenaar in gezondheidszorg gebeuren, tenzij de betrokken patiënt zijn schriftelijke toestemming gegeven heeft of tenzij men een dringend gevaar of een strafrechtelijke inbreuk wil voorkomen. De gevallen waarin een verwerking van persoonsgegevens die de gezondheid betreffen wel is toegestaan en die dus opgesomd zijn in artikel 7, § 2 WVP, moeten volgens het Grondwettelijk Hof beperkend, limitatief geïnterpreteerd worden.204 Voor de redenering van het Hof wordt verwezen naar randnummer 98.

3.3.5.2.1.2. Verkrijgen van persoonsgegevens betreffende de gezondheid 102. Er geldt ten aanzien van de betrokken patiënt een „need to know‟- principe met betrekking tot de verwerking. Artikel 9 van de Wet Verwerking Persoonsgegevens stelt dat patiënt onmiddellijk door de verantwoordelijke van de verwerking in kennis gesteld moet worden van het feit dat over hem persoonsgegevens verwerkt worden en dat de verwerker de patiënt nog over een aantal gegevens moet inlichten.

De regel is dat de persoonsgegevens betreffende de gezondheidstoestand van de patiënt bij de betrokken patiënt zelf ingezameld worden. Zij kunnen slechts via andere bronnen ingezameld worden op voorwaarde dat dit in overeenstemming is met de paragrafen 3 en 4 van artikel 7 en dat dit noodzakelijk is voor de doeleinden van de verwerking of wanneer de betrokkene niet in staat is om de gegevens te bezorgen.205 Artikel 9, § 1 bepaalt de informatie die de verwerker aan de patiënt moet meedelen in het geval waar de medische persoonsgegevens van de patiënt bij hemzelf verkregen worden. Paragraaf 2 van datzelfde artikel geeft mee welke informatie de verwerker aan de patiënt moet meedelen indien de medische gegevens niet bij de patiënt zelf verkregen zijn.

Zoals hierboven is beschreven, heerst in de Privacywet dus het principe dat de persoonsgegevens betreffende de gezondheidstoestand van de patiënt, bij de betrokkene zelf ingezameld moeten worden. Maar zoals in § 5 van artikel 7 gesteld, kunnen zij in bepaalde gevallen nochtans via andere bronnen verkregen worden. NYS, J. VAN DAMME en T. VAN DAMME verwijzen in hun artikel naar de voorwaarden die in § 5 worden gesteld, namelijk dat de inzameling van medische persoonsgegevens via andere bronnen mag gebeuren, op voorwaarde dat die inzameling overeenstemt met § 3 en § 4 van artikel 7 en dat deze inzameling de doeleinden van de verwerking moet dienen. Met betrekking tot 203

M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 190. 204 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 236. 205 Art. 7, § 5 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

52

deze laatste voorwaarde geven deze auteurs als voorbeeld het geval waar de gegevens via een medisch specialist of een collega huisarts verkregen worden. De inzameling van medische persoonsgegevens mag ook via andere bronnen dan de patiënt zelf gebeuren indien de betrokken patiënt zelf niet in staat is om die gegevens te bezorgen. Dit is het geval wanneer de patiënt zich bijvoorbeeld in een coma bevindt of in de onmogelijkheid tot communiceren.206

103. De Privacywet voorziet verder in een aantal bijzondere bepalingen met betrekking tot de bescherming van de privacy bij de verwerking van persoonsgegevens betreffende de gezondheid.207 In zowel het geval waar medische persoonsgegevens bij de betrokken patiënt zelf verzameld worden als in het andere geval, waar de gezondheidsgegevens niet bij de betrokken patiënt verzameld worden, bepaalt de wet dat de identiteit van de personen die betrokken zijn bij de verwerking of diegene die toegang hebben tot deze medische gegevens, verstrekt moet worden.208 Artikel 10 van de Privacywet bepaalt dat de betrokken patiënten recht hebben op het verkrijgen van informatie over de verwerking van hun medische gegevens, de doeleinden van de verwerking, maar ook recht hebben op inzage in de persoonsgegevens die betreffende hun gezondheid worden verwerkt.209 Als men de Privacywet er goed op naleest zal men merken dat deze wet een belangrijke regel bevat omtrent de kennisgeving van medische gegevens aan derden. Het principe is dat gegevens betreffende de gezondheid van personen niet aan derden meegedeeld mogen worden. Op bovenstaand principe zijn er doorheen de Privacywet wel drie uitzonderingen gemaakt. De eerste uitzondering is dat de mededeling van medische gegevens in spoedgevallen aan de urgentiearts en zijn medisch team wel toegelaten zijn indien zij de juiste medische behandeling van de patiënt tot doel hebben. De mededeling van gegevens betreffende de gezondheid is eveneens toegelaten wanneer zij haar grondslag vindt in een wet of een koninklijk besluit. En de laatste uitzondering op het verbod tot het meedelen van medische gegevens aan derden is de schriftelijke toestemming van de betrokken patiënt. In het geval waar de patiënt zijn toestemming op papier geeft, mag de geneesheer deze informatie meedelen aan derden.210 Dat is eigenlijk een logisch gevolg van het feit dat in de hedendaagse maatschappij aan het beroepsgeheim een functionele opvatting toegekend wordt. Het beroepsgeheim bestaat dus in functie van het patiënt en zijn belangen. (Zie hiervoor de randnummers 26 tot en met 28)

206

H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 159. 207 M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 190. 208 Art. 9, § 1, a) en artikel 9, § 2, a) Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 209 Art. 10, § 1 en § 2 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 210 M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 190.

53

3.3.5.3. Actoren bij de verwerking en de verwerking zelf 3.3.5.3.1. Verantwoordelijke voor de verwerking en de eventuele verwerker 104. De rol van de verantwoordelijke is complex en wel om twee redenen. Vooreerst omdat er vaak discussies zijn omtrent de vraag wie de feitelijke en juridische verantwoordelijkheid draagt over de verwerking. En ten tweede, omwille van het belang van de rol van de verantwoordelijke voor de verwerking. Want zoals de benaming “verantwoordelijke voor de verwerking” doet vermoeden, draagt deze persoon de juridische verantwoordelijkheid en dus de aansprakelijkheid van de verwerking ten aanzien van de betrokken patiënt(en) voor eventuele problemen of onregelmatigheden bij de verwerking.211 105. De privacywet bepaalt wat er onder de “verantwoordelijke voor de verwerking” begrepen moet worden. Het is iedere “natuurlijke persoon of rechtspersoon, feitelijke vereniging of openbaar bestuur die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Indien het doel en de middelen voor de verwerking door of krachtens een wet, een decreet of een ordonnantie bepaald zijn, is de verantwoordelijke voor de verwerking de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die door of krachtens de wet, het decreet of de ordonnantie als de voor de verwerking verantwoordelijke aangewezen wordt.”212 Uit artikel 1,§ 4 WVP kan dus het criterium afgeleid worden om te bepalen wie de hoedanigheid van de verantwoordelijke voor de verwerking draagt. Dat is met name degene die het doel en de middelen van de verwerking bepaalt.213 In de meeste gevallen zal de verantwoordelijke voor de verwerking een rechtspersoon zijn, die bepaalde persoonsgegevens moet verwerken om een specifieke dienst te kunnen leveren. Maar de mogelijkheid waar een natuurlijke persoon optreedt als de verantwoordelijke voor de verwerking is natuurlijk niet uitgesloten. Dat komt vooral voor bij professionele dienstverleners die als zelfstandige natuurlijke personen actief zijn. Hieronder vallen dus geneesheren, tandartsen, …214

De verantwoordelijke van de verwerking is door enkele plichten verbonden. Hij is tot een geheimhoudingsplicht gebonden op grond van artikel 7, § 4 van de Privacywet. Natuurlijk mag men artikel 458 Sw. niet vergeten. De huisarts is vanzelfsprekend eveneens op die grond tot het beroepsgeheim gehouden. Artikel 7, § 4 geldt niet enkel voor de huisarts, maar de vierde paragraaf vernoemt ook aangestelden of gemachtigden van de beroepsbeoefenaar in de gezondheidszorg.215

211

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 32. Art. 1, § 4 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 213 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 33. 214 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 32-33. 215 H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 160. 212

54

Het belang van het onderscheid tussen de verantwoordelijke voor de verwerking en de verwerker zelf ligt in de belangrijke plichten die aan de verantwoordelijke toekomen. De verantwoordelijke moet de toelaatbaarheid van de verwerking garanderen. Hij staat ook in voor het informeren van de betrokken patiënt over alle relevante aspecten en hij doet dienst als aanspreekpunt voor de betrokkenen. Hij moet eveneens afspraken maken met de verwerker betreffende de veiligheid en vertrouwelijkheid van de persoonsgegevens.216

Artikel 16 WVP stelt dat de verantwoordelijke voor de verwerking onder andere moet toezien op de vertrouwelijkheid en de beveiliging van de verwerking. Om die veiligheid en vertrouwelijkheid van de verwerking te garanderen, moet de verantwoordelijke ervoor zorgen dat de personen die onder zijn gezag

werkzaam

zijn,

slechts

beperkte

toegang

hebben

tot

de

gegevens

en

de

verwerkingsmogelijkheden. Artikel 16, § 2, 2° Privacywet stelt dat de toegang tot de gegevens voor deze personen beperkt blijft tot hetgeen ze nodig hebben voor de uitoefening van hun taken of hetgeen noodzakelijk is voor de behoeften van de dienst.217 Kort samengevat moet de verantwoordelijke voor de verwerking waken over de kwaliteit van de verwerking, over een gepast rechtenbeheer, over de betrokkenheid van voldoende gekwalificeerd en geïnformeerd personeel en, zoals hoger reeds vermeld, over de veiligheid van de persoonsgegevens.218

106. Ook nog noemenswaardig zijn de rollen van de ontvanger en de derde. Deze rollen worden in artikel 1, § 6 en § 7 van de Privacywet omschreven. Deze zijn vooral van belang voor de afbakening van de plichten van de verantwoordelijke voor de verwerking. De ontvangers die in aanraking zullen komen met de persoonsgegevens zullen in de aangifte door de verantwoordelijke aan de Privacycommissie vernoemd moeten worden.219 107. Bij de verwerking is er slechts sprake van een „verwerker‟ indien de verantwoordelijke van de verwerking beslist om een derde aan te stellen die als taak krijgt om bepaalde verwerkingen uit te voeren. Daarom voorziet artikel 16, § 1 in een aantal bijkomende vertrouwelijkheids- en veiligheidsverplichtingen die nageleefd moeten worden door die derde, door de verwerker. Om te beslissen welke derde men zal aanstellen om bepaalde verwerkingen te doen, wordt gekeken naar de waarborgen die deze derde biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.220

216

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 34. H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 160-161. 218 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 34-35. 219 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 37-38. 220 H. NYS, J. VAN DAMME en T. VAN DAMME, De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 161. 217

55

De hoedanigheid van de verwerker heeft, in tegenstelling tot de verantwoordelijke, geen invloed op het doel en de middelen van de verwerking. Dat omwille van de simpele reden dat de verantwoordelijke voor de verwerking instaat voor het bepalen van het doel en de middelen. De verwerker speelt - slechts - uitvoerende rol.221 Artikel 1, § 5 WVP definieert de “verwerker” als volgt: “De natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die ten behoeve van de verantwoordelijke voor de verwerking, persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.” Wat de wet hier stelt is belangrijk want personen die onder het rechtstreekse gezag van de verantwoordelijke voor de verwerking vallen, kunnen géén verwerkers zijn. In dit geval doelt de wet op werknemers. Hun handelingen worden aan de verantwoordelijke voor de verwerking toegeschreven op grond van de gezagsverhouding.

108. Hieruit kan men afleiden dat het in principe de geneesheer is die zowel de verantwoordelijke voor de verwerking is, als de taken van de verwerking op zich neemt en dus de rol van de verwerker vervult. Slechts in bepaalde gevallen, waar er bijvoorbeeld gespecialiseerde verwerkingen uitgevoerd moeten worden, zal er een derde aangesteld worden op grond van zijn kwaliteiten en specialiteiten.

109. Tot slot kan er nog gesteld worden dat de toekenning van een bepaalde rol, een rol als verantwoordelijke, een rol als verwerker, volledig afhangt van de toepasselijkheid van de wettelijk vastgestelde criteria. Deze toekenning moet dus overeenstemmen met de realiteit.222

3.3.5.3.2. Rechten en plichten van de betrokken patiënt 110. Artikel 1, § 1 WVP omschrijft impliciet in zijn definitie van persoonsgegevens wat onder een “betrokkene” verstaan moet worden. Het betreft “een geïdentificeerde of identificeerbare natuurlijke persoon.” Een van de meest positieve aspecten van de Europese Richtlijn en daarmee ook van de Belgische omzettingswet, is de centrale rol die aan de rechten van de betrokkene toegekend wordt. De betrokkene kan aanspraak maken op de eerbiediging van een aantal basisrechten, die hij kan uitoefenen ten aanzien van de verantwoordelijke, of die de verantwoordelijke voor de verwerking spontaan in acht moeten nemen. Deze rechten van de betrokkene vormen dus in het laatste geval plichten voor de verantwoordelijke.223

221

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 36. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 34. 223 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 38. 222

56

3.3.5.3.2.1. Recht op informatie 111. Zoals hoger reeds beschreven (randnummers 102 en 103) is de regel dat de persoonsgegevens bij de betrokken patiënt zelf ingewonnen moeten worden. Zij kunnen slechts via andere bronnen ingezameld worden op voorwaarde dat dit in overeenstemming is met de paragrafen 3 en 4 van dit artikel en dat dit noodzakelijk is voor de doeleinden van de verwerking of wanneer de betrokkene niet in staat is om de gegevens te bezorgen.224 Artikel 9 van de Privacywet bevat twee paragrafen. De eerste paragraaf handelt over de plichten van de verantwoordelijke voor de verwerking, of anders gezegd, over de rechten van de betrokken patiënt, in het geval de persoonsgegevens bij de betrokken patiënt ingezameld worden. De tweede paragraaf handelt over die zelfde plichten respectievelijk rechten in het geval de persoonsgegevens via andere bronnen verkregen worden. In het eerste geval, paragraaf 1, moet de verantwoordelijke, uiterlijk op het moment van de verkrijging van de gegevens, zelf de verplicht mee te delen informatie aan de betrokkene verschaffen, tenzij de betrokkene op dat moment al over deze informatie beschikt. In paragraaf 2 wordt bepaald dat de verantwoordelijke op het moment van de registratie van de gegevens of wanneer mededeling van de gegevens aan een derde overwogen wordt, en uiterlijk op het moment van de eerste mededeling van de gegevens, de verplicht mee te delen informatie aan de betrokkene moet verschaffen.

Zowel in paragraaf 1 als in paragraaf 2 heeft de betrokken patiënt recht op kennisname van de identiteit van de verantwoordelijke van de verwerking. Ook moeten hem de doeleinden van de verwerking medegedeeld worden evenals de bestemming van de gegevens. Wat hem ook meegedeeld moet worden, is zijn recht op toegang en verbetering van de gegevens, en dat dit kosteloos is. Eventueel moet er nog bepaalde bijkomende informatie verschaft worden.225 Kortweg kan men zeggen dat het dus om informatie gaat die de betrokkene moet toelaten om de draagwijdte van de verwerking in te schatten, en om zijn andere rechten uit te oefenen. Hij moet alle nodig informatie krijgen opdat hij een geïnformeerde beslissing zal kunnen nemen in verband met het gebruik van zijn persoonsgegevens voor direct marketingdoeleinden.226

Artikel 9, § 2, lid 2 van de WVP houdt twee uitzonderingen in waar de verantwoordelijke voor de verwerking van de hierboven beschreven verplichte kennisgeving vrijgesteld wordt. De verantwoordelijke moet de betrokkene geen informatie meedelen “wanneer, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek of voor bevolkingsonderzoek met het oog op de bescherming en de bevordering van de volksgezondheid, de kennisgeving aan de 224

Art. 7, § 5 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 225 Art. 9, § 1 en § 2 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 226 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 39.

57

betrokkene onmogelijk blijkt of onevenredig veel moeite kost” en “wanneer de registratie of de verstrekking van de persoonsgegevens verricht wordt met het oog op de toepassing van een bepaling voorgeschreven door of krachtens een wet, een decreet of een ordonnantie.” In het eerste geval is er sprake van een relatieve onmogelijkheid, waarvoor een afweging vereist is. Dat is een feitenkwestie, het houdt dus een subjectieve afweging in hoofde van de verantwoordelijke voor de verwerking in. Deze verantwoordelijke mag zich hierbij enkel laten leiden door overwegingen van praktische aard. Hij moet, aan de ene kant, rekening houden met investeringen in tijd, middelen en kosten die hij zou moeten doen om aan de verplichting uit paragraaf 1 en 2 te moeten voldoen en aan de andere kant moet hij rekenschap houden met de negatieve gevolgen voor de betrokkene wanneer hij de informatie niet zou ontvangen. De verantwoordelijke voor de verwerking mag geen rekening houden met redenen hieraan vreemd.227

3.3.5.3.2.2. Mededelingsrecht en recht op verbetering en verzet 112. Artikel 10 van de WVP geeft ook enkele rechten weer voor de betrokken patiënt die zijn identiteit bewijst. Dat artikel houdt het mededelingsrecht in voor de betrokkene. De betrokken patiënt heeft recht op inzicht in de motivatie achter de verwerking en inzage in de persoonsgegevens die verwerkt worden.228 Paragraaf 2 van voorgaand artikel houdt een bijzonder regime in voor persoonsgegevens betreffende de gezondheid. Deze paragraaf stelt dat de betrokken patiënt rechtstreeks kennis kan nemen van de gezondheidsgegevens die verwerkt worden, maar dit recht ook via een beroepsbeoefenaar in de gezondheidszorg kan uitoefenen. Artikel 12 van de Privacywet stelt dat eenieder het recht heeft om onjuiste persoonsgegevens kosteloos te laten verbeteren. Dit houdt dus het verbeteringsrecht en bijhorend verzetsrecht in.

3.3.5.3.2.3. Plicht van de betrokkene 113. Naast al deze rechten in verband met de verwerking, heeft de betrokkene als belangrijkste plicht de juiste, correcte, nauwkeurige en de noodzakelijke persoonsgegevens mee te delen, met het oog op de verwerking om een legitiem doel te bereiken.

3.3.5.3.3. De verwerking zelf 114. De verwerking zelf moet voldoen aan de voorwaarden van een rechtmatige verwerking, neergeschreven in artikel 4 WVP. En gezondheidsgegevens mogen enkel verwerkt worden in de gevallen in artikel 7, § 2 WVP bepaald. Daarnaast moeten zij gebeuren onder de verantwoordelijkheid

227 228

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 40. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 41.

58

van een beroepsbeoefenaar in de gezondheidszorg, behalve in de gevallen bij wet bepaald.229 Zie 3.3.5.1.1. (randnummers 79 tot en met 92) en 3.3.5.2.1. (randnummers 95 tot en met 101) voor meer.

3.3.6. De Privacycommissie 115. Artikel 28 van de Europese Richtlijn 95/46/EG bepaalt dat de lidstaten moeten voorzien in de oprichting van een toezichthoudende autoriteit. Deze autoriteit staat in voor de controle op de naleving van de bepalingen vastgesteld ter uitvoering van de Richtlijn. In België werd de Commissie voor de bescherming van de persoonlijke levenssfeer, de CBPL, beter gekend als de Privacycommissie, in het leven geroepen. Het is een onafhankelijk orgaan dat erop toeziet dat de privacy beschermd wordt bij de verwerking van persoonsgegevens. Zij werd opgericht door de Belgische Federale Kamer van Volksvertegenwoordigers bij de Wet van 8 december 1992.230

116. De Commissie voor de bescherming van de persoonlijke levenssfeer houdt zich niet bezig met het algemene grondrecht privacy, maar enkel met de “informationele privacy.” De Commissie focust zich op privacy in de zin van iemands persoonlijke gegevens die verwerkt worden.231 Zij is bevoegd op grond van het toepassingsgebied van de Privacywet.

3.3.6.1. Taken 117. De Privacycommissie heeft verschillende taken. Zij onderzoekt klachten232 en zij brengt gemotiveerde adviezen of aanbevelingen233 uit over kwesties die betrekking hebben op de bescherming van de persoonlijke levenssfeer.234 De Privacycommissie houdt toezicht op de manier waarop persoonsgegevens gebruikt worden. Het kan gebeuren dat je vermoedt dat je gegevens misbruikt worden. Iedereen - ook individuele personen kan zich, kosteloos, tot de Commissie wenden om zijn rechten uit te oefenen ten aanzien van de verwerking van persoonsgegevens.235 Artikel 31 WVP bepaalt dat de rechtspleging die gevolgd moet worden voor de Privacycommissie in diens reglement geregeld wordt. Dat reglement stelt een bijkomende voorwaarde voor de ontvankelijkheid van de klacht, namelijk de verzoeker moet kunnen

229

Art. 7, § 4 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 230 www.privacycommission.be/nl/commission . 231 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 100. 232 Art. 31 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 233 Art. 29 en art. 30 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. 234 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 27, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 235 W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 100-101.

59

aantonen dat hij getracht heeft om zijn recht van toegang of verzet uit te oefenen bij de betrokken partij en dat dit niets uitgehaald heeft.236

Deze Commissie is verder gerechtigd voor het ontvangen van de aangifte, op formele wijze, van elk beheer van geautomatiseerde bestanden. Zij moet die aangiftes ook verzamelen in een openbaar register, dat door haar bijgehouden wordt. Er moet geen aangifte gedaan worden voor het beheer van louter manuele bestanden. Dat is bepaald in van artikel 17, § 1 WVP. Daarnaast zijn verwerkingen die alleen tot doel hebben een register bij te houden dat door of krachtens een wet, een decreet of een ordonnantie bedoeld is om het publiek voor te lichten en dat door iedere belanghebbende geraadpleegd kan worden, vrijgesteld van de aangifteplicht.237 Dit is terug te vinden in artikel 17, § 1, lid 2 WVP. Ook indien er zich in het beheer van geautomatiseerde bestanden een wijziging voordoet, moet de Commissie hiervan op de hoogte gebracht worden.238 Paragraaf 7 van het voorgaande artikel stelt dat ook na de beëindiging van de verwerking daarvan aangifte bij de Commissie gedaan moet worden.

Deze aangifte gebeurt niet kosteloos. Het bedrag ervan varieert volgens het aantal aangiftes, dat bepaald wordt op basis van het aantal doelstellingen. Het is ook afhankelijk van de manier van aangifte en het aantal personen dat geregistreerd moet worden. Artikel 17, § 3 van de Privacywet bepaalt wat de aangifte moet vermelden.239

Artikel 17, § 8 voorziet in een mogelijkheid voor de Koning, om na advies van de Privacycommissie, bepaalde categorieën vrij te stellen van aangifte, “wanneer er kennelijk geen gevaar is voor inbreuken op de rechten en vrijheden van de betrokkenen , en de doeleinden van de verwerking, de categorieën van verwerkte gegevens, de categorieën betrokkenen, de categorieën ontvangers en de periode gedurende welke de gegevens bewaard worden, gepreciseerd worden.” Concreet zijn die vrijstellingen opgenomen in het KB nummer 13 van 12 maart 1996 tot voorwaardelijke vrijstelling van de aangifteplicht voor bepaalde soorten van geautomatiseerde verwerkingen van persoonsgegevens die kennelijk geen gevaar inhouden op het gebied van de schending van de persoonlijke levenssfeer, dat op zijn beurt dan weer opgeheven is door het KB van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van

236

W. DIJKHOFFZ, Je rechten als patiënt, Berchem, EPO Wetreeks, 2008, 101. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 51. 238 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 27, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 239 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 27, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 237

60

persoonsgegevens.240 De artikels 51 tot en met 62 van voorgaand KB handelen over de categorieën van verwerkingen vrijgesteld van de aangifteplicht.

Vervolgens heeft de Commissie ter bescherming van de persoonlijke levenssfeer ook in de mogelijkheid van “standaardaangiften” voorzien. En dit voor een aantal vaak voorkomende standaardverwerkingen waarmee een groot aantal houders geconfronteerd worden. Deze standaardaangiften zijn volledige aangiften. Het deel over de verwerking is reeds vooraf ingevuld. Enkel het eerste deel over de identificatie van de houder van het bestand moet nog ingevuld worden. Vaak worden deze standaardaangiften uitgewerkt voor koepelorganisaties, onder andere door de Nationale Raad van de Orde van geneesheren.241

De Commissie is ook bevoegd tot het verlenen van informatie en bijstand aan alle belanghebbende partijen. Ook is ze gerechtigd om machtigingen af te leveren om bepaalde persoonsgegevens te verwerken waarvoor de wet een dergelijke bijzondere machtiging vereist.242

3.4. De Patiëntenrechtenwet 3.4.1. Inleiding 3.4.1.1. Vóór de Wet 22 augustus 2002 118. Tot 2002 bestond in België geen specifieke wet waarin de rechten van de patiënt vastgelegd waren. Dat betekende natuurlijk niet dat patiënten helemaal geen rechten hadden. Ze waren echter niet duidelijk en overzichtelijk geformuleerd. Deze rechten werden afgeleid uit rechtsbeginselen, uit bepalingen van de Grondwet, uit het strafrecht, uit internationale verdragsteksten, ... Soms waren de bepalingen dubbelzinnig, zelfs tegenstrijdig of ronduit patiëntonvriendelijk. Ze strookten niet meer met de hedendaagse opvattingen over gezondheidszorg, de menselijke waardigheid, het recht op privacy en zelfbeschikking. En hoe dan ook waren de rechten door de patiënten onvoldoende gekend.243

3.4.1.2. Sinds de Wet 22 augustus 2002 119. Op 22 augustus 2002 keurde het federaal parlement de wet op de patiëntenrechten goed. De wet is helder en overzichtelijk geformuleerd. Hij legt vast waar een beroepsbeoefenaar of zorgverstrekker 240

Koninklijk Besluit van 13 februari 2001 ter uitvoering van de wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 13 maart 2001. 241 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 27, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 242 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 49. 243 www.vlaamspatientenplatform.be/www/content/view/94/85 .

61

zich aan moet houden en waarop een patiënt kan rekenen. Zo wordt de kwaliteit van de dienstverlening er een stuk beter op. Met deze wet heeft de patiënt een instrument in handen om zijn rechten af te dwingen. Dat zorgt voor een duidelijke relatie tussen zorgverstrekker en patiënt. En dàt is de bedoeling van de wet.244 120. Ook de Wet betreffende de rechten van de patiënt245 bevat bepalingen die de privacy van de patiënten beschermen. Op grond van deze wet hebben de patiënten recht op kwaliteitsvolle dienstverlening (artikel 5), een recht op vrije keuze van beroepsbeoefenaar (artikel 6), recht op informatie (artikel 7), een recht op toestemming (artikel 8), recht op een zorgvuldig bijgehouden en veilig bewaard patiëntendossier (artikel 9), recht op de bescherming van zijn persoonlijke levenssfeer (artikel 10) en tenslotte hebben patiënten ook een klachtenrecht, vervat in artikel 11.

3.4.2. Rechten ter bescherming van de privacy van patiënten 121. Belangrijk in verband met de privacy van de patiënt is, naast de artikelen 7 en 8 Wet op de Patientenrechten, artikel 9, § 2 WPR. Dat artikel stelt dat “de patiënt heeft recht op inzage in het hem betreffend patiëntendossier.” Van die inzage zijn wel de notities van de geneesheer en de gegevens die betrekking hebben op derden uitgesloten.246 Door dat inzagerecht heeft de patiënt dus de mogelijkheid om na te gaan welke gezondheidsgegevens over hem genoteerd zijn.

Maar vooral artikel 10 is belangrijk voor het onderwerp van deze masterproef. Dit artikel kent twee rechten toe aan de betrokken patiënt. Vooreerst heeft de patiënt recht op bescherming van zijn persoonlijke levenssfeer en vooral ten aanzien van zijn gezondheidsgegevens. Vervolgens heeft hij ook recht op respect voor zijn intimiteit. Paragraaf 2 van hetzelfde artikel stelt dan nog dat er “geen inmenging toegestaan is met betrekking tot de uitoefening van dit recht dan voor zover het bij wet voorzien is en het nodig is voor de bescherming van de volksgezondheid of voor de bescherming van de rechten en de vrijheden van anderen.” Daaruit kan bijgevolg afgeleid worden dat inbreuken op de privacy of een inmenging in het privéleven slechts toegestaan zijn indien de wet dat bepaalt en deze inmenging de bescherming van de volksgezondheid of de bescherming van rechten en vrijheden van anderen tot doel heeft.

Hieruit kan geconcludeerd worden dat de Wet Verwerking Persoonsgegevens bepalingen bevat die een gerechtvaardigde inbreuk uitmaken op het recht op bescherming van de persoonlijke levenssfeer van de patiënt, vastgelegd in de Patiëntenrechtenwet.

244

www.vlaamspatientenplatform.be/www/content/view/94/85 . Wet 22 augustus 2002 betreffende de rechten van de patiënt, BS 26 september 2002. 246 Art. 9, § 2, lid 3 Wet 22 augustus 2002 betreffende de rechten van de patiënt. 245

62

3.5. BeHealth – eHealth 122. Sinds enkele jaren wordt er in België veel aandacht besteed aan de integratie van de telematica en de ICT-technologie in de gezondheidszorg. Dat mondde uit in de oprichting van het BeHealthplatform en het eHealth-platform.247

3.5.1. BeHealth 123. De beheersinstelling BeHealth werd opgericht door de wet van 27 december 2006 houdende diverse bepalingen.248 Deze wet leidde niet onmiddellijk tot gevolgen. De reden voor deze vertraging was onder andere te vinden in het gebrek aan vertrouwen tussen de betrokken partijen. Ook de aanwezigheid van verschillende visies zorgde voor vertraging. De beheersinstelling BeHealth werd opgericht als een afzonderlijke dienst met een afzonderlijk beheer binnen de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu.249

3.5.1.1. Doel 124. BeHealth had als bedoeling dat op termijn de patiënt zijn eigen medisch dossier zou kunnen raadplegen, dat bijvoorbeeld kinesisten langs deze weg hun facturatiegegevens zouden kunnen doorsturen naar de mutualiteiten, enzovoort.250 Het was de bedoeling dat BeHealth zou uitgroeien tot een platform, een portaal om verschillende diensten (de Sociale Zekerheid, burgers…) verder te helpen

met

algemene

gezondheidsgegevens.

Het

BeHealt-platform

zou

nooit

zuivere

gezondheidsgegevens uitwisselen. Zij zou enkel informatie over authentieke bronnen ter beschikking stellen.251

3.5.1.2. Taken 125. BeHealth was verantwoordelijk voor het beheer van een elektronische dienstenplatform waarop gezondheidsgegevens uitgewisseld zouden kunnen worden tussen de verschillende actoren die in de gezondheidszorg werkzaam zijn. Dat elektronisch dienstenplatform moest gerealiseerd worden door de verbinding van de netwerken van Fedict252, het extranet van de Sociale Zekerheid en Carenet.253 Het was zeker niet de bedoeling dat het elektronisch dienstenplatform BeHealth een centrale databank 247

S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 347, nr. 897. Wet 27 december 2006 houdende diverse bepalingen (I), BS 28 december 2006. 249 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 240. 250 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 36, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 251 www.doktersgildvanhelmont.be/documenten/ha779blz.16.doc . 252 De Federale Overheidsdienst Informatie- en Communicatietechnologie. 253 Een telecommunicatienetwerk tussen de professionelen van de gezondheid. 248

63

met gezondheidsgegevens zou worden. Zij fungeerde daarentegen als een uitwisselingsplatform bestaande uit een bankoffice, een portaal en een reeks basisdiensten zoals authenticatie en beveiliging.254

126. Dit BeHealth-platform had de bedoeling om de enige toegangsweg te zijn - zowel voor artsen als voor de patiënten - tot de informatie uitgaande van de sector van de gezondheidszorg. Deze beheersinstelling voorzag ook in de invoering van een gedeeld gezondheidszorgdossier. De invoering van dit gedeelde dossier wou leiden tot een optimale behandeling bij de wacht- en urgentiediensten, evenzeer had dit als doel de continuïteit van de zorgen zowel voor als na de operatie te verzekeren. Enkel de beroepsbeoefenaars die instaan voor de diagnosestelling, de behandeling en de nazorg - kort gezegd met wie de patiënt een therapeutische relatie heeft - zouden toegang hebben tot dit gedeeld dossier, op voorwaarde dat zij voorafgaandelijk de toestemming van de patiënt verkregen hebben.255

3.5.2. eHealth 127. Zoals reeds gesteld heeft de wet tot oprichting van BeHealth niet onmiddellijk gevolg gekregen. Voor de redenen wordt naar hierboven verwezen. Dit alles leidde dan op zijn beurt tot de wet van 21 augustus 2008 tot oprichting van het eHealth-platform.256 Het eHealth-platform wordt opgericht als een openbare instelling, met rechtspersoonlijkheid, van de sociale zekerheid257 en het krijgt een beheerscomité van 31 leden dat samengesteld is uit vertegenwoordigers van de zorgverstrekkers, de zorginstellingen, de mutualiteiten en de overheid. De concrete uitvoering van wettelijke opdrachten van het platform wordt geregeld in een beheersovereenkomst met de Staat.258 128. Een groot verschil met het BeHealth-platform is dat de letter “B” weggevallen is. Dat om duidelijk te stellen dat dit platform zich niet beperkt tot het federale niveau. Het eHealth-platform wordt nu omschreven als “beveiligd elektronisch uitwisselingsplatform waarop zorgverleners, zorginstellingen, ziekenfondsen, overheidsdiensten en patiënten in alle vertrouwen en met respect voor de persoonlijke levenssfeer, gegevens kunnen uitwisselen.”259 De reden waarom dit platform zich niet beperkt tot het federale niveau is te wijten aan de tendens dat patiënten zich sneller in andere lidstaten laten behandelen. Daarom moeten artsen vaak via elektronische weg medische informatie van hun (buitenlandse) patiënten opvragen aan hun collega-geneesheren. Niet alleen laten patiënten zich vaker

254

www.law.kuleuven.be/icri/publications/12862010_Privacyrecht_Dumortier_VRGAlumni%20.pdf?where . S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 347-348, nr. 897-899. 256 Wet 21 augustus 2008 tot oprichting en organisatie van het eHealth-platform, BS 13 oktober 2008. 257 Art. 2, lid 2 de wet 21 augustus 2008 tot oprichting en organisatie van het eHealth-platform. 258 www.law.kuleuven.be/icri/publications/12862010_Privacyrecht_Dumortier_VRGAlumni%20.pdf?where . 259 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 240. 255

64

in het buitenland behandelen, zij bestellen ook vaker gezondheidsproducten via het internet bij (buitenlandse) apothekers.260

129. Een belangrijke bepaling die door de Wet tot oprichting van het eHealth-platform voorgeschreven wordt, is dat deze wet op geen enkele wijze afbreuk doet aan de bepalingen van de Privacywet. 261 Dat wil dus zeggen dat in geval van conflict tussen deze wetten, de Privacywet voorrang heeft.262 In principe is het gebruik van het e-Healthplatform niet verplicht.263 Naar mijn mening zou het vlotter verlopen wanneer alles uniform geregeld zou worden en wanneer het platform door iedereen gebruikt zou worden.

3.5.2.1. Doel 130. De wet tot oprichting en organisatie van het eHealth-platform heeft de gedachtegang van het BeHealth-platform overgenomen. Artikel 4 van de wet van 21 augustus 2008 stelt dat het platform als doel heeft “door een onderlinge elektronische dienstverlening en informatie-uitwisseling tussen alle actoren in de gezondheidszorg, georganiseerd met de nodige waarborgen op het vlak van de informatieveiligheid en de bescherming van de persoonlijke levenssfeer, de kwaliteit en de continuïteit van de gezondheidszorgverstrekking en de veiligheid van de patiënt te optimaliseren, de vereenvoudiging van de administratieve formaliteiten voor alle actoren in de gezondheidszorg te bevorderen en het gezondheidsbeleid te ondersteunen.”

Evenzeer wil dit platform als intermediaire organisatie alle persoonsgegevens nuttig voor de kennis, conceptie, beheer en verstrekking van de gezondheidszorg inzamelen, samenvoegen, coderen of anonimiseren en ter beschikking stellen.264 Het platform beoogt, met andere woorden, een doeltreffende onderlinge elektronische informatieuitwisseling tussen de actoren uit de gezondheidszorg, die aan dit platform willen meewerken. 265 Als het platform correct gebruikt wordt kan het - zoals artikel 4 van de wet reeds stelt - een meerwaarde betekenen op het vlak van administratieve vereenvoudiging, en kan het nuttig zijn voor het doorgeven van informatie aan huisartsen.266 Deze administratieve vereenvoudiging komt ten goede aan alle actoren uit de gezondheidszorg, inclusief de patiënten. Daardoor zullen patiënten zich meer comfortabel voelen wanneer ze zich bij de zorgverstrekker bevinden. Deze laatste zal dan meer tijd

260

S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 344. Art. 6 wet 21 augustus 2008 tot oprichting en organisatie van het eHealth-platform. 262 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 240. 263 www.law.kuleuven.be/icri/publications/12862010_Privacyrecht_Dumortier_VRGAlumni%20.pdf?where . 264 S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 349, nr. 901. 265 S. CALLENS, “Omtrent het e-Health-platform en het recht op privacy van de patiënt”, T. Gez. 2008-2009, afl. 3, 185. 266 D. HOLSTERS, “Medische ethiek en deontologie. Arts en geheim.”, Tijdschrift van de Nationale Raad van de Orde van Geneesheren december 2008, afl. 122, 14, nr. 44. 261

65

aan zijn patiënten kunnen besteden. Dat is een uitwerking van één van de patiëntenrechten, namelijk kwaliteitsvolle dienstverlening.267

3.5.2.2. Taken 131. Artikel 5 van de wet tot oprichting en organisatie van het eHealth-platform geeft de opdrachten van dit platform weer. Dit takenpakket is veelomvattend. Een belangrijke taak van het platform bestaat in het leveren van basisdiensten. Typische basisdiensten omvatten encryptie van gegevens tussen afzender en geadresseerde, een systeem voor gebruikers‐ en toegangsbeheer, een beveiligde elektronische brievenbus voor elke actor in de gezondheidszorg, een systeem voor elektronische datering, een systeem voor codering en anonimisering van informatie en een verwijzingsrepertorium.268

132. In het verwijzingsrepertorium wordt, na akkoord van de betrokken patiënten, aangeduid bij welke actoren in de gezondheidszorg welke types van gegevens met betrekking tot welke patiënten bewaard worden. Dat referentierepertorium bevat zelf geen gezondheidsgegevens, enkel verwijzingen naar plaatsen waar bepaalde types van gezondheidsgegevens te vinden zijn.269 Het eHealth-platform zal zelf niet veel inhoudelijke informatie centraal opslaan.270 Het platform kan dus niet beschouwd worden als een databank, maar eerder als een instrument dat als taak heeft mee te delen bij welke actor uit de gezondheidszorg welke gegevens bewaard worden. Het verwijzingsrepertorium van het eHealthplatform kan daarom vergeleken worden met de Sociale Kruispuntbank. Deze Kruispuntbank kan ook niet beschouwd worden als een databank, maar het fungeert eveneens als een verwijzingsbank. Een belangrijke voorwaarde vooraleer het repertorium verwijzingsgegevens mag opnemen, is dat de patiënt daarvoor eerst zijn toestemming moet geven. DUMORTIER en GRAUX zijn de mening toegedaan dat wellicht een schriftelijke toestemming vereist is. Vervolgens - nadat de toestemming van de betrokken

patiënt

verkregen

is

-

kan

de

implementatie

van

deze

gegevens

in

het

verwijzingsrepertorium slechts gebeuren nadat het sectoraal comité een advies afgeleverd heeft. De betrokken patiënt wordt bij de uitwisseling van gegevens via dat platform geïdentificeerd via het identificatienummer van de sociale zekerheid. Het gebruik van het identificatienummer van de sociale zekerheid is verplicht. Daaruit valt af te leiden dan men afgestapt is van de gedachte om voor de gezondheidssector een apart persoonlijk gezondheidsidentificatienummer in te voeren.271 Men gebruikt dus in de meeste gevallen het rijksregisternummer.

267

Art. 5 wet 22 augustus 2002 betreffende de rechten van de patiënt. Art. 5, 4°, b) wet 21 augustus 2008 tot oprichting en organisatie van het eHealth-platform. 269 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 241. 270 S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 350. 271 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 241. 268

66

Eén

van

de

doelstellingen

van

het

eHealth-platform

wil

men

voornamelijk

via

het

verwijzingingsrepertorium bereiken, met name de kwaliteit van de gezondheidszorg en de veiligheid van de patiënt verbeteren door de relevante informatie over de patiënt en over de verstrekte zorgen op een goed georganiseerde wijze uit te wisselen.272

3.5.2.3. Voor- en nadelen 3.5.2.3.1. Voordelen 133. Algemeen kan er gesteld worden dat door al deze nieuwe moderne technologieën het mogelijk is om sneller relevante informatie uit te wisselen. Daardoor is de overheid vaak vragende partij om zo‟n platform uit te werken. Met betrekking tot het eHealth-platform zelf, zorgt dit platform voor een toename van de kwaliteit van de zorg. Eveneens leidt dit platform tot de verzekering van de continuïteit in de zorgverlening. Bovendien, en dat is een belangrijk pluspunt voor de overheid, is het gemakkelijker om te controleren of er correct omgesprongen wordt met de beperkte overheidsmiddelen in de gezondheidszorg. Een ander voordeel is terug te vinden in artikel 6 van de Wet tot oprichting en organisatie van het eHealthplatform. Dit artikel stelt - zoals in randnummer 129 reeds vermeld is - dat de Privacywet en de Wet op de patiëntenrechten voorrang hebben op de eHealth-wetgeving. Ingeval van conflict met één van deze wetten, zal de Wet tot oprichting en organisatie van het eHealth-platform aan de kant gesteld worden.273 Er wordt dus in geval van conflict voorrang verleend aan de wetgeving die de privacy van de burgers beschermt.

3.5.2.3.2. Nadelen 134. Ondanks de belangrijke voordelen heeft zo‟n elektronisch platform in de gezondheidszorg toch wel enkele nadelen als het om de privacy van de betrokken personen gaat. Hierna worden enkele nadelen weergegeven.

135. Het eerste nadeel kan gevonden worden in het gegeven dat er in de wet tot oprichting en organisatie van het eHealth-platform niet voorzien is in het bestaan van een filtersysteem. Hoger is reeds gewezen op de gelijkenis tussen het eHealth-platform en de Sociale Kruispuntbank. Die gelijkenis is weliswaar niet op elk vlak aanwezig. Het eHealth-platform bevat eerst en vooral een repertorium met een ander soort gegevens. Gegevens die veel gevoeliger zijn dan de gegevens die in de Sociale Kruispuntbank opgenomen zijn. Maar dat is niet het enige verschil. Ondanks het feit dat er veel meer gevoelige gegevens in het eHealth-platform opgeslagen zijn, voorziet de eHealth-wetgeving niet in de aanwezigheid van filters, dit in tegenstelling tot de Sociale Kruispuntbank. Deze filters 272

S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 350. S. CALLENS, “Omtrent het e-Health-platform en het recht op privacy van de patiënt”, T. Gez. 2008-2009, afl. 3, 185-186. 273

67

kunnen ervoor zorgen dat die gevoelige informatie niet zomaar zichtbaar zijn. Dat is dus een groot nadeel aan het eHealth-platform. CALLENS wijst er op dat het bijhouden van het soort behandelend hulpverlener in het verwijzingsrepertorium toch zeker gevoeliger is dan het bijhouden in de Sociale Kruispuntbank van het ziekenfonds waar de patiënt bij aangesloten is.274

Hoger is reeds gesteld dat de Wet tot oprichting van het eHealth-platform geen afbreuk doet aan de Privacywet en deze laatste wet dus voorrang heeft wanneer beide wetten in conflict komen met elkaar. Maar als men dan iets beter naar de eHealth-wet kijkt dan ziet men dat artikel 3, 9° het begrip persoonsgegevens betreffende de gezondheid omschrijft. Daarin valt op dat de eHealth-wet “de louter administratieve of boekhoudkundige gegevens betreffende de geneeskundige behandelingen of verzorging” niet als gezondheidsgegevens beschouwt, in tegenstelling tot de Privacywet. Het valt moeilijk te rijmen dat bij conflict de (aangepaste275) Privacywet voorrang heeft, maar dat de eHealthwetgeving gezondheidsgegevens definieert volgens de definitie die oorspronkelijk door de Privacywet aangehangen werd.276

3.5.2.4. Het belang van eHealth in Europa 136. Zoals hoger reeds gesteld vinden er steeds meer grensoverschrijdende activiteiten plaats in de gezondheidszorg. Vanzelfsprekend krijgt eHealth daardoor veel aandacht in Europa. De Europese aandacht is niet nieuw. Reeds in het Actieplan voor een Europese ruimte voor egezondheidszorg van 2004 was de Europese Commissie van oordeel dat gezondheid en gezondheidszorg essentiële componenten vormden in een informatiemaatschappij. Zij was ook de mening toegedaan dat eHealth een instrument moest zijn voor een hervorming van het gezondheidszorgsysteem waar de burger centraal zou staan.277

137. Omwille van het feit dat het gezondheidszorgsysteem deel uitmaakt van grotere systemen zoals het gezondheidssysteem en de maatschappij, vaardigt de Europese Commissie de laatste tijd in toenemende mate regels uit die betrekking hebben op eHealth. Door zulke Europese regels af te kondigen creëert de Commissie een wettelijk kader dat van belang is voor gezondheidszorgsystemen. Eén van die regels is, zoals reeds hoger beschreven, het gegeven dat nationale en internationale gezondheidszorgspelers die het eHealth-platform gebruiken of de healthgrids implementeren, onder

274

S. CALLENS, “Omtrent het e-Health-platform en het recht op privacy van de patiënt”, T. Gez. 2008-2009, afl. 3, 185. 275 De Privacywet van 8 december 1992 is grondig gewijzigd door de wet van 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens. 276 S. CALLENS, “Omtrent het e-Health-platform en het recht op privacy van de patiënt”, T. Gez. 2008-2009, afl. 3, 186. 277 S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 344.

68

andere rekening moeten houden met de principes gesteld in de Privacyrichtlijn. Zij mogen ook geen afbreuk doen aan de Richtlijn betreffende elektronische handel, de Richtlijn betreffende contracten op afstand en aan de Richtlijnen betreffende medische hulpmiddelen.278 138. De Europese Commissie volgt nog steeds de stelling dat “eHealth belangrijk is voor het creëren van een gezondheidszorgsysteem dat gericht is op de burger en dat eHealth de samenwerking tussen de verschillende gezondheidszorgactoren in Europa kan vergemakkelijken.” Daarnaast kan eHealth kostenbesparingen voor de overheid mogelijk maken.279

139. Zoals hierboven reeds gesteld is, kan eHealth kort omschreven worden als de overkoepelende naam voor de hulpmiddelen op basis van informatie- en communicatietechnologie ter ondersteuning en verbetering van preventie, diagnose, behandeling, controle en beheer van gezondheid en leefgewoonten. Omwille van deze belangrijke functie is Europa eveneens overtuigd van het nut van een eHealth-platform. Daarom werkt de Europese Unie toe naar een "Europese eHealth-ruimte" waarbinnen voor alle betrokken beleidsgebieden en belanghebbenden maatregelen gecoördineerd worden en de synergie bevorderd wordt. Hierdoor kunnen betere oplossingen ontwikkeld worden, goede werkwijzen uitgewisseld worden en kan versnippering van de markt voorkomen worden. Zo wordt er onder andere gewerkt aan de standaardisatie van elektronische patiëntendossiers om de uitwisseling van informatie te verbeteren. Ook worden er gezondheidsinformatienetwerken tussen zorgverstrekkers tot stand gebracht om de aanpak van gezondheidsrisico's te coördineren, en worden online-gezondheidsdiensten opgezet. Wil dit een succes worden, dan moet bij de uitvoering van de strategieën en projecten vanzelfsprekend rekening gehouden worden met de behoeften en de medewerking van burgers, patiënten en gezondheidswerkers.280

3.5.2.5. Actueel 140. In een arrest van 18 maart 2010 heeft het Grondwettelijk Hof de vraag van een artsenvereniging, “Chambre Syndicale des Médecins des Provinces du Hainaut et de Namur et du Brabant Wallon”, tot vernietiging van de Wet van 21 augustus 2008 tot oprichting en organisatie van het eHealth-platfrom, verworpen.281 Het Grondwettelijk Hof vernietigt bijgevolg niet het platform dat een beveiligde uitwisseling van persoonlijke gezondheidsgegevens in de gezondheidszorg tot stand brengt. Maar, stelt het Hof

278

S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 351-352, nr. 905-906. 279 S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa, T. Gez. 2007-2008, afl. 5, 344. 280 http://ec.europa.eu/health-eu/care_for_me/e-health/index_nl.htm . 281 www.const-court.be/public/n/2010/2010-029n.pdf .

69

onmiddellijk, “het eHealth-platform is geen vrijbrief voor het inkorten van de bestaande waarborgen op het gebied van privacybescherming.”282 Zoals hoger reeds gesteld en zoals JUDO in zijn recente bijdrage in de Juristenkrant stelt, roept de organisatie van het eHealth-platform zowel enorme verwachtingen, als grote angsten op. Dit platform brengt grote efficiëntievoordelen voor zowel de patiënt als de zorgverstrekker mee, maar aan de andere kant brengt dit ook grote risico‟s mee voor de privacybescherming van de patiënt. Als men naar dit laatste belangrijke risico kijkt, vindt J UDO het dan ook niet verwonderlijk dat de Franstalige VZW “Ligue des Droits de l‟Homme” tussenkwam in deze procedure voor het Grondwettelijk Hof.283

Het Hof heeft dus geoordeeld om het eHealth-platform niet te vernietigen, maar het heeft aan de andere kant meteen gesteld dat het gegeven dat het eHealth-platform blijft bestaan, absoluut geen vrijgeleide is om de bestaande waarborgen door de Privacywet gesteld in te korten. Dat blijkt uit de lezing die het Hof aan bepaalde artikelen uit de Wet van 21 augustus 2008 geeft. Het Hof verwijst vooreerst naar artikel 5 van voorgaande wet, waarin de opdrachten van het eHealthplatform opgesomd worden. Het Grondwettelijk Hof stelt vast dat deze opdrachten enkel betrekking hebben op de beveiligde uitwisseling van bestaande gegevens. Dat betekent dat het verwerven van nieuwe gezondheidsgegevens en het opslaan hiervan uitgesloten worden. Daarmee samenhangend verwijst het Hof ook naar de bepaling in artikel 5, 5° van de wet. Het Hof stelt dat deze opdracht voor het platform absoluut niet aanzien mag worden als een rechtsgrond om over te gaan tot de opslag van gegevens. Vervolgens is het Grondwettelijk Hof ook de mening toegedaan dat de eHealth-wet geen enkele grond biedt om af te wijken van de algemene regels over de bescherming van de persoonlijke levenssfeer. Tenslotte heeft het Hof geoordeeld dat het gegeven dat de federale staat en de gemeenschappen geen samenwerkingsakkoord afgesloten hebben, niets afdoet aan de bevoegdheid van de federale wetgever om, binnen zijn eigen terrein, moderniseringsmaatregelen als eHealth op touw te zetten. Om dit te begrijpen moet men eerst en vooral teruggrijpen naar de bevoegdheidsverdeling tussen de gemeenschappen en de federale staat. Het Hof stelt dat eHealth de organisatie en de structuur van de praktijk van de arts betreft. Het Hof is daarom van oordeel dat deze materie behoort tot de uitoefening van de geneeskunst en dus een federale materie gebleven is. Dat is een uitzondering op het principe dat de gemeenschappen op grond van artikel 5 van de Bijzondere Wet van 8 augustus 1980 bevoegd zijn voor de gezondheidszorg. In deze huidige maatschappij is het aanbevolen dat de elektronische communicatie tussen beoefenaars in de geneeskunde niet beperkt blijft tot de aangelegenheden behorend tot de federale bevoegdheidssfeer. Voor deze uitbreiding is er weliswaar een samenwerkingsakkoord vereist. In casu werd nog geen dergelijk akkoord tussen de federale staat en de gemeenschappen gesloten. Het Grondwettelijk Hof is dan ook de mening toegedaan dat het gegeven 282 283

F. JUDO, “eHealth overleeft, maar binnen strikte grenzen”, Juristenkrant, afl. 207, 14 april 2010, 4. F. JUDO, “eHealth overleeft, maar binnen strikte grenzen”, Juristenkrant, afl. 207, 14 april 2010, 4.

70

dat er nog zo geen akkoord is, niet in de weg staat voor de federale wetgever om - vanzelfsprekend enkel binnen zijn bevoegdheidsterrein - moderniseringsmaatregelen als eHealth op touw te zetten.284

Derhalve kan er samenvattend worden gesteld dat het Grondwettelijk Hof de mening toegedaan is dat de Wet van 21 augustus 2008 beperkend, restrictief geïnterpreteerd moet worden, zodat deze wet geen inbreuk op de privacywetgeving kan vormen.

3.5.2.6. De Healthgrids 141. De laatste jaren worden er initiatieven genomen om de impact van de healthgrids in gezondheidszorgsystemen te analyseren. Vooreerst dient het begrip “grid” gedefinieerd te worden. Een “grid” is een technologie die ertoe strekt om de diensten die al via het internet aangeboden worden, te verbeteren. Die “grid” moet leiden tot een snelle verwerking van gegevens, gegevensbewaring op grote schaal en een flexibele samenwerking door het samenbrengen van de kracht van een groot aantal basiscomputers, clusters of andere toestellen.285 Aan de hand van de definiëring van het begrip “grid” merkt men op dat er een spanning bestaat tussen de bedoeling van een healthgrid enerzijds en het vertrouwelijk karakter van gegevens die voor grids gebruikt worden anderzijds. Aan de ene kant is het belangrijk, voor het bereiken van de doelstelling van de healthgrid, om toegang te krijgen tot gegevens die de gezondheid betreffen. Maar deze vereiste komt in conflict met de verplichting voor ziekenhuizen en andere gezondheidszorginstellingen om de controle te houden over de vertrouwelijke patiëntengegevens. Het bereiken van de doelstelling van een healthgrid houdt dus in dat de persoonsgegevens uitgewisseld moeten worden, zelfs over de grenzen heen, en dat er gewerkt zal worden met verschillende verantwoordelijken voor de verwerking.286 142. Uit SHARE-studies287 daterend uit 2008 wordt gesteld dat de toepassing van de Privacyrichtlijn op de healthgrid problemen stelt omwille van het gegeven dat de lidstaten de richtlijn niet op dezelfde wijze omgezet hebben en daardoor de wijze van bescherming van de persoonsgegevens voor het verder gebruik van gezondheidsgegevens tussen de lidstaten verschilt. De SHARE-studie stelde verder nog dat als de healthgrids werkelijk gebruikt zullen worden, er nagedacht zal moeten worden over nieuwe supranationale regels.288

143. De achtste Healtgrid-Conferentie vindt plaats op 28-30 juni 2010 in Parijs. Deze Conferentie heeft als doel de stand van zaken na te gaan met betrekking tot de implementatie van de healthgrid en 284

F. JUDO, “eHealth overleeft, maar binnen strikte grenzen”, Juristenkrant, afl. 207, 14 april 2010, 4-5. S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 350. 286 S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 350351. 287 Dit is een EU-gefinancierd project dat gericht is op het identificeren van de belangrijkste ontwikkelingen die nodig zijn voor de implementatie van de healthgrid in Europa; www.healthgrid.org . 288 S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 351. 285

71

de technieken voor die implementatie in de vakdomeinen biologie, geneeskunde en de gezondheidszorg.289

3.6. Het Vlaams Decreet betreffende het gezondheidsinformatiesysteem 144.

Op

het

Vlaams

niveau

werd

bij

het

Decreet

van

16

juni

2006

een

290

Gezondheidsinformatiesysteem, of kortweg G.I.S., opgericht.

Dat decreet heeft ertoe geleid dat er een systeem uitgewerkt werd met als opdracht de gegevens, die over een persoon verzameld worden, bijeen te brengen en te integreren in een persoonlijk informatiesysteem. Dat bijeenbrengen van die gegevens en de integratie ervan gebeurt door middel van elektronische dossiervorming, en dat in de domeinen van de gezondheidszorg die onder de bevoegdheid van de Vlaamse overheid vallen. Het gezondheidsinformatiesysteem heeft als doel de gezondheidssituatie van de betrokkene eenvoudiger te evalueren, de evolutie van die situatie op te volgen en het effect van een interventie te beoordelen.291

3.6.1. Begripsomschrijving 145. Het G.I.S.-decreet omschrijft in artikel 2, 15° persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.” Hier valt duidelijk op dat de omschrijving van het begrip “persoonsgegevens” overeenkomt met de omschrijving die de Privacywet geeft aan persoonsgegevens. Mijns inziens kan gesteld worden dat het Decreet van 16 juni 2006 de omschrijving van de Privacyrichtlijn en de Privacywet overgenomen heeft, om de uniformiteit te bewaren en problemen te vermijden.

3.6.2. Doel 146. Dit decreet creëert dus een algemeen wettelijk kader voor het verzamelen, verwerken en uitwisselen van gezondheidsgegevens binnen de Vlaamse Gemeenschap. Het doel van dit Gezondheidsinformatiesysteem zit in de vervolmaking van de gezondheidszorg, het beperken van de administratieve lasten en het efficiënter maken van de gegevensstroom.292 Anders gezegd: het informatiesysteem wil de gegevensstromen die zich situeren in het kader van de zorgverlening, optimaliseren. Daarmee is de juridische basis gelegd voor het uitwisselen van persoonlijke medische gegevens binnen de preventieve gezondheidszorg. Het G.I.S. moet ervoor zorgen dat het uitwisselen 289

http://paris2010.healthgrid.org . Decreet van 16 juni 2006 tot oprichting van het Gezondheidsinformatiesysteem, BS 7 september 2006. 291 M. SPEECKAERT en S. VERHULST, “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 192. 292 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 245. 290

72

van gegevens over patiënten, bijvoorbeeld tussen huisarts en specialist, georganiseerd en beter versleuteld verloopt. Zo zal e-mailverkeer met persoonlijke gegevens tweevoudig gecodeerd worden.293

3.6.3. Soorten informatiesystemen 147. Artikel 3 van het Decreet introduceert twee verschillende informatiesystemen. Enerzijds het operationeel systeem, anderzijds het epidemiologisch systeem. Het operationele informatiesysteem heeft tot doel de gegevensuitwisseling - met betrekking tot die gegevens die noodzakelijk zijn om de continuïteit en de kwaliteit van de zorgverlening te verbeteren - tussen zorgverstrekkers, organisaties met terreinwerking en informatieknooppunten te optimaliseren.294 Terwijl het tweede systeem gericht is op de ondersteuning en optimalisering van het gezondheidsbeleid.295

148. De deelname aan de informatiesystemen is verplicht. Artikel 5, § 1 somt de personen en de instanties op die gehouden zijn tot deelname aan het operationele informatiesysteem. Dat zijn met name: 1° de zorgverstrekkers, voor de activiteiten van zorgverlening waarvoor ze door de Vlaamse Regering erkend zijn of op enigerlei wijze door de Vlaamse Regering gefinancierd worden en voor

de

activiteiten

in

het

kader

van

een

preventieprogramma;

2° de organisaties met terreinwerking, voor de activiteiten van zorgverlening waarvoor ze door de Vlaamse Regering erkend zijn of op enigerlei wijze door de Vlaamse Regering gefinancierd worden en voor de activiteiten in het kader van een preventieprogramma; 3° de informatieknooppunten; 4° de diensten, belast met de organisatie van een preventieprogramma of met het toezicht op de aanwending van de middelen in een preventieprogramma, in zoverre ze daarvoor moeten kunnen beschikken over persoonsgegevens van een zorggebruiker. Paragraaf 2 van hetzelfde artikel somt dan de personen en de instanties op die moeten deelnemen aan het epidemiologische informatiesysteem. De punten 1° en 2° komen overeen met de eerste paragraaf van artikel 5. Voor de rest zijn nog “de informatieknooppunten die opdrachten uitvoeren als bedoeld in artikel 2, 9°, b) van het Decreet, de epidemiologische registers, de Logo’s, de intermediaire organisaties en de administratie” gehouden tot participatie aan het epidemiologisch systeem.

293

www.medinews.be/full_article/detail.asp?aid=7075 . S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, randnummer 902, 350. 295 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 245. 294

73

3.6.4. Het individueel gezondheidsdossier 149. Er bestaan reeds drie klassieke medische dossiers, namelijk het dossier dat zich bij uw huisarts bevindt, het verpleegkundig dossier en het medisch dossier. Het dossier bij de huisarts wordt ook het algemeen of het globaal medisch dossier genoemd. De laatste twee dossiers vormen samen het patiëntendossier, bijgehouden in en door het ziekenhuis.296 Het G.I.S.-decreet voert naast deze reeds bestaande dossiers, een nieuw dossier in.

Het operationeel systeem optimaliseert, zoals hierboven reeds vernoemd, de onderlinge gegevensuitwisseling tussen zorgverstrekkers en zorgaanbieders (zowel individuen als organisaties) in het kader van individuele zorgverlening.297 De verplichte deelname aan het operationeel gezondheidsinformatiesysteem houdt in dat elke zorgverstrekker, voor de zorggebruikers aan wie hij zorgen verleent, een individueel gezondheidsdossier en een elektronische registratie van de meest relevante gegevens uit dat individuele dossier zal moeten bijhouden.298 Artikel 2, 8° van het decreet van 16 juni 2006 betreffende het gezondheidsinformatiesysteem stelt dat het individueel gezondheidsdossier omschreven kan worden als “de verzameling van alle gegevens die op papier of op een andere informatiedrager over een zorggebruiker geregistreerd worden door een zorgverstrekker of een organisatie met terreinwerking in het kader van de zorgverlening.”

Met de elektronische registratie van die meest relevante gegevens wil men komen tot een uniforme en gestandaardiseerde samenvatting van het individueel gezondheidsdossier. Artikel 13, § 1 van het Decreet stelt dat het individuele gezondheidsdossier de basis vormt voor de elektronische registratie. De verplichte elektronische registratie in het operationele informatiesysteem moet dan op zijn beurt de basis vormen voor het epidemiologisch systeem. Dat is logisch, het Gezondheidsinformatiesysteem wil alle gegevens van één zorggebruiker in één relationeel bestand samenbrengen. Verder zullen deze gegevens gecodeerd worden en gebruikt worden voor beleidsvoorbereiding, beleidsevaluatie, programmatie en planning van zorgvoorziening, kwaliteitsbewaking en monitoring van ziektes en risico‟s.299

296

S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 303-308, nr. 755-769. 297 K. COLPAERT, K. GEENENS en W. VANDERPLASSCHEN, “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie OostVlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 38, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . 298 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 246. 299 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 246.

74

Dit individueel gezondheidsdossier bevat dus onder andere gegevens300 met betrekking tot de identiteit, geslacht, geboortedatum van de patiënt, de reden van het consultatie bij de arts of de aandoening, alsook een chronologisch overzicht van de verstrekte zorgen.301

3.6.5. Arrest Grondwettelijk Hof van 14 februari 2008 150. In het arrest nr. 15/2008, dat hierboven in verband met de restrictieve interpretatie van artikel 7, § 2 Wet Verwerking Persoonsgegevens reeds aan bod gekomen is (randnummer 98), heeft het Grondwettelijk Hof enkele bepalingen van het G.I.S.-Decreet vernietigd.

151. Artikel 19, § 1 van het Decreet wordt vernietigd in zoverre het niet voorziet in een schriftelijke toestemming van de patiënt. Het Hof was van oordeel dat “de voorwaarde in artikel 4 van het decreet van 16 juni 2006, dat stelt dat de gegevensuitwisseling noodzakelijk moet zijn om de continuïteit en de kwaliteit van de zorgverlening te verzekeren, dermate ruim is dat zij onvermijdelijk ook gegevensuitwisselingen zal betreffen die niet onder de in artikel 7, § 2 van de Privacywet vermelde uitzonderingen ressorteren, zodat voor deze verwerkingen die niet in artikel 7, § 2 voorkomen, de schriftelijke toestemming van de betrokken persoon vereist is. Door de algemene bewoordingen waarin het is gesteld, doet artikel 19, § 1 van het decreet van 16 juni 2006 afbreuk aan de bescherming waarin artikel 7, § 2, a) van de Privacywet in voorziet door de vereiste van een schriftelijke toestemming van de betrokken patiënt voor de verwerking van gezondheidsgegevens in het leven te roepen.” Het Hof stelt dus dat “artikel 19, § 1 decreet van 16 juni 2006 vernietigd moet worden in zoverre het niet voorziet in de schriftelijke toestemming van de zorggebruiker.”302

152. Vervolgens heeft het Hof ook artikel 19, § 4, 2° en 3° van het Decreet vernietigd. Het Grondwettelijk Hof was de mening toegedaan dat “wat de stilzwijgende toestemming betreft, die verondersteld wordt bij de overzending van de gegevens in het kader van samenhangende activiteiten van zorgverlening of van een preventieprogramma, artikel 19, § 4, 2° en 3°, om dezelfde reden als aangegeven in B.27, afbreuk doet aan de minimale bescherming die wordt geboden door artikel 7 van de wet van 8 december 1992.”303

153. Tenslotte werd ook artikel 43, § 1, lid 2 vernietigd door het Grondwettelijk Hof. Het Hof heeft geoordeeld dat omwille van “de in artikel 43, § 1, tweede lid bedoelde onrechtstreekse inzage, die eveneens van toepassing is op de persoonlijke notities die bijgehouden worden door de zorgverstrekkers bedoeld in het voormelde koninklijk besluit nr. 78, de toekenning betreft van een 300

Art. 7 Decreet 16 juni 2006 betreffende het gezondheidsinformatiesysteem. S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 350, nr. 902. 302 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 236; www.const-court.be , B. 27. 303 www.const-court.be , B. 30. 301

75

recht op informatie aan de patiënt-zorggebruiker en daardoor een essentieel aspect raakt van de verhouding tussen de bedoelde zorgverstrekkers en hun patiënten. En dit terwijl deze verhouding behoort tot de residuaire bevoegdheid van de federale wetgever in verband met de uitoefening van de geneeskunst.” Volgens het Hof is er “ook niet aangetoond dat die bepaling noodzakelijk zou zijn in het kader van een doelmatige uitoefening van de aan de decreetgever toegewezen bevoegdheid.”304

3.6.6. Verhouding tot het eHealth-platform 154. Hierboven is het eHealth-systeem besproken. Dat eHealth-platform is een feit. Het bestaan van dat platform heeft tot gevolg dat het Vlaamse Informatiesysteem met het federale eHealth-platform gecoördineerd zal moeten worden. De reden is dat de regeling van het medisch dossier van de ziekenhuizen of het algemeen medisch dossier bij de huisartsen tot de federale bevoegdheid behoort. Maar bepaalde gegevens uit die dossiers vallen echter onder de verplichte elektronische registratie ingevolge het Vlaamse decreet betreffende het Gezondheidsinformatiesysteem.305 Deze twee systemen moeten op elkaar afgestemd worden. Wat nog opgemerkt kan worden, is dat het eHealth-platform een facultatief systeem is, terwijl het Gezondheidsinformatiesysteem verplicht gesteld is. Nog een ander verschil tussen beide systemen is dat het eHealth-platform voor zijn werking zelfs niet tot het federale niveau beperkt blijft, terwijl het Gezondheidsinformatiesysteem slechts gelding heeft binnen de Vlaamse Gemeenschap.

3.6.7. EU - Gezondheidsinformatiesysteem 155. De gezondheidsstrategie van de EU is voornamelijk gericht op samenwerking en coördinatie, uitwisseling van empirisch onderbouwde informatie en kennis en ondersteuning van de nationale besluitvorming. De EU ontwikkelt daarom een compleet gezondheidsinformatiesysteem dat in alle EU-landen toegang biedt tot betrouwbare actuele informatie over de belangrijkste onderwerpen op het gebied van de gezondheid. Dat helpt ook bij gemeenschappelijke analyses van gezondheidsfactoren. Ook wenst de EU de capaciteit te vergroten om snel op gezondheidsbedreigingen te reageren. Het versterkt daarom de epidemiologische surveillance en de bestrijding van overdraagbare ziekten. Andere doelstellingen zijn de veiligheid van patiënten en de kwaliteit van de geneeskundige verzorging, wat grensoverschrijdende gezondheidszorg en mobiliteit van gezondheidswerkers en patiënten vergemakkelijkt.306

304

www.const-court.be , B. 16. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 246. 306 http://ec.europa.eu/health-eu/health_in_the_eu/policies/index_nl.htm . 305

76

3.7. Privacyreglement in een ziekenhuis 156. Op grond van de Wet Verwerking Persoonsgegevens en de daaruit vloeiende verplichtingen voor verschillende instanties om het privéleven van de patiënten te beschermen, moeten ziekenhuizen vanaf 1 augustus 1995 voorzien in een privacyreglement. Dat wordt verplicht gesteld door het Koninklijk Besluit van 16 december 1994.307 Het privacyreglement is dus een intern reglement opgemaakt per ziekenhuis. Dat reglement probeert verschillende vragen in verband met handelingen die de privacy van de patiënten kunnen bedreigen, te beantwoorden.

157. Het reglement moet onder andere vermelden welke categorieën personen toegang hebben tot het verkrijgen van medische persoonsgegevens. Het reglement moet ook de beveiligingsprocedures vermelden om toevallige of ongeoorloofde vernietiging van gegevens, toevallig verlies of ongeoorloofde toegang, wijziging of verspreiding van gegevens tegen te gaan. Daarnaast moet het reglement de persoonlijke rechten van de patiënten aan hen meedelen.308 De patiënten hebben dus niet het recht om het volledige reglement in te kijken, maar enkel de rechten die aan hen toegekend werden. Dat is te begrijpen aangezien het reglement verscheidene bepalingen bevat die de beveiliging van de gegevens regelen. Het KB bevat geen bepalingen over de wijze en het tijdstip van het meedelen van de persoonlijke rechten aan de patiënten. De meest aangewezen wijze van meedelen is die waar de informatie toepasselijk is, en aangepast is aan de situatie. De mededeling aan de patiënt kan best individueel gebeuren.309

Zoals hierboven reeds vermeld, is de bedoeling van die Privacyreglementen dat de ziekenhuizen antwoorden formuleren op verschillende vragen. Dat zal niet altijd even makkelijk zijn. Zo moet er bijvoorbeeld een antwoord geformuleerd worden op de vraag „onder welke voorwaarden medische persoonsgegevens verstrekt kunnen worden van één dienst naar een andere dienst in kader van de hulpverlening?‟ Een volgend voorbeeld is de vraag „of de medische gegevens buiten het ziekenhuis gebruikt kunnen worden ten dienste van planning, beleid en beheer?‟ Nog een andere vraag die in het reglement moet worden beantwoord is „of dezelfde regels ook gelden bij overdracht van dossiers ingeval van fusies?‟310

307

KB 16 december 1994 houdende wijziging van het KB 23 oktober 1964 tot bepaling van de normen die door de ziekenhuizen en hun diensten moeten worden nageleefd, BS 31 januari 1995. 308 S. CALLENS en J. PEERS, Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 345, nr. 891. 309 S. Callens, “Privacyreglement van het ziekenhuis”, A. Hosp. 1995, afl. 1, 73. 310 S. Callens, “Privacyreglement van het ziekenhuis”, A. Hosp. 1995, afl. 1, 74.

77

3.8. Praktijkvoorbeeld: HERMES, Huisartsenplatform voor ERapportering en Medische Elektronische Samenwerking 158. Met betrekking tot de laatste vraag die hierboven gesteld is, kan er verwezen worden naar een voorbeeld uit de praktijk, namelijk HERMES. HERMES staat voor het Huisartsenplatform voor ERapportering en Medische Elektronische Samenwerking. Dat platform is ontstaan naar aanleiding van de fusie van het AZ Heilig Hart Asse/Ninove en het O.L.Vrouwziekenhuis Aalst. Het fusieziekenhuis, genaamd O.L.Vrouwziekenhuis, biedt nu op 3 campussen zijn diensten aan, namelijk Aalst, Asse en Ninove.311

159. Ten gevolge van die fusie is HERMES geboren. Drie ziekenhuizen zijn dus gefusioneerd tot één ziekenhuis. Dat impliceert dat alle medische dossiers van de verschillende ziekenhuizen overgedragen zijn naar dit ene ziekenhuis. Het platform biedt aan de huisartsen de mogelijkheid om bepaalde gegevens van hun patiënten in te kijken via de centrale resultatenserver van het ziekenhuis. Door dat platform te gebruiken kan men snel en doeltreffend medische informatie van bepaalde patiënten terugvinden. Om de continuïteit van de zorg te verzekeren, is het belangrijk dat de huisarts op de hoogte is van de meest recente medische gegevens van zijn patiënten.

160. Opdat de huisarts toegang zou verkrijgen tot die interne bestanden van het ziekenhuis, moeten er drie voorwaarden vervuld zijn. Vooreerst heeft de patiënt de mogelijkheid om de inzage in die gegevens door zijn huisarts uitdrukkelijk te weigeren. Als de patiënt dat niet uitdrukkelijk weigert, heeft de huisarts automatisch inzage in de interne bestanden, weliswaar na vervulling van de andere voorwaarden. De patiënt kan wel te allen tijde zijn toestemming intrekken door een gestandaardiseerd document in te vullen en te ondertekenen. Vervolgens moet de arts een aanvraag ingediend hebben bij de IT-dienst van het ziekenhuis. De laatste voorwaarde om de patiëntengegevens te kunnen inzien, is dat de huisarts geregistreerd moet staan in het ziekenhuis. Met andere woorden, enkel de huisarts die geregistreerd staat, heeft inzage in de gegevens. Maar het is niet ondenkbaar dat bijvoorbeeld een collega-arts uit de groepspraktijk de medische gegevens van een bepaalde patiënt moet inkijken in het belang van de zorgverlening ten aanzien van die patiënt. Die collega-arts kan ook de patiëntengegevens inkijken op voorwaarde dat hij hiervoor toelating krijgt van de vaste huisarts van de betrokken patiënt. Vervolgens moet die collega-arts ook een specifieke toelating vragen aan het ziekenhuis en hij zal steeds de reden voor de inzage in de medische gegevens moeten meedelen.312

161. Samenvattend kan men dus stellen dat dit platform de informatiedoorstroming efficiënter en sneller beoogt te maken. Dat is een heel groot voordeel. Maar het brengt natuurlijk grote risico‟s mee 311 312

www.olvz.be/olv_web_includes_tab.jsp?page=1581 . www.gka.be/app4n0208.pdf .

78

met betrekking tot de privacy van de betrokken patiënten. Het O.L.Ziekenhuis probeert hieraan tegemoet te komen en heeft daarom voorzien in een vorm van bescherming. Binnen het ziekenhuis worden alle handelingen met betrekking tot de inzage in patiëntengegevens bijgehouden en geregistreerd. De hoofdarts krijgt nog een extra opdracht met betrekking tot het bewaren van de veiligheid en de integriteit van de gegevens. Hij moet namelijk maandelijks elke uitwisseling van gegevens volgen. Ook de huisarts kan, op voorwaarde dat hij hiervoor de reden opgeeft, de details van de uitwisselingen inkijken. De huisarts kan de hoofdarts van het ziekenhuis dan vervolgens belasten met een verzoek tot onderzoek om verdere controles uit te voeren. Daarnaast kunnen ontevreden patiënten steeds terecht bij de betrokken arts en in laatste instantie bij de ombudsdienst van het ziekenhuis.313

162. Concreet bestaat HERMES vandaag uit twee onderdelen. Het eerste onderdeel is de Medibridgeen Opname-berichten. De Centrale resultatenserver is het tweede onderdeel. Het onderdeel Medibridge- en Opname-berichten zorgt ervoor dat huisartsen opnameberichten, laboratoriumuitslagen en ontslagbrieven elektronische toegestuurd krijgen. Via de Centrale resultatenserver kunnen huisartsen online medische verslagen, technische protocols en laboratoriumresultaten consulteren. Via het eerste onderdeel wordt bepaalde informatie elektronisch doorgestuurd naar huisartsen. Via het laatste onderdeel kunnen huisartsen online, wanneer zij toegang verkregen hebben, medische informatie betreffende hun patiënten raadplegen.314 163. Dit voorbeeld uit de praktijk toont aan dat de elektronische uitwisseling een “hot item” is in de maatschappij. De voordelen zijn enorm groot. Toch mag men de nadelen niet uit het oog verliezen. Ondanks de voorzorgen die genomen worden om de risico‟s te neutraliseren, mag men zeker het toezicht op het systeem niet uit het oog verliezen. Het is zeer belangrijk dat alle handelingen van nabij gecontroleerd worden. Men mag niet vergeten dat zo‟n uitwisselingssysteem slechts zo sterk is als de zwakste schakel. Wanneer één van de voorzorgen die genomen worden, niet meer functioneert, welke implicaties heeft dit dan op de werking van het volledige systeem? En vooral, welke weerslag heeft dit op de privacy van de patiënten? Niet alles kan wettelijk geregeld worden. Risico‟s kunnen nooit volledig uitgesloten worden. Het is dan ook aan de instellingen om “oplossingen” te voorzien die aan eventuele inbreuken tegemoetkomen.

313 314

www.gka.be/app4n0208.pdf . www.olvz.be/olv_web_includes_tab.jsp?page=3469 .

79

3.9. Nederland 164. Nederland, maakt net zoals ons land, deel uit van Europese Unie. Daaruit volgt dat ook Nederland de Europese Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, moest omzetten in haar nationale recht. Voor Nederland is de omzetting van de Privacyrichtlijn gebeurd in de Wet Persoonsregistraties, afgekort de WPR. Deze laatste wet is vervolgens vervangen door de Wet van 6 juli 2000 houdende regels inzake de bescherming van persoonsgegevens, kortweg de Wet bescherming persoonsgegevens, de WBP.315

3.9.1. De Nederlandse Wet Bescherming Persoonsgegevens 3.9.1.1. Krachtlijnen WBP 165. Kort samengevat geeft de WBP aan wat de rechten zijn van iemand van wie gegevens gebruikt worden en wat de plichten zijn van de instanties of bedrijven die de gegevens gebruiken. De WBP stelt eisen aan de verwerking van persoonsgegevens. Een organisatie mag persoonsgegevens alleen verzamelen en verwerken als daar een goede reden voor is. Ook mag men gegevens verwerken wanneer de betrokken burger toestemming gegeven heeft voor het gebruik van zijn gegevens. De organisatie mag niet meer gegevens verwerken dan strikt noodzakelijk is voor het doel waarvoor ze zijn verzameld. De gegevens mogen ook niet langer bewaard worden dan noodzakelijk. De organisatie moet ook passende technische en organisatorische maatregelen treffen om de gegevens te beschermen. Vervolgens moet zij de verwerking in veel gevallen melden aan het College Bescherming Persoonsgegevens.

Eveneens

moet

de

betrokkene

altijd

geïnformeerd

zijn

over

de

gegevensverwerking.316

3.9.1.2. Begripsomschrijvingen 166. Artikel 1 van de Wet van 6 juli 2000 definieert een aantal begrippen. Bijna alle omschrijvingen van de begrippen komen min of meer overeen met de definities die in de Belgische wet terug te vinden zijn. Dat is natuurlijk logisch, want zij waren reeds gedefinieerd in de Europese Privacyrichtlijn. En deze richtlijn moest omgezet worden in het nationale recht van de verschillende lidstaten.

167. Eén klein verschil met de Belgische omzettingswet is terug te vinden bij de definiëring van het begrip “verwerking.” De Belgische wet bevat de zinsnede “…, al dan niet uitgevoerd met behulp van 315 316

Deze afkorting zal verder in deze masterproef gebruikt worden. www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp .

80

geautomatiseerde procedés, …” Deze zinsnede staat eveneens in de Europese Richtlijn,317 maar het ontbreekt in de Nederlandse omzettingswet.318 Mijns inziens geeft dat geen aanleiding tot problemen. Zowel de Europese Richtlijn als de Belgische omzettingswet stellen uitdrukkelijk in de definiëring van het begrip “verwerking” dat de bewerking al dan niet uitgevoerd kan worden door middel van een geautomatiseerd procedé. De bewerking hoeft dus niet uitgevoerd te zijn met behulp van een geautomatiseerd procedé. De Nederlandse wet daarentegen vernoemt deze zinsnede niet. Waardoor, mijns inziens, handelingen met en zonder behulp van geautomatiseerde procedés onder het begrip “verwerking” vallen. Dat wordt dan ook ondersteund door artikel 2, 1 van de Nederlandse omzettingswet dat het materiële toepassingsgebeid van de wet omschrijft.

168. In de oude Nederlandse omzettingswet, de Wet Persoonsregistraties, werd gebruik gemaakt van het begrip “persoonsregistraties” in plaats van het begrip “verwerking van persoonsgegevens.” Het begrip “persoonsregistratie” werd omschreven als “een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg gevoerd wordt of met het oog op een doeltreffende raadpleging van die gegevens, systematisch aangelegd is.” Deze term kreeg veel kritiek. Eén van de kritieken was dat de niet-geautomatiseerde medische dossiers pas als een persoonsregistratie beschouwd konden worden indien aan drie voorwaarden voldaan was. Ten eerste moest er sprake zijn van een samenhangende verzameling, ten tweede moest die verzameling betrekking hebben op verschillende personen en als laatste voorwaarde moest die verzameling met het oog op een doeltreffende raadpleging van die gegevens, systematisch aangelegd zijn.319

In de nieuwe wet bescherming persoonsgegevens van 6 juli 2000, de WBP, is dit begrip vervangen door het begrip “verwerking van persoonsgegevens”, overeenkomstig het Europese recht. Nu wordt onder “persoonsgegevens” “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” verstaan. Onder de “verwerking van persoonsgegevens” wordt nu “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken

door

middel

van

doorzending,

verspreiding

of

enige

andere

vorm

van

317

http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=nl&type_doc=Directive&an_doc =1995&nu_doc=46 . 318 www.cbpweb.nl/Pages/ind_wetten_wbp_wbp.aspx , www.cbpweb.nl/downloads_wetten/wbp.pdf . 319 S. CALLENS, Goed geregeld? Gebruik van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 203-204, nr. 231.

81

terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens” verstaan.

3.9.1.3. Toepassingsgebied 3.9.1.3.1. Toepassingsgebied ratione materiae 169. Artikel 2, 1 van de Nederlandse Wet Bescherming Persoonsgegevens bepaalt het materiële toepassingsgebied. De Wet Bescherming Persoonsgegevens is van toepassing op “de geheel of gedeeltelijk

geautomatiseerde

verwerking

van

persoonsgegevens,

alsmede

op

de

niet-

geautomatiseerde verwerking van persoonsgegevens die in een bestand opgenomen zijn of die bestemd zijn om daarin te worden opgenomen.” Dat artikel houdt geen enkel verschil in met de artikel 3 van de Belgische wet van 8 december 1992. Beide artikelen zijn dan ook woordelijk overgenomen uit de tekst van de Europese Privacyrichtlijn.

170. Vervolgens somt de Europese Richtlijn, na het materiële toepassingsgebied, de gevallen op waar de richtlijn niet op van toepassing is. De Richtlijn bepaalt in artikel 3, 2 dat zij niet van toepassing is “op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de Staat (waaronder de economie van de Staat, wanneer deze verwerkingen in verband staan met vraagstukken van Staatsveiligheid), en de activiteiten van de Staat op strafrechtelijk gebied; en op de verwerking van persoonsgegevens die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden verricht wordt.” De Nederlandse Wet Bescherming Persoonsgegevens bepaalt in haar artikel 2, 2 en 3 de gevallen waarop de wet niet van toepassing is. Ook artikel 3 van diezelfde wet bepaalt waarop zij niet van toepassing is. De WBP is onder andere niet van toepassing op de verwerking van persoonsgegevens “ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden; door of ten behoeve van de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2002; ten behoeve van de uitvoering van de politietaak, bedoeld in de artikelen 2 en 6, eerste lid, van de Politiewet 1993; die is geregeld bij of krachtens de Wet gemeentelijke basisadministratie persoonsgegevens; ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens en ten behoeve van de uitvoering van de Kieswet.”320 De Belgische Wet omschrijft in haar artikel 3, § 2 waarop zij niet van toepassing is. Eén bepaling komt woordelijk terug bij zowel de Nederlandse als de Belgische Wet, namelijk dat zij niet van toepassing zijn op “de verwerking van gegevens die door een natuurlijk persoon in 320

Art. 2, 2 Nederlandse Wet 6 juli 2000 houdende de bescherming van persoonsgegevens.

82

activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden verricht wordt.”321 Wat dus niet door de Europese Richtlijn en bijhorende omzettingswetten beschermd wordt is de opname van persoonsgegevens - waaronder telefoonnummers, adressen, naam, … - in adressenboekjes, telefoonlijsten, enzoverder en die gebruikt worden voor privédoeleinden.

3.9.1.3.2. Toepassingsgebied ratione loci 171. De WBP is niet alleen van toepassing op de verantwoordelijke die zich in Nederland bevindt. Eveneens is de Wet Bescherming Persoonsgegevens van toepassing wanneer de verantwoordelijke voor de verwerking in het buitenland gevestigd is en in het kader van activiteiten van een vestiging van deze verantwoordelijke in Nederland, persoonsgegevens verwerkt worden.322 Dat is terug te vinden in artikel 4, lid 1 van de WBP. Artikel 4, lid 2 van voorgaande Wet bepaalt dat zij verder ook van toepassing is op het geval waar gegevens verwerkt worden met behulp van middelen die zich in Nederland bevinden, terwijl de verantwoordelijke voor de verwerking zich niet in Nederland en ook niet in een andere lidstaat van de Europese Unie bevindt. In dat geval schrijft lid 3 van hetzelfde artikel voor dat de verwerking van de persoonsgegevens alleen mag plaatsvinden indien de verantwoordelijke in Nederland een persoon of een instantie aanwijst die namens de verantwoordelijke handelt.323

3.9.1.4. Algemene beginselen i.v.m. de verwerking van persoonsgegevens 172. Net zoals voor de verwerkingen van persoonsgegevens die vallen onder de Belgische Privacywet, gelden er voor de verwerkingen van persoonsgegevens vallende onder de Nederlandse wet ook een aantal beginselen. Deze moeten gedurende de verwerking gerespecteerd worden. Deze beginselen zijn het rechtmatigheidsbeginsel, het finaliteitsbeginsel, het legaliteits- of transparantiebeginsel, het beginsel van niet-onverenigbaarheid of het proportionaliteitsbeginsel. Daarnaast moet er bij de verwerking ook nog rekening gehouden worden met het kwaliteitsbeginsel en het beginsel van veiligheid.324 Die beginselen vindt men terug in de artikelen 6 tot en met 14 van de WBP. De wetgever legt hierin uit wat men onder die bepalingen dient te verstaan. Deze beginselen komen overeen met de beginselen van de Belgische wet. Dat is vanzelfsprekend omdat ze reeds door de Europese Privacyrichtlijn waren omschreven. 321

Art. 3, § 2 Belgische Wet 8 december 1992 houdende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens; Art. 2, 2, a Nederlandse Wet 6 juli 2000 tot bescherming van persoonsgegevens. 322 H.H. DE VRIES en D.J. RUTGERS, Wet bescherming persoonsgegevens. Toepassing in arbeidsverhoudingen, Deventer, Kluwer, 2001, 20. 323 H.H. DE VRIES en D.J. RUTGERS, Wet bescherming persoonsgegevens. Toepassing in arbeidsverhoudingen, Deventer, Kluwer, 2001, 21. 324 H.H. DE VRIES en D.J. RUTGERS, Wet bescherming persoonsgegevens. Toepassing in arbeidsverhoudingen, Deventer, Kluwer, 2001, 22.

83

Zoals hoger reeds is gezien, is de verwerking van gevoelige gegevens, omwille van de inbreuken op de privacy die de verwerking kan meebrengen, slechts toegelaten in welbepaalde gevallen. En in die gevallen moet de verwerking dan ook voldoen aan de beginselen die door de Richtlijn en de omzettingswetten voorzien zijn. Die beginselen zorgen ervoor dat de impact op de privacy van de betrokkenen zo minimaal mogelijk blijft. Dat was dan ook één van de doelstellingen van de Europese Richtlijn.

3.9.1.5. De verwerking van bijzondere persoonsgegevens 173. Wat meteen opvalt, wanneer men de Belgische Wet en de Nederlandse Wet naast elkaar legt, is dat de Belgische Wet de bijzondere categorieën persoonsgegevens in aparte artikelen bespreekt, dit in tegenstelling tot de Nederlandse Wet..

174. Artikel 6 van de Belgische WVP handelt over de verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijkt. Artikel 7 van de Belgische WVP bepaalt de regels in verband met de verwerking van persoonsgegevens die de gezondheid betreffen. En artikel 8 van de Belgische WVP handelt over de verwerking van persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken, administratieve gerechten, geschillen inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven of inzake administratieve sancties of veiligheidsmaatregelen. De artikelen werken het principe en de uitzonderingen verder uit. In de Nederlandse Wet, de WBP, bepaalt artikel 16 de regels in verband met de bijzondere categorieën persoonsgegevens. Dat artikel stelt dat “de verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, verboden is, behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.” Artikel 16 vernoemt dus alle bijzondere categorieën persoonsgegevens. Maar de Nederlandse WBP werkt de principes en bijhorende uitzonderingen wel uit in aparte artikels.

3.9.1.5.1. Gezondheidsgegevens 175. Het principe in verband met de verwerking van gezondheidsgegevens is neergeschreven in artikel 16 WBP. Omwille van het gegeven dat de verwerking van gezondheidsgegevens inbreuken op het recht op privacy van de betrokkenen kan meebrengen, is de verwerking van dergelijke gegevens in principe verboden. Maar voor bepaalde doeleinden is toch vereist dat bepaalde gevoelige gegevens verwerkt worden. Daarom heeft de Europese wetgever voorzien in uitzonderingen op het verbod tot

84

verwerking van gevoelige gegevens, waaronder gezondheidsgegevens. Deze uitzonderingen worden beschreven in artikel 21 WBP.

176. Kortom, het uitgangspunt van de WBP is dus dat men persoonsgegevens betreffende de gezondheid niet mag verwerken. Maar de WBP kent een aantal algemene en een aantal specifieke uitzonderingen op dit verbod tot verwerken. Persoonsgegevens betreffende de gezondheid omvatten, zoals hoger reeds geschreven, alle gegevens die de geestelijke of de lichamelijke gezondheid van een persoon betreffen.325 De WBP vermeldt in artikel 21 een aantal groepen van verantwoordelijken, die onder bepaalde voorwaarden, in ieder geval gegevens over iemands gezondheid mogen verwerken. Onder die groepen zijn onder andere ziekenhuizen, verzekeraars, de raad voor kinderbescherming, instellingen voor maatschappelijke dienstverlening, enzovoort, begrepen. De WBP beperkt wel de doeleinden waarvoor die groepen gezondheidsgegevens mogen verwerken.326

177. Een verschil met de Belgische Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, is dat de Nederlandse Wet Bescherming Persoonsgegevens een aparte bepaling bevat omtrent het verwerken van gegevens over erfelijke eigenschappen. Deze gegevens mogen alleen verwerkt worden ten aanzien van de persoon bij wie deze zijn verkregen. Als een persoon erfelijkheidsgegevens over zichzelf verstrekt aan een verzekeraar voor het afsluiten van een levensverzekering, mogen deze erfelijkheidsgegevens alleen met betrekking tot hemzelf gebruikt worden en niet met betrekking tot familieleden op wie die gegevens noodzakelijkerwijs ook betrekking hebben.327

178. Net zoals artikel 7, § 4 , lid 3 van de Belgische Wet van 8 december 1992, bevat de Nederlandse Wet ook een bepaling die een geheimhoudingsplicht oplegt aan degene die persoonsgegevens verwerken.328 Dat natuurlijk voor zover er op deze personen geen geheimhoudingsplicht rust op grond van hun beroep, een ander wettelijke voorschrift of krachten een overeenkomst. Deze plicht tot geheimhouding mag doorbroken worden wanneer de verantwoordelijke voor de verwerking “door de wet tot mededeling verplicht wordt of wanneer uit zijn taak de noodzaak voortvloeit om gegevens mee te delen aan anderen die krachtens het eerste lid van artikel 21 bevoegd zijn tot de verwerking daarvan.”

325

www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp , brochure de Wet bescherming persoonsgegevens. 326 www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp , brochure de Wet bescherming persoonsgegevens. 327 www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp , brochure de Wet bescherming persoonsgegevens. 328 Art. 21, lid 2 Wet 6 juli 2000 houdende bescherming persoonsgegevens.

85

179. Artikel 21 somt de personen of organisaties op die persoonsgegevens betreffende de gezondheid mogen verwerken. Het artikel vormt dus de bijzondere uitzonderingsgronden op het verbod. Daarnaast zijn er ook algemene uitzonderingsgronden. Deze uitzonderingsgronden kunnen spelen indien het verbod op het verwerken van bijzondere persoonsgegevens niet opgeheven kan worden door één van de specifieke uitzonderingsgronden voorzien in artikel 21, lid 1 WBP.329 Deze algemene uitzonderingsgronden zijn terug te vinden in artikel 23 WBP.

De gevoelige of bijzondere persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid kunnen vooreerst verwerkt worden indien de betrokken patiënt zijn toestemming geeft voor de verwerking. Deze toestemming moet uitdrukkelijk zijn.330 Dat is overgenomen uit de Europese wetgeving.331 Hierin kan een verschil gevonden worden met de Belgische wetgeving. Artikel 7, § 4 WVP stelt dat de persoonsgegevens betreffende de gezondheid verwerkt mogen worden indien de betrokkene “schriftelijk” toegestemd heeft. De Nederlandse Wet gebruikt de term “uitdrukkelijk”. Uitdrukkelijke toestemming betekent dat de betrokkene expliciet zijn wil geuit moet hebben. Wat meteen opvalt is dat een uitdrukkelijke toestemming een strengere voorwaarde is dan de “ondubbelzinnige toestemming” die vereist wordt om de verwerking van persoonsgegevens in het algemeen toe te staan. In de oude Wet, de Wet Persoonsregistraties, werd er voor de verwerking van persoonsgegevens in het algemeen een schriftelijke toestemming van de betrokken patiënt vereist. Dat is op basis van de nieuwe wet niet meer nodig, maar natuurlijk kan een schriftelijk bewijs wel handig zijn. De algemene uitzonderingsgrond op het verbod tot verwerken van gezondheidsgegevens vereist dus een uitdrukkelijke toestemming. Dat gaat nog verder dan die ondubbelzinnige toestemming. Om latere problemen te vermijden kan men dus, net zoals de Belgische Privacywet voorziet, het best opteren om de toestemming van de betrokkene op papier te zetten.332

Voor de verwerking van persoonsgegevens in het algemeen is dus op grond van de Europese Richtlijn een ondubbelzinnige toestemming van de betrokkene vereist. Voor de verwerking van gezondheidsgegevens moet de betrokkene, volgens de Richtlijn, uitdrukkelijk zijn toestemming verleend hebben. Dat is zo overgenomen in de Nederlandse Wet Bescherming Persoonsgegevens. De Belgische Wet stelt ook de ondubbelzinnige toestemming als voorwaarde voor de verwerking van persoonsgegevens in het algemeen. Voor de verwerking van gezondheidsgegevens gaat de Belgische 329

www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp , brochure de Wet bescherming persoonsgegevens. 330 Art. 23, lid 1, a Wet 6 juli 2000 houdende bescherming persoonsgegevens. 331 Art. 8, lid 2 Europese Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. 332 www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp , brochure de Wet bescherming persoonsgegevens, 21 en 50.

86

Wet iets verder en stelt een schriftelijke toestemming als voorwaarde. Maar mijns inziens moet de uitdrukkelijke toestemming schriftelijk opgenomen worden, om in de toekomst bewijsproblemen te vermijden.

De tweede algemene uitzonderingsgrond op het verbod tot het verwerken van onder andere gezondheidsgegevens speelt in het geval waar de gegevens reeds door de betrokkene, duidelijk, openbaar gemaakt zijn. Dat vindt men terug in artikel 23, lid 1, b WBP. Opdat de betrokkene zijn gegevens duidelijk openbaar gemaakt zou hebben, moet de intentie van de betrokkene duidelijk zijn. De betrokkene moet duidelijk met de gevoelige persoonsgegevens naar buiten komen.333

De laatste uitzonderingsgrond die de verwerking van gezondheidsgegevens toelaat, wordt in artikel 32, lid 1, c, d WBP beschreven. Wanneer die verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte of noodzakelijk ter voldoening van een volkenrechtelijke verplichting, mag de verwerking toegestaan worden.

In de Belgische wet worden de uitzonderingen op het verbod tot verwerking van gezondheidsgegevens niet onderverdeeld in algemene en specifieke uitzonderingen. Artikel 7, § 2 somt al de uitzonderingen op het verbod op.

3.9.1.6. Verschillen tussen de oude WPR en de nieuwe WBP 180. Zoals hoger reeds vermeld, zit één de van de grootste verschillen tussen de Wet Persoonsregistraties en de Wet Bescherming Persoonsgegevens in het gegeven dat de huidige wetgeving, net zoals de Belgische WVP, de term “persoonsgegevens” gebruikt. Nu vallen - naast het verwerken - ook het verkrijgen en het verzamelen onder de toepassing van deze wet.334

Een ander verschil tussen beide wetten, is dat de informatieverplichtingen voor de verantwoordelijke voor de verwerking in die nieuwe wet uitgebreid zijn, en dat op grond van de Europese Richtlijn. Net zoals de Belgische WVP in artikel 9 voorschrijft, moet de Nederlandse verantwoordelijke voor de verwerking de betrokkene over tal van zaken informeren, tenzij deze betrokkene reeds op de hoogte is. In de oude Nederlandse WPR moest de verantwoordelijke de betrokkene niet informeren, indien deze laatste “redelijkerwijs op de hoogte kon zijn.” Dat is dus een groot verschil met de nieuwe wetgeving. Eén van de belangrijkste doeleinden van de Europese richtlijn was dan ook het recht op het verkrijgen

333

www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp , brochure de Wet bescherming persoonsgegevens, 50. 334 www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp , brochure de Wet bescherming persoonsgegevens, 62.

87

van informatie in verband met de verwerking voor de betrokkene. Daarmee gelinkt heeft de betrokkene in de nieuwe wet in bepaalde gevallen een recht van verzet.335

3.9.2. College bescherming persoonsgegevens 181. Het College bescherming persoonsgegevens, het CBP, is de Nederlandse equivalent van de Belgische Commissie voor de bescherming van de persoonlijke levenssfeer, de CBPL, beter gekend als de Privacycommissie. Kort gezegd heeft het CBP als taak om toe te zien op het zorgvuldige gebruik en beveiliging van persoonsgegevens. Ook staan zij in om de privacy van de betrokkenen in de toekomst verder te waarborgen. Om deze privacy te blijven garanderen ziet het College dus toe op de naleving van onder andere de Wet Bescherming Persoonsgegevens.

182. Een belangrijke vereiste die de Europese Richtlijn aan de oprichting van die toezichthoudende autoriteit stelt, is dat zij moet functioneren in alle onafhankelijkheid. Dat wordt dan ook uitdrukkelijk in artikel 24, § 4 WVP en artikel 52, lid 2 WBP opgenomen.

183. Het volledige takenpakket van het College is bijna identiek aan die van de Commissie voor de bescherming van de persoonlijke levenssfeer in ons land. Een van de belangrijkste opdrachten die het College heeft is het ontvangen van de melding voorafgaand aan de verwerking. Voor haar andere taken wordt verwezen naar de taken van de Belgische Privacycommissie, neergeschreven in randnummer 117.

3.10. Verenigde Staten 184. Gegevens, en in het bijzonder gezondheidsgegevens, worden steeds vaker uitgewisseld over de landsgrenzen heen. Binnen het Europese Economische Gebied gelden er geen bijzondere beperkingen voor de grensoverschrijdende overdracht van persoonsgegevens. De Privacywet voorziet wel in een bijzondere regel voor de overdracht van persoonsgegevens naar landen buiten het Europese Economische Gebied.336 Maar hoe is de overdracht geregeld tussen een lidstaat van het Europese Economische Gebied en een land daarbuiten?

335

www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp , brochure de Wet bescherming persoonsgegevens, 62. 336 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 44.

88

3.10.1. Safe Harbor Principles 185. Wanneer er gegevens worden overgedragen binnen het Europese Economische Gebied mag de verantwoordelijke voor de verwerking er in beginsel van uitgaan dat de gegevens die hij verstuurt naar de verantwoordelijke voor de verwerking in die andere lidstaat, voldoende beschermd zullen zijn en dat de ontvangende lidstaat een passend beschermingsniveau zal waarborgen.337 Met betrekking tot de gegevensoverdracht aan derde landen bepaalt artikel 21, § 1, lid 1 van de Privacywet dat “persoonsgegevens die aan een verwerking onderworpen worden na doorgifte ervan aan een land buiten de Europese Gemeenschap, slechts doorgegeven mogen worden indien dat land een passend beschermingsniveau waarborgt en de andere bepalingen van deze wet en de uitvoeringsbesluiten ervan nageleefd worden.” Dat artikel stelt dus dat een verwerking slechts toegelaten is indien het land van de bestemming een regelgevend kader heeft dat een passend beschermingsniveau waarborgt. Het principe is dus dat de overdracht verboden is. Zij is wel toegelaten indien zij aan de voorwaarden voldoet.

186. De Europese Commissie beslist of een land van bestemming al dan niet over een regelgeving beschikt die voorziet in een passend beschermingsniveau. Zij onderzoekt frequent de toepasselijke wetgeving in specifieke landen en gaat na of deze voldoen aan de Europese normen. De Europese Commissie publiceert haar beslissingen, de zogenaamde “Adequacy Decisions”, op het internet. Tot dusver zijn enkel Canada, Guernsey, het Isle of

Man en Zwitserland als voldoende veilig

bestempeld.338

De Verenigde Staten nemen hierbij een bijzondere positie in. De bescherming van persoonsgegevens is in de Verenigde Staten niet onderworpen aan een algemene en horizontaal toepasselijke regelgeving, zoals dat in Europa wel het geval is. In de Verenigde Staten wordt geopteerd voor een sector- of onderwerpspecifieke regelgeving, waarbij persoonsgegevens al naar gelang het geval sterk, zwak of niet-beschermend kunnen zijn. Omwille van die onderwerpspecifieke regelgeving is het moeilijk om conclusies te trekken over het al dan niet passend beschermingsniveau van de Amerikaanse wetgeving. Daardoor heeft de Europese Commissie nog geen positieve beslissing genomen over de regelgeving in de Verenigde Staten. Zodoende is gekozen er voor een middenweg, onder de naam “Safe Harbor Principles.”339 Deze Principles of Veiligehavenbeginselen zijn uitgevaardigd aangezien er vaker gegevens betreffende de gezondheid uitgewisseld werden tussen Europa en de Verenigde Staten en er een onzekerheid heerste over de betekenis van het begrip “passend beschermingsniveau” dat artikel 21 van de Privacywet vereist.340 337

S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 346. J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 45. 339 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 45. 340 S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 346. 338

89

187. Deze Principles zijn het resultaat van onderhandelingen tussen de Europese Commissie en het U.S. Department of Commerce. Zij omvatten een korte lijst met zeven beginselen en een aantal vaak gestelde vragen, FAQ‟s - Frequently Asked Questions - die door het Department of Commerce uitgevaardigd zijn. Daarin wordt aan Amerikaanse ondernemingen uiteengezet aan welke verplichtingen zij moeten voldoen om Europese persoonsgegevens te mogen verwerken. De nadruk ligt op pragmatische informatieverstrekkingen. Deze beginselen dienen ook om de betrokken Amerikaanse onderneming toe te laten hun verplichtingen beter te begrijpen.341

188. Wat duidelijk gemaakt moet worden, is dat de Safe Harbor Principles slechts van toepassing zijn op de gegevens vanaf het moment dat zij naar de Verenigde Staten doorgegeven zijn. Dat wil dus zeggen dat vóór de doorgifte van gegevens naar de Verenigde Staten, de wetgeving van de lidstaten van toepassing blijft op het verzamelen en de verwerking van die gegevens.342

189. Echter, de Safe Harbor Principles hebben geen bindend karakter. De Amerikaanse ondernemingen hebben de keuze om al dan niet tot de Safe Harbor Principles toe te treden. Als een onderneming beslist om toe te treden, moeten zij de nodige procedures implementeren in hun organisatie en moeten zij hun naleving van de Safe Harbor Principles laten registreren bij het Department of Commerce.343

Het gevolg van die toetreding tot de Safe Harbor Principles is dat de betrokken onderneming beschouwd wordt als een organisatie die beschikt over een passend beschermingsniveau. Een onderneming die toegetreden is tot de Safe Harbor Principles mag dus persoonsgegevens uit Europa ontvangen en verder verwerken. Deze ondernemingen worden online gepubliceerd. Het succes van deze Safe Harbor Principles is gering te noemen want in eind 2008 – begin 2009 waren er nog maar 1300 ondernemingen tot deze Principles toegetreden.344

3.10.2. De HIPAA 3.10.2.1. Inleiding 190. Met betrekking tot de privacybescherming bestaat er in de Verenigde Staten de “Health Insurance Portability and Accountability Act”, of kortweg de “HIPAA” genoemd. Deze werd aangenomen in 1996.

341

J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 45. S. CALLENS en K. CIERKENS, “Juridische aspecten van e-Health in Europa”, T. Gez. 2007-2008, afl. 5, 346. 343 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 45. 344 J. DUMORTIER en H. GRAUX, Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 45-46. 342

90

191. De HIPAA bestaat uit twee titels. De eerste titel is gericht op individuele en collectieve ziektekostencontracten. Het tweede deel richt zich dan vooral op het transport en het beschikbaar stellen van medische informatie, en het vermijden van misbruik van die medische gegevens. In Europa is de HIPAA vooral gekend om haar “titel 2”, omdat hier uitdrukkelijk de privacybescherming voor de zorgsector is geregeld.345 Ook voor het onderwerp van deze masterproef is titel twee vernoemenswaardig.

192. De Health Insurance Portability and Accountability Act wordt gehandhaafd door het Office for Civil Rights, kortweg het OCR.346 Het OCR heeft als taak klachten betreffende inbreuken op de Privacy Rule te onderzoeken. Zowel organisaties als individuen mogen klachten indienen bij het OCR. De meest voorkomende klachten kunnen in vijf groepen onderverdeeld worden. Eerst en vooral klachten wegens het ongeoorloofd gebruik of zelfs openbaarmaking van beschermde medische informatie. Ten tweede klachten betreffende het gebrek aan voldoende veiligheidswaarborgen. De derde meest voorkomende klacht is deze waar personen geen toegang krijgen tot hun eigen medische dossiers. De vierde categorie klachten betreft de gevallen waar er meer informatie bekendgemaakt werd

dan

noodzakelijk.

beleidsmededelingen.

En

de

laatste

categorie

klachten

betreft

het

uitblijven

van

347

193. De HIPAA voorziet in bepalingen betreffende de toegang tot, het gebruik en de openbaarmaking van medische persoonsgegevens door de traditionele instellingen in de gezondheidszorg. Met deze regels wil men de vertrouwelijkheid van de gegevens beschermen en deze beveiligen tegen oneigenlijk gebruik/misbruik. Daarnaast wil men voorzien in de mogelijkheid om deze medische informatie snel toegankelijk te maken voor diegene die daarvoor een toelating hebben.348

194. De HIPAA-regelgeving bevat nog steeds verschillende lacunes. Op deze lacunes en de mogelijke oplossingen wordt verder ingegaan.

3.10.2.2. De verschillende “Rules” uit de HIPAA 195. De HIPAA bestaat uit vijf pakketten “Rules” : de Transactions and Code Sets Rule, de Security Rule, de Unique Identifiers Rule, de Enforcement Rule en van groot belang, de Privacy Rule.

345

www.cms.gov/HIPAAGenInfo/02_TheHIPAALawandRelated%20Information.asp#TopOfPage . www.hhs.gov/ocr/privacy . 347 M. MORAN, “The Proceedings of the Third Annual Partnership Conference on Public Health Law: Living With the HIPAA Privacy Rule”, The Journal of Law, Medecine and Ethics 2004, 73. 348 O‟NEILL INSTITUTE, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 121. 346

91

3.10.2.2.1. De HIPAA Transactions and Code Sets Rule 196. Deze Rule beschrijft een aantal standaardprotocollen die gevolgd moeten worden voor de overdracht van gegevens.

3.10.2.2.2. De HIPAA Security Rule 197. De HIPAA Security Rule specificeert een reeks van waarborgen, namelijk “administrative safeguards, physical safeguards and technical safeguards,” voor de covered entities die onder het toepassingsgebied vallen. De entiteiten moeten deze administratieve, fysieke en technische beveiligingsmaatregelen gebruiken om de vertrouwelijkheid, de integriteit van de medische gegevens te waarborgen, en de beschikbaarheid van elektronische beschermde gezondheidsinformatie te garanderen.349 De Security Rule vereist dat de entiteiten die onder toepassing van de HIPAA vallen, de elektronische opgenomen gezondheidsgegevens beveiligen.350 Deze Rule beschrijft dus vooral de beveiliging van beschermde gezondheidsgegevens door middel van die waarborgen.

198. Voor elk type van beveiligingsmaatregelen bepaalt de Security Rule verschillende veiligheidsstandaarden, en voor elk van die standaarden bepaalt de Rule “the required and the addressable specifications.” De “required specifications” moeten geïmplementeerd worden zoals de Security Rule voorziet. De “addressable specifications” zijn flexibel. De covered entities moeten naar hun eigen situatie kijken en nagaan wat de beste manier is om deze addressable specifications te implementeren. Tegenstanders zijn de mening toegedaan dat deze flexibiliteit ook problemen kan meebrengen, omwille van het feit dat ze te veel ruimte laten aan de covered entities.351

3.10.2.2.3. De HIPAA Unique Identifiers Rule 199. In deze Rule wordt bepaald dat iedere zorgverlener een uniek kenmerk krijgt, namelijk de National Provider Identifier.

3.10.2.2.4. De HIPAA Enforcement Rule 200. Op 16 maart

2006 is deze Enforcement Rule van kracht geworden. Deze Rule bevat de

strafbepalingen voor het schenden van de HIPAA Privacy Rule. Zij stelt de geldboetes vast die in

349

www.hhs.gov/ocr/privacy . www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/index.html . 351 www.training-hipaa.net/compliance/security_rule.htm . 350

92

civielrechtelijke procedures als sanctie opgelegd worden.352 Daarnaast bepaalt zij ook de procedures voor onderzoeken naar HIPAA-schendingen. Ook in onze wetgeving wordt de naleving van de bepalingen die de privacy van patiënten beschermen afhankelijk gesteld van strafsancties. Dat toont aan dat privacy wereldwijd een belangrijk recht is.

3.10.2.2.5. De HIPAA Privacy Rule 201. Het gros van de wereldbevolking - om niet te zeggen iedereen - is van mening dat medische gegevens en andere privé-informatie heel gevoelig kunnen zijn en dus beschermd moeten worden. Indien bepaalde, gevoelige, informatie toch toegankelijk gemaakt wordt, wil de betrokken patiënt mijn inziens terecht - weten wie tot deze informatie toegang heeft en waarvoor deze informatie gebruikt wordt.

Het fundamentele recht op privacy wordt gewaarborgd door het vijfde en het veertiende “Amendment” bij de Amerikaanse Grondwet. Dat fundamentele grondrecht beschermt tegen ongeoorloofde inbreuken op de persoonlijke levenssfeer door de federale staat of haar deelstaten. Reeds in het arrest Roe v. Wade, 410 U. S. 113 (1973) heeft het Amerikaanse Supreme Court erkend dat de relatie arts-patiënt een relatie is die de grondwettelijke rechten van privacy oproept. Maar, stelde het Hof onmiddellijk, het is geen absoluut recht. Het is dus niet ondenkbaar dat het recht op privacy afgewogen zal moeten worden ten aanzien van de federale en/of statelijke belangen.353

202. De Privacy Rule is van kracht geworden op 14 april 2003. Het is een federale wet die de rechtsonderhorigen in de Verenigde Staten rechten geeft met betrekking tot de openbaarheid van hun medische gegevens. Deze wet stelt regels en bijhorende beperkingen vast ten aanzien van degenen die toegang hebben tot deze gevoelige gegevens en ten aanzien van degenen die zulke informatie ontvangen.354 De regels die de HIPAA Privacy Rule bevatten, komen, zoals hieronder zal blijken, grotendeels overeen met de Europese Dataprotectie Richtlijn 95/46/EG.

203. De HIPAA Privacy Rule voorziet in een bescherming van persoonsgegevens betreffende de gezondheid, die zich in het bezit van bepaalde instanties bevinden. Niet alleen zorgt zij voor de bescherming van die medische gegevens, maar ook regelt zij de openbaarmaking van gezondheidsgegevens in functie van de zorg en de behandeling van de patiënt en nog voor enkele andere belangrijke doeleinden.355 Gedacht kan worden aan bekendmakingen van medische gegevens 352

www.hhs.gov/ocr/privacy/hipaa/administrative/enforcementrule/index.html . http://supreme.justia.com/us/410/113/case.html . 354 www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/index.html . 355 www.hhs.gov/ocr/privacy . 353

93

in functie van de volksgezondheid, het beleid. Bijvoorbeeld wanneer er in een bepaalde regio een griepepidemie uitgebroken is. Eveneens kan het noodzakelijk zijn om bij het melden van misbruik of huiselijk geweld bepaalde medische informatie mee te delen.356 Ook het bekendmaken van medische gegevens aan familieleden is toegestaan met het oog op het verlenen van goede en efficiënte hulpen/of zorgverstrekking, zolang de betrokken patiënt daar geen bezwaar tegen heeft.357

204. Een belangrijk principe in verband met de toegang tot, het gebruik en de openbaarmaking van persoonsgegevens betreffende de gezondheid, is dat zij niet gebruikt noch gedeeld kunnen worden zonder de schriftelijke toestemming van de betrokken persoon, tenzij er wettelijke bepalingen zijn die dat wel toestaan.358 Concreet kan er gesteld worden dat voor alle doeleinden die niet uitdrukkelijk in de Privacy Rule opgesomd zijn, medische gegevens van patiënten slechts toegankelijk, bruikbaar en openbaar gemaakt mogen worden indien de betrokken patiënt zijn toestemming daarvoor geeft. Dat principe is vergelijkbaar met het principe dat terug te vinden is in de Belgische Privacywet. Deze Wet stelt in artikel 7, § 1 dat de verwerking van gegevens betreffende de gezondheid in principe verboden is. Onmiddellijk stelt paragraaf 2 uitzonderingen op dat verbod en de eerste uitzondering is de schriftelijke toestemming van de patiënt. Daarvoor wordt verwezen naar de randnummers 97 tot en met 101.

205. The Privacy Rule is slechts een federale basisnorm, een minimumnorm. Dat impliceert dat de deelstaten de mogelijkheid hebben om strengere bepalingen in verband met de bescherming van de persoonlijke levenssfeer uit te vaardigen.359 Het nadeel van deze mogelijkheid zijn de verschillende bepalingen in verband met de privacybescherming die hieruit voortvloeien. Deze verschillende regels kunnen een belemmering zijn voor de uitwisseling tussen de verschillende deelstaten van informatie betreffende de gezondheid van bepaalde personen.360 Deze enorme verscheidenheid brengt ook problemen mee om tot een uniforme regelgeving in verband met privacy te komen.361

Een mogelijke oplossing die aan dat probleem tegemoet zou kunnen komen, is een nieuwe Privacywet uitgevaardigd door het Amerikaans Congress. Een nieuwe Wet die het bestaan en de werking van de

356

D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 125. 357 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 125. 358 www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/index.html . 359 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 125. 360 O‟NEILL INSTITUTE, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 121. 361 D. MCGRAW, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 125.

94

verschillende “state laws” zou schorsen en schrappen. Eveneens zou die nieuwe Privacywet de mogelijkheid aan de deelstaten bieden om nieuwe, strengere bepalingen met betrekking tot de privacybescherming uit te vaardigen, maar dan wel met de nieuwe Privacywet als basis. Wanneer elke deelstaat zou vertrekken van de nieuwe Privacywet als basis om strengere, meer specifieke bepalingen uit te vaardigen, zou de verscheidenheid van de state laws aanzienlijk verminderen. Dat zou op zijn beurt minder problemen meebrengen bij het uitwisselen van medische informatie tussen de verschillende deelstaten.362 Hierover verder meer.

206. Wat belangrijk is - maar verder nog uitgebreider wordt behandeld - is de vaststelling dat de Privacy Rule niet voldoende ingeburgerd is in de maatschappij. De burgers zijn veel te weinig op de hoogte van de inhoud en de regelgeving van de Privacy Rule. Er heerst verwarring. Dat brengt mee dat deze bepalingen ook niet altijd nageleefd worden.363 Niet alleen bij individuen heerst dit probleem, ook bij diegenen die onder de HIPAA vallen, de covererd entities. Zij interpreteren de HIPAA Privacy Rule vaak op een foute manier. Ofwel een overinterpretatie van de bepalingen, ofwel een onder-interpretatie. Wanneer de covered entities nog niet goed op de hoogte zijn van de bepalingen, kunnen zij zeker en vast de burgers niet voldoende inlichten over hun rechten.364 Hierover verder meer.

207. Daar waar de Security Rule zich vooral richt op elektronisch beschermde gezondheidsgegevens, richt de Privacy Rule zich op medische gegevens die zowel op elektronische wijze bewaard worden als op papier.

3.10.2.3. Toepassingsgebied ratione personae HIPAA 208. Degene die aan de HIPAA- regelgeving onderworpen zijn, worden “covered entities” genoemd. Deze coverd entities worden uitdrukkelijk opgesomd in de statuten van de HIPAA. Zij kunnen in drie delen onderverdeeld worden. Ten eerste vallen de “health plans” onder de covered entities. Onder andere zorgverzekeraars, bepaalde overheidsprogramma‟s die betalen voor de gezondheidszorg zoals Medicare en Medicaid, … behoren tot die health plans. Vervolgens vallen de “providers” onder het personeel toepassingsgebied. Dat zijn de meeste zorgverleners die bepaalde zaken langs elektronische weg regelen, waaronder de meeste artsen, ziekenhuizen, psychologen, tandartsen, verplegers, apothekers, chiropracters, …

362

O‟NEILL INSTITUTE, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 122. 363 O‟NEILL INSTITUTE, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 122. 364 S. HOLLOMAN, “The Proceedings of the Third Annual Partnership Conference on Public Health Law: Living With the HIPAA Privacy Rule”, The Journal of Law, Medecine and Ethics 2004, 74.

95

En als laatste, de “health care clearinghouses.” Dat zijn entiteiten die niet-standaard gezondheidsgegevens verwerken tot standaard gegevens.365 Enkel diegenen die hierboven zijn opgesomd vallen onder de HIPAA.

209. Uit dit beperkte personele toepassingsgebied van de Privacy Rule kan afgeleid worden dat er veel organisaties zijn die beschikken over gezondheidsgegevens van bepaalde personen maar die niet door deze Rule gebonden zijn. Als voorbeelden van zulke organisaties kan gedacht worden aan levensverzekeraars, werkgevers, scholen, rechtshandhavingsinstanties, gemeentelijke instanties, enzovoort.366 Dat is ook één van de lacunes in de HIPAA Privacy Rule die hieronder verder zal worden besproken.

3.10.2.4. Toepassingsgebied ratione materiae HIPAA 210. De Privacy Rule regelt de toegang en het gebruik van “Protected Health Information,” afgekort “PHI”. PHI omvat alle informatie betreffende de gezondheidstoestand, het verstrekken van zorgen, het betalen van facturen die aan een bepaalde persoon gekoppeld kunnen worden en die zich in het bezit van die “covered entities” bevinden. Deze Protected Health Information wordt redelijk ruim opgevat en omvat bijna alle elementen van het medisch dossier tot de facturatie van zorgverstrekkingen.

Onder de informatie die beschermd wordt door HIPAA Privacy Rule valt derhalve zeker en vast het medisch dossier opgesteld door dokters, verpleegkundigen of door andere zorgverleners. Ook de gesprekken betreffende de aandoening of behandeling, gevoerd tussen dokters onderling of met verpleegkundigen of andere zorgverstrekkers, worden beschermd door de HIPAA-regelgeving. In België zijn geneesheren gebonden door het medisch beroepsgeheim. Zij begaan in principe een strafbare overtreding wanneer zij aan een collega-geneesheer medische informatie betreffende een patiënt meedelen. Dat zelfs in het kader van een diagnosestelling, het verlenen van een behandeling of nazorg. In ons land probeert de leer van het gedeeld beroepsgeheim aan dit obstakel tegemoet te komen. Op basis van deze theorie mogen hulpen/of zorgverstrekkers medische informatie delen op voorwaarde dat dit noodzakelijk is voor het verlenen van zorg aan de patiënt en dat dit derhalve in het belang van die patiënt gebeurt. De overdracht van informatie moet zich wel beperken tot de meest noodzakelijke informatie om die doelstelling te kunnen bereiken. Voor meer hierover wordt verwezen naar de randnummers 34 tot en met 43.

365

D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 127. 366 O‟NEILL INSTITUTE, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 121.

96

De Privacy Rule geldt voor alle vormen van persoonlijke medische gegevens, hetzij elektronisch, schriftelijk of mondeling.367 Algemeen gesteld vallen bijna alle persoonsgegevens betreffende de gezondheid, die bijgehouden worden door instanties die gehouden zijn door de HIPAA-wetgeving, onder het materieel toepassingsgebied van de Privacy Rule.368

211. De bescherming die door de HIPAA-Rules verleend wordt aan de medische gegevens die onder het materieel toepassingsgebied vallen, gebeurt in verschillende fasen. Eerst en vooral moeten de “covered entities” beschermingsmechanismen implementeren om de medische persoonsgegevens te beschermen. Vervolgens moeten de covered entities beperkingen op het gebruik van die gegevens instellen en de openbaarmaking van zulke gegevens tot het minimum beperken. Die openbaarmaking moet noodzakelijk zijn om het beoogde doel te bereiken.369 Bovendien moeten de covered entities overeenkomsten sluiten met hun zakenpartners, in de HIPAA “business associates” genoemd. Deze associates vallen niet onder het toepassingsgebied van de HIPAA. Dat is dan ook de reden waarom er met hen een overeenkomst, een “business associate agreement” gesloten moet worden. Aan deze business associates wordt opgelegd hoe de persoonsgegevens betreffende de gezondheid gebruikt en openbaar gemaakt moeten worden overeenkomstig de regels van de HIPAA en voor welke doeleinden die associates medische informatie mogen gebruiken en bekendmaken. Die overeenkomsten moeten ook voorzien in bepalingen die de business associates verbieden om die gevoelige informatie te gebruiken voor andere doeleinden dan in het contract vastgelegd. In die overeenkomsten moet er eveneens bepaald worden hoe de associates medische informatie veilig moeten bewaren overeenkomstig de HIPAA-regelgeving.370 Ten slotte moeten deze covered entities beschikken over procedures die de toegang tot deze gevoelige gegevens beperken. Evenzeer moeten deze entities voorzien in opleidingen voor hun werknemers om hen aan te leren hoe zij moeten omgaan met zulke informatie en hoe zij zulke gegevens moeten beschermen.371

212. Zoals hierboven reeds uiteengezet geven de bepalingen van de Privacy Rule weer welke gegevens beschermd worden door de wetsbepalingen. Maar de meeste rechtsonderhorigen blijven hier kritisch tegenover staan. Zij zijn bang dat hun medische gegevens in een maatschappij waar eHealth steeds meer opkomt, niet voldoende beschermd worden. Een terechte reden van hun bezorgdheid kan gevonden worden in het feit dat er in de HIPAA-regelgeving niet voorzien is in een norm die bepaalt 367

www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/index.html ; D. MCGRAW, “Privacy and Health Information Technology”,The Journal of Law, Medecine and Ethics 2009, 125. 368 www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/index.html . 369 www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/index.html . 370 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 127. 371 www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/index.html .

97

dat de betrokken patiënt in kennis gesteld moet worden bij overtredingen op de regelgeving. Een andere reden die hun bezorgdheid aanwakkert zijn de ontwikkelingen op het vlak van het identificeren van niet-identificeerbare gegevens. Vervolgens brengt het ontbreken van een verbod op het gebruiken van medische gegevens voor marketingdoeleinden ook heel wat kritiek met zich mee.372

3.10.2.5. Rechten van de betrokkenen 213. De “covered entities” moeten voldoen aan de rechten van de personen over wie zij medische informatie bezitten. Deze personen worden hierna “betrokkenen” genoemd.

214. De betrokken personen mogen verduidelijking of uitlegging van hun rechten vragen aan hun zorgverstrekker. Een basisregel is dat de openbaarmaking en overlegging van medische gegevens door de covered entities steeds moet gebeuren met inachtneming van de rechten van de betrokken personen.

215. Deze betrokkenen hebben het recht om inzage in hun medisch dossier te vragen en daarvan een afschrift te krijgen. De betrokkene heeft ook het recht om verbeteringen toe te voegen aan bepaalde zaken die verkeerd opgenomen zijn in het medisch dossier. Deze twee rechten, inzagerecht en recht op verbetering, zijn ook terug te vinden in de Belgische Privacywet.

216. Vervolgens moeten de betrokken personen op de hoogte gebracht worden van de manier waarop hun medische gegevens gebruikt, verwerkt en gedeeld worden. Eveneens moeten de betrokken personen, achteraf, na de verwerking, een afschrift krijgen over het tijdstip en de doeleinden van de verwerking van hun medische gegevens. In de Belgische Privacywet kan dat vergeleken worden met het mededelingsrecht van de betrokkene.

217. In de HIPAA-regelgeving moet de betrokkene bovendien zijn toestemming verlenen opdat zijn medische gegevens verwerkt mogen worden voor onder andere marketingdoeleinden.

218. Tenslotte heeft de Amerikaanse rechtsonderhorige ook een klachtenrecht. Indien de betrokkene de mening toegedaan is dat zijn medische gegevens onvoldoende beschermd worden en zijn privacy bijgevolg in het gedrang komt of wanneer hij denkt dat zijn rechten hem ontzegd worden, dan kan hij een klacht indienen bij zijn zorgverzekeraar of bij de Amerikaanse Regering.373

372

O‟NEILL INSTITUTE, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 121. 373 www.hhs.gov/ocr/privacy/hipaa/understanding/consumers/index.html .

98

219. We kunnen dus concluderen dat de rechten die de Amerikaanse rechtsonderhorige op basis van de HIPAA-reglementering heeft, in grote mate gelijk lopen met deze waarin de Europese Privacy Richtlijn 95/46/EG en dus de Belgische omzettingswet van 8 december 1992 voorziet.

3.10.3. De ARRA 220. The American Recovery and Reinvestment Act, of kort weg ARRA, brengt een aantal wijzigingen aan de HIPAA en haar bepalingen aan. Deze Act is uitgevaardigd in februari 2009.

221. De wijzigingen die de ARRA aangebracht heeft aan de bepalingen zullen hier niet afzonderlijk behandeld worden. Enkelen zullen weergegeven worden bij het deeltje over de lacunes in de HIPAA Privacy Rule. Eerst worden vier verschillende soorten lacunes in de Privacy Rule weergegeven. Waarna vervolgens oplossingen en eventuele wijzigingen door de ARRA ingevoerd, geformuleerd worden.

3.10.4. Lacunes in de HIPAA Privacy Rule 222. De lacunes in de regelgeving omtrent de bescherming van de privacy kunnen in vier groepen ondergebracht worden. De eerste groep omvat de lacunes in verband met het personeel toepassingsgebied. Wie is gebonden door de HIPAA? De tweede groep houdt verband met het materieel toepassingsgebied. Wat wordt beschermd door de HIPAA? Ten derde, zoals hierboven al even aangeraakt is, is er met betrekking tot de bescherming van de persoonlijke levenssfeer een grote verscheidenheid aan “state laws”. Dat maakt de informatie-uitwisseling tussen de deelstaten niet altijd even makkelijk. De laatste onderverdeling handelt over het onvoldoende inzicht in en de onvoldoende naleving van de Privacy Rule.374

3.10.4.1. Lacunes en oplossingen i.v.m. het personeel toepassingsgebied 223. Hierboven, in de randnummers 208 tot en met 209, is het personeel toepassingsgebied van de HIPAA besproken. Er is gesteld dat enkel diegene die uitdrukkelijk in de HIPAA-regelgeving vernoemd worden - de coverd entities - onder het toepassingsgebied van deze wetgeving vallen. Dat beperkte toepassingsgebied brengt mee dat er heel wat instellingen niet onder deze regelgeving vallen en dat de medische gegevens waarover zij beschikken niet beschermd worden door de HIPAA. Door de opkomst van informatica, waardoor elektronische medische dossiers het licht zagen, zijn er ook vele nieuwe instellingen opgericht. Gedacht kan worden aan Regional Health Information

374

O‟NEILL INSTITUTE, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 122.

99

Organizations. Zij vallen niet onder de HIPAA. Ook werkgevers vallen buiten het toepassingsgebied van deze Act.

224. Een hele resem mogelijk oplossingen kunnen opgeworpen worden om deze lacune weg te werken. Hier worden er maar enkele weergegeven.

Eerst en vooral bepaalt sectie 13408 van de ARRA dat instellingen die in opdracht van covered entities gegevens verwerken - zoals de Regional Health Information Organizations - als business associates beschouwd worden. Dat impliceert dat de covered entities ook met hen business associate agreements (zie randnummer 211) moeten sluiten om de HIPAA regels afdwingbaar te stellen.375

Een andere oplossing die hierboven reeds aangehaald is, is de creatie van nieuwe categorieën covered entities. Hieruit volgt dat het Office for Civil Rights nieuwe privacyregels moet uitvaardigen waardoor de opdrachten en activiteiten van deze nieuwe categorieën gedekt zouden worden. Argumenten pro zijn onder andere dat deze oplossing het meeste zekerheid biedt voor iedereen, vooral voor de burgers. De rechtsonderhorigen zouden op de hoogte zijn van het gegeven dat de meeste categorieën van instellingen gebonden zijn door de bepalingen van de HIPAA. Een nadeel aan deze oplossing is dat sommige instellingen waarschijnlijk zullen weigeren om deel uit te maken van die covered entities.376

Als laatste oplossing kan het idee geponeerd worden om de wetgeving in zijn huidige stand te laten bestaan, maar het gebruik van “good privacy practices” in te voeren door middel van vrijwillige business agreements te sluiten. Daarin zouden de regels uit de HIPAA afdwingbaar gesteld kunnen worden. Een voordeel verbonden aan deze oplossing is dat het Congress of de Administration daar geen nieuwe bepalingen moeten voor uitvaardigen. Tegenstanders van deze oplossing werpen op dat de naleving van de HIPAA-bepalingen door middel van vrijwillige agreements niet zal leiden tot een uniforme bescherming.377

3.10.4.2. Lacunes en oplossingen i.v.m. het materieel toepassingsgebied 225. Hoger, bij de bespreking van het materieel toepassingsgebeid (randnummer 212), werd er reeds gesteld dat de meeste rechtsonderhorigen zich een kritische houding aanmeten ten aanzien van het beschermend karakter van de bepalingen van de HIPAA. Hier worden twee van de kritieken besproken. 375

D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 127. 376 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 128. 377 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 129.

100

226. Vóór de ARRA-regulering voorzag er geen enkele federale wet in een bepaling die voorschreef dat de betrokken patiënt verwittigd moest worden van een inbreuk op de HIPAA-regelgeving met betrekking tot zijn medische gegevens. Een inbreuk op de HIPAA-bepalingen betekent dus dat iemand toegang verkregen heeft tot gevoelige, beschermde informatie terwijl deze daar niet geautoriseerd voor is. Er waren slechts enkele deelstaten die in een dergelijke wet voorzagen. Dat bracht mee dat individuen enkel op de hoogte gebracht werden van misbruik van hun medische gegevens wanneer zij woonachtig waren in een deelstaat die een dergelijke wetsbepaling had. Men kan zich afvragen waarom die kennisgeving zo belangrijk is. De reden zit in het eenvoudige gegeven dat wanneer men als individu weet heeft van een inbreuk op zijn persoonlijke levenssfeer, men de nadelige gevolgen van die inbreuk zoveel mogelijk kan proberen beperken.378 Maar sinds de ARRA voorzien de secties 13402 en 13407 van deze Act in een “federal breach notification law.” Deze “law” voorziet in een kennisgevingsplicht aan de betrokken patiënt bij inbreuken op de HIPAA-regelgeving. Deze plicht geldt onder andere voor de covered entities uit de HIPAA.379

227. Een andere reden waarom rechtsonderhorigen wat angstvallig staan ten aanzien van de bepalingen uit de HIPAA, is het gebrek aan een verbod voor het gebruik van gezondheidsgegevens voor marketingdoeleinden zonder toestemming van de betrokken patiënt. Dat is een van de grootste angsten en dus kritieken van de burgers.

Sectie 13406 van de ARRA houdt een herziening in van de HIPAA-regel. Deze sectie voert de regel van een voorafgaande toestemming van de betrokkene in, wanneer zijn beschermde medische informatie gebruikt zal worden voor marketingdoeleinden.380

Een ander voorbeeld van een oplossing is om de wetgeving te laten zoals ze is, i.e. een reglementering zonder een verbod op het gebruik van gezondheidsgegevens voor marketingdoeleinden zonder toestemming van de betrokkene. Dit zou dan enkel gelden voor de covered entities. Voor andere instellingen, zoals de “Health Information Exchanges” moeten er wel strengere regels uitgevaardigd worden met betrekking tot het gebruik van medische informatie voor marketingdoeleinden.

378

D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 130. 379 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 130. 380 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 133-134.

101

Vervolgens moeten er ook nieuwe regels uitgevaardigd worden met betrekking gebruik van medische gegevens voor marketingdoeleinden door Internet Health Sites.381

3.10.4.3. Lacunes en oplossingen i.v.m. de verscheidenheid aan “state laws” 228. Hoger is het probleem van de verscheidenheid aan “state laws” reeds aangekaart. Deze verscheidenheid aan wetten van de deelstaten is het gevolg van het gegeven dat de HIPAA Privacy Rule slechts een minimumnorm is. De verschillende deelstaten hebben daardoor de mogelijkheid om strengere bepalingen in verband met de bescherming van medische gegevens op te leggen. Deze mogelijkheid brengt een groot nadeel met zich mee. De overdracht van medische gegevens tussen deelstaten onderling of tussen een deelstaat en het nationale niveau, verlopen niet altijd even gemakkelijk, aangezien de verplichtingen van deelstaat tot deelstaat kunnen verschillen.

Een oplossing om dat probleem tegen te gaan is het uitvaardigen van een nieuwe federale wet betreffende de bescherming van de privacy. Deze nieuwe wet moet de werking van de verschillende “state laws” opheffen. Een voordeel aan die invoering van een nieuwe federale wet, is dat er een einde gemaakt wordt aan de verwarring betreffende het toepasselijke recht. Er zal een consistent beleid aanwezig zijn en dat zal leiden voor meer duidelijkheid. Tegenstanders van dat idee voeren aan dat deze nieuwe wet zou indruisen tegen het doel van de HIPAA. De HIPAA voorziet namelijk in basisregels. De HIPAA houdt geen “plafond-bepalingen” in.382

3.10.4.4. Lacunes op oplossingen i.v.m. het gebrek aan inzicht en naleving van de Privacy Rule 229. De laatste lacune die hier aangehaald wordt, is het gebrek aan kennis, integratie en naleving van de Privacy Rule. Er is heel wat verwarring met betrekking tot de bepalingen van de Privacy Rule. Dat kan leiden tot te conservatieve interpretaties van de bepalingen. Dat moet verstaan worden in de zin dat de overdracht, de mededeling van medische gegevens soms geweigerd wordt, zelfs indien het gaat om het vervullen van wettelijke verplichtingen.383

230. Met betrekking tot het gebrek aan inzicht in de Privacy Rule voorziet sectie 13403 van de ARRA in de plicht voor het Department of Health and Human Services om een “multi-faceted national education initiative” op te stellen. Dat initiatief moet de individuen onderwijzen in de bepalingen van

381

D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 134. 382 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 140. 383 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 140.

102

de HIPAA Privacy Rule, zijnde de regels in verband met de toegang tot, het gebruik en de openbaarmaking van de medische gegevens, alsook hun privacyrechten.384

Ook het eenvoudiger maken van de bepalingen uit de HIPAA Privacy Rule zou al aan dit probleem tegemoet kunnen komen. Tegenstanders van deze oplossing werpen op dat de covered entities reeds vijf jaar nodig hadden om zich aan te passen aan de HIPAA-regelgeving. Opnieuw beginnen zou vervelender zijn en wederom zou de aanpassing veel tijd vragen.385

231. Hoger is reeds gezien dat de Enforcement Rule voorziet in het opleggen van strafsancties bij het overtreden van de bepalingen uit de HIPAA Rules. Maar in de praktijk heeft het Office for Civil Rights nog geen enkele strafbepaling uitgevoerd.386

De ARRA voorziet in verschillende bepalingen die aan deze lacune tegemoet komen. Slechts enkele voorbeelden worden hier weergegeven. Sectie 13401 van de ARRA maakt de business associates rechtstreeks verantwoordelijk voor de naleving van de HIPAA-bepalingen. Daarnaast voorziet sectie 13424 in een plicht voor het Department of Health and Human Services om jaarlijks een rapport met betrekking tot de “enforcement” bij het Congress in te dienen.387

3.10.4.5. Conclusie 232. De HIPAA-regelgeving bestaat wel, maar aangezien deze Act op verschillende vlakken nog lacunes bevat zullen de meeste covered entities en de rechtsonderhorigen aarzelen om informatie elektronisch te laten overdragen. Privacyregels en beveiligingsregels zijn van groot belang wil men zo‟n project als “Health IT” laten slagen. Gelukkig voorziet de ARRA wel in een aantal tegemoetkomingen. Toch zullen alle lacunes opgelost moeten worden, indien men gevoelige gegevens op elektronische wijze wil uitwisselen met de volledige steun van de covered entities en de burgers.388

384

D. MCGRAW, “Privacy and Health Information Technology”,The Journal of Law, Medecine and Ethics 2009, 140. 385 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 141. 386 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 141. 387 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 142-143. 388 D. MCGRAW, “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 144-145.

103

3.10.5. De PSQIA 233. Wat met betrekking het onderwerp van deze masterproef nog vernoemenswaardig is, is de PSQIA of de Patient Safety and Quality Improvement Act van 2005. Deze Act handelt, zoals de titel reeds weergeeft, over de “Patient Safety”. Zij werd van kracht in februari 2009.389

234. Heel kort gesteld roept de PSQIA een vrijwillig rapportagesysteem in het leven. Het systeem wil gebeurtenissen rapporteren die een negatieve invloed hebben op de privacy van de patiënten. Patient Safety Organizations ontvangen en analyseren deze informatie. Vervolgens sturen de Organizations op hun beurt aanbevelingen, protocollen, “best practices”, … op naar diegene de gebeurtenissen gerapporteerd hebben. Deze aanbevelingen en best practices hebben tot doel om gebeurtenissen die een inbreuk uitmaken op de persoonlijke levenssfeer van de patiënt in de toekomst te vermijden. De gerapporteerde informatie en de analyse daarvan vormen samen de “Patient Safety Work Product” of afgekort PSWP.

Een belangrijk kenmerk van de Patient Safety Organizations is dat zij werken in alle confidentialiteit. De PSWP‟s mogen slechts in bepaalde omstandigheden bekend gemaakt worden. Hierop staan ook strafbepalingen.390

389 390

http://medicalpeerreviewresource.com/psqia.php . http://medicalpeerreviewresource.com/psqia.php .

104

4. Eindbesluit 235. Inleidend kan er gesteld worden dat er verschillende wettelijke bepalingen uitgevaardigd zijn om de persoonlijke levenssfeer van patiënten te beschermen.

236. Vooreerst houdt artikel 458 Sw. een geringe bescherming in van de privacy van de patiënt. Dat artikel houdt de regulering van het beroepsgeheim in. Deze medische geheimhoudingsplicht speelt slechts een rol in de relatie tussen de arts en de patiënt. Het beschermt de patiënt tegen ongeoorloofde bekendmakingen van geheimen door een arts.

Het beroepsgeheim heeft zowel een algemeen belang als een individueel belang. Gedurende vele jaren werd het algemeen belang van het beroepsgeheim - namelijk een efficiënte gezondheidszorg verkozen boven het individueel belang. Er werd dus een absolute opvatting aan de geheimhoudingsplicht toegekend. Het akkoord van de patiënt was dan ook geen grond om de arts van zijn beroepsgeheim te ontslaan. Deze opvatting wordt nu meer en meer aan de kant geschoven. Het beroepsgeheim krijgt een functionele interpretatie. Er wordt aanvaard dat de medische geheimhoudingsplicht bestaat in functie van de patiënt. In sommige gevallen kan het namelijk aangewezen zijn om deze plicht aan de kant te schuiven. De vraag of de toestemming van de patiënt de arts kan ontslaan van zijn geheimhoudingsplicht, wordt derhalve meer en meer positief beantwoord.

Niet elke actor in de gezondheidszorg beschikt over een beroepsgeheim. Toch betekent dat niet dat deze personen zomaar medische informatie mogen bekendmaken. Zij beschikken over een discretieplicht.

Verder is in de loop der jaren de theorie van het gedeeld beroepsgeheim ontwikkeld. Deze theorie komt tegemoet aan het gegeven dat de communicatie tussen artsen - met betrekking tot de medische toestand van een bepaalde patiënt - verboden is. Meestal is deze communicatie noodzakelijk om de continuïteit en de efficiëntie van de zorg te verzekeren. In principe schenden artsen hun beroepsgeheim wanneer zij medische informatie delen met een collega-geneesheer, al was het maar om de opinie van deze collega te weten te komen. De leer van het gedeeld beroepsgeheim komt hier aan tegemoet. Hulp- en/of zorgverstrekkers mogen medische informatie delen met elkaar, op voorwaarde dat dit noodzakelijk is voor het verlenen van zorg aan de patiënt. De communicatie van gegevens moet dus steeds in het belang van de patiënt gebeuren. De overdracht van informatie moet zich wel beperken tot de meest noodzakelijke informatie om de doelstelling van de zorgverlening te kunnen bereiken.

105

Enkele auteurs opperen voor een aanvulling op het gedeeld beroepsgeheim, namelijk het gezamenlijk beroepsgeheim. Deze gezamenlijke geheimhoudingsplicht rust op een team van zorgverleners. Binnen dat team mag men - in het belang van de patiënt - informatie uitwisselen. Een groot verschil met de leer van het gedeeld beroepsgeheim, is dat de geheimhoudingsplicht bij de theorie van het gezamenlijk beroepsgeheim op het team als geheel rust. Er geldt dus een vrije informatie-overdracht binnen dat team. Bijgevolg is het toegelaten om op het eerste zicht niet-relevante informatie uit te wisselen. Dat in tegenstelling tot de theorie van het gedeeld beroepsgeheim. Deze theorie wordt aanzien als een uitzondering op het beroepsgeheim en moet dus restrictief geïnterpreteerd worden.

Naar mijn mening is de theorie van het gezamenlijk beroepsgeheim te verkiezen boven de leer van het gedeeld beroepsgeheim. Deze eerste theorie draagt bij tot een volledige informatie-overdracht. Aangezien deze theorie op het volledige team rust, zal men - binnen dit team - minder geneigd zijn om informatie die op het eerste zicht irrelevant lijkt, achter te houden. Dat kan alleen de gezondheidszorg ten goede komen.

237. Niet alleen wordt de geheimhoudingsplicht ingevoerd door artikel 458 Sw., ook de deontologische

Code

van

de

geneeskundige

plichtenleer

bevat

bepalingen

die

de

geheimhoudingsplicht van geneesheren reguleren.

238. In Nederland is de regeling van het medisch beroepsgeheim te vergelijken met deze in ons land. Ook de Nederlandse artsen zijn gebonden door een geheimhoudingsplicht. Een verschil met de Belgische regelgeving is dat Nederland niet over een deontologische Code beschikt. Nederland heeft wel een Wet betreffende Beroepen in de Individuele Gezondheidszorg - Wet BIG - waarin er regels met betrekking het beroepsgeheim opgenomen zijn. Deze wet komt in de plaats van twaalf verschillende beroepsregelingen. 239. Ook in de Verenigde Staten zijn de geneesheren gebonden door een “patient confidentiality.” Het medisch beroepsgeheim is terug te vinden in de “American Constitution” en in talrijke andere wetten. Eveneens voorziet de Health Insurance Portability and Accountability Act - HIPAA - meer bepaald in haar Privacy Rule, in bepalingen met betrekking tot het beroepsgeheim. Naast deze wettelijke grondslagen bevat de Code of Medical Ethics ook bepalingen die het medisch beroepsgeheim regelen. In de Verenigde Staten geldt - net zoals in België, Nederland en de rest van Europa - met betrekking tot de openbaarmaking van gevoelige gegevens, dat de toestemming van de betrokken patiënt vereist is.

106

240. Concluderend kan men stellen dat het medisch beroepsgeheim zowel in België, Nederland als in de Verenigde Staten op dezelfde manier geregeld is. Het belang van de arts-patiëntrelatie en het belang van het vertrouwelijk karakter van die relatie wordt overal erkend.

241. Door de intrede van de informatica en andere moderne technologieën in verband met de elektronische verwerking en overdracht van gezondheidsgegevens, was het duidelijk dat de regeling van het medisch beroepsgeheim de privacy van de patiënt onvoldoende kon beschermen. Artikel 458 Sw. biedt geen oplossing bij het verstrekken van gezondheidsgegevens. Het medisch beroepsgeheim verhindert eveneens niet dat de patiënt de controle over zijn medische gegevens verliest, noch dat er onjuiste gegevens verwerkt worden. Er was dus nood aan wetgeving om deze tekortkomingen van het beroepsgeheim te regelen.

242. Op Europees niveau werd een Richtlijn uitgevaardigd betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonlijke gegevens en betreffende het vrije verkeer van die gegevens. Deze Richtlijn heeft via de wet van 11 december 1998 de Belgische Wet betreffende de bescherming van de persoonlijke levenssfeer grondig gewijzigd. De Europese bepalingen werden dus geïmplementeerd in ons recht.

Het doel van zowel de Privacyrichtlijn als de Belgische Privacywet is het beschermen van individuen met het oog op de verwerking van hun persoonsgegevens. De richtlijn en de omzettingswet voeren waarborgen in voor de betrokken personen met betrekking tot het verwerken van hun gevoelige gegevens.

Zowel de richtlijn als de wet omschrijven vooreerst verschillende kernbegrippen. Daarnaast wordt het materiële

en

personele

toepassingsgebied

omschreven.

Elke

geautomatiseerde

of

niet-

geautomatiseerde verwerking van persoonsgegevens wordt door de richtlijn en haar omzettingswet beschermd. Juist omdat verwerkingen van gezondheidsgegevens een impact kunnen hebben op de privacy van de betrokken personen, voert de richtlijn verschillende rechten in voor deze betrokkenen. Zij moeten geïnformeerd worden over de verkrijging en verwerking van hun medische informatie. Zij hebben ook een recht op inzage, verbetering enzovoort. Dat is een positief aspect van de richtlijn. Aangezien zulke verwerkingen gevolgen kunnen meebrengen voor de betrokken personen, beschikken zij over verschillende rechten waardoor hun positie versterkt wordt.

In principe is het verboden om gezondheidsgegevens te verwerken. Maar op dit verbod worden er uitzonderingen geformuleerd. 107

Vooreerst is deze verwerking toegestaan als de betrokken persoon hiervoor zijn schriftelijke toestemming verleend. Door hier een schriftelijke toestemming te eisen, wijkt de Belgische Wetgever af van de Europese Richtlijn waar “slechts” een uitdrukkelijke toestemming vereist wordt. Mijns inziens heeft de Belgische Wetgever hier geopteerd voor zekerheid.

Door de vereiste van een

schriftelijke toestemming in te voeren, kan men in de toekomst bewijsproblemen vermijden. Vervolgens somt de Privacywet nog een aantal gevallen op waar de verwerking van persoonsgegevens betreffende de gezondheid toegestaan is.

Nederland is ook lid van de Europese Unie en heeft dan ook de Privacyrichtlijn moeten implementeren in haar nationale recht. Het resultaat hiervan is de Wet Bescherming Persoonsgegevens. Het hoeft niet te verwonderen dat deze Wet grote gelijkenissen vertoont met de Belgische Privacywet. Dat is te verklaren door het gegeven dat men bij de omzetting van een richtlijn slechts gebonden is door het te bereiken resultaat. Met betrekking tot de keuze van middelen om dat resultaat te bereiken zijn de lidstaten volledig vrij.

De Privacyrichtlijn voert ook de verplichting in voor de lidstaten om een onafhankelijk toezichtsorgaan op te richten. Dat orgaan houdt toezicht op de naleving van de wettelijke bepalingen. Zij doet ook dienst als aanmeldingspunt van verschillende verwerkingen. In België is de Commissie voor de bescherming van de persoonlijke levenssfeer - de Privacycommissie - opgericht. Het Nederlandse equivalent is het College bescherming persoonsgegevens.

243. Niet enkel de Privacywet bevat regels die de privacy van personen beschermt, ook de Wet op de patiëntenrechten bevat hieromtrent enkele bepalingen.

Op grond van de Patiëntenrechtenwet krijgt de betrokken persoon enkele rechten toegekend met betrekking tot de bescherming van zijn privéleven. Vooreerst heeft hij recht op bescherming van zijn persoonlijke levenssfeer, vooral ten aanzien van zijn gezondheidsgegevens. In tweede instantie heeft de betrokken patiënt recht op respect voor zijn intimiteit. De Patiëntenrechtenwet geeft nog mee dat er geen enkele inmenging toegestaan is op de persoonlijke levenssfeer. Er wordt hierop wel een uitzondering gemaakt, wanneer de inmenging bij wet voorzien is en noodzakelijk is voor de bescherming van de volksgezondheid of de rechten en vrijheden van anderen.

108

We kunnen stellen dat de inbreuken op de persoonlijke levenssfeer in de zin van verwerkingen van gezondheidsgegevens, exemplatief in de Privacywet opgenomen zijn. De bepalingen uit de Privacywet vormen dus een gerechtvaardigde uitzondering op de Patiëntenrechtenwet.

244. Met betrekking tot het onderwerp van deze masterproef was de beheersinstelling eHealth vernoemenswaardig. Dat platform beoogt de creatie van een doeltreffende elektronische informatieuitwisseling tussen de verschillende actoren uit de gezondheidszorg. Het eHealth-platform heeft verschillende taken. Vooral het verwijzingsrepertorium is van belang. Dat repertorium houdt bij welke gegevens, over wie, waar opgeslagen zijn. Zij slaat dus zelf geen gezondheidsgegevens op.

In een recent arrest heeft het Grondwettelijk Hof de vordering tot vernietiging van het eHealthplatform verworpen. Maar het Hof maakte wel duidelijk dat het bestaan van dat platform geen reden is om de waarborgen die de Privacywet biedt, aan de kant te schuiven.

Het gebruik van het platform is niet verplicht. Naar mijn mening wordt een doeltreffende elektronische gegevensuitwisseling slechts bereikt wanneer dit platform door iedere actor uit de gezondheidszorg gebruikt wordt. Het is derhalve misschien aangewezen om het gebruik van dit platform verplicht te maken.

245. Op het Vlaamse niveau bestaat er een Decreet betreffende het Gezondheidsinformatiesysteem. Dat Decreet creëert een algemeen wettelijk kader voor het verzamelen, verwerken en uitwisselen van gezondheidsgegevens binnen de Vlaamse Gemeenschap.

Het Decreet voert twee informatiesystemen in: een operationeel en een epidemiologisch systeem. Het eerste systeem wil de gegevensuitwisseling tussen de actoren optimaliseren. Het tweede systeem is gericht op de ondersteuning van het gezondheidsbeleid. De deelname aan het gezondheidsinformatiesysteem is voor de Vlaamse actoren uit de gezondheidszorg verplicht.

Het Decreet voert, naast de reeds bestaande - klassieke - dossiers, een nieuw dossier in: het individueel gezondheidsdossier. Het operationeel systeem houdt in dat zorgverleners een individueel gezondheidsdossier moeten opstellen. Evenzeer moeten zij een elektronische registratie bijhouden van de meest relevante gegevens uit dat dossier. Deze elektronische registratie vormt dan de basis voor het epidemiologisch systeem. Dat laatste systeem bestaat namelijk in functie van de volksgezondheid, de controle van het beleid, … 109

246. Nog vernoemenswaardig is dat elk ziekenhuis verplicht een privacyreglement moet opstellen. Dat is een intern reglement dat antwoorden probeert te formuleren op verschillende vragen met betrekking tot handelingen die de privacy van patiënten kunnen bedreigen.

247. In de tekst is een voorbeeld uit de praktijk aangehaald, namelijk: HERMES. HERMES staat voor het Huisartsenplatform voor E-Rapportering en Medische Elektronische Samenwerking, opgericht in de schoot van het fusieziekenhuis O.L. Vrouw te Aalst.

Dat praktijkvoorbeeld toont aan dat elektronische gegevensuitwisseling vandaag uit de maatschappij niet meer weg te denken is. Men moet mee met de evolutie, maar tegelijkertijd mag men de patiënt en diens recht op bescherming niet uit het oog verliezen. Het is aangewezen voor ziekenhuizen en andere instellingen om concrete “oplossingen” naar voor te brengen die eventuele inbreuken op de persoonlijke levenssfeer van patiënten tegemoetkomen.

248. De Verenigde Staten hebben een ander rechtssysteem dan Europa. De privacy van patiënten wordt dan ook op een andere manier beschermd.

249. Met betrekking tot de overdracht van gegevens tussen Europa en de Verenigde Staten zijn de Veiligehavenbeginselen of “the Safe Harbor Principles” uitgevaardigd. Zij zijn het resultaat van onderhandelingen tussen de Europese Commissie en de U.S. Department of Commerce. Deze Safe Harbor Principles bestaan uit zeven beginselen en een aantal “Frequently Asked Questions.” Deze beginselen delen aan Amerikaanse ondernemingen mee aan welke verplichtingen ze moeten voldoen opdat ze persoonsgegevens komende uit Europa mogen verwerken.

Een minpunt aan deze beginselen is dat zij niet bindend zijn. Amerikaanse ondernemingen hebben dus de keuze om al dan niet toe te treden tot deze Principles. De ondernemingen die tot deze Principles toegetreden zijn, worden in Europa beschouwd als ondernemingen die over een passend beschermingsniveau beschikken voor het verwerken van persoonsgegevens.

250. Voor het gebruik, de verwerking en de overdracht van persoonsgegevens uit de Verenigde Staten zelf, geldt de Health Insurance Portability and Accountability Act - HIPAA. De HIPAA bestaat uit verschillende “Rules”, maar de belangrijkste is toch wel de Privacy Rule. De Privacy Rule geeft aan de burgers rechten met betrekking tot het verwerken en het openbaar maken van hun medische gegevens. 110

Deze Rule komt in grote mate overeen met de Europese Privacyrichtlijn van 1995. Ook in de HIPAA Privacy Rule geldt het principe dat het gebruik en de openbaarmaking van gezondheidsgegevens slechts toegestaan is wanneer de betrokkene daarin toestemt. Deze toestemming is echter niet vereist wanneer wettelijke bepalingen voorzien in de verwerking of openbaarmaking van zulke gegevens.

De Privacy Rule bevat wel enkele lacunes. Eerst en vooral is de HIPAA Privacy Rule een federale basisnorm. Dat geeft aan de deelstaten de mogelijkheid om strengere bepalingen uit te vaardigen. Deze verscheidenheid aan “state laws” brengt problemen met zich mee bij de uitwisseling van gegevens tussen de verschillende deelstaten.

Een andere tekortkoming van de Privacy Rule is dat zij onvoldoende ingeburgerd is bij de rechtsonderhorigen en de organisaties die onder haar toepassingsgebied vallen. Men kent de bepalingen van de HIPAA onvoldoende, wat er op haar beurt voor zorgt dat de bepalingen uit de Privacy Rule niet altijd nageleefd worden.

Een ander nadeel van de HIPAA Privacy Rule zoals ze nu bestaat, is dat zij enkel geldt ten aanzien van de instellingen die uitdrukkelijk in haar personeel toepassingsgebied opgesomd worden. Veel organisaties vallen derhalve niet onder de HIPAA waardoor de gegevens die door haar verwerkt worden, niet beschermd worden door de bepalingen uit de Privacy Rule.

Ten slotte staan veel rechtsonderhorigen kritisch ten aanzien van de Privacy Rule. Onder andere wegens het ontbreken van een verbod tot gebruik van persoonsgegevens voor marketingdoeleinden zonder toestemming van de betrokkene. Ook het gegeven dat de rechtsonderhorigen niet verwittigd worden wanneer de bepalingen uit de Privacy Rule met betrekking tot hun gezondheidsgegevens overtreden zijn, stemt hen niet echt positief. Aan enkele van deze lacunes is in de ARRA of “The American Recovery and Reinvestment Act” tegemoet gekomen. Deze Act brengt dus enkele wijzigingen aan de HIPAA Privacy Rule aan.

Om de HIPAA efficiënt en correct te laten werken, zal men toch alle lacunes moeten wegwerken. 251. Heel kort werd ook de PSQIA of “The Patient Safety and Quality Improvement Act” aangeraakt. Deze Act voert een vrijwillig rapportagesysteem in. Dat systeem wil de gebeurtenissen analyseren, die een negatieve invloed uitgeoefend hebben op de privacy van patiënten. Deze analyse zal gebeuren door Patient Safety Organizations. Deze Organizations zullen vervolgens aanbevelingen en “best

111

practices” uitvaardigen om dit in de toekomst te vermijden. De Organizations werken in volledige vertrouwelijkheid.

252. Concluderend kan er gesteld worden dat de wereld meedraait met de verschillende soorten evoluties. Ook deze van het elektronisch uitwisselen van gezondheidsgegevens. Men probeert deze evolutie in overeenstemming te brengen met het recht van de patiënt op bescherming van zijn persoonlijke levenssfeer. Dat lukt niet altijd even goed.

Eén ding moet onthouden worden: het recht zal met betrekking tot de privacy van de patiënt, en zeker met betrekking tot de bescherming van zijn gezondheidsgegevens, nooit alles volledig kunnen reguleren. Risico‟s op schending van het recht op privacy zullen altijd blijven bestaan. Een ketting is slechts zo sterk als zijn zwakste schakel. Er zullen alsmaar nieuwe evoluties het licht zien. Het recht heeft als taak om daar een zo goed mogelijk antwoord op te bieden. Een wederkerende uitdaging…

112

Bibliografie Wetgeving 1. Europese wetgeving Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden van 4 november 1950, Rome, European Treaty Series, nr. 5.

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Publ. L. 281, 23 november 1995, 31-50.

Beschikking van de Commissie 2000/520 van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd, Publ. L. 215, 25 augustus 2000, 7-47.

2. Belgische wetgeving Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, grondig gewijzigd door de Wet 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, BS. 3 februari 1999.

Wet 29 april 1999 betreffende de niet-conventionele praktijken inzake de geneeskunde, BS 24 juni 1999.

Wet 22 augustus 2002 betreffende de rechten van de patiënt, BS 26 september 2002.

Wet 27 december 2006 houdende diverse bepalingen (I), BS 28 december 2006.

Wet 21 augustus 2008 tot oprichting en organisatie van het eHealth-platform, BS 13 oktober 2008.

Vlaams Decreet van 16 juni 2006 tot oprichting van het Gezondheidsinformatiesysteem, BS 7 september 2006.

Koninklijk Besluit 16 december 1994 houdende wijziging van het KB 23 oktober 1964 tot bepaling van de normen die door de ziekenhuizen en hun diensten moeten worden nageleefd, BS 31 januari 1995.

Koninklijk Besluit 13 februari 2001 ter uitvoering van de Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 13 maart 2001.

Art. 458 Strafwetboek.

Code van de geneeskundige plichtenleer, www.ordomedic.be/nl/code/inhoud .

3. Nederlandse wetgeving Wet van 11 november 1993 houdende regelen inzake beroepen op het gebied van de individuele gezondheidszorg, http://wetten.overheid.nl/BWBR0006251/geldigheidsdatum_07-05-2010 .

Wet van 6 juli 2000 houdende de bescherming van persoonsgegevens, www.cbpweb.nl/Pages/wet_wbp_h02.aspx .

Rechtspraak American Supreme Court, Roe v. Wade, 410 U. S. 113 (1973), http://supreme.justia.com/us/410/113/case.html .

EHRM 25 februari 1997, Z. t. Finland, Bulletin 1997, 7-12.

EHRM 27 augustus 1997, M.S. t. Zweden, R.W. 1998-1999, 510-511.

GwH. 14 februari 2008, nr. 15/2008, www.const-court.be .

GwH. 18 maart 2010, nr. 29/2010, www.const-court.be .

Cass. 20 februari 1905, Pas., 1905, I, 141.

Cass. 30 oktober 1978, Arr. Cass. 1979, 235.

Cass. 9 februari 1988, Arr. Cass. 1988, 720.

Antwerpen (1bis k.) 18 september 2000, T. Gez., 2000-2001, 290.

Rechtsleer 1. Boeken BROEKAERT, E., GEENENS, K. en VANDERPLASSCHEN, W., Tussen Droom en Daad. Implementatie van case management voor druggebruikers binnen de hulpverlening en justitie, Gent, Academia Press, 2005, 298 p.

CALLENS, S., Goed geregeld? Het gebruik van medische gegevens voor onderzoek (30 mei 2000), Antwerpen, Maklu, 1995, 538 p.

CALLENS, S.,

NYS, H. en VOLBRAGT, I., Kostenbesparende richtlijnen, kwaliteitsvolle zorg en

medische aansprakelijkheid, Antwerpen, Intersentia, 2006, 283 p.

CALLENS, S. en PEERS, J., Organisatie van de gezondheidszorg, Antwerpen, Intersentia, 2008, 677 p.

DE VRIES, H.H. en RUTGERS, D.J., Wet bescherming persoonsgegevens. Toepassing in arbeidsverhoudingen, Deventer, Kluwer, 2001, 128 p.

DIJKHOFFZ, W., Je rechten als patiënt, Berchem, EPO wetreeks, 2008, 258 p.

DUIJST, W.L.J.M., Praktijkboek beroepsgeheim & informatieverstrekking in de zorg, Antwerpen, Maklu, 2009, 168 p.

DUMORTIER, J. en GRAUX, H., Privacywetgeving in de praktijk, Kortrijk, UGA, 2009, 440 p.

LAMBERT, P., Le secret professionel, Brussel, Nemesis, 1985, 321 p.

MORBÉ, E., De wet betreffende rechten van de patiënt, Kortrijk, UGA, 2003, 236 p.

NYS, H., VAN DAMME, J. en VAN DAMME, T., De patiënt, de huisarts en zijn dossier, Antwerpen, Intersentia, 2003, 235 p.

NYS, H., De rechten van de patiënt, Leuven, Universitaire Pers Leuven, 2001, 184 p. NYS, H., Geneeskunde: Recht en Medisch handelen, Brussel, E. Story – Scientia, 2005, 714 p.

2. Bijdragen in tijdschriften X., “Advies betreffende voorlopige bewindvoering en geneeskundige verklaringen”, T. Gez. 20012002, 278-279. ALLEMEERSCH, B., “Het toepassingsgebied van art. 458 Strafwetboek. Over het succes van het beroepsgeheim en het geheim van dat succes.”, R.W. 2003-2004, 1-19. CALLENS, S. en CIERKENS, K., “Juridische aspecten van e-health in Europa”, T. Gez. 2007-08, afl. 5, 344-354. CALLENS, S., “Omtrent het e-Health-platform en het recht op privacy van de patiënt”, T.Gez. 2008-09, afl. 3, 185-186. CALLENS, S., “Privacyreglement van het ziekenhuis”, A. Hosp. 1995, afl.1, 72-74. COLPAERT, K., GEENENS, K. en VANDERPLASSCHEN, W., “Mogelijkheden en voorwaarden inzake de implementatie van een Gemeenschappelijk Elektronisch Zorgdossier: de verslavingszorg in de provincie Oost-Vlaanderen als casus”, Orthopedagogische reeks Gent, Universiteit Gent, 2005, 2-72, www.ortserve.ugent.be/img/doc/Paper%20EPD%2009032005.doc . DIJKHOFFZ, W., “Rol van medische getuigschriften in de functionele opvatting van het beroepsgeheim”, T. Gez. 2002-03, afl. 2, 87-98.

GROSEMANS, R., noot onder Cass. 30 oktober 1978, Inf. R.I.Z.I.V. 1979. HOLLOMAN, S., “The Proceedings of the Third Annual Partnership Conference on Public Health Law: Living With the HIPAA Privacy Rule”, The Journal of Law, Medecine and Ethics 2004, 74-75. HOLSTERS, D., “Medische ethiek en deontologie. Arts en geheim”, Tijdschrift van de Nationale Raad van de Orde van Geneesheren december 2008, afl. 122, 8-16. JUDO, F., “eHealth overleeft, maar binnen strikte grenzen”, Juristenkrant, afl. 207, 14 april 2010, 4-5. KERKHOFS, J., “Het beroepsgeheim van paramedici, verpleegkundigen en personeelsleden van O.C.M.W.‟s: een pad in de mand van het gerechtelijk onderzoek?” noot onder K.I. Antwerpen, 2 november 2000, Limb. Rechtsl. 2002, 195-204.

MCGRAW, D., “Privacy and Health Information Technology”, The Journal of Law, Medecine and Ethics 2009, 123-149. MORAN, M., “The Proceedings of the Third Annual Partnership Conference on Public Health Law: Living With the HIPAA Privacy Rule”, The Journal of Law, Medecine and Ethics 2004, 73-74. O‟NEILL INSTITUTE, “Privacy and Health Information Technology. Executive Summary”, The Journal of Law, Medecine and Ethics 2009, 121-122. PUT, J. en VAN DER STRAETE, I., “Het gedeeld beroepsgeheim en het gezamenlijk beroepsgeheim – halve smart of dubbel leed?”, R.W. 2004-05, afl. 2, 41-59. STEVENS, J., “Het beroepsgeheim van de advocaat en dat van de geneesheer”, T. Gez. 2002-03, afl. 1, 2-11. VANDENDRIESSCHE, J., “De verwerking van persoonsgegevens voor historische, statistische en wetenschappelijke doeleinden”, TBBR 2006, 534-543. VELDKAMP, A. W. M., “Het grote mysterie. De vertrouwensarts en het medisch beroepsgeheim.”, T. v. Gez. 1995, 66-79.

3. Verzamelwerken DUMORTIER, J., “De nieuwe wetgeving over de verwerking van persoonsgegevens” in J. DUMORTIER (ed.), Recente ontwikkelingen in informatica- en telecommunicatierecht, Brugge, die Keure, 1999, 377 p. SPEECKAERT, M. en VERHULST, S., “Medische gegevens en privacy” in G. VERMEULEN (ed.), Privacy en Strafrecht: nieuwe grensoverschrijdende erkenningen, Antwerpen, Maklu, 2007, 627 p.

Websites 1. Europese websites Europese wetgeving, http://europa.eu/legislation_summaries/information_society/l14012_nl.htm , http://eur-lex.europa.eu/nl/index.htm .

Healthgridconferentie Parijs, http://paris2010.healthgrid.org .

Het Volksgezondheidsportaal van de Europese Unie, http://ec.europa.eu/health-eu/index_nl.htm .

2. Belgische websites Commissie

voor

de

Bescherming

van

de

Persoonlijke

Levenssfeer,

CBPL,

www.privacycommission.be/nl .

Grondwettelijk Hof www.arbitrage.be ; www.const-court.be .

KU Leuven, www.law.kuleuven.be/icri/publications/12862010_Privacyrecht_Dumortier_VRGAlumni%20.pdf?wh ere .

Medinews, www.medinews.be/full_article/detail.asp?aid=7075 .

O.L. Vrouwziekenhuis Aalst, www.olvz.be/index.jsp , www.gka.be/app4n0208.pdf .

OMFS, http://omfs.be/Default.aspx?PageID=692&Culture=nl .

Orde van Geneesheren, www.ordomedic.be .

Vlaams Patiëntenplatform, www.vlaamspatientenplatform.be/www/content/view/94/85 .

www.doktersgildvanhelmont.be/documenten/ha779blz.16.doc .

3. Nederlandse websites College Bescherming Persoonsgegevens, CBP, www.cbpweb.nl/Pages/home.aspx .

De Rijksoverheid Nederland, www.minvws.nl/folders/ibe/hoofdlijnen_wet_beroepen_in_de_individuele_gezondheidszorg_big.asp .

FOMAT, www.fomat.nl/Big88.html .

Koninklijke

Nederlandsche

Maatschappij

http://knmg.artsennet.nl/Over-KNMG.htm .

Ministerie van Justitie, www.justitie.nl .

tot

bevordering

der

Geneeskunst,

KNMG,

4. Amerikaanse websites American Medical Association, AMA,

www.ama-assn.org/ama/pub/physician-resources/legal-

topics/patient-physician-relationship-topics/patient-confidentiality.shtml .

Center for Medicare and Medicaid Services, CMS, www.cms.gov .

Medical Peer Review Resource, LLC, http://medicalpeerreviewresource.com/psqia.php .

Training HIPAA net, www.training-hipaa.net .

U.S. Department for Health and Human Services, HHS, www.hhs.gov/ocr/privacy .

U.S. Supreme Court, http://supreme.justia.com .

Faculteit Rechtsgeleerdheid Universiteit Gent. Academiejaar

Recommend Documents