De inwerkingtreding van de Algemene Verordening Gegevensbescherming (‘AVG’) in mei 2018 heeft veel impact gehad op de samenleving in het algemeen, maar ook op (onderzoeksprojecten in) de zorg. De AVG bevat veel voorschriften waar bedrijven en instellingen aan moeten voldoen wanneer zij persoonsgegevens, gegevens die te herleiden zijn tot een persoon, verwerken. Zo vereist de AVG – in beginsel – uitdrukkelijke toestemming voor de verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens, wanneer verwerking niet nodig is voor een medische diagnose en/of het verstrekken van gezondheidszorg. Op grond van de Wet op de Geneeskundige Behandelingsovereenkomst (‘WGBO’) is toestemming vereist voor het uitvoeren van een geneeskundige behandeling. Voor medewerkers in de zorgpraktijk is niet altijd duidelijk hoe beide vormen van toestemming zich tot elkaar verhouden, en wanneer er wel en wanneer er geen toestemming nodig is voor de verwerking van persoonsgegevens op grond van de AVG. Deze bijdrage gaat in op de verhouding tussen toestemming op grond van de WGBO enerzijds en de verschillende verwerkingsgrondslagen – waaronder toestemming – op grond van de AVG anderzijds.
Geïnformeerde toestemming van cliënten staat centraal in de zorg en is vastgelegd in verschillende wetten. Dat het vereiste van toestemming volgt uit meerdere wetten die een rol spelen in de zorgcontext, kan soms tot verwarring leiden. Zo is toestemming die verleend is onder de WGBO voor een behandeling, niet automatisch ook een grondslag voor de verwerking van persoonsgegevens in het kader van deze behandeling onder de AVG.
Bovendien is uit de praktijk gebleken dat zorgaanbieders die betrokken zijn bij onderzoeksprojecten soms – ten onrechte – veronderstellen dat de door een cliënt gegeven toestemming voor het uitvoeren van een behandeling op grond van de WGBO, ook altijd toestemming voor de verwerking van (bijzondere) persoonsgegevens op grond van de AVG in het kader van een onderzoeksproject omvat1.
In dit eerste van twee artikelen staan we stil bij de verschillende soorten toestemming die een rol spelen bij een (para-)medische behandeling. Er wordt specifieke aandacht besteed aan de interactie tussen de WGBO en de AVG bij het verwerken van (bijzondere) persoonsgegevens.
Geneeskundige behandelovereenkomst
Een zorgaanbieder en een cliënt die een behandelrelatie aangaan, sluiten juridisch gezien een geneeskundige behandelingsovereenkomst. De WGBO bevat regels rondom de geneeskundige behandelovereenkomst tussen zorgaanbieder en cliënt. De WGBO is terug te vinden in de artikelen 7:446-468 van het Burgerlijk Wetboek (‘BW’).
In artikel 7:446 BW staat de geneeskundige behandelingsovereenkomst als volgt gedefinieerd: ‘De overeenkomst waarbij een natuurlijke persoon of een rechtspersoon, de hulpverlener, zich in de uitoefening van een geneeskundig beroep of bedrijf tegenover een ander, de opdrachtgever, verbindt tot het verrichten van handelingen op het gebied van de geneeskunst, rechtstreeks betrekking hebbende op de persoon van de opdrachtgever of van een bepaalde derde.’
Informed consent onder WGBO
Een belangrijk uitgangspunt van de WGBO is dat een cliënt toestemming geeft voor het uitvoeren van een medische behandeling2. Om toestemming te kunnen geven heeft de cliënt goede informatie nodig. Daarom dient de zorgaanbieder vóór het vragen van toestemming de cliënt eerst informatie te verschaffen over de voorgestelde behandeling3.
Het gaat daarbij om de volgende aspecten: de aard en het doel van de behandeling, de diagnose en prognose voor de cliënt, risico’s verbonden aan de behandeling, alternatieven voor de behandeling en de termijn waarop de behandeling plaats kan vinden en hoe lang de behandeling duurt4. De informatieplicht van de zorgaanbieder en het toestemmingsvereiste vormen een twee-eenheid in de zorgsector. Dit wordt ook wel ‘informed consent’ genoemd.
Gaat het om een ingrijpende of riskante behandeling, dan moet een cliënt expliciete toestemming geven voor de behandeling5. Deze expliciete toestemming legt de zorgaanbieder dan vast in het medisch dossier van de cliënt. De zorgaanbieder is onder de WGBO wettelijk verplicht om een dossier in te richten dat gegevens bevat over de gezondheid van de cliënt, de uitgevoerde verrichtingen en andere gegevens die voor een goede zorg- en hulpverlening noodzakelijk zijn6. Dat betekent dat een zorgaanbieder persoonsgegevens verwerkt: dus is de AVG ook van toepassing.
Informatieverplichting onder AVG
Net als de WGBO kent de AVG een informatieverplichting. Deze informatieverplichting vormt een belangrijk onderdeel van het transparantiebeginsel dat ten grondslag ligt aan de AVG7. Het transparantiebeginsel houdt in dat de betrokkene – degene van wie persoonsgegevens worden verwerkt – onder andere op de hoogte moet worden gesteld van het feit dat verwerking van persoonsgegevens plaatsvindt en wat de doeleinden daarvan zijn8.
De AVG maakt onderscheid tussen gewone persoonsgegevens (zoals voor- en achternaam, geboortedatum, geslacht, adres, telefoonnummer en e-mailadres) en bijzondere persoonsgegevens die extra gevoelig zijn, zoals gegevens waaruit ras of etnische afkomst blijkt, iemands religieuze of levensbeschouwelijke overtuigingen duidelijk worden en gegevens over iemands gezondheid. Op grond van de AVG mogen persoonsgegevens alleen verwerkt worden wanneer daar een rechtmatige grondslag voor aanwezig is.
Voor gewone persoonsgegevens zijn deze grondslagen opgenomen in art. 6 lid 1 AVG, onder andere: toestemming van de betrokkene (sub a), de noodzakelijkheid voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (sub b), de noodzakelijkheid om te voldoen aan een wettelijke verplichting (sub c) en de noodzakelijkheid om de vitale belangen van de betrokkene of van een andere persoon te beschermen (sub d).
Verwerkingsgrondslagen AVG
Wanneer persoonsgegevens onder de dossierplicht van de WGBO worden verwerkt, is dit noodzakelijk om te voldoen aan een wettelijke verplichting9. Mocht de verwerking van persoonsgegevens buiten de dossierplicht om noodzakelijk zijn voor het uitvoeren van de behandelingsovereenkomst, dan vormt dat de verwerkingsgrondslag10. Is er sprake van spoedeisende hulp, dan is dat om de vitale belangen van de betrokkene te beschermen. Omdat de situatie van spoedeisende hulp een bijzondere situatie is, zal deze in het vervolg van deze bijdrage buiten beschouwing gelaten worden.
Met betrekking tot bijzondere persoonsgegevens is het uitgangspunt dat het verboden is om deze te verwerken11, tenzij een van de uitzonderingen in art. 9 lid 2 AVG van toepassing12 is. Een van die uitzonderingen – die in de gezondheidszorg van essentieel belang is – is de uitzondering dat de verwerking noodzakelijk is voor het stellen van een medische diagnose en/of het verstrekken van gezondheidszorg.
Deze uitzondering is in Nederland verder uitgewerkt in art. 30 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (‘UAVG’), waarin expliciet is opgenomen dat het verbod op verwerking niet van toepassing is indien er sprake is van hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk13.
Hiervoor geldt ook als vereiste dat de gegevens alleen worden verwerkt door personen die krachtens een overeenkomst of wettelijk verplicht zijn tot geheimhouding14. Op zorgaanbieders rust een geheimhoudingsplicht15. Deze geheimhoudingsplicht (ook wel het beroepsgeheim genoemd) geldt niet richting anderen die rechtstreeks betrokken zijn bij de uitvoering van de geneeskundige behandelingsovereenkomst, voor zover zij informatie nodig hebben om hun werkzaamheden goed te kunnen verrichten16.
Elektronisch uitwisselsysteem
Worden gegevens via een elektronisch uitwisselingssysteem gedeeld, dan is daarop de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’) van toepassing. Een elektronisch uitwisselingssysteem is een systeem, waarin twee of meer zorgaanbieders patiëntgegevens kunnen uitwisselen17.
Onder art. 15a lid 1 Wabvpz mag een zorgaanbieder de gegevens van de cliënt slechts beschikbaar stellen via een elektronisch uitwisselingssysteem als de client daartoe uitdrukkelijk toestemming heeft gegeven. De client moet in dit geval ook worden geïnformeerd over, onder andere, zijn rechten en de werking van het elektronisch uitwisselingssysteem18.
Conclusie
Geconcludeerd kan worden dat – wanneer er sprake is van een medische behandeling – er onder de AVG geen toestemming van de betrokkene (in dit geval een cliënt) vereist is omdat er andere verwerkingsgrondslagen van toepassing zijn waarbij de bescherming van de persoonsgegevens van de betrokkene gewaarborgd wordt. De toestemming wordt dus alleen onder de WGBO vereist, namelijk voor het uitvoeren van de medische behandeling. In het volgende nummer van ICT&health gaan we hier verder op in.
Referenties
- Dit vraagstuk is aan de orde gekomen in het RAAK-mkb onderzoeksproject Van sensoren naar zorg; het toepassen van stressmetingen met wearables in de praktijk. Dit onderzoeksproject wordt van 1 augustus 2022 tot 1 augustus 2024 uitgevoerd op basis van een subsidie van Regieorgaan SIA.
- Art. 7:450 lid 1 BW.
- Art. 7:448 lid 1 en 2 BW.
- Art. 7:448 lid 2 BW.
- Zie: Link
- Art. 7:454 BW.
- Art. 5 lid 1 sub a AVG.
- Art. 13 en 14 AVG.
- Art. 6 lid 1 sub c AVG.
- Art. 6 lid 1 sub b AVG.
- Art. 9 lid 1 AVG.
- Art. 9 lid 2 AVG.
- Art. 30 lid. 3 sub a UAVG.
- Art. 30 lid 4 UAVG.
- Art. 7:457 lid 1 BW.
- Art. 7:457 lid 2 BW.
- Zie: Link
- Art. 15c lid 1 Wabvpz.