POSTADRES TEL
Postbus 93374, 2509 AJ Den Haag
070 - 381 13 00
FAX
070 - 381 13 01
BEZOEKADRES
E-MAIL
Prins Clauslaan 20
[email protected]
INTERNET
www.cbpweb.nl
LANDELIJKE ZORGREGISTRATIES
mr. J.A.L. Krabben
DATUM
maart 2005
Het College bescherming persoonsgegevens (CBP) publiceert in zijn serie Rapporten resultaten van onderzoek naar de stand van zaken bij de bescherming van persoonsgegevens in organisaties en sectoren. De Rapporten zijn gebaseerd op onderzoeken uitgevoerd door of in opdracht van het CBP. Door publicatie van deze Rapporten vraagt het CBP aandacht voor feiten die de persoonlijke levenssfeer van de burger raken. Het CBP wil hiermee bewustwording en naleving van de normen voor de bescherming van persoonsgegevens bevorderen.
Het onderzoek naar landelijke zorgregistraties werd uitgevoerd door mw. mr. J.A.L. Krabben met medewerking van dhr. G.W. van Blarkom RE en dhr. R.R.A. Beugelsdijk.
Onderzoek landelijke zorgregistraties, Rapport 3; College bescherming persoonsgegevens, Den Haag, maart 2005. ©
College bescherming persoonsgegevens. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.
maart 2005
VOORWOORD Steeds meer gegevens van patiënten worden opgeslagen in landelijke gegevensregistraties voor onder andere medisch- en kwaliteitsonderzoek. Deze onderzoeken zijn van groot maatschappelijk belang. Juist daarom is het evenzeer van belang dat patiënten kunnen vertrouwen op een zorgvuldige omgang met hun (medische) gegevens. Het rapport Landelijke zorgregistraties is het verslag van oriënterend feitenonderzoek bij vijf grote landelijke registraties in de zorg. De centrale vraag was in hoeverre de registraties gegevens bevatten die herleidbaar zijn tot individuele patiënten, in relatie tot de vraag naar de rechtmatigheid van dit soort gegevensverzamelingen en de rechtmatigheid van de verstrekking van gegevens daaruit voor onder meer onderzoek en beleid. Op grond van de bevindingen uit het onderzoek heeft het CBP een aantal aanbevelingen geformuleerd. De belangrijkste aanbevelingen zijn: -
de registraties dienen zo min mogelijk te werken met gegevens die direct of indirect herleidbaar zijn tot individuele personen;
-
herleidbaarheid van gegevens kan verregaand beperkt worden door het toepassen van Privacy-Enhancing Technologies (PET) zonder nadelig gevolg voor de onderzoekswaarde van de gegevens;
-
patiënten van wie gegevens in de registraties worden opgenomen, dienen over het algemeen meer en beter geïnformeerd te worden;
-
de beveiliging van de gegevens dient verbeterd te worden.
Het CBP heeft er alle vertrouwen in dat de aanbevelingen uit het rapport door de landelijke zorgregistraties ter harte worden genomen. Verantwoordelijken voor de onderzochte registraties zijn zich bewust van het belang van de bescherming van persoonsgegevens. De Stichting Federatie van Medisch Wetenschappelijke Verenigingen heeft een gedragscode opgesteld om richtlijnen te geven voor het gebruik van persoonsgegevens bij gezondheidsonderzoeken. Deze Gedragscode voor gezondheidsonderzoek ‘Goed Gedrag’ is ook relevant voor het verzamelen en verstrekken van gegevens voor onderzoek. In 2004 gaf het CBP zijn goedkeuring aan de code. Zelfregulering ten behoeve van de bescherming van de persoonlijke levenssfeer is een nodig en door de wetgever gewenst complement op het controlerend toezicht door het CBP.
Jacob Kohnstamm voorzitter
maart 2005
INHOUDSOPGAVE
Hoofdstuk 1. Inleiding en aanpak onderzoek .................................................................. 5 Inleiding............................................................................................................................................... 5 1.1 Aanpak........................................................................................................................................... 5 1.2 Onderzoeksvragen ....................................................................................................................... 6 1.3 Deelnemers aan het onderzoek .................................................................................................. 7 Hoofdstuk 2. Algemeen wettelijk kader voor dit onderzoek........................................... 10 Inleiding............................................................................................................................................. 10 2.1 Beginselen van de WBP ............................................................................................................. 10 2.2 Geheimhoudingsplicht .............................................................................................................. 11 2.3 Informeren van betrokkene....................................................................................................... 12 2.4 Beveiliging ................................................................................................................................... 12 Hoofdstuk 3. Belangrijkste bevindingen in het onderzoek bij de registraties.................. 13 Inleiding............................................................................................................................................. 13 3.2 Belangrijkste bevindingen ......................................................................................................... 13 3.3 Herleidbaarheid.......................................................................................................................... 15 3.4 Rechtmatige grondslag en noodzakelijkheid van gegevens................................................. 20 3.5 Informeren van betrokkenen .................................................................................................... 29 3.6 Beveiliging ................................................................................................................................... 32 Bijlage relevante wetteksten ........................................................................................ 34 WBP .................................................................................................................................................... 34 Burgerlijk Wetboek Boek 7 .............................................................................................................. 41
maart 2005
5
HOOFDSTUK 1. INLEIDING EN AANPAK ONDERZOEK Inleiding In zorgend Nederland wordt heel wat geregistreerd. In de eerste plaats is dit natuurlijk noodzakelijk om het zorgproces direct te ondersteunen en ook om de financiële afwikkeling in de zorg mogelijk te maken. Maar het is gebleken dat er daarnaast steeds meer landelijke registraties van medische en patiëntengegevens bijkomen voor andere doeleinden. Wat weet eigenlijk de patiënt van de registratie van zijn gegevens in landelijke databanken? De indruk is ontstaan dat de patiënt daar weinig van weet. Als toezichthouder op de verwerking van persoonsgegevens vroeg het CBP zich af waarvoor deze registraties precies worden gebruikt. Voor het CBP was in de eerste plaats belangrijk te onderzoeken of de gegevens in registraties tot de persoon van de patiënt herleidbaar zijn. En zo ja, wordt zijn privacy dan voldoende beschermd? Ook vroeg het CBP zich af of er eigenlijk wel een rechtmatige grondslag bestaat voor al die registraties. Voor het verwerken van herleidbare patiëntengegevens biedt de wet namelijk maar beperkte mogelijkheden. Dit in verband met de gevoeligheid van de gegevens en het voor artsen mede om die reden geldende beroepsgeheim. De Registratiekamer, voorganger van het CBP, heeft begin jaren negentig in het kader van een ‘knelpuntennotitie medisch wetenschappelijk onderzoek’ een overzicht gemaakt van landelijke registraties in de zorg en mogelijke knelpunten. Intussen is er ook op zaaksniveau ervaring opgedaan met een aantal landelijke registraties, waarbij werd geconstateerd dat sommige situaties wel en sommige niet door de wettelijke beugel konden. Tegen deze achtergrond is het doel van dit project vastgesteld: het doen van een oriënterend feitenonderzoek en het daarmee inzichtelijk maken van het functioneren van een aantal landelijke registraties.
1.1 Aanpak Het CBP heeft een beperkte inventarisatie gemaakt van landelijke registraties die gerelateerd zijn aan de zorgsector, waarbij gebruik is gemaakt van informatie van de 'Tellen en Meten' website van het ministerie van Volkshuisvesting Welzijn en Sport. Vervolgens zijn vijf registraties uitgekozen, waarop het onderzoek is gericht. Het kiezen van de registraties voor het onderzoek is gebeurd aan de hand van de volgende uitgangspunten. -
De behoefte bestond een aantal voor het CBP nog onbekende registraties te onderzoeken.
maart 2005
-
Daarnaast wilde het CBP een aantal bekende registraties onderzoeken om inzicht te krijgen in wat verantwoordelijken gedaan hebben met eerdere uitspraken of aanbevelingen van de toezichthouder.
-
Er zou in elk geval een grote registratie onderzocht worden. Groot in de zin dat bijna iedere persoon ermee te maken heeft.
-
6
De verwachte gevoeligheid van verwerkte gegevens of verwachte interessante uitkomsten van onderzoek naar aanleiding van hetgeen uit de inventarisatie van de registraties naar voren is gekomen.
De keuzes voor de deelnemende registraties zijn hieronder gemotiveerd.
1.2 Onderzoeksvragen In het onderzoek stonden de hieronder geformuleerde vragen centraal. -
Welke gegevens worden geregistreerd;
-
Wie is verantwoordelijke1 voor de verwerking;
-
Wie is de eventuele bewerker2;
-
Wat is het doel of zijn de doelen van de registratie;
-
Wie vormen de groep van betrokkenen3;
-
Is er een wettelijke verplichting of aanleiding voor het voeren van de registratie;
-
Wat is de rechtmatigheidsgrondslag voor de registratie;
-
Hoe en bij wie worden gegevens verkregen;
-
Is de betrokkene geïnformeerd over de registratie en op welke wijze;
-
Is er eventueel sprake van toestemming om opgenomen te worden;
-
Wie hebben toegang tot de gegevens;
-
Wie zijn de ontvangers van gegevens uit de registratie;
-
Welke technische en organisatorische beveiligingsmaatregelen zijn er;
Deze vragen zijn beantwoord door middel van het combineren van een aantal onderzoeksmethoden. Middels een introducerende brief werden de verantwoordelijken medio juli 2002 op de hoogte gesteld van het onderzoek. Daarin werden deze vragen gesteld aan de verantwoordelijke. Naar aanleiding van de brief werden afspraken gemaakt om met de verantwoordelijke en eventueel ook met bewerkers te spreken. Een interview en een beperkte feitelijke controle van de verwerking hebben vervolgens plaats gehad tussen eind augustus 2002 en januari 2003. Afhankelijk van de behoefte van het onderzoek bij verschillende registraties is het vervolgtraject enigszins verschillend geweest. Met verschillende registraties hebben vervolggesprekken plaatsgehad in 2003 en begin 2004. Juni 2004 werd aan de 1) Verantwoordelijke in de zin van de WBP is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vastgesteld. 2) Bewerker in de zin van de WBP: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. 3) Betrokkene in de WBP is degene op wie een persoonsgegeven betrekking heeft.
7
maart 2005
betrokken verantwoordelijken het hun betreffende deel van de bevindingen toegezonden. Met dit rapport is het onderzoek afgesloten. Dit rapport dient om de belangrijkste bevindingen uit het onderzoek in bredere kring beschikbaar te maken, in de hoop dat ook andere registraties in de zorg daarmee hun voordeel kunnen doen. Voor zover er sprake is van een bewerker van de geregistreerde gegevens, is ook deze in het onderzoek betrokken. Prismant (fusie van Stichting Informatiecentrum voor de Gezondheidszorg (SIG) en het Nationaal Ziekenhuis Instituut (NZi) te Utrecht speelt een centrale rol. Prismant is voor vele registraties in de zorg de bewerker en zo ook voor een aantal van de onderzochte registraties. Prismant houdt daarnaast ook als verantwoordelijke enkele registraties, hetgeen in dit onderzoek echter niet aan de orde is.
1.3 Deelnemers aan het onderzoek De volgende registraties zijn in het onderzoek betrokken: -
Het Pathologisch Anatomisch Landelijk Geautomatiseerd Archief (PALGA).
Het PALGA bevat gegevens van alle patiënten die via hun huisarts of specialist een pathologieonderzoek hebben laten verrichten, zoals weefsel- en celonderzoek. Het PALGA bestaat al sinds 1975. Het was de eerste registratie waarvan het SIG (opgegaan in Prismant) destijds de bewerker was, in de tijd dat de naam van de registratie SIG- PALGA luidde. De verantwoordelijke voor de PALGA registratie is de Stichting PALGA en Prismant is de bewerker. Het CBP heeft in het verleden regelmatig contact gehad met het PALGA of diens voorganger, maar nooit eerder heeft er een op PALGA gericht onderzoek plaatsgehad. De keuze voor het PALGA is gelegen in de toenemende nieuwsgierigheid van de toezichthouder om eens van dichtbij naar de registratie te kijken waarover al veel gesproken/gehoord is. Daarnaast is de registratie naar zijn aard interessant omdat deze zich richt op verzamelen van alle uitslagen van PA-laboratoria in Nederland. De verschillende doeleinden van deze registratie maakt dat een bepaalde mate van herleidbaarheid van gegevens in de registratie verwacht werd door het CBP. Tot slot is het feit dat vrijwel alle personen in Nederland in de registratie zullen (gaan) voorkomen van belang geweest voor de keuze. Naast de genoemde vragen, vraagt het CBP zich af in hoeverre er in deze registratie gegevens betreffende ‘erfelijke eigenschappen' worden verwerkt en zo ja, in hoeverre daarbij uitvoering is gegeven aan het bepaalde in artikel 21 lid 4 WBP.
8
maart 2005
Het doel van de gegevensverwerking in PALGA is als volgt: 1. Ondersteuning van het pathologisch onderzoek in het kader van de behandeling van de patiënt; 2. Wetenschappelijk onderzoek en onderwijs; 3. Kwaliteitscontrole voor clinici zowel als pathologen; 4. Ondersteuning van bevolkingsonderzoeken Baarmoederhalskanker en Borstkanker. -
De Perinatale Registratie Nederland (PRN).
Deze nog nieuwe registratie is een samenvoeging van de Landelijke Verloskunde Registratie- eerste lijn (inclusief de Landelijke Verloskunde Registratie- huisartsen), de Landelijke Verloskunde Registratie- tweede lijn, alsmede de Landelijke Neonatologie Registratie. De registratie bevat gegevens van vrouwen en hun kinderen omtrent de zwangerschap, geboorte van het kind en andere medische informatie over de pasgeborene en de moeder in de perinatale periode. Deze registratie is gekozen voor het onderzoek vanwege de aard van de registratie en de verwachte gevoelige items. Daarbij komt dat uit eerdere gesprekken van het CBP met de Stichting Perinatale Registraties Nederland is gebleken dat men met toestemming van de betrokkenen wil gaan (ver)werken. Het CBP was benieuwd naar de uitwerking van dit voornemen en verwachtte iets te leren over de werkbaarheid daarvan. Tot slot vraagt het CBP zich af in hoeverre er in deze registratie gegevens betreffende ‘erfelijke eigenschappen' worden verwerkt en zo ja, in hoeverre daarbij uitvoering is gegeven aan het bepaalde in artikel 21 lid 4 WBP. De doelen voor verwerking van gegevens in de PRN zijn: 1. De bewaking en verhoging van de kwaliteit van handelen in de (perinatale) gezondheidszorg. 2. Het uitvoeren en mogelijk maken van wetenschappelijk onderzoek. -
Het landelijke Zorg Registratiesysteem (ZRS).
Het ZRS bevat gegevens omtrent de vraag, indicatie en toewijzing van zorg- en dienstverlening aan (verstandelijk) gehandicapten, die zijn geïndiceerd voor AWBZ zorg. Bij het CBP bestond het vermoeden, mede op grond van informatie verkregen uit de inventarisatie, dat er in de ZRS veel bijzondere persoonsgegeven op herleidbaar niveau worden verwerkt. Dit wekte de nieuwsgierigheid naar de organisatie en grondslagen van de registratie. Het ZRS functioneert naast de AWBZ brede zorgregistratie (AZR). Op termijn wordt de ZRS vervangen door de AZR.
9
maart 2005
Het doel van de ZRS registratie is: 1. Landelijke informatie genereren omtrent de vraag, indicatie en toewijzing van zorg- en dienstverlening aan (verstandelijk) gehandicapten ten behoeve van beleid. -
De landelijke GGZ registratie, het ZORGIS.
Gezien de gevoeligheid van gegevens gerelateerd aan de geestelijke gezondheidszorg en de verwachte beveiligingsgraad van de gegevensverwerking (het CBP heeft eerder met de verantwoordelijke om de tafel gezeten om over de registratieopzet te spreken) is het CBP geïnteresseerd geraakt in de praktische werkbaarheid van het systeem en de feitelijke gang van zaken. Het doel van deze registratie is door GGZ Nederland als volgt omschreven: 1. Ondersteuning landelijk en regionaal beleid; 2. Informatieverschaffing over de verlening van geestelijke gezondheidszorg ten behoeve van beleid en de sturing en verantwoording van de zorg; 3. Ondersteuning bij wetenschappelijk onderzoek inzake de geestelijke gezondheidszorg. -
Het Landelijk Informatienetwerk Huisartsen.
In deze registratie worden medische gegevens opgenomen van patiënten betreffende de consulten bij huisartsen die deelnemen aan het netwerk. Het CBP kwam door de inventarisatie op de hoogte van het bestaan van deze registratie. Gedurende het onderzoek bleek echter ook de Registratiekamer al contact te hebben gehad met de verantwoordelijken voor deze registratie in het kader van de uitvoering van een studie waarvoor in het verleden tijdelijk extra informatie is geregistreerd. De inventarisatie maakte dat het CBP zich afvroeg of de verantwoordelijken voor deze registratie en de betrokken deelnemers zich voldoende bewust zijn van het geregelde in de WBP en de WGBO. Het CBP was benieuwd naar het doel van deze registratie en naar de omvang van de vastgelegde gegevens. De doelen van het LINH zijn als volgt omschreven: 1. Onderbouwing landelijk beleid van beroepsgroep en overheid; 2. Het doen van wetenschappelijk onderzoek ten behoeve van kwaliteitsbeleid huisartsen; 3. Het beantwoorden van vraagstellingen op het gebied van gezondheidszorgbeleid.
maart 2005
10
HOOFDSTUK 2. ALGEMEEN WETTELIJK KADER VOOR DIT ONDERZOEK Inleiding Het CBP is op grond van artikel 51 lid 1, in samenhang met artikel 60 WBP bevoegd tot het instellen van een onderzoek naar de verwerking van persoonsgegevens. Bij landelijke registraties in de gezondheidszorg gaat het vaak om persoonsregistraties waarin tevens bijzondere gegevens, namelijk gegevens betreffende de gezondheid zijn opgenomen. In het geval er geen persoongegevens worden verwerkt, is de Wet bescherming persoonsgegevens (WBP) niet van toepassing en vervalt de bevoegdheid van het CBP. In dit onderzoek is vastgesteld of zulks het geval is. Bij persoonsgegevens gaat het erom of er sprake is van direct dan wel indirect identificerende gegevens. De WBP bepaalt het juridisch kader voor de bescherming van persoonsgegevens. Andere wetgeving regelt aanvullend die bescherming. In het kader van dit onderzoek zijn de Wet BIG en de WGBO van belang, waarin het beroepsgeheim van onder andere artsen geregeld wordt. Een geheimhoudingsverplichting kan ook uit beroepscodes en andere regelingen voorvloeien die zonodig aan de orde komen. Daarnaast bestaat er een gedragscode over de spelregels bij gezondheidsonderzoek. Deze code, Gedragscode Goed Gedrag, van de FMWV werkt ook nader de regels uit met betrekking tot de omgang met persoonsgegevens. In 2004 is deze (herziene) code opnieuw van een ‘goedkeurende verklaring’ voorzien door het CBP. Deze code mag niet in strijd met de WGBO of WBP worden uitgelegd.
2.1 Beginselen van de WBP In zijn algemeenheid dienen persoonsgegevens op een behoorlijke en zorgvuldige wijze te worden verwerkt in overeenstemming met de wet. De gegevens worden voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel verzameld en mogen alleen worden verwerkt als daartoe een grondslag is aan te wijzen in artikel 8 WBP. Daarnaast moet de verwerking noodzakelijk zijn om het gestelde doel te dienen. Dit wil zeggen dat de te verwerken gegevens toereikend, ter zake dienend en niet bovenmatig mogen zijn gelet op het doel (artikel 11 WBP). Een verdere verwerking van gegevens is bovendien alleen toegestaan als de verwerking niet onverenigbaar is met het doel waarvoor de gegevens zijn verkregen (artikel 9 WBP). Een en ander komt aan de orde als de verwerking niet reeds uit andere hoofde verboden is. Paragraaf 2 van Hoofdstuk 2 van de WBP regelt de verwerking van bijzondere gegevens. De registraties die aan dit onderzoek onderworpen zijn bevatten zonder uitzondering gegevens betreffende de gezondheid. Het verwerken daarvan is op grond van artikel 16 van de WBP in zijn algemeenheid verboden. Echter voor de
maart 2005
11
gezondheidszorg en aangrenzende gebieden regelt artikel 21 WBP logischerwijs een ontheffing van dat verbod, onder de daar gestelde voorwaarden. In aanvulling op maar onverminderd - artikel 21 biedt artikel 23 WBP enkele gronden waarop van het algemene verbod ontheven wordt. In dit onderzoek is van die gronden uit artikel 23 WBP de 'uitdrukkelijke toestemming van de betrokkene' voor het verwerken van de gegevens betreffende de gezondheid van belang, alsmede de uitzondering van het tweede lid, betreffende de verwerking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek, onder bepaalde voorwaarden.
2.2 Geheimhoudingsplicht Als een geheimhoudingsplicht in de weg staat aan een bepaalde verwerking van persoonsgegevens is deze uit dien hoofde reeds niet toegestaan. Kenmerkend voor de deelnemende landelijke registraties in de zorg is dat gegevens van patiënten of cliënten in de zorg ten behoeve van de registratie worden verkregen bij hulpverleners in de zorg of zorg- of welzijnsinstellingen. Deze dienen zorg te dragen voor de geheimhouding van de gegevens van betrokkenen. De geheimhoudingsplicht heeft echter geen absoluut karakter. Op grond van artikel 457 van boek 7 Burgerlijk Wetboek (zgn. WGBO) zijn de uitzonderingen op de geheimhouding: -
een (specifieke) wettelijke verplichting;
-
de toestemming van de patiënt;
-
de situatie waarin gegevens worden gedeeld met iemand die direct bij de uitvoering van de behandelingsovereenkomst betrokken is of die optreedt als vervanger van de hulpverlener, voorzover de gegevens noodzakelijk zijn voor diens taak;
Op grond van artikel 458 van boek 7 Burgerlijk Wetboek kunnen daarnaast zonder toestemming van de patiënt gegevens worden verstrekt door de geheimhoudingsplichtige ten behoeve van wetenschappelijk onderzoek en statistiek, indien: -
het vragen van toestemming in redelijkheid niet mogelijk is en de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad, of
-
het vragen van toestemming, gelet op aard en doel van het onderzoek, in redelijkheid niet kan worden verlangd, en de hulpverlener de gegevens in zodanige vorm verstrekt dat herleiding tot individuele personen redelijkerwijs wordt voorkomen.
Verstrekking is op die gronden echter alleen mogelijk indien het onderzoek een algemeen belang dient, zonder de betreffende gegevens niet kan worden uitgevoerd, én de patiënt tegen de verstrekking niet uitdrukkelijk bezwaar heeft gemaakt.
maart 2005
12
2.3 Informeren van betrokkene Als de verantwoordelijke gegevens rechtmatig heeft verkregen en verder verwerkt, is het voorts van belang dat hij de betrokkene informeert over de registratie en de verantwoordelijke (artikel 34 WBP), indien betrokkene daarvan niet reeds op de hoogte is, en het informeren niet onmogelijk is gebleken of een onevenredige inspanning kost. Informatie behoeft niet te worden gegeven als de vastlegging van de gegevens of de verstrekking daarvan door de wet is voorgeschreven. Het informeren van de betrokkenen is nodig om de transparantie van gegevensverwerkingen te waarborgen. Alleen als iemand voldoende op de hoogte is van de gegevensverwerking is het ook mogelijk om de wettelijk toegekende rechten van betrokkene te effectueren. Zo moet een betrokkene in staat worden gesteld gegevens in te zien, afschrift daarvan te ontvangen en foutieve gegevens te laten corrigeren of verwijderen. Daarnaast heeft de patiënt het recht gegevens te laten vernietigen op grond van de WGBO, voorzover van toepassing. Het informeren van betrokkenen kan achterwege blijven (artikel 44 WBP) indien de verwerking van persoonsgegevens plaatsvindt door een instelling of dienst voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de gegevens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden gebruikt. In dat geval is ook het verlenen van inzage in gegevens en het bieden van een mogelijkheid tot correctie, aanvulling of verwijdering van foutieve gegevens niet verplicht.
2.4 Beveiliging Artikel 13 WBP verplicht de verantwoordelijke om technische en organisatorische maatregelen te treffen teneinde persoongegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Bij de verwerking van bijzondere gegevens, waarop vaak een geheimhoudingsplicht rust, klemt deze verplichting te meer. Het aantal mogelijke rechtmatige verwerkingen is immers beperkt. In het onderzoek zal het CBP de beveiligingsmaatregelen slechts op globale manier onder de loep nemen.
maart 2005
13
HOOFDSTUK 3. BELANGRIJKSTE BEVINDINGEN IN HET ONDERZOEK BIJ DE REGISTRATIES Inleiding In dit onderzoek heeft het CBP in beperkte omvang onderzoek verricht naar de wijze waarop en de zorgvuldigheid waarmee door landelijke registraties in de zorg persoonsgegevens worden verwerkt. Kenmerkend van deze registraties is dat gegevens, veelal patiëntengegevens, ergens centraal worden opgeslagen, waarbij vervolgens voor een bepaald doel, vaak wetenschappelijk of kwaliteitsonderzoek, uit deze database gegevens kunnen worden verstrekt. De registratie is daarbij in feite intermediaire leverancier van onderzoeksgegevens welke daarnaast rechtstreeks bij of via de hulpverlener beschikbaar zijn (en blijven). In een enkel geval is de verantwoordelijke voor de registratie zelf onderzoeksinstituut (met eigen onderzoekers), maar in de meeste gevallen niet. Het CBP onderkent het grote nut en de noodzaak van zowel wetenschappelijk- als kwaliteitsonderzoek in de zorg en onderhavig onderzoek heeft dan ook allerminst als een doelstelling om een oordeel te geven over het nut van de gegevensverwerking voor onderzoek. Het CBP heeft slechts de wijze waarop dat bij deze registraties gebeurt ‘vergeleken’ met de voorschriften die daarvoor zijn, en de zorgvuldigheid waarmee een en ander plaatsvindt, als een soort totaalbevinding, getoetst. Een en ander overeenkomstig de taken van het CBP als toezichthouder.
3.2 Belangrijkste bevindingen Voor het onderzoek bij de vijf landelijke registraties geldt dat het CBP over het algemeen een redelijke tot goede indruk heeft gekregen van de manier waarop door de registraties met persoonsgegevens wordt omgegaan. Daarbij werd echter duidelijk dat verbeteringen in bijna alle gevallen mogelijk en noodzakelijk waren. Het CBP acht verbeteringen met relatief eenvoudige ingrepen mogelijk zonder de waarde van gegevens voor onderzoek werkelijk te beperken. Het gaat daarbij in de eerste plaats om het zo veel mogelijk beperken van herleidbaarheid van gegevens. Een aantal belangrijke aanbevelingen zijn inmiddels door de registraties overgenomen. Belangrijke terugkerende elementen van de bevindingen zijn: -
De vraag van de herleidbaarheid van gegevens tot individuele personen (zie 3.3) Ten onrechte wordt nog vaak aangenomen dat indirect herleidbaar, ‘anoniem’ is en de WBP daarom niet van toepassing. Dit kan te maken hebben met de kennis van regelgeving dan wel de interpretatie van normen, waarbij het veld soms geneigd is regelingen ruimer te interpreteren dan volgens het CBP juist is. Maatregelen die zijn getroffen om herleidbaarheid van gegevens tot personen te beperken betekenen in onderzochte gevallen vaak niet dat gegevens niet meer als persoonsgegevens dienen te worden beschouwd. Het beschouwen van gegevens
maart 2005
14
als persoonsgegevens heeft natuurlijk gevolgen voor hoe voorts met de gegevens om dient te worden gegaan en wat is toegestaan met die gegevens. Als het niet noodzakelijk is herleidbare gegevens te verwerken is dit in elk geval niet toegestaan. Herleidbaarheid kan (verdergaand) beperkt worden door het goed samenstellen van de dataset en het toepassen van Privacy Enhancing Technologies (PET), zoals versleuteling van gegevens. -
Een rechtmatige grondslag voor de verwerking van persoonsgegevens (zie 3.4) Het formuleren van de grondslag is in het onderzoek niet eenvoudig gebleken. Vaak geldt de verantwoordelijke niet als een verantwoordelijke in de zin van artikel 21 WBP en is er ook geen sprake van uitdrukkelijke toestemming van betrokkene voor verwerking, overeenkomstig art. 23 WBP. Wat resteert is dan de grondslag voor het verwerken van gegevens voor wetenschappelijk onderzoek, welke aan strikte voorwaarden is gebonden. Bij dit onderwerp is het belangrijk om te kijken naar de doelen voor het registreren van gezondheidsgegevens in relatie tot de hoeveelheid verzamelde gegevens en de samenstelling van de gegevens (hoe gemakkelijk het is om tot identificatie te komen). De vraag van de noodzakelijkheid van gegevens komt daarbij ook aan de orde. De vraag is vaak of identificatie van personen nodig is bij de verwerking gelet op het doel van de registratie of mogelijk alleen verificatie van het gebruik van gegevens van dezelfde persoon (zonder de identiteit te kennen). Problemen die worden aangekaart door verantwoordelijken hebben vaak te maken met de mogelijkheid gegevens van dezelfde persoon bij elkaar te brengen (en aldus het uitsluiten van het hebben van administratieve meerlingen) en de mogelijkheid terug te gaan naar een persoon in bijv. cohort-studies. De goede toepassing van Privacy Enhancing Technologies (PET) komt hierbij aan de orde. Verwerking van erfelijkheidsgegevens is daarenboven in de registraties slechts toegestaan met betrekking tot de betrokkene bij wie de gegevens zijn verkregen, tenzij deze verwerking noodzakelijk is voor wetenschappelijk onderzoek en statistiek en overigens aan de spelregels voor wetenschappelijk onderzoek is voldaan of een zwaarwegend geneeskundig belang prevaleert.
-
Het informeren van betrokkene door de verantwoordelijke (zie 3.5) Op grond van de WBP dienen betrokkenen in beginsel te worden geïnformeerd over de verwerking van hun gegevens. In het onderzoek bleek dat verbetering van de informatie nodig is. Er is in een aantal gevallen wel informatiemateriaal bij de berichtgevers voorhanden, maar die informatie was niet steeds toereikend. Ook was niet duidelijk of de informatie de betrokkenen bereikt. Dit is dus ook algemeen aandachtspunt. De uitzonderingsgrond van 44 WBP op de
maart 2005
15
informatieverplichting is niet zonder meer van toepassing op registraties in de zorg. -
Algemene beveiliging De beveiliging van gegevens is in een aantal gevallen enigszins tot behoorlijk onder de maat. De beveiliging is slechts beperkt onderzocht. De meeste informatie is verkregen door interviews. Het gaat om zowel de beveiliging van de databases als de gegevensaanlevering aan de registraties en de beveiliging van het gebruik en de toegang tot gegevens. Wat er van de verantwoordelijke in de huidige tijd, met de huidige behoefte aan gegevensverwerking (informatie) alsmede de mogelijkheden van de techniek, verwacht mag worden ten aanzien van veilige gegevensverwerking komt hier aan de orde.
Deze elementen, die alle onderdeel vormen van de normen voor gegevensverwerking, worden hieronder nader besproken aan de hand van de ervaringen bij het onderzoek van de registraties.
3.3 Herleidbaarheid De WBP is slechts van toepassing als het om persoonsgegevens gaat. Om vast te stellen of een registratie een verwerking van persoonsgegevens is dient te worden vastgesteld of er sprake is van verwerking van direct, dan wel indirect identificerende gegevens. De mate van herleidbaarheid4 is verder een interessant gegeven om de regels van de WBP toe te kunnen passen. Zo mogen onder andere slechts die gegevens worden verwerkt die ook noodzakelijk zijn voor het doel van de verwerking en slechts voorzover de verwerking is toegelaten in de wet, er met andere woorden een grondslag voor bestaat. Niet direct herleidbaar
De onderzochte registraties bevatten geen van alle direct herleidbare gegevens zoals bijvoorbeeld een naam of een naam in combinatie met geboortedatum. De mate waarin een gegeven uniek voor een bepaalde persoon is, bepaald of er sprake is van directe identificatie. Geen van de onderzochte registraties bevat de namen van betrokkenen als zodanig. Een tweetal registraties, het PALGA en het ZORGIS, bevat wel naamsgegevens in versleutelde vorm. De verschillende manieren waarop dit gebeurt worden hieronder beschreven. Het CBP heeft geconstateerd dat geen van de onderzochte registraties ook
4) In deze rapportage worden de begrippen ‘herleidbaar’ en ‘identificerend’ naast elkaar gebruikt om hetzelfde aan te duiden.
16
maart 2005
overigens direct herleidbare gegevens bevat. De Stichting PRN heeft aangegeven in de toekomst mogelijk naamsgegevens te willen gaan verwerken met de uitdrukkelijke toestemming van betrokkenen. De registraties bevatten overigens een vrij omvangrijke, gedetailleerde en gevarieerde gegevensset, waarin ook bijzondere gegevens, voornamelijk gegevens betreffende de gezondheid, zijn opgenomen. Deze combinatie van gegevens kan bijdragen aan de indirecte herleidbaarheid van betrokkenen. Er is sprake van indirecte herleidbaarheid als de verantwoordelijke, eventueel met hulp van anderen, zonder een onevenredige inspanning te moeten leveren tot herleiding van de identiteit van de betrokkene kan komen. Ook de (maatschappelijke) omstandigheden waarin de verantwoordelijke zich bevindt kunnen daarbij een rol spelen. Geen persoonsgegevens
Een van de registraties, het ZORGIS, werkt met pseudonimisering van patiëntgegevens. Dat wil zeggen dat een aantal vaststaande soorten gegevens (bijv. achternaam, geboortedatum en geboorteplaats) worden gebruikt om daarvan een code te genereren (door een Trusted Third Party) die bij die combinatie van gegevens hoort en derhalve bij een bepaalde persoon. Dit nummer wordt vervolgens als koppelingsgegeven bij andere gegevens over de persoon verwerkt, zonder dat de gegevens waaruit de code is opgebouwd worden verwerkt door de verantwoordelijke. Wat ZORGIS betreft heeft het CBP geoordeeld dat er onder voorbehoud van uitgegaan kan worden dat in het ZORGIS geen persoonsgegevens worden verwerkt. Het CBP redeneert daarbij als volgt: “Voor het onderzoek is belangrijk vast te stellen of er sprake is van verwerking van persoonsgegevens. Direct identificerende gegevens zijn deels verwijderd door middel van dubbele encryptie. Door gebruikmaking van dubbele encryptie van voorletter, naam, geboortedatum en geslacht, met behulp van een Trusted Third Party is het niet mogelijk om uit de versleutelde code de identiteit van een cliënt te achterhalen. Alle datumvelden worden daarnaast teruggebracht naar weekniveau. Het Zorgis is een omvangrijke en gevarieerde gegevensset. Het gaat in principe om gegevens van alle GGZ-cliënten in Nederland. De gegevens zijn voor een groot deel bijzondere gegevens met een gevoelig en onderscheidend karakter. Met de mogelijkheid van incidentele spontane herkenning dient rekening te worden gehouden. Evenwel is er in beginsel geen sprake van directe identificatie. De bijzondere gevallen waarin dit anders zou kunnen zijn dienen te worden vermeden. Daarbij valt ook te denken aan de herhaalbaarheid van de versleutelingsprocedure door de betrokken partijen op basis van voorletter, naam, geboortedatum en geslacht.
17
maart 2005
Ter beoordeling van het feit of er nog sprake is van persoonsgegevens moet worden bepaald of er sprake is van indirecte identificeerbaarheid. Het CBP meent dat redelijkerwijs mag worden aangenomen dat er geen sprake is van indirecte identificeerbaarheid. Daarbij past het voorbehoud dat geen koppeling of vergelijking met gegevens uit andere bron plaatsvindt, waardoor er alsnog sprake zou kunnen zijn van herleidbaarheid. Bij verstrekking van gegevens uit de database aan derden dient derhalve rekening te worden gehouden met het elimineren van velden op grond waarvan koppeling mogelijk is. Onder die voorwaarden zal het CBP de Zorgis registratie beschouwen als een registratie die geen persoonsgegevens bevat. De WBP kan dan geacht worden niet van toepassing te zijn op de verwerking. Evenwel is het nuttig de WBP als richtsnoer te gebruiken voor de zorgvuldige omgang met gegevens en als handvat voor het instandhouden van de situatie waarin aangenomen mag worden dat geen persoonsgegevens worden verwerkt.” Indirect herleidbaar
Hoewel in het PALGA zoals gesteld naamsgegevens (maximaal eerste 8 letters) versleuteld zijn vastgelegd, is uit het gesprek met de Stichting PALGA naar voren gekomen dat het mogelijk is om aan de hand van naamsgegevens de versleutelingsprocedure te herhalen en op die wijze identificatie tot stand te brengen. Dit gebeurde op het moment van dit onderzoek ten behoeve van cohort-vragen. Op die grond kan al gesteld worden dat er sprake is van verwerking van persoonsgegevens, hoewel de combinatie van gegevens daarnaast ook als indirect herleidbaar kan worden beschouwd. Ook bij de PRN en het LINH is sprake van indirect herleidbare gegevens. Gegevens die onder andere worden verwerkt bij deze laatste drie registraties en die het CBP in combinatie als indirect herleidbaar beschouwd zijn bijvoorbeeld geboortedatum, geslacht, vier cijfers van de postcode, diagnose informatie, andere medische gegevens, andere datumvelden en soms ook geboorteplaats. Ook bevatten de gegevensrecords een cliënt- of patiëntnummer dat in de praktijk of instelling van herkomst als patiënt- of cliëntidentificatie wordt gebruikt. Uit het nummer zelf of uit een extra nummer blijkt de hulpverlener of instantie welke de gegevens heeft aangeleverd.
18
maart 2005
Geen persoonsgevens nodig
Ook bij de ZRS registratie is het CBP van mening dat ten tijde van het onderzoek sprake was van indirecte herleidbaarheid, zij het in mindere mate omdat de combinatie van indirecte identificatoren minder uitgebreid is. Gelet op het doel van deze registratie vond het CBP daarnaast dat het eigenlijk niet nodig is om persoonsgegevens te verwerken in het ZRS. Dit was ook niet gewenst door het CVZ, de verantwoordelijke voor het ZRS. Het CBP oordeelde daarom dat deze situatie door een kleine aanpassing gewijzigd kon worden en redeneerde daarbij als volgt: “Binnen de verwerking van gegevens bij het CVZ zijn de rubrieken met de direct identificeerbare gegevens zoals die aanwezig zijn bij de aanleverende regionale instellingen, voor de verstrekking aan het CVZ verwijderd. Directe identificatie van betrokkenen door het CVZ wordt redelijkerwijs voorkomen. Landelijk uniek nummer Omdat het in het belang van het CVZ is, om cliënten anoniem te kunnen volgen binnen alle regio’s waar een betrokkene zorg ontvangt, is het ‘landelijk uniek nummer’ geïntroduceerd. De methode waarop dit nummer wordt aangemaakt is identiek voor alle regio’s. Binnen elke regio wordt dit nummer gegenereerd en toegevoegd aan de gegevensset, vóór de verstrekking aan het CVZ. De techniek die hiervoor wordt gebruikt maakt het voor het CVZ lastig om betrokkene te kunnen achterhalen. Het gebruikte MD5-algorime is een zogenaamd ‘one-way hashing-algoritme’ waardoor het onmogelijk is om de oorspronkelijke string te berekenen aan de hand van het landelijk uniek nummer. Wel zou het in principe mogelijk zijn een aanwijsbare persoon na te zoeken door de versleutelingsprocedure te herhalen. Hiervoor zijn echter extra gegevens nodig. De gebruikte versleutelingsprocedure is volgens de bewerker niet geheim. Er is derhalve niet echt sprake van ‘anoniem’ volgen met behulp van het landelijk unieke nummer. Dit is echter eenvoudig te veranderen door het aangeleverde versleutelde nummer, nogmaals met een geheime sleutel via een one-way hashing methode te (laten) versleutelen, alvorens het in de registratie op te nemen en het bestand te lezen. Het niet anoniem volgen van cliënten heeft met het oog op de doeleinden van de registratie geen noodzaak en dient om die reden te worden voorkomen. Cliëntnummer Het CVZ verwerkt in de ZRS registratie echter ook een bij de zorgverlening toegekend cliëntnummer. Het betreft een uniek nummer, dat zowel naar instelling als naar de cliënt te herleiden is, waarbij de herleidbaarheid naar de cliënt afhankelijk is van de medewerking van de betreffende instelling, of anderen die het nummer noodzakelijk verwerken. Naar zijn aard zou dit nummer als persoonsgegeven kunnen worden aangemerkt. Het is echter
19
maart 2005
tevens van belang te bepalen of de verantwoordelijke over mogelijkheden beschikt om identificatie tot stand te brengen. Een gegeven is geen persoonsgegeven indien doeltreffende maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van personen redelijkerwijs wordt uitgesloten. De vraag of er in dit geval gesproken kan worden van persoonsgegevens is afhankelijk van de mate waarin medewerking van de berichtgevende instellingen aan de CVZ om tot herleiding te komen verwacht kan worden, alsmede de mate waarin verwacht mag worden dat ontvangers (gebruikers) van de gegevens uit de ZRS registratie door de beschikking over andere (koppelbare) gegevens redelijkerwijs in staat zullen zijn personen te identificeren. Ook hier geldt dat nazoeken aan de hand van een bekend cliëntnummer steeds mogelijk is. Het CBP meent dat aan de hand van de gegevens die in de ZRS registratie worden vastgelegd en gelet op de hiervoor omschreven context, zonder onevenredige moeite, door de verantwoordelijke identificatie van personen zou kunnen plaatshebben. Er dient derhalve vanuit te worden gegaan dat het ZRS een registratie is die persoonsgegevens bevat. De WBP is dus van toepassing op de verwerking van gegevens ten behoeve van de ZRS registratie door CVZ. Advies tot verwijdering cliëntnummer In de gesprekken met de bewerker van de landelijke ZRS registratie, Prismant, is het CBP meegedeeld dat het veld “cliëntnummer” geen onderdeel uitmaakt van de door of namens het CVZ te vervaardigen rapportages. Overigens wordt het veld ook niet noodzakelijk geacht voor het doel dat wordt beoogd met het landelijke ZRS. Het veld “cliëntnummer” wordt derhalve vooralsnog bovenmatig beschouwd. Het verwerken van bovenmatige gegevens dient op grond van de WBP voorkomen te worden. Het CBP adviseert derhalve om het veld cliëntnummer te verwijderen uit het ZRS en uit de te verwerken gegevensset. Vanzelfsprekend dient dit laatste vervolgens te gebeuren binnen de regio’s vóór deze nieuwe gegevens aan het CVZ verstrekt, om te voorkomen dat bovenmatige gegevens worden aangeleverd. Het verwijderen van dat veld zal tot gevolg hebben dat redelijkerwijs mag worden aangenomen dat niet langer persoonsgegevens worden verwerkt door CVZ ten behoeve van het ZRS. Daarbij past het voorbehoud dat het landelijk unieke nummer door dubbele versleuteling wordt beveiligd tegen nazoeken van bepaalde personen, alsmede dat geen koppeling of vergelijking met gegevens uit andere bron plaatsvindt,
20
maart 2005
waardoor er alsnog sprake zou (kunnen) zijn van verwerking van persoonsgegevens.”
3.4 Rechtmatige grondslag en noodzakelijkheid van gegevens Een rechtmatige gegevensverwerking behoeft gerechtvaardigde doeleinden en een grondslag daarvoor in de wet5. Dat betekent ook dat de gegevens die worden opgenomen in een registratie rechtmatig moeten zijn verkregen. In dit verband spelen de berichtgevers6 een rol.
3.4.1 Aanlevering van gegevens Bij alle onderzochte registraties waren de berichtgevers van de registratie hulpverleners die een behandelrelatie hebben met degenen van wie de gegevens worden verstrekt aan de registratie, dan wel personen door de arts bij die behandeling direct betrokken. De hulpverlener heeft een geheimhoudingsverplichting ten aanzien van de gegevens van de betrokken patiënt zoals verwoord in 7:457 BW (WGBO). Ook het ziekenhuis heeft op grond van die regel een zorgplicht tot geheimhouding van die gegevens die binnen zijn muren worden verwerkt. Toestemming
Voor het verstrekken van deze gegevens aan een registratie, anders dan aan een persoon direct bij de behandeling betrokken, is overeenkomstig het bepaalde in de WGBO in principe toestemming van de patiënt nodig, tenzij er een wettelijke verplichting bestaat die het verstrekken van de persoonsgegevens dwingend voorschrijft. Dergelijke verplichtingen kent de wetgeving niet veel. Ook bij verstrekking aan onderzochte registraties is daarvan geen sprake, hoewel er in sommige gevallen wel een wettelijke aanleiding bestaat om een registratie (niet in de eerste plaats een persoonsregistratie) op te zetten of gegevens uit de registratie te gebruiken voor een bepaald doel. Algemeen geformuleerde bepalingen omtrent het verstrekken van bepaalde informatie worden in artikel 7:457 BW niet bedoeld7. Deze doorbreken de ‘geheimhoudingsbepaling’ niet en leiden hooguit tot een verplichting
5) In hoofdstuk 2 van dit rapport wordt uitgelegd met welke vereisten men te maken krijgt als men wil vaststellen of er een voldoende grondslag is om gegevens te mogen verwerken. Kort gezegd komt dat op het volgende neer bij de verwerking van gezondheidsgegevens: Is er een mogelijkheid de gezondheidsgegevens te verwerken met inachtneming van een beroepsgeheim? Zo ja, staat het hoofdstuk over ‘bijzondere gegevens’ in de WBP de verwerking van gezondheidsgegevens door de verantwoordelijke toe? Zo ja, is er in algemene termen een grondslag voor de verwerking aan te wijzen in artikel 8 WBP? Zo ja, dan is er sprake van een rechtmatige grondslag voor de verwerking. 6) De term ‘berichtgevers’ wordt hier gebruikt om de instantie of persoon aan te duiden die de gegevens aan de verantwoordelijke aanlevert ter (verdere) verwerking. 7) Het moet kort gezegd gaan om een voldoende specifieke wettelijke verplichting die een noodzakelijke gegevensverwerking beoogt.
maart 2005
21
tot het verstrekken van niet-persoonsgebonden informatie over patiënten, zoals bijvoorbeeld ten behoeve van beleidsinformatie. Een toestemming tot verstrekking van persoonsgegevens kan verschillende vormen hebben. Soms is expliciete toestemming noodzakelijk en in andere gevallen kan de in de WGBO bedoelde toestemming verondersteld worden. Het is afhankelijk van de situatie welke toestemming voldoende is. Voor het verstrekken van patiëntgegevens mag de hulpverlener de toestemming van de patiënt veronderstellen in concrete situaties, waarin het kenbaar is voor de patiënt dat gegevens voor zorgdoeleinden worden verstrekt en de gegevens noodzakelijk zijn voor ontvanger. Een toestemming kan echter nooit verondersteld worden als er gebleken is van bezwaar. Voor verstrekking aan een registratie in de zorg zal deze vorm van toestemming niet snel aan de orde komen, omdat in beginsel expliciete toestemming vereist is bij het verstrekken van gegevens voor wetenschappelijk onderzoek en statistiek. Hierop bestaat een uitzondering als het vragen van toestemming niet mogelijk is of in redelijkheid niet kan worden verlangd. Die uitzondering komt verderop aan de orde. Uitdrukkelijke toestemming
Tegelijkertijd verlangt ook de WBP een ontheffing voor het verstrekken van gezondheidsgegevens door de hulpverlener teneinde een rechtmatige grondslag te hebben. Immers op grond van artikel 16 WBP is de verwerking (waaronder het verstrekken) in zijn algemeenheid verboden van gegevens betreffende de gezondheid, tenzij er sprake is van een ontheffing als beschreven in artikel 21 of 23 WBP. Wanneer de toestemming van betrokkene als ontheffing wordt gebruikt (artikel 23 lid 1 onder a WBP), dan spreekt de WBP van ‘uitdrukkelijke’ toestemming, ongeacht dus welke vorm van toestemming volgens de WGBO voldoende is om de zwijgplicht te doorbreken. Wanneer een ontheffing kan worden gevonden in artikel 21 lid 1 onder a WBP, bijvoorbeeld omdat de verstrekking noodzakelijk is in verband met de behandeling van de patiënt en de ontvanger een instelling is voor gezondheidszorg of maatschappelijke dienstverlening, dan kan de zwijgplicht worden doorbroken met de vorm van toestemming die op basis van de WGBO voldoende is. In sommige gevallen kan dan dus volstaan worden met veronderstelde toestemming. Een voorwaarde voor het uitgaan van veronderstelde toestemming is het deugdelijk informeren van de patiënt over de het verstrekken van zijn gegevens en het wijzen op de mogelijkheid van het maken van bezwaar hiertegen. Voor verstrekking van de gegevens aan een landelijke database door een geheimhoudingsplichtige kan aldus een grondslag worden gevonden in de toestemming.
maart 2005
22
Bij geen van de onderzochte registraties worden op het moment van onderzoek gegevens op basis van expliciete en uitdrukkelijke toestemming aangeleverd. Veronderstelde toestemming
Het CBP heeft geredeneerd dat gegevens aan het PALGA mogelijk op basis van veronderstelde toestemming kunnen worden aangeleverd. Wat de PALGA database anders maakt dan de andere registraties is dat de gegevens hierin ook worden gebruikt voor de behandeling van de patiënt, namelijk ten behoeve van het diagnosticeren door de patholoog anatoom. De meerwaarde van PALGA op het eigen dossier is dat ook door collega’s in het land uitgevoerde onderzoeken kunnen worden betrokken bij latere onderzoeken hetgeen het stellen van een goede diagnose en het uitbrengen van juist advies bevordert. Het PALGA heeft dus in feite ook de functie van een landelijk dossier voor de pathologen. Het uitgaan van veronderstelde toestemming vergt in elk geval kenbaarheid over de verstrekking van gegevens aan PALGA, opdat het maken van bezwaar mogelijk is. Voorts is natuurlijk van belang of de Stichting PALGA overeenkomstig de WBP gerechtigd is deze gegevens op te slaan, en verder te verwerken voor de doeleinden van de registratie. Dit komt hieronder voor alle registraties aan de orde, nadat de aanlevering van gegevens volledig is besproken. De uitzondering voor wetenschappelijk onderzoek
De WGBO (artikel 7:458 BW) biedt de hulpverlener de mogelijkheid om zonder toestemming van de betrokken patiënt gegevens van hem te verstrekken ‘ten behoeve van wetenschappelijk onderzoek of statistiek’, wanneer het niet mogelijk blijkt te zijn om de toestemming te vragen of dit niet kan worden verlangd en tevens aan een aantal voorwaarden is voldaan. Die extra voorwaarden zijn dat het onderzoek een algemeen belang dient en het niet zonder de bedoelde gegevens uitgevoerd kan worden. De toelichting op de wetgeving beschrijft voorbeelden van situaties waarin aangenomen kan worden dat het vragen van toestemming aan een betrokkene ‘niet kan worden verlangd’ en situaties waarin het vragen van toestemming niet mogelijk is. Tevens werkt de Code Goed Gedrag dit nader uit8. Tegelijkertijd stelt deze uitzondering een grens aan het gebruik van persoonsgegevens. In geval het vragen van toestemming niet mogelijk is, moet er met betrekking tot de uitvoering van het onderzoek zijn voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad. In geval het vragen van toestemming niet kan worden verlangd, mag de hulpverlener de gegevens slechts in zodanige vorm verstrekken dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen. 8) Deze code van de Federatie van Medisch Wetenschappelijke Verenigingen is een gedragscode in de zin van de WBP.
maart 2005
23
De meeste registraties in de zorg hebben als een van de doeleinden het doen of bevorderen van wetenschappelijk onderzoek of statistiek (zie ook de doelen van de registraties in hoofdstuk 1). Er is hier echter nog een interessante vraag te stellen. Namelijk in hoeverre deze bepaling bedoeld is om een voldoende grondslag te bieden voor gegevensverstrekking aan registraties in de zorg, wanneer deze registraties niet zelf tevens de verantwoordelijke zijn die ook het wetenschappelijk onderzoek en de statistiek (doen) uitvoeren. Op zichzelf laat de letterlijke bewoording ‘ten behoeve van wetenschappelijk onderzoek of statistiek’ wel enige ruimte voor de doorgaans ‘intermediaire’ rol (doorgeefluik) van de registraties. Maar de aanvullende voorwaarden die de bepaling stelt, dat het onderzoek een algemeen belang moet dienen en het niet zonder de bedoelde gegevens kan worden uitgevoerd, kunnen pas achteraf, bij verder verstrekken van de gegevens aan onderzoekers, worden vervuld. Als deze voorwaarden achteraf niet kunnen worden vervuld, dan zou in feite de levering aan de registraties (op grond van deze uitzondering) met terugwerkende kracht niet kunnen worden gebillijkt. Ook is het maar zeer de vraag of voor de ‘structurele’ aanlevering van gegevens aan de registraties in zijn algemeenheid sprake zou kunnen zijn van een situatie waarin het vragen van toestemming van betrokkene niet mogelijk is of niet kan worden verlangd. Naar het oordeel van het CBP zal dit slechts bij een aantal registraties het geval kunnen zijn, afhankelijk van het doel van de registratie en het soort gegevens dat verwerkt wordt. In verband met de beperkte opzet van dit onderzoek heeft het CBP als uitgangspunt voor zijn beoordeling aangenomen dat de organisatorische maatregelen bij de registraties voldoende zijn om ervoor te zorgen dat alleen gegevens worden verstrekt uit de registraties voor onderzoek dat een algemeen belang dient, en dat alleen die gegevens worden verstrekt die voor uitvoering van het onderzoek noodzakelijk zijn. Mede in verband hiermee is het CBP extra aandachtig voor de omvang van de gegevensset die de registraties vastleggen bij gegevensaanlevering door hulpverleners op grond van artikel 7:458 BW. Alle gegevens die worden aangeleverd moeten dan namelijk strikt genomen noodzakelijk zijn voor een onderzoek of statistiek. Waar deze uitzondering een rol speelt bij de aanlevering van gegevens aan de registraties heeft het CBP niet onderzocht of het vragen van toestemming voor de hulpverlener ‘onmogelijk’ geacht moest worden of ‘niet kon worden verlangd’. Wel heeft het CBP aangenomen dat het vragen van toestemming in zijn algemeenheid niet ‘onmogelijk’ is. In afzonderlijke gevallen kan dat wel zo zijn.
3.4.2 Verwerking door de verantwoordelijke van de registraties Op de vraag naar de rechtmatigheid van de gegevensaanlevering aan de registraties volgt de vraag of de verantwoordelijken gerechtigd zijn de aangeleverde gegevens op te slaan, alsook anderszins te verwerken voor de beschreven doelen. Immers op grond
maart 2005
24
van artikel 16 WBP is de verwerking (daaronder het opslaan) in zijn algemeenheid verboden van gegevens betreffende de gezondheid, tenzij er sprake is van een ontheffing als beschreven in artikel 21 of 23 WBP. Gezondheidszorg of maatschappelijke dienstverlening
Het verbod geldt niet voor de verantwoordelijke die kan worden beschouwd als een instelling of voorziening voor gezondheidszorg of maatschappelijke dienstverlening als omschreven in artikel 21, lid 1 onder a WBP en de gegevensverwerking noodzakelijk zou zijn met oog op de goede behandeling of verzorging van de betrokkene of het beheer van een dergelijke instelling of de beroepspraktijk. Bij de onderzochte registraties kwam het CBP tot de conclusie dat de verantwoordelijken in beginsel niet vallen onder artikel 21 lid 1 onder a WBP. Stichting PALGA heeft het CBP naar aanleiding hiervan verzocht een uitspraak te doen omtrent het al dan niet van toepassing zijn van artikel 21 lid 1 onder a WBP op haar als verantwoordelijke. De stichting meent onder de werking van dit artikel te kunnen vallen. Gelet op de Memorie van Toelichting bij de WBP met betrekking tot dit artikel is het niet eenduidig dat artikel 21 lid 1 onder a WBP op de Stichting PALGA toepassing heeft. Het CBP meent evenwel dat het standpunt van de stichting te rechtvaardigen zou kunnen zijn vanwege het feit dat alle pathologische labs deelnemen in het PALGA, de pathologen zijn vertegenwoordigd in de stichting die verantwoordelijke is en het PALGA noodzakelijk wordt geacht voor goed diagnosticeren door de beroepsgroep, hetgeen niet is los te zien van de behandeling van de patiënt. In het geval van toepasselijkheid van artikel 21 lid 1 onder a WBP mag de stichting die gegevens verwerken, die met oog op de goede behandeling van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk, noodzakelijk zijn. Een en ander overigens voorzover het medisch beroepsgeheim dat toelaat. Op grond van artikel 21 lid 2 WBP zou Stichting PALGA in beginsel gehouden zijn tot geheimhouding van de gegevens. Omdat de scheidslijn echter nader moet worden bepaald oordeelt het CBP hierover niet ten gronde. Andere mogelijke ontheffingen worden daarom ook besproken. Toestemming
Artikel 23 WBP biedt daarnaast enkele ontheffingsgronden voor verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens. De uitdrukkelijke toestemming is hierboven bij de aanlevering van gegevens reeds ter sprake gekomen. Geen van de onderzochte registraties vraagt uitdrukkelijke toestemming van betrokkenen voor verwerking van de gegevens of kan ‘meeliften’ op een
maart 2005
25
uitdrukkelijke toestemming gevraagd door de berichtgevers. Dit laatste zou hier de geëigende methode zijn omdat de gegevens niet bij betrokkenen worden verkregen. Maar uitdrukkelijke toestemming speelt dus vooralsnog geen rol. De stichting PRN is echter voornemens om met uitdrukkelijke toestemming te gaan (ver)werken. Wetenschappelijk onderzoek
Het verwerken ten behoeve van wetenschappelijk onderzoek en statistiek kan de verantwoordelijken, bij ontbreken van uitdrukkelijke toestemming voor verwerking een ontheffing bieden. Net als bij de aanlevering op grond van artikel 7:458 BW geldt dat de allereerste voorwaarde daarbij is dat het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning9 kost. Het is de vraag of aan deze voorwaarde wel (steeds) voldaan is. Onmogelijk is het vragen van toestemming in het algemeen in elk geval niet. Waar de registraties aangaven ervan uit te gaan dat het vragen van toestemming in redelijkheid niet kan worden verlangd (door de aanleverende hulpverlener) heeft het CBP dit als uitgangspunt voor de beoordeling genomen en de registraties opgedragen nader te onderzoeken of dit werkelijk het geval is. Wanneer kan worden aangenomen dat het vragen van toestemming een onevenredige inspanning zou vergen, dan stelt de bepaling overigens nadere eisen aan de verwerking. Het onderzoek moet een algemeen belang dienen en de gegevens moeten noodzakelijk zijn voor het onderzoek. Op de problematiek hierbij in het geval van een registratie als intermediaire instantie is hierboven al nader ingegaan. Het aannemen van deze ontheffingsgrond veronderstelt strenge eisen aan de noodzakelijkheid van bepaalde gegevens voor onderzoeken/onderzoeksvragen, waarvoor de onderzoeker de gegevens uit de databank wil raadplegen. En zoals eerder gezegd moet het onderzoek daarnaast een algemeen belang dienen. Ook deze voorwaarde uit artikel 23 lid 2 WBP moet worden getoetst bij de beoordeling van het verstrekken van gegevens voor onderzoek en zal dan de verwerking door de verantwoordelijke met terugwerkende kracht tot het moment van vastlegging moeten kunnen rechtvaardigen. Voor de verschillende onderzochte registraties geldt dat gegevens worden aangeleverd op grond van de uitzonderingsbepaling voor wetenschappelijk
9) Artikel 23 lid 2 WBP spreekt van een ‘onevenredige inspanning’ terwijl in artikel 7:458 BW (WGBO) de term ‘in redelijkheid niet kan worden verlangd’ wordt gebruikt. Hetzelfde wordt bedoeld. De beide bepalingen zijn overigens bijna identiek, zij het dat de WBP bepaling iets ruimer is in de zin dat de voorwaarde dat bij de uitvoering van het onderzoek is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, zowel geldt in de situatie dat het vragen van de uitdrukkelijke toestemming onmogelijk is als een onevenredige inspanning betreft. De bepaling spreekt daarnaast van uitdrukkelijke toestemming. Overigens betreft de WBP bepaling niet alleen wetenschappelijk onderzoek en statistiek met patiëntgegevens, maar met in beginsel alle bijzondere gegevens.
maart 2005
26
onderzoek in de WGBO en de WBP en worden verwerkt door de verantwoordelijke met een beroep op diezelfde bepaling uit de WBP, behalve in de gevallen hierboven reeds anders is aangegeven. Onderzochte instanties stellen zich doorgaans op het standpunt dat het vragen van toestemming niet kan worden verlangd. Herleiding voorkomen
Dit betekent dat ten aanzien van de gegevens die de verantwoordelijken mogen verwerken, de ‘bovengrens’ wordt bepaald door de gegevensset die de hulpverlener voor het doel van wetenschappelijk onderzoek op grond van artikel 7:458 BW zou mogen verstrekken wanneer het vragen van toestemming aan de patiënt niet kan worden verlangd. Die bovengrens is derhalve dat gegevens in zodanige vorm worden verstrekt dat herleiding tot personen redelijkerwijs wordt voorkomen. Daarbinnen geldt nog dat elk gegeven dat wordt verwerkt noodzakelijk dient te zijn voor het doel van verwerking. In dat licht oordeelde het CBP in het geval van het ZRS, dat verwerking van persoonsgegevens door het CVZ in het ZRS niet noodzakelijk is voor het doel van de registratie en daarmee niet toegelaten. Uit het onderzoek bleek evenwel dat de (indirecte) herleidbaarheid bij de meeste registraties (behalve het ZORGIS) niet voldoende was beperkt10. Het CBP heeft derhalve geoordeeld dat aanpassingen in de gegevenssets noodzakelijk waren om een grondslag voor de verwerking te creëren. Die aanpassingen betekenen niet per se dat gegevensvelden moeten verdwijnen. Men kan er ook voor kiezen bepaalde velden te versleutelen of ze te verruilen voor andere, minder herleidbare velden. Een voorbeeld daarvan is het terugbrengen van datumvelden tot bijvoorbeeld weekvelden, maanden of jaartallen. Het kan per registratie verschillen wat de beste oplossing is, daarbij natuurlijk gelet op het behoud van de waarde van de gegevens voor wetenschappelijk onderzoek of statistiek. Volgens het CBP kunnen in veel gevallen de gegevens aan de bron ontdaan worden van identificerende velden (of vervangen worden door velden die minder snel tot identificatie leiden), zonder dat dit ten koste hoeft te gaan van de kwaliteit van de te leveren rapportages of het te verrichten onderzoek. De mogelijkheden die hier zijn werden ten tijde van het onderzoek nog niet voldoende benut door verantwoordelijken. Alleen de ZORGIS registratie maakte vergaand gebruik van Privacy Enhancing Technologies (zie ook onder 3.3 Herleidbaarheid). Het CBP heeft per registratie aangegeven welke keuzes bijvoorbeeld mogelijk zijn om herleidbaarheid te beperken. Het is echter uiteindelijk aan de verantwoordelijke om hierin keuzes te maken, omdat ‘meerdere wegen naar Rome leiden’: het verdergaand 10) Zie paragraaf 3.3.
maart 2005
27
beperken van herleidbaarheid kan op verschillende manieren worden bewerkstelligd. De verantwoordelijke is het beste in staat te bepalen welke gegevens voor de doelstellingen het meest relevant zijn en welke niet. Wel heeft het CBP bij de meeste registraties het gebruik van identificerende nummervelden ter discussie gesteld. Cliëntnummers en patiëntnummers (of varianten daarop) welke door berichtgevers in eigen administratie als patiëntidentificatie worden gebruikt, worden in de landelijke registraties vastgelegd. Het CBP beschouwt deze nummers als zodanig niet als een veilige codering van overigens lastig te herleiden gegevens. Dat is anders wanneer het nummer via een veilige methode zou worden versleuteld en door verantwoordelijke of derden (ontvangers) niet zou kunnen worden ‘ontsleuteld’. Te denken valt aan een methode van ‘one-way hashing’, dubbele versleuteling, en /of versleuteling door een Trusted Third Party. Soms zijn de nummers in de gegevensset ronduit overbodig voor het doel van de registratie en dienen te worden verwijderd. Vaak is de reden voor opneming van een cliënt- of patiëntnummer (of ander persoonsnummer) de mogelijkheid om terug te gaan naar de berichtgever om over een bepaalde persoon meer gegevens te verkrijgen of om gegevens van dezelfde persoon te koppelen (bij verantwoordelijke). Uit ruime ervaring en studies weet het CBP echter dat voor deze situaties het in beginsel niet nodig is de betrokkene te identificeren. Door toepassing van PET is het heel goed mogelijk personen te volgen door middel van een pseudo-identiteit, zonder dat de verantwoordelijke de identiteit kan vaststellen11. Zo wordt ook voorkomen dat dergelijke nummers via verschillende registraties weer verder worden verwerkt door derden waardoor de nummers uiteindelijk op diverse plekken zouden kunnen worden vastgelegd en de kans op herleidbaarheid en ongewenste koppeling zou toenemen. Gelet op de doeleinden van de onderzochte registraties is het CBP ook afgezien van de ‘bovengrens’ van deze grondslag van mening dat herleiding tot personen door de verantwoordelijken in beginsel niet noodzakelijk is. Gegevens van dezelfde persoon moeten soms wel worden samengebracht of nagezocht, maar in het algemeen is het niet nodig te weten wie de persoon is (methoden zijn hierboven aan de orde gekomen)12. Het registreren van bovenmatige gegevens dient in zijn algemeenheid voorkomen te worden. 11) Bij het toekennen van pseudo-identiteit wordt een betekenisloos nummer gegenereerd (voordat de gegevens de verantwoordelijke bereiken) uit juist voldoende identificerende gegevens om uiteindelijk eenduidigheid van de te genereren nummers te bereiken. De pseudo-identiteit wordt afgeleid uit een aantal vaststaande gegevens zoals bijvoorbeeld naamsgegevens, geboortedatum en geslacht. Dit nummer, verkregen met behulp van een one-way hashing algoritme dient voldoende veilig te zijn en wordt, bij voorkeur nogmaals versleuteld door bijvoorbeeld een TTP, in plaats van geëncrypteerde naamsgegevens of andere identificerende gegevens gebruikt in de database. 12) Het CBP heeft informatiemateriaal beschikbaar omtrent de toepassing van PET.
maart 2005
28
Overigens behoeft de verwerking van persoonsgegevens door verantwoordelijken een algemene grondslag in artikel 8 WBP en is vereist dat de verwerking niet in strijd komt met artikel 9 WBP. Voor wat betreft de geheimhoudingsbepaling bedoeld in artikel 9 lid 4 WBP is dit al uitgebreid hierboven behandeld, waar is ingegaan op het medisch beroepsgeheim van aanleverende artsen. Voor gegevensverwerking waarvoor het vragen van toestemming niet kan worden verlangd, zou artikel 8 sub f WBP als algemene grondslag uitkomst kunnen bieden. Dit betreft gegevensverwerking die noodzakelijk is voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke of een derde aan wie de gegevens worden verstrekt. Dit komt alleen aan de orde als het belang van de betrokkene niet prevaleert.
3.4.3 Overige opmerkingen in verband met de rechtmatige grondslag Erfelijkheidsgegevens
Een ander aspect is de verwerking van gegevens betreffende erfelijke eigenschappen. Deze mogen op grond van artikel 21 lid 4 WBP slechts worden verwerkt met betrekking tot de betrokkene bij wie de betreffende gegevens zijn verkregen, tenzij van een uitzonderingsgrond sprake is. Die gronden zijn het prevaleren van een zwaarwegend geneeskundig belang of de noodzakelijkheid van de gegevensverwerking voor wetenschappelijk onderzoek of statistiek. Gegevens betreffende erfelijke eigenschappen worden soms opgenomen in de registraties. Dat kan zijn in de vorm van de aanduiding van een diagnose van ziekte of het waarnemen van een verschijnsel. Het is denkbaar dat de uitzonderingen van artikel 21 lid 4 WBP zich soms voor kunnen doen bij het gebruik van de databases van bijvoorbeeld PALGA of PRN. Bij koppeling van gegevens uit de registratie aan andere gegevens neemt de kans op het doen van verwerkingen in strijd met het bepaalde in artikel 21 lid 4 WBP echter toe. Deze verwerkingen dienen te worden voorkomen. Gebruik van vrije velden
Het gebruik van vrije velden in de dataset van de registratie levert het risico van bovenmatige gegevensverwerking. Vrije velden vormen naast een uitgebreide set mogelijke identificatoren, een extra risico op herleiding en mogelijke schade aan de persoonlijke levenssfeer van patiënten of andere betrokkenen. In principe dient het gebruik van vrije velden daarom te worden voorkomen13. In het incidentele geval dat voor een bepaald onderzoek het gebruik van vrije velden werkelijk noodzakelijk zou worden geacht, dan dient deze te worden begeleid door een strikte invulinstructie voor de berichtgever, zodat de vrijheid van invullen kan worden beperkt door de 13) In beginsel dienen alle gegevens noodzakelijk te zijn voor het doel waarvoor ze worden verwerkt en dienen ze binnen de grenzen van de grondslag voor de verwerking te passen. Het spreekt voor zich dat bij gebruik van vrije velden, waarin in principe alles kan worden ingevuld, die noodzakelijkheid niet van te voren kan worden gegarandeerd.
maart 2005
29
noodzaak informatie omtrent een bepaalde incidentie of bepaald gegeven vast te leggen. Bij het gebruik van vrije velden zal eerder sprake zijn van herleidbaarheid. De combinatie van gegevens bepaalt uiteindelijk de mate van herleidbaarheid. Koppelingsnummers met andere onderzoeksdatabanken
De PRN registratie bevat ook koppelingsnummers met gegevensrecords die zijn opgenomen in de landelijke IVF-registratie. Door het opnemen van verschillende koppelingsnummers, zoals bijvoorbeeld het IVF-nummer, bestaat de mogelijkheid te beschikken over een zeer uitgebreide en gevarieerde gegevensset, die de (directe) herleidbaarheid tot personen vergroot, en zelfs gezinsverbanden in kaart brengt. Het verdient de aandacht van de Stichting PRN zich te beraden op de noodzakelijkheid van bepaalde gegevens voor het doel van de registratie.
3.5 Informeren van betrokkenen De gedachte achter het informeren van betrokkenen is de transparantie van de gegevensverwerking. De verantwoordelijke is in beginsel verplicht de betrokkene te informeren over de gegevensverwerking. Dit stelt de betrokkene in staat zijn rechten uit te oefenen. Daaronder valt ook de mogelijkheid om bezwaar te kunnen maken tegen registratie van de gegevens, dat ook in het kader van de WGBO, in verband met de aanlevering van gegevens aan de registratie, van belang kan zijn. Betrokkene op de hoogte
Wanneer de betrokkene van opname van zijn gegevens in de registratie reeds op de hoogte is, kan het informeren van de betrokkene door de verantwoordelijke achterwege blijven. Dit zou het geval zijn als bijvoorbeeld de berichtgevende hulpverlener de betrokkene al voldoende heeft geïnformeerd over de registratie en het verstrekken van gegevens aan de verantwoordelijke voor de registratie. In een dergelijke situatie mag de verantwoordelijke er niet zomaar vanuit gaan dat de betrokkene de informatie al heeft gekregen, wanneer er een ziekenhuisfolder bestaat waarin het naar voren komt. Een verantwoordelijke die ervan uit gaat dat de betrokkene al voldoende is geïnformeerd, zal zelf moeten onderzoeken hoe dat gebeurd en of die informatie voldoende is volgens de WBP vereisten. Een en ander volgens hetgeen redelijkerwijs verwacht mag worden. In het onderzoek bleek dat verbetering van de informatie nodig is. Er is wel informatiemateriaal bij de aanleverende partij (de hulpverlener/ de zorginstelling) voorhanden, maar die informatie was niet in alle gevallen toereikend. Ook werd niet duidelijk of de informatie de betrokkene wel bereikt. Zodoende mocht de verantwoordelijke er niet zomaar vanuit gaan dat de betrokkene op de hoogte is. Voor registraties in de zorg is de weg van informeren via de berichtgevers van de registratie wel de meest geëigende. In het kader van hun beroepsgeheim zijn hulpverleners namelijk zelf in beginsel al gehouden de patiënt te informeren over
maart 2005
30
verstrekking van diens gegevens aan derden voor bijvoorbeeld wetenschappelijk onderzoek. Dit is van belang als de toestemming van de patiënt nodig is maar ook in de overige situaties, waarbij een bezwaarmogelijkheid bestaat (Zie verder onder 3.4 ‘Rechtmatige grondslag en noodzakelijkheid van gegevens’). Zonder goede informatie kan iemand immers nooit aangeven tegen een bepaalde gegevensverstrekking bezwaar te hebben en ook een toestemming heeft geen waarde wanneer die niet gebaseerd is op adequate informatie. Onevenredige inspanning
De plicht tot informeren van betrokkenen is niet absoluut. Wanneer het informeren onmogelijk blijkt of een onevenredige inspanning kost dan kan ervan worden afgezien. In dat geval legt de verantwoordelijke wel de herkomst van de gegevens vast. Het is echter niet zo dat wanneer het om een grote groep betrokkenen gaat deze allen persoonlijk dienen te worden benaderd. De informatie mag via een medium ter beschikking worden gesteld waarvan vaststaat dat de groep daarmee wordt bereikt. Het CBP gaat ervan uit dat in het geval van de landelijke registraties in de zorg in zijn algemeenheid de groep van betrokkenen kan worden bereikt zonder onevenredige inspanning. Dat heeft te maken met de verschillende mogelijkheden die volgens het CBP openstaan om de betrokkenen op adequate wijze te informeren. Het maken van afspraken met de aanleverende instanties is hiervan een voorbeeld. Een persoonlijke benadering van elke betrokkene (i.t.t. het benaderen van de groep van betrokkenen) door de verantwoordelijke zou in veel gevallen wel een onevenredige moeite zijn. Wetenschap en statistiek
Voor instellingen of diensten voor wetenschappelijk onderzoek of statistiek geldt een aparte uitzonderingsbepaling van de informatieplicht, namelijk artikel 44 WBP. Het informeren van betrokkenen door de verantwoordelijke kan achterwege blijven indien de verwerking van persoonsgegevens plaatsvindt door een instelling of dienst voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de gegevens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden gebruikt. In dat geval is ook het verlenen van inzage in gegevens en het bieden van een mogelijkheid tot correctie, aanvulling of verwijdering van foutieve gegevens niet verplicht. De ratio achter deze uitzonderingsbepaling is meerledig. Aangenomen wordt dat het informeren van betrokkenen door zo’n instelling een onevenredige inspanning zou zijn. Voorwaarde is wel dat de ‘nodige voorzieningen’ als hierboven genoemd, zijn getroffen als waarborg. En een uitgangspunt is ook dat aan de voorwaarden voor de verwerking ten behoeve van wetenschappelijk onderzoek (Zie 3.4 ‘Rechtmatige grondslag en noodzakelijkheid van gegevens’) is voldaan. Als dat zo is dan is daarmee ook de ‘veilige context’ van de verwerking gewaarborgd. De wetgever ging er bij het
maart 2005
31
opnemen van de uitzondering vanuit dat de verwerking ten behoeve van wetenschappelijk onderzoek op een bepaalde, in enige andere artikelen van de WBP en artikel 7:458 BW specifiek voorgeschreven, wijze zou plaatshebben. Die wijze en de voorwaarden als in 44 WBP gesteld rechtvaardigen dan ook een uitzonderingsbepaling die afbreuk doet aan transparantie voor betrokkene. In de eerste plaats moet het dus gaan om een instelling of dienst voor wetenschappelijk onderzoek. De toelichting van de wetgever op deze bepaling geeft geen aanleiding om aan te nemen dat alle stichtingen of instanties die een registratie voeren met gezondheidsgegevens hieronder vallen, ook niet als een van de doelstellingen het leveren van gegevens voor wetenschappelijk onderzoek of statistiek is. Van de verantwoordelijken van de onderzochte registraties kan het NIVEL tot een zodanige instelling of dienst gerekend worden. Het NIVEL is statutair een onderzoeksinstantie en doet zelf onderzoek of laat dat uitvoeren met gegevens uit diverse bronnen. Overigens is de berichtgever in beginsel niettemin gehouden de betrokkene waarvan hij gegevens levert aan de registratie ten behoeve van wetenschappelijk onderzoek (op basis van artikel 7:458 BW) daarvan kenbaarheid te verschaffen. De betrokkenen kunnen middels een folder op de hoogte gebracht worden, welke door de hulpverlener ter beschikking kan worden gesteld. In verband met de algemene informatieplicht aan betrokkenen heeft de Stichting PRN inmiddels (in de periode tot vaststelling van deze rapportage) een folder ontwikkeld, die naar de indruk van het CBP op een goede manier invulling kan geven aan die verplichting. Ook het NIVEL heeft aangegeven de informatiefolder die ten tijde van het onderzoek al bestond en welke door berichtgevers moet worden verstrekt te zullen verbeteren. De stichting PALGA, die over een informatiefolder beschikt, zal zich in verband met de informatieplicht in de eerste plaats gaan richten op het daadwerkelijk bereiken van betrokkenen (al dan niet via de berichtgever, zoals in de huidige opzet de bedoeling is).
32
maart 2005
3.6 Beveiliging De technische en organisatorische beveiliging is in het onderzoek slechts globaal onderzocht. De indruk was in het algemeen dat er nog verbeteringen mogelijk zijn vooral op het technische vlak. Organisatorisch waren er over het algemeen goede procedures afgesproken. Ook was er bij de meeste registraties een beheerscommissie of privacycommissie ingesteld (of beschikbaar) die gegevensaanvragen kan beoordelen wanneer er een vermoeden is dat de privacy van betrokken in het geding zou kunnen zijn. Een aantal registraties werkt ook volgens een privacyreglement. Waar nodig waren geheimhoudingsverklaringen met medewerkers van de verantwoordelijke opgesteld. Vier van de vijf registraties (alle behalve LINH) hebben Prismant als bewerker van de gegevens gecontracteerd. Medewerkers van Prismant hebben ook een geheimhoudingsverklaring ondertekend. Periodiek voert Prismant een audit uit op beveiliging en procedures. Verder is de toegang bij de bewerker goed geregeld door middel van het gebruik van pasjes, aparte toegang tot computerruimtes, inbraakalarm en cameratoezicht. Toegang tot landelijke databanken is daar geregeld met gebruikersnamen en paswoorden voor geautoriseerde medewerkers. De opslag van gegevens is in kluizen. In de aanlevering aan de bewerker zitten wel verschillen. Dit heeft natuurlijk te maken met de verschillende berichtgevers. De stand van de ICT is daar verschillend. Het CBP heeft dit niet bekeken, maar zich laten informeren in interviews. Voor het PALGA geldt ten tijde van het onderzoek bijvoorbeeld dat de bewerker de gegevens ontvangt langs elektronische weg. De verzending vindt plaats in EDIformaat via huurlijnen. Het gebruikte EDI-formaat staat geen encryptie (van het bestand) toe. Het CBP adviseert voor het versturen van gezondheidsgegevens langs elektronische weg echter dat deze worden versleuteld14.. Zolang deze situatie voortduurt adviseert het CBP dat voor de verzending de authenticiteit van het laboratorium wordt vastgesteld door een technische maatregel, bijvoorbeeld een 15
terugbelmodem . In geval van het ZORGIS wordt gewerkt met een Trusted Third Party (TTP), Stichting IVZ in Houten. Prismant ontvangt een versleuteld sleutelbestand (volgens een oneway hashing methode ontwikkeld door TTP) en een databestand in een ZIP-file via internet van de regionale GGZ instellingen. Het sleutelbestand wordt door Prismant
14) Dat staat in de studie Achtergronden & Verkenningen van het CBP (nummer 23): Beveiliging van persoonsgegevens. De verwerking van deze persoonsgegevens valt minimaal in risicoklasse II zoals daarin beschreven. 15) Stichting Palga heeft het CBP naar aanleiding van een concept van deze rapportage laten weten dat mede naar aanleiding van een audit uitgevoerd door KPMG in het voorjaar van 2004, een Verbeterplan Informatiebeveiliging wordt ontwikkeld dat men in 2005-2006 zal uitvoeren.
maart 2005
33
doorgestuurd naar de TTP voor een tweede versleuteling, voor het samen met het databestand in de landelijke database wordt opgenomen door Prismant. Het sleutelbestand bevat de landelijke cliëntnummers welke bestaan uit een versleutelde code van voorletter, achternaam, het geslacht en de geboortedatum van betrokkenen. GGZ Nederland ontvangt aanvragen voor gegevensverstrekking uit het ZORGIS en toetst deze aan het beheersreglement. Er wordt bij het verstrekken van informatie op gelet dat deze steeds betrekking heeft op minstens 3 personen en dat het gaat om meerdere instellingen. Gelet op de gevraagde informatie kan de Beheerscommissie Landelijke Registraties besluiten dat het aantal van 3 personen groter moet zijn, in verband met de privacy van betrokkenen. De GGZ instellingen zelf kunnen via een internetverbinding kennis nemen van datawarehousebestanden. De gebruiker kan de statistiek van de gegevens van de eigen organisatie bestuderen en bovendien is er de mogelijkheid om gegevens te vergelijken met gegevens uit een referentiegroep van vergelijkbare instellingen, zodat een instelling inzicht kan krijgen in zijn prestaties. Voor de samenstelling van de referentiegroepen is onderling overleg/goedkeuring tussen de instellingen nodig. Het datawarehouse werkt op een extract van de database. Bij het LINH is geen sprake van een bewerker in de zin van de WBP. De goede omgang met paswoorden is binnen het NIVEL via procedures geregeld. Verder zijn er geheimhoudingsverklaringen van medewerkers. Het NIVEL heeft een ISO-9001 certificaat als algemeen kwaliteitskenmerk. Er wordt echter geen periodieke privacyaudit uitgevoerd op LINH. Toegang tot de landelijke databank geschiedt met gebruikersnamen en passwords. Ook is er een inbraakalarm bij het NIVEL. Opslag van gegevens gebeurt op tape in verschillende kluizen, bij NIVEL en bij ABN Amro bank in Utrecht. Regiocoördinatoren (zie hieronder) werken met gebruikersnaam en password om bestanden te openen. Het CBP constateerde dat de aanlevering van gegevens niet veilig genoeg gebeurt en verbetering behoeft. Zo worden bestanden op diskette (in ‘gezipte’ vorm) verstuurd naar een regiocoördinator, welke bij de verantwoordelijke hoort en het gegevensverkeer tussen de berichtgevers en het NIVEL coördineert en de informatie uiteindelijk doorstuurt naar het NIVEL. Het ‘zippen’ van bestanden levert geen echte beveiliging op. De coördinator stuurt de informatie naar het NIVEL door als 'attachment' per e-mail. Dit is een onveilige methode. Het CBP adviseerde over verbetermogelijkheden.
maart 2005
34
BIJLAGE RELEVANTE WETTEKSTEN WBP Artikel 1 In deze wet en de daarop berustende bepalingen wordt verstaan onder: a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; b. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; c. bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; d. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; e. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; f. betrokkene: degene op wie een persoonsgegeven betrekking heeft; g. derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken; h. ontvanger: degene aan wie de persoonsgegevens worden verstrekt; i. toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt; j. Onze Minister: Onze Minister van Justitie; k. het College bescherming persoonsgegevens of het College: het College als bedoeld in artikel 51; l. functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62; m. voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31; n. verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens; o. verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens. Artikel 2 1. Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 2. Deze wet is niet van toepassing op verwerking van persoonsgegevens: a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden; b. door of ten behoeve van de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2002; c. ten behoeve van de uitvoering van de politietaak, omschreven in artikel 2 van de Politiewet 1993; d. die is geregeld bij of krachtens de Wet gemeentelijke basisadministratie persoonsgegevens; e. ten behoeve van de uitvoering van de Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag en f. ten behoeve van de uitvoering van de Kieswet. 3. Deze wet is niet van toepassing op verwerking van persoonsgegevens door de krijgsmacht indien Onze Minister van Defensie daartoe beslist met het oog op de inzet of het ter beschikking stellen van de krijgsmacht ter handhaving of bevordering van de internationale rechtsorde. Van de beslissing wordt zo spoedig mogelijk mededeling gedaan aan het College.
maart 2005
35
Hoofdstuk 2. Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens Paragraaf 1. De verwerking van persoonsgegevens in het algemeen Artikel 6 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Artikel 7 Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld. Artikel 8 Persoonsgegevens mogen slechts worden verwerkt indien: a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend; b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst; c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is; d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Artikel 9 1. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. 2. Bij de beoordeling of een verwerking onverenigbaar is als bedoeld in het eerste lid, houdt de verantwoordelijke in elk geval rekening met: a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. 3. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden, wordt niet als onverenigbaar beschouwd, indien de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden. 4. De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Artikel 10 1. Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. 2. Persoonsgegevens mogen langer worden bewaard dan bepaald in het eerste lid voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.
maart 2005
36
Artikel 11 1. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. 2. De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. Artikel 12 1. Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. 2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Artikel 272, tweede lid, van het Wetboek van Strafrecht is niet van toepassing. Artikel 13 De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Artikel 14 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen. 2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke. 3. De verantwoordelijke draagt zorg dat de bewerker a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13. 4. Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht van dat andere land nakomt, in afwijking van het derde lid, onder b. 5. Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd. Paragraaf 2. De verwerking van bijzondere persoonsgegevens Artikel 16 De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
maart 2005
37
Artikel 21 1. Het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door: a. hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is; b. verzekeraars als bedoeld in artikel 1, eerste lid, onder h, van de Wet toezicht verzekeringsbedrijf 1993, verzekeraars als bedoeld in artikel 1, onder c, van de Wet toezicht natura-uitvaartverzekeringsbedrijf en tussenpersonen en sub-agenten als bedoeld in artikel 1, onder b en c, van de Wet assurantiebemiddelingsbedrijf, voor zover dat noodzakelijk is voor: 1°. de beoordeling van het door verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt of 2°. de uitvoering van de verzekeringsovereenkomst; c. scholen voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is; d. een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming of voogdij- en gezinsvoogdijinstellingen, voor zover dat noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken; e. Onze Minister van Justitie voor zover dat in verband met de tenuitvoerlegging van vrijheidsstraffen of vrijheidsbenemende maatregelen noodzakelijk is of f. bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn voor zover dat noodzakelijk is voor: 1°. een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene of 2°. de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. 2. In de gevallen als bedoeld in het eerste lid worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verantwoordelijke gegevens persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan. 3. Het verbod om andere persoonsgegevens als bedoeld in artikel 16 te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid als bedoeld in het eerste lid, onder a, met het oog op een goede behandeling of verzorging van de betrokkene. 4. Persoonsgegevens betreffende erfelijke eigenschappen mogen slechts worden verwerkt voor zover deze verwerking plaatsvindt met betrekking tot de betrokkene bij wie de betreffende gegevens zijn verkregen, tenzij: a. een zwaarwegend geneeskundig belang prevaleert of b. de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek. In het geval als bedoeld onder b, is artikel 23, eerste lid, onder a, en tweede lid, van overeenkomstige toepassing. 5. Bij algemene maatregel van bestuur kunnen omtrent de toepassing van het eerste lid, onder b en f, nadere regels worden gesteld.
maart 2005
38
Artikel 23 1. Onverminderd de artikelen 17 tot en met 22 is het verbod om persoonsgegevens als bedoeld in artikel 16, te verwerken niet van toepassing voor zover: a. dit geschiedt met uitdrukkelijke toestemming van de betrokkene; b. de gegevens door de betrokkene duidelijk openbaar zijn gemaakt; c. dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; d. dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting of e. dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het College ontheffing heeft verleend. Het College kan bij de verlening van ontheffing beperkingen en voorschriften opleggen. 2. Het verbod om persoonsgegevens als bedoeld in artikel 16, te verwerken ten behoeve van wetenschappelijk onderzoek of statistiek is niet van toepassing voor zover: a. het onderzoek een algemeen belang dient, b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is, c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. 3. Verwerkingen als bedoeld in het eerste lid, onder e, worden bij de Europese Commissie gemeld. Onze Minister wie het aangaat verricht de melding indien de verwerking bij wet is voorzien. Het College verricht de melding indien het voor de verwerking ontheffing heeft verleend. Hoofdstuk 4. Melding en voorafgaand onderzoek Paragraaf 1. De melding Artikel 27 1. Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen gemeld bij het College of de functionaris. 2. Een niet geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan voorafgaand onderzoek. Hoofdstuk 5. Informatieverstrekking aan de betrokkene Artikel 33 1. Indien persoonsgegevens worden verkregen bij de betrokkene, deelt de verantwoordelijke vóór het moment van de verkrijging de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij de betrokkene daarvan reeds op de hoogte is. 2. De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, mede. 3. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. Artikel 34 1. Indien persoonsgegevens worden verkregen op een andere wijze dan bedoeld in artikel 33, deelt de verantwoordelijke de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij deze reeds daarvan op de hoogte is: a. op het moment van vastlegging van hem betreffende gegevens, of b. wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, uiterlijk op het moment van de eerste verstrekking.
maart 2005
39
2. De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking mede. 3. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. 4. Het eerste lid is niet van toepassing indien mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast. 5. Het eerste lid is evenmin van toepassing indien de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekking van de hem betreffende gegevens heeft geleid. Hoofdstuk 6. Rechten van de betrokkene Artikel 35 1. De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt. 2. Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens. 3. Voordat een verantwoordelijke een mededeling doet als bedoeld in het eerste lid, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost. 4. Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens. Artikel 36 1. Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen. 2. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. 3. De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd. 4. Indien de persoonsgegevens zijn vastgelegd op een gegevensdrager waarin geen wijzigingen kunnen worden aangebracht, dan treft hij de voorzieningen die nodig zijn om de gebruiker van de gegevens te informeren over de onmogelijkheid van verbetering, aanvulling, verwijdering of afscherming ondanks het feit dat er grond is voor aanpassing van de gegevens op grond van dit artikel. 5. Het bepaalde in het eerste tot en met vierde lid is niet van toepassing op bij de wet ingestelde openbare registers, indien in die wet een bijzondere procedure voor de verbetering, aanvulling, verwijdering of afscherming van gegevens is opgenomen. Artikel 37 1. Indien een gewichtig belang van de verzoeker dit eist, voldoet de verantwoordelijke aan een verzoek als bedoeld in de artikelen 35 en 36, in een andere dan schriftelijke vorm, die aan dat belang is aangepast.
maart 2005
40
2. De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. 3. De verzoeken, bedoeld in de artikelen 35 en 36, worden ten aanzien van minderjarigen die de leeftijd van zestien jaren nog niet hebben bereikt, en ten aanzien van onder curatele gestelden gedaan door hun wettelijke vertegenwoordigers. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordigers. Hoofdstuk 7. Uitzonderingen en beperkingen Artikel 44 1. Indien een verwerking plaatsvindt door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden gebruikt, kan de verantwoordelijke een mededeling als bedoeld in artikel 34 achterwege laten en weigeren aan een verzoek als bedoeld in artikel 35 te voldoen. 2. Indien een verwerking plaatsvindt van persoonsgegevens die deel uitmaken van archiefbescheiden die ingevolge de artikelen 12 of 13 van de Archiefwet 1995 zijn overgebracht naar een archiefbewaarplaats, kan de verantwoordelijke een mededeling als bedoeld in artikel 34 achterwege laten. Hoofdstuk 9. Toezicht Paragraaf 1. Het College bescherming persoonsgegevens Artikel 51 1. Er is een College bescherming persoonsgegevens dat tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Tevens houdt het College toezicht op de verwerking van persoonsgegevens in Nederland, wanneer de verwerking plaatsvindt overeenkomstig het recht van een ander land van de Europese Unie. 2. Het College wordt om advies gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens. Artikel 60 1. Het College kan ambtshalve of op verzoek van een belanghebbende, een onderzoek instellen naar de wijze waarop ten aanzien van gegevensverwerking toepassing wordt gegeven aan het bepaalde bij of krachtens de wet. 2. Het College brengt zijn voorlopige bevindingen ter kennis van de verantwoordelijke of de groep van verantwoordelijken die bij het onderzoek zijn betrokken en stelt hen in de gelegenheid hun zienswijze daarop te geven. Houden de voorlopige bevindingen verband met de uitvoering van enige wet, dan brengt het College deze tevens ter kennis van Onze Minister die het aangaat. 3. In geval van een onderzoek, ingesteld op verzoek van een belanghebbende, doet het College aan deze mededeling van zijn bevindingen, tenzij zodanige mededeling onverenigbaar is met het doel van de gegevensverwerking of de aard van de persoonsgegevens, dan wel gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen, daardoor onevenredig zouden worden geschaad. Indien het mededeling van zijn bevindingen achterwege laat, zendt het de belanghebbende zodanig bericht als hem geraden voorkomt. 2. Het College legt geen boete op indien de verantwoordelijke aannemelijk maakt dat hem van de overtreding geen verwijt kan worden gemaakt. 3. Bij de vaststelling van de hoogte van de boete houdt het College in ieder geval rekening met de ernst en de duur van de overtreding. 4. De werkzaamheden in verband met de uitvoering van artikel 69 en 70 worden verricht door personen die niet betrokken zijn geweest bij de opstelling van het in artikel 67, eerste lid, bedoelde rapport en het daaraan voorafgaande onderzoek. 5. De bevoegdheid tot het opleggen van een boete vervalt indien ter zake van de overtreding op grond waarvan de boete kan worden opgelegd, tegen de overtreder een strafvervolging is
maart 2005
41
ingesteld en het onderzoek ter terechtzitting een aanvang heeft genomen, dan wel het recht tot strafvervolging is vervallen ingevolge artikel 74 van het Wetboek van Strafrecht.
Burgerlijk Wetboek Boek 7 Boek 7. Bijzondere overeenkomsten Titel 7. Opdracht Afdeling 5. De overeenkomst inzake geneeskundige behandeling Artikel 457 1. Onverminderd het in artikel 448 lid 3, tweede volzin, bepaalde draagt de hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden, bedoeld in artikel 454, worden verstrekt dan met toestemming van de patiënt. Indien verstrekking plaatsvindt, geschiedt deze slechts voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. De verstrekking kan geschieden zonder inachtneming van de beperkingen, bedoeld in de voorgaande volzinnen, indien het bij of krachtens de wet bepaalde daartoe verplicht. 2. Onder anderen dan de patiënt zijn niet begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden. 3. Daaronder zijn evenmin begrepen degenen wier toestemming ter zake van de uitvoering van de behandelingsovereenkomst op grond van de artikelen 450 en 465 is vereist. Indien de hulpverlener door inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden te verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij zulks achterwege. Artikel 458 1. In afwijking van het bepaalde in artikel 457 lid 1 kunnen zonder toestemming van de patiënt ten behoeve van statistiek of wetenschappelijk onderzoek op het gebied van de volksgezondheid aan een ander desgevraagd inlichtingen over de patiënt of inzage in de bescheiden, bedoeld in artikel 454, worden verstrekt indien: a. het vragen van toestemming in redelijkheid niet mogelijk is en met betrekking tot de uitvoering van het onderzoek is voorzien in zodanige waarborgen, dat de persoonlijke levenssfeer van de patiënt niet onevenredig wordt geschaad, of b. het vragen van toestemming, gelet op de aard en het doel van het onderzoek, in redelijkheid niet kan worden verlangd en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen. 2. Verstrekking overeenkomstig lid 1 is slechts mogelijk indien: a. het onderzoek een algemeen belang dient, b. het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd, en c. voor zover de betrokken patiënt tegen een verstrekking niet uitdrukkelijk bezwaar heeft gemaakt. 3. Bij een verstrekking overeenkomstig lid 1 wordt daarvan aantekening gehouden in het dossier.
