Privacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen Erasmus School of Law/Erasmus Medisch Centrum Erasmus Universiteit Rotterdam
[email protected]
Onderwerpen • Uitgangspunten privacybescherming (in de zorg) • Verwerking van medische (persoons)gegevens • Rechten van betrokkenen • Nieuwe ontwikkelingen • Bevindingen en aandachtspunten
Uitgangspunten • Het recht op privacy is een grondrecht, beschermd door o.a.: – – – – –
Art. 12 UVRM Art. 8 EVRM Art. 10 Biogeneeskundeverdrag (nog niet geratificeerd) EU-Privacyrichtlijn (Richtlijn 95/46/EG, straks Privacyverordening) Art. 10 Grondwet • Eenieder heeft recht op eerbiediging van zijn persoonlijke levenssfeer behoudens bij of krachtens de wet te stellen beperkingen • De wet stelt regels inzake de bescherming van de persoonlijke levenssfeer bij het vastleggen en verstrekken van persoonsgegevens (‘informationele privacy’) • De wet geeft daarbij ook regels over het recht op inzage en op verbetering van gegevens
Uitgangspunten • Wet bescherming persoonsgegevens (Wbp, tevens implementatie EU-Privacyrichtlijn) • Privacybepalingen in zorgwetgeving, o.a.: – – – – –
Artt. 7:454-458 BW (Wgbo, omgang met medische gegevens) Artt. 11 en 12 Wafz Artt. 23 en 56 Bopz Art. 12 Wmom Art. 87 Zvw
• Recht op informationele privacy van toenemend belang • Recht op informationele privacy is niet absoluut • Recht op informationele privacy niet verwarren met het medisch beroepsgeheim
Uitgangspunten 1. Betrokkene behoort zeggenschap over zijn gegevens te hebben – Registratie- en informatiesystemen dienen zo dicht als mogelijk bij dit uitgangspunt te blijven – In de zorg: • •
Beroepsgeheim behandelaar blijft gehandhaafd (art. 9 lid 4 Wbp) Behandelaar mag gegevens over een patiënt slechts dan in informatiesystemen opnemen indien hij ervan overtuigd is dat het geheim van de patiënt voldoende beschermd is
Uitgangspunten 2. Er mag niet méér worden gevraagd, onderzocht en geregistreerd dan voor het doel (behandeling, keuring etc.) noodzakelijk is – In de zorg geschiedt verstrekking van gevoelige persoonsgegevens gewoonlijk noodgedwongen – Om deze reden moet inbreuk op privacy zo klein mogelijk blijven
3. Doel van het vastleggen van, bewaren en gebruiken van (medische) gegevens moet aanvaardbaar zijn en duidelijk omschreven – De gegevens mogen niet worden gebruikt voor een ander doel dan waarvoor zij zijn verzameld
Verwerking van (medische) persoonsgegevens •
Relevant ivm toepassing Wbp –
– –
Persoonsgegeven is een gegeven herleidbaar tot een individuele persoon (niet herleidbaar als onevenredig veel middelen nodig zijn om herleiding tot een individu mogelijk te maken) Geheel, gedeeltelijk en niet-geautomatiseerde verwerking van persoonsgegevens Alle handelingen (>registreren) met betrekking tot persoonsgegevens, van verzamelen tot vernietigen
Verwerking van (medische) persoonsgegevens •
Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens: – – – –
–
Verwerking: behoorlijk, zorgvuldig en iom de wet Verzameling alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Aanwezigheid grondslag Verwerking niet verder op wijze die onverenigbaar is met doeleinde waarvoor verzameld Verwerking slechts voor zover ivm doeleinden toereikend, relevant, juist, nauwkeurig en niet bovenmatig
Verwerking van (medische) persoonsgegevens – –
•
Niet langer bewaren dan nodig gelet op doeleinden Passende technische en organisatorische maatregelen ter beveiliging tegen verlies en onrechtmatige verwerking
Aanvullende voorwaarden voor bijzondere persoonsgegevens –
Verbod van verwerking van ‘gevoelige’ gegevens, tenzij •
verbod niet van toepassing ogv Wbp – –
Gezondheidsgegevens: art. 21 Wbp Opheffing verbod voor groot aantal gangbare vormen van verwerking van gezondheidsgegevens, verwerking alleen door personen met geheimhoudingsplicht, regels mbt beroepsgeheim van toepassing
Verwerking van (medische) persoonsgegevens •
verbod wordt opgeheven door restbepaling van art. 23 Wbp, dwz door o.a.: – – –
•
uitdrukkelijke toestemming betrokkene specifiek wettelijk voorschrift ontheffing door College bescherming persoonsgegevens (Cbp)
Artt. 7: 454-458 BW –
Specifieke bepalingen mbt aanleggen en bewaren van medische dossiers ikv hulpverlening, o.a. betreffende: • • •
dossierplicht recht op inzage en afschrift vernietigingsrecht
Rechten van betrokkenen •
Recht op actieve informatie door verantwoordelijke –
Igv informatieverkrijging bij betrokkene •
–
Op moment van verkrijging over identiteit verantwoordelijke, doeleinden gegevens, overige inormatie
Igv informatieverkrijging op andere wijze •
Op moment van vastlegging…
–
Niet als mededeling aan betrokkene onmogelijk is of onevenredige inspanning vergt
–
Niet als betrokkene ‘reeds op de hoogte is’
Rechten van betrokkenen •
Recht op kennisneming –
•
Recht op verbetering, aanvulling of verwijdering van gegevens –
•
Schriftelijke mededeling op verzoek betrokkene aan verantwoordelijke of hem betreffende persoonsgegevens worden verwerkt: volledig overzicht verwerkte gegevens, omschrijving doel, soort van gegevens, ontvangers, en herkomst gegevens.
Indien gegevens feitelijk onjuist zijn, voor het doel van de verwerking onvolledig of niet ter zake dienend of ism wettelijk voorschrift
Recht van verzet ivm bijzondere persoonlijke omstandigheden
Nieuwe ontwikkelingen •
Jeugdwet (van kracht op 1 januari 2015) – – –
–
–
Verantwoordelijkheid jeugdbeleid bij gemeenten Stelselverantwoordelijkheid bij Ministers van V&J en VWS Om (inter)nationaal verantwoording te kunnen afleggen behoeven de bewindslieden beleidsinformatie Onnodige kopeling tussen beleidsinformatie en persoonsgegevens moet worden voorkomen Toch moeten NAW-gegevens van jeugdigen en ouders in de beleidsinformatie worden opgenomen
Nieuwe ontwikkelingen •
Veiligheidshuizen – – – – – – –
Regionaal netwerk van instanties dat justitie en zorg integreert Casusoverleg Geïntegreerd Casusoverleg Ondersteunend Systeem (GCOS) Verwerking van gewone en bijzondere persoonsgegevens Géén verantwoordelijke in de zin van de Wbp Géén grondslag in de zin van de Wbp Géén gerechtvaardigde doorbreking van het beroepsgeheim
Nieuwe ontwikkelingen •
Ondermijning van beroepsgeheim door ‘gedwongen’ gebruikmaking van recht op afschrift patiënten dossier –
– – –
Door gemeentelijke klantmanagers tbv de reïntegratie van mensen met GGZ-problematiek Géén doorbreking met toestemming Wèl afschrift van gehele dossier Belemmering toegang tot gezondheidszorg niet denkbeeldig
Bevindingen en aandachtspunten • • •
• •
Privacybelang in toenemende mate ondergewaarderd Privacybescherming wordt in toenemende mate verward met het beroepsgeheim, ook door hulpverleners Overheid zelf geeft momenteel niet het juiste voorbeeld waar het gaat om bescherming van informationele privacy Overheid heeft weinig oog voor context indien toestemming betrokkene grondslag vormt Sinds stelselwijziging curatieve zorg toenemend belang van keuzeinformatie, meer en meer verzameling van gegevens
Bevindingen en aandachtspunten •
• • • • •
Privacybescherming in de zorg is voornamelijk voorwerp van zelfregulering Zorg voor nauwkeurig omschreven doeleinden Toestemming van de betrokkene: ‘better safe than sorry’ Zorg voor goed en openbaar privacyreglement Voorkom herleiding naar individuele personen met alle middelen Ook gebrekkige privacybescherming komt de onbelemmerde toegang tot (ggz-)zorg niet ten goede
Bevindingen en aandachtspunten
Kortom, neem privacybescherming serieus…
