Slides van Prof. mr. Jaap Sijmons (hoogleraar Gezondheidsrecht UU). Huidige wet- en regelgeving belemmert externe data/cloudopslag in de zorg niet! Van wie zijn die zorgdata nu eigenlijk?
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.
Peter Walgemoed (Carelliance) - Businessmodels for Big Data
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
1. Big Data in de zorg
Beroepsgeheim en privacywetgeving
Prof.mr. Jaap Sijmons
Molengraaff Instituut voor Privaatrecht
2. Privacy in de zorg
• Gevoelig thema!
• Juridische status hoog
• Extra zorgvuldigheid geboden
• Zowel in juridische structuur als uitvoering
Molengraaff Instituut voor Privaatrecht
3. Betekenis en doel beroepsgeheim
• Betekenis
• vertrouwelijk omgaan met informatie
over/afkomstig van de patiënt
• Sinds ‘Hippocrates’
(470-360 v.Chr)
• Doel
• algemeen belang: onbelemmerde toegang tot de
gezondheidszorg
• individueel belang: bescherming privacy patiënt
(schaamte en kwetsbaarheid)
Molengraaff Instituut voor Privaatrecht
4. ‘Confidentiality: a decrepit concept (?)’
(Mark Siegler, 1982)
• 20ste eeuw: nieuwe zorg en verzekering
• “Medical confidentiality no longer exists”
• team-healthcare/third-party payment
• 1982: nog vóór ICT-revolutie
• Juridische reparatie: Wbp (EU)
• EPD en DBC als voorbeelden
• CBb 8 maart 2012, LJN BV8297
• Algemeen ‘veiligheidslek’?
5. EPD – Big Data
• Gegevensuitwisseling (‘EPD’)
• Kwaliteit, doelmatigheid & veiligheid
• Snelle toegang
• Na landelijk EPD: VZVZ (Infrastructuur)
• Van interne naar externe opslag
• Big Data: opslag outsourcen
• Idem beheer
• Wetenschappelijke
database?
Molengraaff Instituut voor Privaatrecht
6. Wetgeving/ wettelijke bepalingen
inzake privacybescherming
• Internationaal
• art. 8 EVRM (1950, Raad van Europa)
• art. 8 Handvest van de Grondrechten (2000, Europese
Unie)
• Art. 16 Verdrag werking EU
• Art. 10 Grondwet
• Wet inzake de geneeskundige
behandelingsovereenkomst (WGBO)
• art. 7:457 BW (beroepsgeheim)
• overige privacyrechten patiënt
• Wet bescherming persoonsgegevens (Wbp)
• Algemeen
• artt. 16 en 21 (medische gegevens)
Molengraaff Instituut voor Privaatrecht
7. Internationaal
• Art. 8 EVRM: bescherming privacy
• “Een ieder heeft recht op respect voor zijn privéleven, zijn
familie- en gezinsleven, zijn woning en correspondentie.’’
• (maar: beperkingen zijn toegestaan mits bij wet geregeld en
voor zover noodzakelijk in een democratische samenleving)
• Art. 8 EU-Handvest v/d Grondrechten: bescherming
persoonsgegevens
• “Eenieder heeft recht op bescherming van de hem betreffende
persoonsgegevens.
• (…) Eenieder heeft recht op toegang tot de over hem
verzamelde gegevens en op rectificatie daarvan.
• Een onafhankelijke autoriteit ziet toe op de naleving van deze
regels.’’
• Art. 16 Verdrag werking EU:
• “Een ieder heeft recht op bescherming van zijn
persoonsgegevens” (lid 2: EP en Raad -> voorschriften)
Molengraaff Instituut voor Privaatrecht
8. Internationaal: EU
• Richtlijn 95/46/EG:
• Harmoniseren bescherming persoonsgegevens
• Vrij verkeer van persoonsgegevens
• Nieuw ontwerp: COM (2012) 10
• Ontwerp verordening: General data protection
regulation (2012/0011)
• Nodig vanwege ontwikkeling van internet en intensievere
dataverkeer
• ‘Right to be forgotten’
• Consent is steeds expliciet
• ‘Right of data portability’
• Versterking positie nationale privacy-autoriteiten
• Procesrecht nationale privacy-autoriteiten
• Meer verantwoordelijkheid en aansprakelijkheid data
verwerkers.
• (zie inleiding mr. Kits).
Molengraaff Instituut voor Privaatrecht
9. Art. 10 Grondwet
• Art. 10 Gw: eerbiediging en bescherming
persoonlijke levenssfeer
• “Ieder heeft, behoudens bij of krachtens de wet te
stellen beperkingen, recht op eerbiediging van zijn
persoonlijke levenssfeer.
• De wet stelt regels (…) in verband met het vastleggen
en verstrekken van persoonsgegevens.
• De wet stelt regels inzake de aanspraken van
personen op kennisneming van over hen vastgelegde
gegevens en van het gebruik dat daarvan wordt
gemaakt, alsmede op verbetering van zodanige
gegevens.’’
Molengraaff Instituut voor Privaatrecht
10. Wettelijke regeling (1)
• WGBO
Art. 7:457 BW
“1.Onverminderd het in artikel 448 lid 3, tweede volzin, bepaalde draagt de
hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen over de
patiënt dan wel inzage in of afschrift van de bescheiden, bedoeld in artikel 454,
worden verstrekt dan met toestemming van de patiënt. Indien verstrekking
plaatsvindt, geschiedt deze slechts voor zover daardoor de persoonlijke
levenssfeer van een ander niet wordt geschaad. De verstrekking kan
geschieden zonder inachtneming van de beperkingen, bedoeld in de
voorgaande volzinnen, indien het bij of krachtens de wet bepaalde daartoe
verplicht.
2.Onder anderen dan de patiënt zijn niet begrepen degenen die rechtstreeks
betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene
die optreedt als vervanger van de hulpverlener, voor zover de verstrekking
noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden.
3.(…)”
Molengraaff Instituut voor Privaatrecht
11. Wettelijke regeling (2)
• Wet BIG
Art. 88 BIG
“Een ieder is verplicht geheimhouding in acht te nemen ten
opzichte van al datgene wat hem bij het uitoefenen van zijn beroep
op het gebied van de individuele gezondheidszorg als geheim is
toevertrouwd, of wat daarbij als geheim te zijner kennis is
gekomen of wat daarbij te zijner kennis is gekomen en waarvan hij
het vertrouwelijke karakter moest begrijpen.”
• WvS
Art. 272 Sr
“1. Hij die enig geheim waarvan hij weet of redelijkerwijs moet
vermoeden dat hij uit hoofde van ambt, beroep of wettelijk
voorschrift dan wel van vroeger ambt of beroep verplicht is het te
bewaren, opzettelijk schendt, wordt gestraft met gevangenisstraf
van ten hoogste een jaar of geldboete van de vierde categorie.
2.Indien dit misdrijf tegen een bepaald persoon gepleegd is, wordt
het slechts vervolgd op diens klacht.”
Molengraaff Instituut voor Privaatrecht
12. Geheimhoudingsplicht: wat en
tegenover wie?
• Wat?
• toevertrouwd geheim (al dan niet geregistreerde data)
• al hetgeen in kader van beroepsuitoefening is waargenomen
(foto’s/video/bewaking/Eye Works)
• Tegenover wie?
• derden (uiteraard, maar wie zijn dat?)
• familieleden
• collega-hulpverleners, tenzij rechtstreeks bij de behandeling
betrokken
• andere ‘derden’: politie, OM, IGZ
• Verschoning: voor rechter (straf/civiel)/delict
• NB strafrechtelijk beslag (via Rechter-Commissaris)
Molengraaff Instituut voor Privaatrecht
13. Geheimhoudingsplicht: wie?
• Artsen en andere hulpverleners (afhankelijk
van aard van hun beroep of ambt
• Overigen rechtstreeks bij de uitvoering van de
behandelingsovereenkomst betrokken (bv. in
ondersteunende functies): afgeleide
zwijgplicht: assistent/secretaresse of
ambtenaren ex 2:5 Awb.
• Afgeleid: uit hoofde van de functie of
contractueel: de hulpverlener schakelt derden
in voor dienstverlening (ICT) met
geheimhoudingsbeding.
Molengraaff Instituut voor Privaatrecht
14. Wet bescherming persoonsgegevens (1)
• Achtergrond (implementatie EG-privacyrichtlijn
95/46/EG)
• Voorwaarden gegevensverwerking
• Doelgebondenheid
• Recht van informatie en correctierecht
• Melding bij/toezicht door College Bescherming
Persoonsgegevens (CBP)
• Gedragscodes
• Functionaris (houdt intern toezicht naleving
wet)
Molengraaff Instituut voor Privaatrecht
15. Wet bescherming persoonsgegevens (2)
Art. 8 Wbp: eisen verwerking persoonsgegevens:
• Met ondubbelzinnige toestemming
• Bij overeenkomst
• Noodzakelijk krachtens wettelijk voorschrift
• Vb: art. 53.1 wet op de Jeugdzorg
• Vitaal belang
Art. 9, lid 4 Wbp: verwerking geblokkeerd door
geheimhoudingsplicht
• ``De verwerking van persoonsgegevens blijft
achterwege voor zover een geheimhoudingsplicht uit
hoofde van ambt, beroep of wettelijk voorschrift
daaraan in de weg staat’’ (ook opname)
Molengraaff Instituut voor Privaatrecht
16. Wet bescherming persoonsgegevens (3)
Art. 16 Wbp, lid 1: verbod op verwerking
gevoelige gegevens:
• Geloof
• Politieke overtuiging
• Gezondheid
• ….
Molengraaff Instituut voor Privaatrecht
17. Wet bescherming persoonsgegevens (4)
Doorbreking verbod art. 16 Wbp
• Art. 21 Wbp: verbod op verwerking medische
gegevens niet van toepassing indien deze
geschiedt, in nader omschreven situaties, door
o.m.
• hulpverleners/instellingen (sub a)
• verzekeraars (sub b)
• scholen (sub c)
• bestuursorganen, pensioenfondsen, werkgevers etc.
(sub f)
• Of tenzij met toestemming: art. 23 Wbp
Molengraaff Instituut voor Privaatrecht
18. Wet bescherming persoonsgegevens (5)
• Art. 21, lid 2 Wbp: geheimhoudingsplicht
algemeen
• Door wie?:
“(…) [Medische] gegevens worden alleen verwerkt door
personen die uit hoofde van ambt, beroep of wettelijk
voorschrift, dan wel krachtens een overeenkomst tot
geheimhouding zijn verplicht.’’
NB dus niet wetenschappelijke onderzoekers van Big Data ten
zij overeengekomen geheimhouding (dus anonimiseren).
• Geheimhouding tov wie?
• Een ieder, tenzij wettelijke plicht tot spreken of
• Uit taak mededelen aan derden bevoegd cfm. 21 lid 1
Molengraaff Instituut voor Privaatrecht
19. Van wie zijn de Big Data?
• ‘Medisch dossier’ is van behandelaar(s)
• Data zijn geen ‘zaken’ (art. 3:2 BW)
• Dus geen ‘eigendom’ mogelijk (art. 5:1 BW)
• Wel van dragers (server/dvd/usb)
• Hulpverlener blijft wel verantwoordelijk voor
geheimhouding, beschikbaarheid en evt.
vernietiging op verzoek
• Onvervreemdbare privacy-rechten op
persoonsgegevens.
Molengraaff Instituut voor Privaatrecht
20. Wetenschappelijk onderzoek
met gegevens (1)
• Hoofdregel (art. 7: 457 BW)
• verstrekking van herleidbare gegevens aan derden-
onderzoekers alleen na toestemming patiënt, tenzij
beroep op uitzonderingen (zie art. 458)
• Uitzonderingen (art. 7: 458 lid 1 a en b BW)
1. toestemming is in redelijkheid niet mogelijk
(verhuizing/overlijden/psych. belasting van patiënt)
2. toestemming kan in redelijkheid niet worden verlangd
(onderzoeksmatige belemmeringen, zoals zeer grote
aantallen patiënten of aantoonbaar risico op
selectieve respons)
• Vgl. 23 lid 2 Wbp
Molengraaff Instituut voor Privaatrecht
21. Wetenschappelijk onderzoek
met gegevens (2)
• Bijkomende voorwaarden wanneer beroep
wordt gedaan op uitzonderingen
• patiënt heeft recht bezwaar te maken (hierin ligt
informatieplicht besloten)
• gegevens noodzakelijk voor onderzoek
• onderzoek dient algemeen belang
• passende privacywaarborgen (uitzondering a) òf
codering (uitzondering b)
• aantekening in het medisch dossier
NB wetenschappelijk onderzoek door arts met `eigen’
patiëntengegevens is niet gebonden aan deze regels
(want geen doorbreking beroepsgeheim)
Molengraaff Instituut voor Privaatrecht
22. Enkele conclusies
• Centrale opslag Big Data zonder gevraagde
toestemming patiënt mogelijk, mits voldoende
beveiligd en geheimhouding bewaakt.
• Verantwoordelijkheid voor Big Data blijft bij
hulpverlener (ziekenhuis/medisch specialist)
• Wetenschappelijk onderzoek centrale big data:
• In beginsel toestemming vereist
• Centrale opslag niet voldoende reden anoniem gebruik
• Niet te gemakkelijk gebruik maken van de uitzonderingen
van art. 7: 458 BW/23 lid 2 Wbp
• Nadere regulering gewenst
• Commercieel gebruik: altijd toestemming nodig
• Na anonimisering: privacybescherming vervalt
Molengraaff Instituut voor Privaatrecht
23. Enkele conclusies (2)
• Verantwoordelijkheid centrale Big Data versus
decentrale eindverantwoordelijkheid
hulpverleners?
• Bundelen gebruikers in rechtspersoon als
opdrachtgever aan bewerker/uitvoerder
• Gelaagde structuur de Dutch National Health Hub
• Inzage, afschrift en vernietiging via hulpverlener
Molengraaff Instituut voor Privaatrecht