Gegevensuitwisseling in de zorg – enkele privacyrechtelijke knelpunten Door mr. Sophie Hendriks Dat privacy en gegevensbescherming belangrijke aandachtspunten zijn binnen de zorg is de afgelopen jaren niet onopgemerkt gebleven. Zorgaanbieders zijn regelmatig onderwerp van onderzoek door de Autoriteit Persoonsgegevens (‘AP’) en de afgelopen jaren ging 11% van de klachten ingediend bij de AP over zorg. De begrippen ‘privacy’ en ‘gegevensbescherming’, die van elkaar moeten worden onderscheiden, zijn in het kader van zorg beide relevant. Zo omvat het begrip ‘privacy’ niet alleen informationele privacy (bijvoorbeeld het medisch beroepsgeheim), maar ook fysieke privacy (onaantastbaarheid van het lichaam), ruimtelijke privacy (huisrecht), privacy ten aanzien van communicatie (het briefgeheim) en relationele privacy (recht op familie en gezinsleven). Gegevensbescherming raakt daarentegen aan de informationele privacy en is in verschillende (nationale) wetgeving verankerd. De meest alomvattende voorbeelden daarvan zijn de Algemene verordening gegevensbescherming (AVG) en de Nederlandse Uitvoeringswet AVG (UAVG). Samen met specifieke gezondheidswetgeving bieden de AVG en de UAVG de basis voor de uitwisseling van persoonsgegevens binnen de zorg.
Beknopte schets wettelijk kader (U)AVG De verwerking van persoonsgegevens – waar uitwisseling onder wordt geschaard – is alleen toelaatbaar als deze gebaseerd kan worden op een grondslag. De AVG kent er zes. In het kader van zorglevering is bijvoorbeeld ‘toestemming’ (niet te verwarren met gezondheidsrechtelijke vormen van toestemming) een mogelijke grondslag voor verwerking, net als de ‘uitvoering van een overeenkomst’ (denk aan de behandelovereenkomst). Bij de verwerking van persoonsgegevens in de zorg zal snel sprake zijn van gezondheidsgegevens. Dit is een breed begrip en heeft betrekking op bijvoorbeeld ziekten opgenomen in medische dossiers, maar soms
38
ook op informatie verzameld door een smartwatch of een lidmaatschap bij een ‘afval’-club. Gezondheidsgegevens vallen onder de noemer ‘bijzondere persoonsgegevens’. Aangezien de verwerking van bijzondere persoonsgegevens – doorgaans – een grotere impact heeft op personen (‘betrokkenen’), is de verwerking daarvan in principe verboden. Dit is slechts anders als er, in aanvulling op de grondslag voor de verwerking, een uitzondering op het verwerkingsverbod bestaat. De AVG kent negen uitzonderingen. De Nederlandse wetgever heeft van de gelegenheid gebruik gemaakt om deze gronden aan te vullen of te concretiseren. Dit is terug te vinden in de UAVG. Een belangrijke uitzondering is de zorglevering of kwaliteitsdoeleinden in de zorg. Expliciete toestemming van de betrokkene is ook een uitzonderingsgrond.
Mogelijke knelpunten De AVG en UAVG zijn niet de enige wettelijke kaders waaraan moet kunnen worden voldaan. Gezondheidswetgeving bevat immers ook de nodige hoepels waar de zorgaanbieder doorheen moet kunnen springen bij de uitwisseling van persoonsgegevens. Dit kan de uitwisseling van gezondheidsgegevens soms erg complex maken. Hieronder worden enkele (knel) punten kort besproken. i. De ene toestemming is de andere niet Zoals al eerder aangehaald komt ‘toestemming’ niet alleen terug in de (U)AVG, maar ook in verschillende wetgeving. Er bestaat dus een veelheid aan vormen van toestemming, ieder met een andere betekenis aangezien die in verschillende toepasselijke wetten anders wordt uitgelegd. Het is dus van belang om vast te stellen welke typen toestemming mogelijk vereist zijn en welke vereisten daar bij komen kijken. Zo kent de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) toestemming voor gebruik van lichaamsmateriaal en persoonsgegevens ten behoeve van wetenschappelijk onderzoek, toestem-
