Consultatie Uitvoeringswet EU-verordening gegevensbescherming. Wat verandert er voor de zorg?

Consultatie Uitvoeringswet EU-verordening gegevensbescherming. Wat verandert er voor de zorg?

 

Op 16 december jl. heeft de minister van VenJ een consultatieversie van de Algemene verordening gegevensbescherming (Avgb) op internet geplaatst. Deze verordening treedt op 25 mei 2018 in werking en moet de Wet bescherming persoonsgegevens (Wbp) gaan vervangen. Met de beoogde uitvoeringswet wordt de Wbp ingetrokken en worden er tegelijkertijd aanvullende regels op de Avgb gesteld, waar wetgever dat noodzakelijk acht en dit door de verordening wordt toegelaten. In dit artikel volgt een beknopt overzicht wat er met betrekking tot het verwerken van gezondheidsgegevens van patiënten gaat veranderen. Zorgaanbieders dienen komend jaar goed te gebruiken om zich gedegen op de inwerkingtreding van de Avgb en de Uitvoeringswet Avgb voor te bereiden.

Uitgangspunt en grondslagen verwerking gezondheidsgegevens

Uitgangspunt blijft dat voor het verwerken van persoonsgegevens in het algemeen een uitdrukkelijk welbepaald doel moet bestaan en daarnaast een grondslag, net zoals dit onder de Wbp en de Europese richtlijn ook al nodig was. De Avgb kent net als de Wbp een verbodsbepaling voor het verwerken van bijzondere persoonsgegevens (artikel 9). Naast de al bekende bijzondere persoonsgegevens, beschouwt de Avgb het gebruik van genetische gegevens en van biometrische gegevens met het oog op de unieke identificatie van een persoon als een bijzonder persoonsgegeven. Bij dit laatste moet onder meer worden gedacht aan het gebruik van vingerafdrukken, DNA irisherkenning of gezichtsherkenning. Ook gezondheidsgegevens blijven (uiteraard) bijzondere persoonsgegevens.

Om na te gaan of bijzondere persoonsgegevens mogen worden verwerkt, moet na inwerkingtreding van de Avgb en de uitvoeringswet in beide wettelijke regelingen worden gekeken en daarnaast in bijzondere wetgeving.

Uitgangspunt is zoals gezegd dat bijzondere persoonsgegevens niet mogen worden verwerkt, tenzij aan een van de uitzonderingen in artikel 9 lid 2 Avgb is voldaan, te weten 1) uitdrukkelijke toestemming van de betrokkene, 2) noodzaak in het kader van de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheidsrecht, 3) ter bescherming van de vitale belangen van de betrokkene of van een ander terwijl de betrokkene fysiek of juridisch niet in staat is toestemming te geven, de verwerking vindt plaats door een instantie zonder winstoogmerk , in het kader van haar gerechtvaardigde activiteiten mits de verwerking slechts betrekking heeft op de (voormalige) leden of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verwerkt, en 5) de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt, 6) noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering, 7) noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, 8) noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor het stellen van medische diagnoses, het verstrekken van gezondheidszorg op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een zorgverlener, 9) noodzakelijk vanwege het algemeen bang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen op grond van Unierecht of lidstatelijk recht, en 10) noodzakelijk vanwege archivering in het algemeen belang, wetenschappelijk, historisch onderzoek of statistische doeleinden eveneens op grond van Unierecht of lidstatelijk recht.

Nadere regels in Uitvoeringswet

Uit bovenstaande opsomming blijkt dus dat voor een aantal uitzonderingen in nationale wetten nadere regels kunnen worden gesteld. Als de voorgestelde Uitvoeringswet wordt ingevoerd, zou het huidige artikel 21 Wbp vrijwel worden overgenomen in het voorgestelde artikel 23 Uitvoeringswet Avgb. Daardoor verandert er op dit terrein vooralsnog relatief weinig voor wat betreft de grondslagen voor de verwerking van gezondheidsgegevens. Het zou aanbeveling verdienen om in de Uitvoeringswet meer aandacht te schenken aan de vraag in hoeverre gezondheidsgegevens verder mogen worden verwerkt in het kader van kwaliteitsdoeleinden. De verordening lijkt hiervoor een grondslag te bieden in artikel 9. Onder de huidige wetgeving is dit nogal onduidelijk en biedt ook de onlangs in werking getreden Wet kwaliteit, klachten en geschillen zorg (Wkkgz) hiervoor te weinig soelaas. Die biedt immers louter een grondslag voor het verwerken van gezondheidsgegevens van patiënten in het kader van incidenten en calamiteiten.

Uitbreiding rechten betrokkene

De Avgb biedt de betrokkene dezelfde rechten op informatie en rectificatie van de Wbp. Daarnaast zijn er ook nieuwe rechten en bestaande rechten die verder worden uitgebreid. In de eerste plaats biedt de verordening een ruimer recht op vernietiging van persoonsgegevens. Op grond van de Wbp hoeft een verantwoordelijke een rectificatie of vernietigingsverzoek alleen in te willigen als de gegevens feitelijk onjuist zijn, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn of anderszins in strijd met de wet worden verwerkt. Na inwerkingtreding van de Avgb kan betrokkene van de verwerkingsverantwoordelijke onder andere vernietiging verlangen als de gegevens niet langer meer nodig zijn, hij de toestemming intrekt of bezwaar maakt, en er geen andere rechtsgrond voor de verwerking is.

Het vernietigingsrecht is niet absoluut. Er gelden enkele uitzonderingen, zoals het algemeen belang op het gebied van de volksgezondheid zoals beschreven in artikel 9 van de verordening. Onder voorwaarden kan de betrokkene van de verwerkingsverantwoordelijke ook eisen dat de verwerking van zijn persoonsgegevens wordt beperkt. Dit kan bijvoorbeeld als hij de juistheid van de gegevens bettwist, als de verwerking onrechtmatig is, maar de betrokkene toch niet wil dat de gegevens gewist worden of als de verwerkingsverantwoordelijke de gegevens niet meer nodig heeft, maar de betrokkene deze nodig heeft voor een rechtsvordering.

Recht op overdracht gegevens

Vermeldenswaard is ook dat de betrokkene het recht heeft op overdracht van zijn gegevens in een gestructureerde, gangbare en machineleesbare vorm. Hij mag zelfs verlangen dat de gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden. In de zorg houdt dit in dat wanneer een patiënt van arts wisselt, hij van zijn oude arts mag eisen dat deze zijn dossier op zodanige wijze wordt doorgezonden naar de nieuwe zorgaanbieder, dat de gegevens op een zelfde manier toegankelijk blijven en verder kunnen worden verwerkt. Om hieraan te kunnen voldoen betekent dit dat daar in de contractering van bewerkers (in de toekomst verwerkers geheten) regels voor zullen moeten worden gesteld.

Tot slot

De grootste wijzigingen voor de zorg zullen niet zozeer plaatsvinden bij de gegevensverwerking in de zorg zelf, maar meer voor wat betreft het implementeren van algemene verplichtingen. Daarbij moet bijvoorbeeld worden gedacht aan de introductie van een functionaris voor de gegevensbescherming (FGB). Die bestaat weliswaar al onder de Wbp, maar onder de verordening wordt hij verricht als de verwerkingsverantwoordelijke hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens. Voor zorginstellingen en praktijkhouders gaat dit zonder meer op. Een FGB fungeert als interne toezichthouder en dient samen te werken met de Autoriteit Persoonsgegevens. Daarnaast zullen zorginstellingen en praktijkhouders in de toekomst ook periodiek gegevensbeschermingseffectbeoordelingen (PIA’s) moeten laten verrichten. De verordening bevat voorschriften voor de uitvoering van een PIA. Verder worden er strengere eisen gesteld aan beveiliging, aan de inhoud van verwerkersovereenkomsten en aan de meldplicht van datalekken aan de Autoriteit Persoonsgegevens en aan de betrokkenen. De sanctiemogelijkheden voor de Autoriteit Persoonsgegevens worden ook sterk uitgebreid. De omvang van de boetes die kunnen worden opgelegd voor niet-naleving worden vele malen groter, tot in sommige gevallen zelfs 20 miljoen euro of 4% van de jaaromzet van een organisatie als die hoger is dan 20 miljoen euro. Zorginstellingen en zorgverleners zullen hard moeten gaan werken om hun organisatie tijdig op orde te krijgen.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
Naar boven scrollen