De rechtbank Utrecht heeft vorige week geoordeeld dat het systeem voor het elektronisch uitwisselen van patiëntgegevens niet in strijd is met de regelgeving op het gebied van de privacy van patiënten.
De Vereniging Praktijkhoudende Huisartsen (VPH) is een procedure gestart tegen de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) omdat zij van mening is dat het systeem voor het elektronisch uitwisselen van patiëntgegevens het “ Landelijk Schakelpunt” (LSP) strijdig is met artikel 8 EVRM, de Wet bescherming persoonsgegevens (Wbp), de bepalingen omtrent de geneeskundige behandelingsovereenkomst in het Burgerlijk Wetboek (boek 7 titel 7 afdeling 5) en zich niet verdraagt met het beroepsgeheim van zorgaanbieders.
Zorginfrastructuur
De zorginfrastructuur regelt de organisatie van het elektronisch delen van patiëntgegevens en steekt als volgt in elkaar. Het LSP faciliteert het gegevensverkeer tussen zorgaanbieders (zoals huisartsen, apothekers en ziekenhuizen). Aansluiting van de zorgaanbieders op het LSP vindt plaats door middel van een Zorgserviceprovider (ZSP). Deze ZSP is een gekwalificeerde marktpartij die een beveiligde verbinding tussen het zorgsysteem van de zorgaanbieder en het LSP aanbiedt. De zorgaanbieder beschikt over een Goed Beheerd Zorgsysteem (GBZ). Dit is een gekwalificeerd zorginformatiesysteem dat aan de procedurele en technische eisen moet voldoen om aan te mogen sluiten bij het LSP. De zorgaanbieder krijgt een Unieke Zorgverlener Identificatie (UZI). Dit is een pas met de elektronische identiteit van de zorgaanbieder waarmee hij de patiëntgegevens kan opvragen.
Hoe gaat het elektronisch delen van patiëntgegevens in zijn werk?
Patiënten moeten aan hun huisarts en apotheker toestemming geven voor het delen van hun medische gegevens via het LPS door middel van een toestemmingsformulier met bijgaande brochure. De zorgaanbieder dient in het systeem te registreren dat de patiënt toestemming heeft gegeven.
De medische gegevens van de patiënt worden niet in het LSP opgeslagen, maar blijven bij de bron, oftewel de gegevens blijven in het dossier bij de eigen huisarts of apotheker. Het LSP zorgt enkel voor het koppelen en transporteren van deze medische gegevens. In het LSP staat alleen het BSN-nummer van de patiënt en wie de huisarts en apotheker van de patiënt zijn. Het LSP bevat een verwijsindex met de BSN-nummers van de patiënten en de BIG registraties van de aangesloten zorgaanbieders.
Bij elke opvraging van medische gegevens via het LSP wordt getoetst aan de hand van een stappenplan of de opvrager in een behandelrelatie staat tot de patiënt. Daarna wordt de toegang getoetst aan het autorisatieprotocol, waarin is vastgelegd welke bevoegdheden de zorgaanbieder heeft. De medische gegevens worden versleuteld verstuurd naar de opvrager. Het LSP registreert waar de patiëntgegevens zijn op te vragen, welke gegevens zijn opgevraagd en door wie dit is gedaan.
Procedure
Volgens VPH maakt het elektronisch delen van patiëntgegevens zoals hiervoor is omschreven inbreuk op regelgeving omtrent privacy. Zij stelt daartoe dat het LSP in strijd is met het uitgangspunt dat de hulpverlener slechts medische informatie deelt met anderen voor zover dat noodzakelijk is in het kader van goede zorgverlening.
VPH onderbouwt haar standpunt met de volgende bezwaren tegen de zorginfrastructuur:
· Door het ontbreken van een nauwkeurige doelomschrijving kan niet worden voldaan aan artikel 9 Wbp waarin is bepaald dat de persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (doelbinding);
· Niet is voldaan aan artikel 7 Wbp dat niet méér gegevens worden verstrekt dan strikt genomen noodzakelijk is voor het doel waarvoor de informatie wordt gevraagd (het proportionaliteitsbeginsel);
· Niet is voldaan aan het vereiste van artikel 23 Wbp dat voor verwerking van medische gegevens uitdrukkelijk toestemming moet zijn gegeven. De gevraagde toestemming zou niet voldoende specifiek zijn en daarbij niet gebaseerd op de vrije wil van de patiënt;
· Er is geen sprake van ‘informed consent’, niet duidelijk wordt of de patiënt de informatie uit de brochure heeft gelezen en begrepen;
· Het systeem dwingt de arts tot schending van zijn beroepsgeheim;
· LSP in haar huidige vorm kent onvoldoende waarborgen om zeker te stellen dat onbevoegde derden geen kennis kunnen nemen van patiëntgegevens;
· Bouw en onderhoud van het LSP wordt uitgevoerd door een Amerikaans bedrijf die op grond van Patriot Act in beginsel rechtstreeks informatie kan opvragen vanwege noodzakelijke veiligheidsredenen.
Beoordeling
De rechtbank volgt de VPH in het voorgaande niet en wijst alle vorderingen af. Zij heeft daartoe onder andere het volgende overwogen.
De omschreven doeleinden ‘betere en veilige zorg’, ‘het bevorderen van doelmatigheid in de zorg’ en ‘meer betrokkenheid van patiënten bij hun eigen gezondheid’ hebben volgens de rechtbank betrekking op de registratie en verwerking van medische persoonsgegevens en vormen daarvoor voldoende rechtvaardiging. De noodzaak voor registratie en uitwisseling van medische persoonsgegevens voor een goede en veilige gezondheidszorg is daarbij volgens de rechtbank algemeen aanvaard.
De rechtbank is voorts van oordeel dat de procedure voor toestemmingverlening voldoende waarborgen biedt om te kunnen voldoen aan de vereisten dat de toestemming vrijwillig is gegeven, dat deze voldoende specifiek is en dat deze is gebaseerd op voldoende informatie. Zij overweegt hiertoe dat het toestemmingsformulier en de brochure middelen zijn om enerzijds de patiënt te informeren over het doel en de gevolgen van de toestemmingsverlening en anderzijds om vast te leggen voor welke verwerking van medische persoonsgegevens de patiënt toestemming heeft verleend. Ten aanzien van toekomstige uitbreidingen van het systeem heeft het VZVZ aangegeven dat voor de nieuwe toepassingen opnieuw toestemming zal worden gevraagd.
Met betrekking tot de geheimhoudingplicht van de zorgaanbieder overweegt de rechtbank dat het een feit is dat huisartsen reeds lange tijd gebruik maken van een standaard voor het delen van patiëntinformatie. Bovendien voorziet de Wet geneeskundige behandelingsovereenkomst in het recht van een arts om gegevens te delen met andere artsen die direct zijn betrokken bij de behandeling.
Ten aanzien van de beveiliging van de elektronische verstrekking van de patiëntgegevens overweegt de rechtbank dat voor de beoordeling van de hiertoe gestelde onrechtmatigheid het slechts relevant is of met het beveiligingsniveau de bepalingen van de Wbp worden overschreden. De rechtbank laat zich hierbij dan ook voornamelijk leiden door het adviesrapport van het College bescherming persoonsgegevens (Cbp) over het doorstartmodel voor de bestaande landelijke infrastructuur voor uitwisseling van medische gegevens (door het Cbp aangeduid als landelijk Elektronisch patiëntendossier, EPD). Hierin heeft zij –mede- beoordeeld of de juiste normering van informatiebeveiliging is gehanteerd. Het Cbp heeft geconstateerd dat er geen bijzondere risico’s zijn voor overtreding van de Wbp.
Tot slot beslist de rechtbank dat hetgeen VZVZ heeft gesteld omtrent de Patroit Act afdoende is en dat zij uit oogpunt van gegevensbescherming geen onaanvaardbaar risico heeft genomen. VZVZ heeft gesteld dat ook nationale en Europese overheden de gereedschappen hebben voor het afluisteren van communicatie en het opvragen van informatie uit informatiesystemen. Daarnaast heeft VZV erop gewezen dat de leveranciers bij de aanbesteding gelijk behandeld moeten worden en dat zij dus geen onderscheid mag maken op basis van de nationaliteit van de moedermaatschappij. De rechtbank voegt hier nog aan toe dat als het punt van VPH zou worden gevolgd, dienstverlening door geen enkel Amerikaans bedrijf meer mogelijk zou zijn wat tot een onwerkzame situatie zou leiden.
Lees de volledige uitspraak hier.