Vrijwillig elektronisch patiëntendossier aanvaardbaar?

Joost Luiten
Joost Luiten Advocaat

Op 1 december jl. wees de Hoge Raad een interessant arrest over de verwerking van medische persoonsgegevens (ECLI:NL:HR:2017:3053). Daarin stond de vraag centraal of een private doorstart van het elektronisch patiëntendossier, ‘de zorginfrastructuur’, aanvaardbaar is vanuit het oogpunt van het medisch beroepsgeheim en de privacy van patiënten.

Elektronisch patiëntendossier wordt private zorginfrastructuur

In 2011 strandde het wetsvoorstel tot invoering van een landelijk elektronisch patiëntendossier. Daarop is de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) opgericht, om een private doorstart van het systeem in aangepaste vorm (‘de zorginfrastructuur’) te realiseren. De zorginfrastructuur stelt zorgverleners in staat om de gegevens van andere zorgverleners onder bepaalde omstandigheden op te vragen, bijvoorbeeld in het kader van behandeling door een waarnemend huisarts of in noodgevallen. Welke gegevens kunnen worden ingezien, verschilt per type zorgverlener. Deze zaak spitst zich toe op waarnemend huisartsen. Aan hen verleent de zorginfrastructuur inzage in een overzicht van de door de apotheek verstrekte medicijnen en een professionele samenvatting van het dossier van de eigen huisarts. Die samenvatting bevat een door de beroepsgroep zelf vastgestelde set gegevens, die voor effectieve waarneming doorgaans van belang is gebleken.

Deelname aan de zorginfrastructuur is vrijwillig. Zorgaanbieders, zoals huisartsen of apotheken, kunnen kiezen om zich erbij aan te sluiten. Wanneer een zorgaanbieder zich aansluit, kunnen de patiënten van deze zorgaanbieders vervolgens kiezen of zij hun gegevens via de zorginfrastructuur opvraagbaar willen maken. Daarbij kunnen zij ook bepaalde gegevens uitsluiten.

De Vereniging Praktijkhoudende Huisartsen (VPH) heeft bezwaren tegen dit systeem. Volgens de VPH staat de zorginfrastructuur op gespannen voet met het recht op privacy van patiënten op grond van artikel 8 EVRM, dat wordt beschermd door de Wet bescherming persoonsgegevens (Wbp) en het medisch beroepsgeheim van huisartsen. VPH startte daarom een procedure waarin zij de rechtbank verzocht voor recht te verklaren dat de zorginfrastructuur onrechtmatig is en VZVZ te gebieden de implementatie daarvan te staken.

Wet bescherming persoonsgegevens en medisch beroepsgeheim

De Wbp verbiedt de verwerking van persoonsgegevens onder meer voor zover daaraan een geheimhoudingsplicht in de weg staat. Op huisartsen rust een dergelijke geheimhoudingsplicht krachtens artikel 7:457 BW en artikel 88 Wet BIG. De Wbp verbiedt daarnaast ook uitdrukkelijk de verwerking van persoonsgegevens die de gezondheid van een persoon betreffen (artikel 16 Wbp). Op dit verbod gelden echter uitzonderingen. Ten eerste is het hulpverleners en instellingen voor gezondheidszorg toegestaan persoonsgegevens te verwerken wanneer dat noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene (artikel 21 lid 1 sub a Wbp). Het verbod geldt ook niet wanneer de persoonsgegevens worden verwerkt met uitdrukkelijke toestemming van de betrokkene (artikel 23 lid 1 sub a Wbp). Vooral die laatste uitzondering stond in deze zaak ter discussie. de zorginfrastructuur is namelijk, zoals eerder vermeld, gebaseerd op het principe dat patiënten toestemming moeten gegeven om hun persoonsgegevens daarin op te nemen.

Rechtbank en hof achten zorginfrastructuur aanvaardbaar

De Rechtbank Midden-Nederland en het Gerechtshof Arnhem-Leeuwarden (ECLI:NL:GHARL:2016:1697) oordeelden dat de verwerking van persoonsgegevens in de zorginfrastructuur aanvaardbaar is. Volgens het hof volgt uit de systematiek van de Wbp dat het verbod om medische persoonsgegevens te verwerken niet geldt wanneer een patiënt daarvoor uitdrukkelijk toestemming heeft gegeven. Een eenmalig uitdrukkelijk verleende toestemming vooraf, is daarvoor in beginsel voldoende. Daarbij acht het hof van belang dat patiënten die willen deelnemen er in overleg met hun huisarts voor kunnen kiezen bepaalde gegevens niet beschikbaar te maken. Nu het gaat om situaties van waarneming en soms ook om noodgevallen, is het praktisch niet mogelijk dat steeds de eigen huisarts wordt geraadpleegd voordat de gegevens worden ingezien, aldus het hof. Van belang is wel dat de gegeven toestemming uit vrije wil is verleend en dat hij voldoende specifiek en op voldoende informatie gebaseerd is. Volgens het hof is aan deze vereisten voldaan.

Gegevensverwerking moet noodzakelijk en proportioneel zijn

De Hoge Raad overweegt onder verwijzing naar zijn arrest in Santander uit 2011 (ECLI:NL:HR:2011:BQ8097), dat ook wanneer een gegevensverwerking in beginsel is toegestaan, bijvoorbeeld omdat de betreffende persoon daar toestemming voor heeft gegeven, nog steeds moet worden getoetst of de verwerking in het concrete geval noodzakelijk is om het beoogde doel te bereiken. Bij die afweging moet worden gelet op alle omstandigheden van het geval en worden getoetst of de verwerking voldoet aan de vereisten van proportionaliteit en subsidiariteit. Dat wil zeggen dat de gegevensverwerking in een juiste verhouding tot het te bereiken doel moet staan, en dat dit doel niet op een andere wijze moet kunnen worden bereikt die minder ingrijpt in het recht op privacy van de patiënt.

Het hof heeft hier volgens de Hoge Raad voldoende oog voor gehad. De Hoge Raad overweegt dat het hier gaat om situaties van waarneming en noodgevallen, waarin de eigen huisarts veelal niet beschikbaar is. Het is moeilijk te voorzien wanneer zo’n situatie zich voor zal doen en welke klachten dat zal betreffen. Dat niet in iedere situatie alle opvraagbaar gemaakte gegevens relevant zullen zijn, is daarom onvermijdelijk. Dit brengt de gegevensverwerking nog niet zonder meer in strijd met de vereisten van proportionaliteit en subsidiariteit, aldus de Hoge Raad. Daarbij acht de Hoge Raad, net als het hof, van belang dat de patiënt ook de mogelijkheid heeft om in overleg met de arts gegevens van inzage uit te sluiten.

Voldoende specifieke toestemming vereist

VPH voerde onder meer aan dat het hof had miskend dat de arts, ook wanneer een patiënt rechtsgeldig toestemming heeft verleend tot verwerking van zijn medische gegevens, steeds een eigen afweging moet maken of het verstrekken van de gegevens noodzakelijk is. De geheimhoudingsplicht dient namelijk niet alleen het belang van de patiënt, maar ook het algemeen belang, aldus VPH.

De Hoge Raad verwerpt dit argument. Het oordeel van het hof dat de geheimhoudingsplicht van de arts niet in de weg staat aan de verwerking van medische persoonsgegevens in de zorginfrastructuur wanneer de patiënt daarvoor toestemming heeft gegeven, blijft in stand. De Hoge Raad lijkt daarbij tot uitgangspunt te nemen dat bij rechtsgeldig gegeven toestemming door de patiënt, medische persoonsgegevens in beginsel mogen worden verwerkt. Slechts in uitzonderingsgevallen is dit anders. Een dergelijke uitzondering doet zich hier volgens de Hoge Raad niet voor.

VPH voerde in cassatie verder aan dat de toestemming die patiënten vooraf geven om hun gegevens inzichtelijk te maken via de zorginfrastructuur niet aan de daaraan te stellen eisen voldeed, onder meer omdat de toestemming niet voldoende specifiek zou zijn. Volgens VPH moest de toestemming om gegevens beschikbaar te maken steeds in het specifieke geval worden gegeven. Met het verstrekken van een machtiging vooraf zou niet kunnen worden volstaan, omdat de patiënt daarmee onvoldoende zou kunnen overzien en bepalen welke persoonsgegevens beschikbaar worden gesteld en aan wie.

De Hoge Raad verwerpt ook dit argument. Het vereiste van specifieke toestemming vergt volgens hem dat die toestemming betrekking moet hebben op: (i) bepaalde gegevens, (ii) die voor bepaalde doeleinden mogen worden verwerkt, (iii) of aan bepaalde personen mogen worden verstrekt. Het oordeel van het hof dat aan die vereisten is voldaan, omdat de patiënt van tevoren weet welke concrete gegevensset in welke situatie door welk type zorgverleners zal kunnen worden ingezien, en omdat hij desgewenst gegevens kan uitsluiten, acht de Hoge Raad niet onjuist of onbegrijpelijk. Het oordeel van het hof blijft dan ook overeind en het cassatieberoep wordt verworpen.

Conclusie

De verwerking van (medische) persoonsgegevens zal de komende jaren ongetwijfeld de maatschappelijke en juridische gemoederen bezig blijven houden, zeker met de (gedeeltelijk uitgestelde) invoering van de Wet cliëntenrechten elektronische gegevensverwerking en de vervanging van de Privacyrichtlijn in 2018. Deze uitspraak maakt in ieder geval duidelijk dat het verwerken van persoonsgegevens in de zorginfrastructuur op basis van vooraf gegeven toestemming door de patiënt aanvaardbaar moet worden geacht. Daarmee kan het in 2011 gestrande plan voor een landelijk, van overheidswege ingevoerd elektronisch patiëntendossier in private, aangepaste vorm toch nog zijn beslag krijgen.