RECHTSPRAAK ZORGVERZEKERING
Over privacy & aansprakelijkheid Waar liggen de grenzen? mi: P.H.A. Boshouwers en mi: M.M. Janssen1 l.Inleiding Wij bespreken in dit artikel de aansprakelijkheidsaspecten van privacy in de zorg. Privacy is een veelomvattend onderwerp; aansprakelijkheid eveneens. In dit artikel zullen we met name ingaan op aansprakelijkheid in de zin van het civiele recht. Het strafrecht en het bestuursrecht laten wij buiten beschouwing. Wij bezien achtereenvolgens op welke juridische gronden iemand aansprakelijk kan zijn jegens een ander in geval van privacyschending, welke vormen van schade er in dat geval te onderscheiden zijn en welke normen in acht genomen moeten worden wanneer het de privacy van een in zorg genomen persoon betreft. Wij gaan in dat verband tevens kort in op een aantal relevante aspecten van DBC-registratie en het elektronisch patientendossier (EPD). Wij sluiten af met een aantal casusposities, dat de praktijk van de beroepsbeoefenaar, de instelling en de zorgverzekeraar betreft. 2. Wanneer ontstaat civiele aansprakelijkheid? Niet in alle gevallen van schending van de privacy van een persoon door een ander, is de ander daarvoor civielrechtelijk aansprakelijk. Van een succesvolle aansprakelijkstelling kan (pas) sprake zijn indien de schending de persoon schade heeft berokkend en bovendien gekwalificeerd kan worden als een toerekenbare (i) onrechtmatige daad of (ii) tekortkoming in de nakoming van een verbintenis. De eerste vorm van aansprakelijkheid kan zich in alle soorten relaties voordoen. De tweede vorm van aansprakelijkheid is alleen mogelijk in contractuele verhoudingen en wordt ook wel wanprestatie genoemd. Een samenloop van beide vormen van aansprakelijkheid is eveneens mogelijk. Op beide vormen van aansprakelijkheid gaan we hierna nader in. 2. /. Onrechtmatige daad Als een onrechtmatige daad wordt aangemerkt: een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, behoudens de aanwezigheid van een rechtvaardigingsgrond. Pas wanneer de onrechtmatige daad aan de pleger kan worden toegerekend is deze aansprakelijk voor de schade die het gevolg is van de onrechtmatige daad.2 Verder dient te zijn voldaan aan de zogenoemde relativiteitseis: de door de pleger geschonden norm moet strekken tot bescherming tegen de schade zoals de benadeelde heeft geleden. Is dat niet het geval dan is de dader niet aansprakelijk.3 De wet onderscheidt een drietal handelingen die een onrechtmatige daad kunnen opleveren: een inbreuk op een recht, een doen of nalaten in strijd met een wettelijke plicht en een doen of nalaten in strijd met hetgeen volgens ongeschreven recht betaamt. Privacyschending zal doorgaans onder een van de eerste twee gedragingen kunnen worden gebracht. Het recht op privacy is een persoonlijk recht, dat met name in de zorg nader is uitgewerkt in wettelijke voorschriften. Wij gaan hierop hierna verder in. Voor aansprakelijkheid op grond van onrechtmatige 1. Paula H.A. Boshouwers en Marg M. Janssen zijn beiden advocaat bij Van Doorne N.V. en lid van de Van Doorne Gezondheidsgroep. 2. Art. 6:162 BW. 3. Art. 6:163 BW.
49
Afl. 6 - 2008
RZA
^
*
'
"'
* "
RECHTSPRAAK ZORGVERZEKERING
daad is het voldoende als er enige schade is, mits die het gevolg is van de onrechtmatige daad. Wanneer de pleger zich kan beroepen op een rechtvaardigingsgrond is deze niet aansprakelijk. Dit kan bijvoorbeeld het geval zijn indien de pleger zich kan beroepen op (een ander) wettelijk voorschrift, of overmacht.4 2.2. 'Wanprestatie' Ook wanprestatie kan een grond zijn voor aansprakelijkheid. De wet bepaalt dat iedere tekortkoming in de nakoming van een verbintenis de schuldenaar verplicht de schade die de schuldeiser daardoor lijdt te vergoeden, tenzij de tekortkoming de schuldenaar niet kan worden toegerekend.5 Er is sprake van een tekortkoming indien de schuldenaar op enige wijze achterblijft bij wat de verbintenis vraagt. Of de schuldenaar tekortschiet wordt bepaald aan de hand van de inhoud van de verbintenis. De redelijkheid en billijkheid kunnen daarbij een rol spelen. Van een tekortkoming kan ook sprake zijn indien de schuldenaar zijn verplichtingen gedeeltelijk, niet tijdig of niet behoorlijk nakomt. Ook kan relevant zijn of sprake is van een inspannings- of een resultaatsverbintenis. Net als bij een onrechtmatige daad geldt dat er (enige) schade moet zijn die het gevolg is van de tekortkoming door de schuldenaar.6 2.3. Schade Soorten schade die op grond van de wet voor vergoeding in aanmerking kunnen komen zijn vermogenschade en immateriele schade.7'8 Dit geldt zowel voor schade die het gevolg is van een onrechtmatige daad als die het gevolg is van wanprestatie. Vermogensschade omvat zowel geleden verlies als gederfde winst.9 Te denken valt bijvoorbeeld aan verlies aan inkomen in het geval een beroepsfout van een beroepsbeoefenaar leidt tot lichamelijk letsel. Onder vermogenschade valt ook: redelijke kosten ter voorkoming of beperking van schade, ter vaststelling van schade en aansprakelijkheid en redelijke kosten ter verkrijging van voldoening van schade buiten rechte.10 Immateriele schade kan uiteenlopend zijn en is daarom in de wet gelimiteerd. Immateriele schade omvat onder meer de niet vermogensrechtelijke schade die een persoon lijdt die lichamelijk letstel heeft opgelopen of in zijn eer, goede naam of op andere wijze is aangetast. 3. In acht te nemen normcn Het recht op privacy is op veel verschillende manieren uitgewerkt in wet- en regelgeving; we bespreken de voor dit artikel meest relevante. Deze inventarisatie is van belang om vast te kunnen stellen in hoeverre er in het geval van privacyschending sprake kan zijn van civielrechtelijke aansprakelijkheid.
4. Voor meer literatuur over onrechtmatige daad zie J.M. Dunne, Verbintenissenrecht: deel 2 onrechtmatige daad, overige verbintenissen, Kluwer, Deventer 2004 en J. Spier, T. Hartlief, G.E. van Maanen e.a., Verbintenissen uit de wet en schadevergoeding, Kluwer, Deventer 2006. 5. Art. 6:74 BW. 6. Voor meer literatuur over wanprestatie zie G.T. de Jong, Niet-nakoming van verbintenissen, Kluwer, Deventer 2006 en C.J. H. Brunner, G.T. de Jong, Verbintenissenrecht algemeen, Kluwer, Deventer 2004. 7. Art. 6:95 BW. 8. Partijen bij een overeenkomst kunnen wel contractueel bepalen dat ook andere vormen van schade vergoed wordt. 9. Art. 6:96 BW. 10. Behoudens voor zover in het kader van een juridische procedure de regels van proceskosten van toepassing zijn.
50
Afl. 6 - 2008
RZA
RECHTSPRAAK ZORGVERZEKERING
3.1. Algemene beginselen en (grond) rechten In de Grondwet is vastgelegd dat een ieder recht heeft op de eerbiediging van de persoonlijke levenssfeer. Vergelijkbare grondbeginselen zijn neergelegd in diverse algemene verdragen." Grondrechten en rechten uit verdragen werken in beginsel alleen tegenover de staat. Er bestaat veel discussie over in hoeverre burgers op deze rechten ook een rechtstreeks beroep kunnen doen ten opzichte van medeburgers. Naarmate wet- en regelgeving het recht op privacy voldoende waarborgen, zal een rechtstreeks beroep doorgaans niet nodig zijn om aansprakelijkheid te vestigen. Burgers kunnen in dat geval een beroep doen op het wettelijk voorschrift waarin het recht is uitgewerkt. In het Nederlands recht en specifiek in zorgrelevante wet- en regelgeving is het recht op privacy uitgewerkt. Het recht op privacy wordt bovendien aangemerkt als een persoonlijk recht dat door anderen in acht genomen dient te worden.12 Dat betekent dat ook in gevallen waarin het recht niet specifiek is uitgewerkt in wet- en regelgeving daarop door burgers een beroep kan worden gedaan.
3.2. Wet BIG De Wet op de individuele beroepen in de gezondheidszorg (Wet BIG) beschermt de privacy van patienten middels de geheimhoudingsplicht die op een beroepsbeoefenaar rust ten aanzien van hetgeen hem in het kader van zijn functie is toevertrouwd door of over zijn patient. Zonder de toestemming van de patient mag de beroepsbeoefenaar de informatie niet aan derden verstrekken. Onder derden vallen in beginsel ook de familie en partner van de patient. De plicht tot geheimhouding vormt samen met het verschoningsrecht het beroepsgeheim van de beroepsbeoefenaar. Het verschoningsrecht is vastgelegd in het Wetboek van Strafvordering13 en houdt het recht in om te zwijgen in gevallen waar anderen verplicht zijn te spreken. De Wet BIG is alleen van toepassing op individuele beroepsbeoefenaren en kan dus niet worden ingeroepen tegen zorginstellingen. Overtreding van de Wet BIG kan tot een tuchtrechtelijke maatregel leiden, maar de normen uit de Wet BIG zullen ook een rol kunnen spelen in een civiele procedure waarin privacyschending aan de orde is. 3.3. Wgbo Het recht op privacy is op verschillende manieren uitgewerkt in de Wet op de geneeskundige behandelingsovereenkomst (Wgbo).'4 Art. 7:457 BW vult het medisch beroepsgeheim nader in. De ruimtelijke privacy van patienten wordt beschermd door art. 7:459 BW. In art. 7:454 BW is de dossierplicht vastgelegd en art. 7:455 en 7:456 geven de client het recht vernietiging te vorderen van gegevens uit diens medisch dossier respectievelijk om daarin inzage te krijgen of afschriften daaruit te mogen ontvangen. Ook geeft de Wgbo regels over het verstrekken van gegevens ten behoeve van wetenschappelijk onderzoek (art. 7:458 BW). Wij gaan nader in op de bepalingen over het medisch beroepsgeheim en de dossierplicht. De in art. 7:457 BW neergelegde hoofdregel is dat hulpverleners geen informatie uit een patientendossier aan anderen mogen verstrekken tenzij de client daarvoor toestemming heeft gegeven. Zonder toestemming van de client mag wel informatie verstrekt worden aan degenen die recht11. Bijvoorbeeld het Europese Verdrag van de Rechten van de Mens waarin het recht op eerbiediging van het priveieven is vastgelegd (art. 8 EVRM). 12. Mr. S.D. Lindenbergh, aantekening 2a bij art. 6:162 BW, Tekst & Commentaar Burgerlijk Wetboek, Kluwer. 13. Art. 218 Sv. 14. De Wgbois opgenomen in afdeling 5, titel 7, Boek 7 BW.
RZA
Afl. 6 - 2008
51
RECHTSPRAAK ZORGVERZEKERING
streeks betrokken zijn bij de behandeling, voor zover dit noodzakelijk is voor de uitoefening van die werkzaamheden, en aan vertegenwoordigers van de client.15 In een aantal andere gevallen is eveneens geen expliciete toestemming van de client vereist, namelijk wanneer deze toestemming verondersteld mag worden. Het gaat in dit geval om gegevensvertrekking voor secundaire doelen, bijvoorbeeld het gebruik voor zorgondersteunende functies.16 De toestemming mag tevens worden verondersteld in het geval van doorverwijzing of (mede)betrokkenheid van een andere hulpverlener voor de actuele zorgvraag, mils aan een aantal voorwaarden wordt voldaan.17 Wanneer het gaat om een nieuwe hulpvraag of een nieuwe ziekte-episode moet altijd expliciet toestemming worden gevraagd. Hetzelfde geldt voor verstrekking van gegevens naar ontvangers buiten de gezondheidszorg zoals politic, justitie, werkgever of advocaat. Verdere uitzonderingen op de geheimhoudingsplicht kunnen erin bestaan dat de hulpverlener op grond van een ander wettelijk voorschrift verplicht is bepaalde patientgegevens te verschaffen19, of wanneer sprake is van conflict van plichten. Een dergelijke situatie kan zich voordoen wanneer de hulpverlener indien hij zijn geheimhoudingsplicht zou handhaven in een noodtoestand komt te verkeren.20 De Wgbo is van toepassing op hulpverleners. Dit kan de individuele beroepsbeoefenaar betreffen, maar ook de instelling in de hoedanigheid van hulpverlener.21 Daarnaast is een ziekenhuis steeds aansprakelijk voor alles wat er binnen zijn muren gebeurt (de centrale aansprakelijkheid) op grond van art. 7:462 BW. Wanneer een hulpverlener zijn geheimhoudingsplicht schendt, is hij daarop aan te spraken. Voor een succesvolle civielrechtelijke aansprakelijkstelling zal een patient moeten kunnen aantonen dat hij enige vorm van (vermogens)schade heeft geleden als gevolg van de privacyschending. Daarvan zal in het algemeen niet snel sprake zijn. 3.4. Wbp
De Wet bescherming persoonsgegevens (Wbp) geeft regels over de bedrijfsmatige verwerking van persoonsgegevens. Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. Van verwerking is sprake in geval van een handeling of geheel van handelingen met betrekking tot persoonsgegevens.22 Bepalend is verder of er enige feitelijke macht of invloed over de gegevens kan worden uitgeoefend. Indien dat niet kan is de Wbp niet van toepassing. Ook persoonlijke aantekeningen vallen buiten het bereik van de Wbp. De Wbp verbiedt de verwerking van persoonsgegevens over iemands gezondheid door anderen dan door de Wbp aangewezen personen en instanties. Zo mogen hulpverleners en zorginstellin15. Art. 7:457, tweede lid, BW. 16. Zoals beheer van dossiers, financiele afwikkeling, intercollegiate toetsing, intervisie, supervisie. Zie J. Nouwt, Privacy en gegevensuitwisseling in de gezondheidszorg, p. 26, Kluwer, alsmede Kamerstukken II 1989/90 21 567, nr. 3 (MvT), p. 26. 17. Samenwerkingsverband Implementatieprogramma WGBO, Van wet naar praktijk. Implementatie van de WGBO. Dee! 4 Toegang tot patientengegevens, Utrecht 2004, p. 15, alsmede mr. L.F. Markenstein, Tekst & toelichting WGBO, editie 2006, p. 53. 18. Mr. L.F. Markenstein, Tekst & toelichting WGBO, editie 2006, p. 53, alsmede KNMG, Richtlijnen inzake het omgaan met medische gegevens, Utrecht 2003. 19. Bijvoorbeeld op grond van de Kwaliteitswet in geval van een calamiteit of op grond van de Infectieziektenwet in geval van het uitbreken van bepaalde infectieziektes. 20. Denk aan de discussies rond de situatie dat de hulpverlener kennis krijgt van door zijn client begane misdrijven zoals kindermishandeling. 21. Afhankelijk van wie de geneeskundige behandelingsovereenkomst is aangegaan met de client. 22. Art. 1 Wbp.
52
Afl. 6 - 2008
RZA
RECHTSPRAAK ZORGVERZEKERING
gen deze verwerken voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is.23 Ook verzekeraars mogen medische persoonsgegevens verwerken voor zover dat noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst respectievelijk de beoordeling van het te verzekeren risico.24 Hetzelfde geldt voor bestuursorganen voor zover de verwerking noodzakelijk is ter uitvoering van hun wettelijke taak. De verwerking mag alleen gebeuren door personen die een geheimhoudingsplicht hebben op grond van hun ambt, hun beroep, een wettelijk voorschrift of krachtens een overeenkomst.25 Bovendien moeten alle niet-handmatige verwerkingen worden aangemeld bij het College Bescherming Persoonsgegevens (CBP), behoudens het bestaan van een vrijstelling.26 De Wbp bepaalt verder dat de betrokkenen van wie persoonsgegevens worden verwerkt, daarover gei'nformeerd moeten worden27 en dat de gegevensverwerking op een passende technische en organisatorische wijze beveiligd moet worden tegen verlies of onrechtmatige verwerking.28 Om aan deze laatste plicht tot beveiliging van zorginformatiesystemen nadere invulling te geven is de NEN-norm 7510 ontwikkeld (Informatiebeveiliging in de zorg).29 De definities verantwoordelijke, bewerker en derde die in de Wbp gebruikt worden spelen een belangrijke rol bij de vaststelling wie aansprakelijk kan zijn op grond van de Wbp. De Wbp bepaalt namelijk dat de verantwoordelijke aansprakelijk is voor de schade of het nadeel niet bestaande uit vermogensrechtelijk nadeel dat voortvloeit uit het niet-nakomen van de bij of krachtens de Wbp gestelde voorschriften. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheid.30 De verantwoordelijke is de natuurlijke persoon, rechtspersoon of ieder ander die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. En de derde is ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken. Indien meerdere partijen betrokken zijn bij de verwerking van persoonsgegevens kan discussie ontstaan over de vraag wie precies aangemerkt kan worden als verantwoordelijke, bewerker of derde. In een zorginstelling kunnen medische persoonsgegevens worden verwerkt door (i) beroepsbeoefenaren in dienstverband, (ii) werknemers van de zorginstelling niet zijnde beroepsbeoefenaars, en (iii) zelfstandige beroepsbeoefenaars niet in dienstverband.31 De zorginstelling zal over het algemeen aangemerkt worden als de verantwoordelijke in de zin van de Wbp. Werknemers van 23. Art. 21, eerste lid, Wbp. 24. Zorgverzekeraars Nederland heeft in September 2003 nadere regels opgesteld voor de verwerking van medische persoonsgegevens door verzekeraars. Deze nadere regels zijn te vinden in de Gedragscode van de zorgverzekeraar. 25. Art. 21, tweede lid, Wbp. 26. Voor de meeste eenvoudige verwerkingen in de zorg geldt een vrijstelling. Ook geldt een vrijstelling voor de verwerking door individuele beroepsbeoefenaren. Zie J. Nouwt, Privacy en gegevensuitwisseling in de gezondheidszorg, p. 23. 27. Voorzover betrokkenen daarvan niet al op de hoogte zijn. Deze plicht rust op de verantwoordelijke in de zin van de Wbp, art. 33 en 34 Wbp. 28. Deze plicht rust op de verantwoordelijke in de zin van de Wbp, art. 13 Wbp. 29. De Inspectievoor de gezondheidszorg controleert ziekenhuizen op naleving van deze norm. Volgens de Minister van VWS kan de NEN-norm worden toegepast om een passend niveau van beveiliging te realiseren. Zie J. Nouwt, Privacy en gegevensuitwisseling in de gezondheidszorg, p. 23 en 43. 30. Art. 49 Wbp. 31. Bijvoorbeeld vrijgevestigde medisch specialisten werkzaam in een ziekenhuis.
RZA
Afl. 6 - 2008
53
RECHTSPRAAK ZORGVERZEKERING
de zorginstelling zijn noch aan te merken als verantwoordelijke, noch als bewerker noch als derde, en zijn onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd om persoonsgegevens te verwerken; voor hen kan dan ook geen aansprakelijkheid op grond van de Wbp bestaan. Voor zover de zelfstandige beroepsbeoefenaar medische persoonsgegevens verwerkt kan deze mogelijk kwalificeren als bewerker in de /in van de Wbp. Dit betekent dat een zorginstelling aansprakelijk kan worden gesteld voor het niet/onjuist naleven van de Wbp door diens werknemers (als dan niet beroepsbeoefenaren) en in de instelling werkzame zelfstandige beroepsbeoefenaren. Zelfstandige beroepsbeoefenaren kunnen mogelijk ook zelf aansprakelijk zijn voor niet naleving van de Wbp, voor zover zij daarbij zelf betrokken zijn. 5.5. Wetgeving random DBC's Op grond van de Wet marktordening gezondheidszorg (Wmg) zijn zorgaanbieders en zorgverzekeraars onder meer verplicht een administratie te voeren waaruit blijkt: de overeengekomen en geleverde prestaties, aan wie deze prestaties zijn geleverd, de daarvoor in rekening gebrachte tarieven en de in verband daarmee ontvangen of verrichte betalingen en vergoedingen aan derden.32 Deze administratie gebeurt inmiddels in de vorm van diagnose behandelingscombinaties (DBC's). Op grond van de Zorgverzekeringswet (Zvw) zijn zorgaanbieders voorts verplicht gegevens te verstrekken aan zorgverzekeraars (in geval van een naturapolis), respectievelijk de verzekerde zelf (in geval van een restitutiepolis) aan wie zij zorg hebben verleend, ter uitvoering van de zorgverzekering of de uitvoering van de Zvw. De Zvw voorziet ook in een verplichting voor zorgaanbieders om (medische) persoonsgegevens te verstrekken aan een door de Minister van VWS aan te wijzen informatie- en onderhoudsorgaan DBC's.33 In alle gevallen geldt dat alleen de noodzakelijke (medische) persoonsgegevens mogen worden verwerkt.34 3.6. Wetgeving random EPD Op 21 mei 2008 is het wetvoorstel bij de Tweede Kamer ingediend dat het wettelijk kader moet bieden voor het landelijk elektronisch patientendossier (EPD).35 Via het EPD worden gegevens van patienten op een landelijk netwerk digitaal bewaard. Zorgaanbieders dienen zich daarop aan te sluiten, zodat alle bij een patient betrokken zorgaanbieders de in het EPD ingevoerde gegevens van die patient kunnen opvragen en inzien, mits de patient daarvoor toestemming heeft verleend. Voor de definitie van zorgaanbieder wordt aangesloten bij de Kwaliteitswet. De privacy wordt geborgd door het in de Wet BIG en de Wgbo uitgewerkte beroepsgeheim en de Wbp. Concreet betekent dit dat zorgaanbieders zich alleen toegang mogen verschaffen tot het EPD indien en voor zover dat noodzakelijk is voor de behandeling van de patient en de patient daartegen geen bezwaar heeft gemaakt. Bepaalde gegevensverwerkingen mogen alleen geschieden door beroepsbeoefenaren (BIG-geregistreerden). Of dit betekent dat ook niet-BIG-geregistreerde werknemers van een zorginstelling of assistenten van beroepsbeoefenaars zich feitelijk toegang mogen verschaffen tot het EPD, is niet vastgelegd. In de praktijk wordt er wel van uitgegaan dat dit mogelijk is.37 Om te voorkomen dat onrechtmatig gebruik wordt gemaakt van ver-
\t
At
32. Art. 36 Wmg. 33. Art. 87 Zvw. 34. Op aanbeveling van het CBP worden de gegevens die tussen ziekenhuizen, zorgverzekeraars en de overheid (DEC onderhoud en de NZa) (moeten) worden uitgewisseld ingevolge de Zvw en de WMG, verstrekt aan een zogenoemde 'trusted third party' te weten het DBC-informatie- en onderhoudsorgaan (DIS). DIS verwerk de persoonsgegevens tot niet tot personen herleidbare informatie. 35. Kamerstukken II, 2007/08, 31 466, Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwiseling in de zorg. 36. Zie p. 8 e.v. MvT, Kamerstukken II, 2007/08, 31 466, nr. 3. 37. Op de site van het informatiepunt EPD is aangegeven dat zowel BIG-geregistreerden als hun medewerkers het EPD kunnen inzien, www.infoepd.nl. 54
Afl. 6 - 2008
RZA
*.'>*•„•&%& / f m, »'^ tx
A/1
^•\\
RECHTSPRAAK ZORGVERZEKERING
trouwelijke (medische persoon)gegevens dient het EPD goed beveiligd te worden. Deze plicht vloeit voort uit het beroepsgeheim en de zorgplicht, inclusief beveiligingsplicht van de zorgaanbieder op grond van zijn beroepsgeheim, de Wgbo en de Wbp (zie hiervoor). 4. Een greep uit de praktijk Ondanks de hoeveelheid aan potentiele situaties in de zorg waar privacyschendingen zich kunnen voordoen en de mate waarin het recht op privacy is uitgewerkt in wet- en regelgeving, lijkt aansprakelijkstelling als gevolg van privacyschending zich in de zorgpraktijk niet vaak voor te doen. De recente civiele rechtspraak biedt geen (gepubliceerde) uitspraken waarin een persoon of rechtspersoon in de zorg wegens een privacyinbreuk aansprakelijk werd gehouden. Dit heeft er ongetwijfeld mee te maken dat het lastig is aan te tonen dat een privacyschending tot schade heeft geleid. Schade is immers een van de vereisten om tot aansprakelijkheid te kunnen komen. We kunnen dus concluderen dat — anders dan de privacy an sich — aansprakelijkheid voor privacyschending in de zorg niet echt een issue is. Het onderwerp privacy en meer specifiek de schending van beroepsgeheim is wel regelmatig onderwerp van andersoortige procedures. Wij werken hieronder een aantal situaties uit die zich in de praktijk voordoen. 4.1. Doorbreking beroepsgeheim Zowel in de tuchtrechtspraak als in de civiele rechtspraak komt regelmatig de vraag aan de orde of doorbreking van het beroepsgeheim in een specifieke situatie gerechtvaardigd is. Recent hebben de voorzieningenrechters te Utrecht38 en Arnhem39 deze vraag voorgelegd gekregen. De Rechtbank Utrecht bepaalde dat doorbreking van het beroepsgeheim gerechtvaardigd was; de Rechtbank Arnhem vond dat niet. Beide zaken betroffen situaties waarbij de patient al was overleden en geen toestemming meer kon geven voor inzage in het medisch dossier. De Utrechtse zaak betrof een vordering van twee nabestaanden tegen een huisarts om inzage te krijgen in het medisch dossier van hun overleden zus. Zij legden aan hun verzoek ten grondslag dat de toestemming van de zus mocht worden verondersteld alsook dat zij een rechtmatig belang hadden bij inzage in het dossier. Deze belangen lagen in de verdachte omstandigheden waarin de zus was overleden en de onzekerheid over de doodsoorzaak en het belang dat de achtergebleven zussen hadden bij het verkrijgen van gegevens met het oog op de vraag of er sprake was van een medische beroepsfout. De huisarts had een natuurlijke dood geconstateerd, terwijl de politic uitging van zelfdoding en een misdrijf ook niet was uitgesloten. In deze omstandigheden oordeelde de rechtbank dat sprake was van zeer uitzonderlijke omstandigheden die de doorbreking van het beroepsgeheim rechtvaardigden, terwijl ook de toestemming van de zus werd verondersteld.40 In de Arnhemse zaak vorderde een familielid afgifte van het medisch dossier van een ziekenhuis van een patient die daar na een CVA was overleden. Twee dagen voor zijn overlijden heeft de patient zijn testament gewijzigd en zijn familieleden (waaronder eiseres) uitgesloten van diens nalatenschap. Het ziekenhuis verschaft een passage uit het dossier dat dateert van twee dagen voor de komst van de notaris. Daaruit blijkt dat de arts-assistent de patient in staat achtte veranderingen in zijn testament aan te brengen. De rechtbank verwijst in deze omstandig-
38. Voorzieningenrechter Rechtbank Utrecht 6 juni 2007, TvG 2007, 79. 39. Voorzieningenrechter Rechtbank Arnhem 10 mei 2007, TvG 2007, 105. 40. De nootschrijver bij de uitspraak, prof. mr. J.C.J. Dute, stelt volgens ons terecht aan de orde dat pas van een belangenafweging sprake kan zijn als de toestemming van de inmiddels overleden patient niet kan worden verondersteld. Indien dat wel het geval is, dient geen belangenafweging meer plaats te vinden, maar kan doorbreking van het beroepsgeheim al op die grond rechtmatig zijn.
RZA
Afl. 6 - 2008
55
RECHTSPRAAK ZORGVERZEKERING
heden naar jurisprudence van de Hoge Raad41 waaruit volgt dat van doorbreking van de geheimhoudingsplicht sprake kan zijn als er voldoende sterke aanwijzingen bestaan dat de erflater ten tijde van het maken van testament niet in staat was zijn wil te bepalen en aannemelijk is dat het medisch dossier daarover opheldering zou kunnen geven, terwijl de opheldering niet op andere wijze kan worden verkregen. De rechter vindt dat van een dergelijke situatie niet is gebleken. Ook de Hoge Raad heeft zich niet lang geleden uitgesproken over de doorbreking van het beroepsgeheim. Dit betrof de zaak van de peuter Savanna. Het dossier van de thuiszorg was in beslag genomen door de rechter-commissaris in verband met de van de peuter lopende strafzaak. De thuiszorgorganisatie wilde de inbeslagname ongedaan laten maken met een beroep op het verschoningsrecht. De Hoge Raad bevestigt in het arrest dat aan het verschoningsrecht ten grondslag ligt dat het belang van de waarheidsvinding moet wijken voor het maatschappelijk belang dat een ieder zich zonder vrees voor openbaarmaking van het toevertrouwde moet kunnen wenden tot een verschoningsgerechtigde. De Hoge Raad vond dat onvoldoende was gemotiveerd dat in dit geval sprake was van zeer uitzonderlijke omstandigheden die de inbreuk op het verschoningsrecht door inbeslagname zou kunnen rechtvaardigen. Daarbij gaf de Hoge Raad aan dat in een situatie als de onderhavige de volgende omstandigheden bij een belangenafweging moeten worden gewogen: het moet gaan om een verdenking van de verschoningsgerechtigde, de aard en omvang van de gegevens die bij doorbreking in het strafproces komen, aard van verdenking, of de relevante gegevens niet op een andere wijze kunnen worden verkregen. 4.2. Elektronisch Patientendossier In het kader van de invoering van het EPD komt de vraag op of de aansprakelijkheidsrisico's veranderen. Onderzoekers van de Universiteit van Tilburg hebben dit op verzoek van het ministerie van VWS onderzocht en concluderen dat daarvan geen sprake is; de aansprakelijkheidsrisico's verschillen volgens de onderzoekers niet wezenlijk van de situatie zonder EPD. Wij zijn dit met de onderzoekers eens, maar merken op dat de kans dat zich aansprakelijkheid voordoet mogelijk wel toeneemt. Immers, door het EPD kunnen meer zorgverleners toegang krijgen tot het medisch dossier van een patient en daarmee neemt ook de kans op fouten in het EPD toe. Aangezien zorgaanbieders aansprakelijk (kunnen) zijn voor fouten in de behandeling die ontstaan door ontbrekende en onjuiste informatie wordt de kans dat een dergelijke aansprakelijkheid zich voordoet met het EPD groter. Indien de oorzaak van de fout buiten de sfeer van de zorgaanbieder ligt, bijvoorbeeld bij een andere informatiebron of het landelijk schakelpunt dat het EPD beheert, is de zorgverlener overigens niet aansprakelijk. 4.3. Ziekenhuis en vrijgevestigd medisch specialist De Rechtbank Amsterdam moest in november 2007 oordelen over de vordering van het Bovenij Ziekenhuis tot afgifte van medische dossiers.44 De gedaagde was een arts die op basis van een toelatingsovereenkomst als dermatoloog werkzaam was geweest in het Bovenij ziekenhuis. Het 41. HR 20 april 2001, M/2001, 600. 42. Aansprakelijkheden rond het EPD, Tilburg Institute for Interdisciplinary Studies of Civil Law and Conflict Resolution Systems, Universiteit van Tilburg, onder redactie van prof. mr. J.M. Barendrecht, mr. M.F.M. van den Berg, mr. T.F.E. TjongTjinTai en mr. C.B.M.C. Zegveld, april 2008, p. 3 (management samenvatting). 43. Zie onder meer de brief van 21 april 2008 van het ministerie van Justitie met kenmerk MEVA/ICT2848356, Invoering EPD, p. 3. En: parlementaire geschiedenis invoering EPD, Kamerstukken II2007/ 08, 31466, nr. 3, p. 22. 44. Rechtbank Amsterdam 22 november 2007, GJ 2008/8. 56
Afl. 6 - 2008
RZA
RECHTSPRAAK ZORGVERZEKERING
ziekenhuis had de toelatingsovereenkomst met hem opgezegd. Bij zijn vertrek uit het ziekenhuis had de dermatoloog de medische dossiers van patienten van de afdeling dermatologie meegenomen He z" kenhuis stelt dat in de toelatingsovereenkomst is vastgelegd dat de bewaarphch van het medisch dossier op het ziekenhuis rust. De medisch specialist is van memng; dat h j * vrijgevestigd medisch specialist gerechtigd is de dossiers mee te nemen, zeker omdat hijzijn p"Sk elders voortzet De rechtbank oordeelt dat de bewaarplicht op zowel het ziekenhuis al d medisch specialist kan rusten omdat beiden een behandelingsovereenkomst met de patient hebben gesloten. Nu tussen het ziekenhuis en de medisch specialist in de ^latmgsove«enkomst uitdrukkelijk is overeengekomen dat het ziekenhuis de dossiers zal bewaren, oordeelt de rechtiTdat de bewaarplicht op het ziekenhuis rust. Dit is in het kader van de -dveran™delijkheid van het ziekenhuis om zorg te dragen voor een adequate zorgverlenmg aan de patient het meest aannemelijk. De vordering van het ziekenhuis wordt toegewezen. 4.4. Onrechtmatige verstrekking gezondheidsgegeven door verzekeraar Het College Bescherming Persoonsgegevens (CBP) heeft in 2003 een klacht van een verzekerde over twee zorgverzekeraars gegrond geoordeeld.45 De verzekeraars hadden informal over door de verzekerde ingediende tandartsnota's verstrekt aan de ^^«^^ de wederpartij van de verzekerde in het kader van een civiele procedure. De verzekerde stelde de verzekeraars daarvoor geen toestemming te hebben gegeven en dat zq evenmm een andere rechtsgrond voor de verstrekking hadden. Daarmee was sprake van een verwerking van mediche persoonsgegevens in strijd met de Wbp. Het CBP oordeelde dat de Wbp de verwerking van medische persoonsgegevens verbiedt en zorgverzekeraars bovendien een geheimhoudingsplicht hebben op grond van de Wbp. Verwerking van medische persoonsgegevens Bonder toestemming van de betrokkene is in deze omstandigheden alleen mogelijk mdien dit noodzakelyk is voor de vaststelling, uitoefening of verdediging van een recht in rechte op grond van art. 23 Wbp Op dit artikel kan alleen een beroep worden gedaan als er een rechtmatige grondslag voor verwerking is en de verwerking bovendien noodzakelijk is. Of de verwerking noodzakelrjk I moet worden beoordeeld aan de hand van een belangenafweging; het recht van de verzekerde om haar gezondheidsgegevens geheim te houden moest worden afgewogen tegen het recht van Twederpartij op een eerlijk proces. Het belang van de verzekerde vergde dat z« m de gelegenheid was gesteld bezwaar te maken tegen de voorgenomen verstrekking van haar medische gegevens Nu dat niet was gebeurd en ook anderszins niet was gebleken dat de in het gedmg zijnde bekngen van de verzekerde door de verzekeraars was afgewogen oordeelde het CBP dat de ve. zekeraars in strijd hadden gehandeld met de Wbp. 5. Slotopmerkingen De wettelijke regelingen rond privacy zoals vastgelegd in de Wgbo, de Wet BIG de Wbp en straks in de regeling rond het EPD maken dat de privacy in de zorg in begmse goed is beschermd. Wanneer privacy toch wordt geschonden, kan dat leiden tot aansprakelijkheid. Dat kan of op grond van een (geneeskundige behandelings)overeenkomst als de schade is veroorzaakt door een hulpverlener in de uitvoering van die overeenkomst of wegens een onrechtmatige daad wegens schending van een wettelijk voorschrift. Hoewel privacy in de zorg (terecht) veel aandacht krijgt, lijken procedures waarin hulpverleners aansprakelijk worden gesteld wegens schendingen daarvan uit te blijven. Zonder daartoe nader onderzoek te hebben gedaan, zien wij daarvoor twee redenen. De eerste is dat het recht op pnvacv al lane voor de Wgbo en de Wet BIG een zodanig wezenlijke premisse was en is bmnen de arts-patitntrelatie, dat inachtneming van dat recht een integraal onderdeel is van de zorgverlening en hulpverleners zich niet snel schuldig maken aan schending. Een andere mogehjke oor45. Uitspraak CBP 15 juli 2003, z2003-0214.
RZA
Afl. 6 - 2008
57
i
RECHTSPRAAK ZORGVERZEKERING
zaak zou kunnen zijn gelegen in het feit dat het schenden van privacy niet vaak zal resulteren in (vermogens)schade, zodat aan civielrechtelijke procedures over aansprakelijkheid niet wordt toegekomen.
58
Afl. 6 - 2008
RZA
