Een apotheek heeft patiënten, in strijd met de Algemene verordening gegevensbescherming (AVG), op basis van op-out toestemming bij het Landelijk Schakelpunt (LSP) aangemeld. Dat blijkt uit een uitspraak van de rechtbank Midden-Nederland van 10 januari 2020. Een patiënt had een verzoek bij de Autoriteit Persoonsgegevens (AP) ingediend om handhavend op te treden tegen apothekers, dan wel de Vereniging Zorgaanbieders voor Zorgcommunicatie (VZVZ), omdat zij mensen zonder de vereiste toestemming aanmelden bij het LSP.
Landelijk Schakelpunt
Het LSP is een netwerk waar bepaalde categorieën zorgaanbieders zich op kunnen aansluiten. In het LSP wordt het Burgerservicenummer (BSN) van een patiënt aangemeld. Via dit netwerk kunnen zorgaanbieders medische gegevens over hun patiënten raadplegen in elkaars systemen. Op het netwerk worden geen medische gegevens opgeslagen. Die gegevens blijven gewoon staan in de dossiers bij bijvoorbeeld de (eigen) huisarts en apotheek. Dit raadplegen van medische gegevens in het dossier van een andere zorgaanbieder mag alleen als de patiënt hiervoor uitdrukkelijk toestemming heeft verleend.
Een apotheek ontvangt voor iedere aangemelde patiënt een zogenaamde “opt-in vergoeding”. Volgens de VZVZ is de opt-in vergoeding “een tegemoetkoming voor uw inspanning voor het vragen en registreren van de toestemming van de patiënt. De opt-in vergoeding is een variabel bedrag, gebaseerd op het aantal toestemmingen dat is aangemeld bij het Landelijk Schakelpunt. U ontvangt deze vergoeding eenmalig per toestemming.”
Opt-out toestemming
In de procedure bij de rechtbank gaat het om de vraag of apothekers inderdaad zonder de uitdrukkelijke toestemming van patiënten deze patiënten (hun BSN) hebben aangemeld bij het LSP, en daarmee de AVG hebben overtreden.
De AP heeft bureauonderzoek gedaan naar acht apothekers. Uit dat onderzoek bleek dat zes apothekers hun patiënten voldoende hebben voorgelicht. Ook is niet gebleken dat zij patiënten zonder toestemming hebben aangemeld bij het LSP. Twee apothekers zijn wel de fout ingegaan. Ten eerste was het toestemmingsformulier van één van de twee apothekers onvoldoende specifiek om als voldoende informatie te kunnen worden gezien. Volgens deze apotheker zijn er echter geen patiënten aangemeld op basis van alleen dit formulier, zodat niet is gebleken dat de werkwijze van deze apotheek in strijd is geweest met de AVG.
Voor de andere apotheek lag dat echter anders. De AP heeft vastgesteld dat de apotheker in de periode van februari tot en met september 2017 een ‘opt-out’-regeling hanteerde in plaats van een ‘opt-in’- regeling zoals voorgeschreven door de AVG. Patiënten zijn als gevolg daarvan aangemeld bij het LSP zonder dat zij daarvoor expliciet hun toestemming hebben gegeven. Dit is in strijd de AVG. De AP heeft deze apotheker daarom een last opgelegd.
AVG – begrip toestemming
Persoonsgegevens mogen worden verwerkt als de betrokkene hiervoor toestemming heeft gegeven. Om te spreken van geldige toestemming, moet de toestemming aan een aantal voorwaarden voldoen.
Ten eerste moet de toestemming vrij gegeven zijn. Dit houdt in dat iemand daadwerkelijk de keuze moet hebben om te weigeren, zonder dat hier negatieve consequenties aan verbonden zijn. Met name wanneer er sprake is van een afhankelijkheidsrelatie, bijvoorbeeld in de arbeidssfeer of in de relatie overheid-burger, kan toestemming niet snel vrij zijn gegeven. Daarnaast moet toestemming specifiek en geïnformeerd zijn. Dit betekent dat de betrokkene duidelijke informatie moet worden verschaft over onder meer de doeleinden waarvoor zijn/haar persoonsgegevens worden verwerken, om te zorgen dat de betrokkene voldoende informatie heeft om een goed geïnformeerd besluit te nemen.
Toestemming moet ook ondubbelzinnig zijn. Dit betekent dat toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke of mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Wanneer de betrokkene bijvoorbeeld een vinkje zet in een vakje om zijn akkoord aan te geven, dan is er sprake van ondubbelzinnige toestemming (opt in). Wanneer echter hetzelfde vakje al aangekruist is en de betrokkene vinkt het niet uit (opt out), dan is er geen ondubbelzinnige toestemming tot stand gekomen. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit (opt-out) geldt dus niet als toestemming.
Voor bijzondere categorieën persoonsgegevens, zoals medische gegevens, geldt tot slot nog de eis dat deze mogen worden verwerkt als de betrokkene hiervoor zijn uitdrukkelijke toestemming heeft gegeven. Er mag dan geen enkele twijfel over bestaan of de betrokkene toestemming heeft gegeven. Deze eis van uitdrukkelijke toestemming is strenger dan de eis van ondubbelzinnige toestemming bij het verwerken van niet-bijzondere persoonsgegevens.