Het labyrint van toestemming in (para-)medische onderzoeksprojecten

De inwerkingtreding van de Algemene Verordening Gegevensbescherming (‘AVG’) in mei 2018 heeft veel impact gehad op de samenleving in het algemeen, maar ook op (onderzoeksprojecten in) de zorg. De AVG bevat veel voorschriften waar bedrijven en instellingen aan moeten voldoen wanneer zij persoonsgegevens, gegevens die te herleiden zijn tot een persoon, verwerken. Zo vereist de AVG – in beginsel – uitdrukkelijke toestemming voor de verwerking van bijzondere persoonsgegevens, waaronder gezondheidsgegevens, wanneer verwerking niet nodig is voor een medische diagnose en/of het verstrekken van gezondheidszorg. Op grond van de Wet op de Geneeskundige Behandelingsovereenkomst (‘WGBO’) is toestemming vereist voor het uitvoeren van een geneeskundige behandeling. Voor medewerkers in de zorgpraktijk is niet altijd duidelijk hoe beide vormen van toestemming zich tot elkaar verhouden, en wanneer er wel en wanneer er geen toestemming nodig is voor de verwerking van persoonsgegevens op grond van de AVG. Deze bijdrage gaat in op de verhouding tussen toestemming op grond van de WGBO enerzijds en de verschillende verwerkingsgrondslagen – waaronder toestemming – op grond van de AVG anderzijds.

Geïnformeerde toestemming van cliënten staat centraal in de zorg en is vastgelegd in verschillende wetten. Dat het vereiste van toestemming volgt uit meerdere wetten die een rol spelen in de zorgcontext, kan soms tot verwarring leiden. Zo is toestemming die verleend is onder de WGBO voor een behandeling, niet automatisch ook een grondslag voor de verwerking van persoonsgegevens in het kader van deze behandeling onder de AVG. 

Bovendien is uit de praktijk gebleken dat zorgaanbieders die betrokken zijn bij onderzoeksprojecten soms – ten onrechte – veronderstellen dat de door een cliënt gegeven toestemming voor het uitvoeren van een behandeling op grond van de WGBO, ook altijd toestemming voor de verwerking van (bijzondere) persoonsgegevens op grond van de AVG in het kader van een onderzoeksproject omvat¹. 

In dit eerste van twee artikelen staan we stil bij de verschillende soorten toestemming die een rol spelen bij een (para-)medische behandeling. Er wordt specifieke aandacht besteed aan de interactie tussen de WGBO en de AVG bij het verwerken van (bijzondere) persoonsgegevens. 

Geneeskundige behandelovereenkomst

Een zorgaanbieder en een cliënt die een behandelrelatie aangaan, sluiten juridisch gezien een geneeskundige behandelingsovereenkomst. De WGBO bevat regels rondom de geneeskundige behandelovereenkomst tussen zorgaanbieder en cliënt. De WGBO is terug te vinden in de artikelen 7:446-468 van het Burgerlijk Wetboek (‘BW’). 

In artikel 7:446 BW staat de geneeskundige behandelingsovereenkomst als volgt gedefinieerd: ‘De overeenkomst waarbij een natuurlijke persoon of een rechtspersoon, de hulpverlener, zich in de uitoefening van een geneeskundig beroep of bedrijf tegenover een ander, de opdrachtgever, verbindt tot het verrichten van handelingen op het gebied van de geneeskunst, rechtstreeks betrekking hebbende op de persoon van de opdrachtgever of van een bepaalde derde.’

Informed consent onder WGBO 

Een belangrijk uitgangspunt van de WGBO is dat een cliënt toestemming geeft voor het uitvoeren van een medische behandeling². Om toestemming te kunnen geven heeft de cliënt goede informatie nodig. Daarom dient de zorgaanbieder vóór het vragen van toestemming de cliënt eerst informatie te verschaffen over de voorgestelde behandeling³. 

Het gaat daarbij om de volgende aspecten: de aard en het doel van de behandeling, de diagnose en prognose voor de cliënt, risico’s verbonden aan de behandeling, alternatieven voor de behandeling en de termijn waarop de behandeling plaats kan vinden en hoe lang de behandeling duurt⁴. De informatieplicht van de zorgaanbieder en het toestemmingsvereiste vormen een twee-eenheid in de zorgsector. Dit wordt ook wel ‘informed consent’ genoemd. 

Gaat het om een ingrijpende of riskante behandeling, dan moet een cliënt expliciete toestemming geven voor de behandeling⁵. Deze expliciete toestemming legt de zorgaanbieder dan vast in het medisch dossier van de cliënt. De zorgaanbieder is onder de WGBO wettelijk verplicht om een dossier in te richten dat gegevens bevat over de gezondheid van de cliënt, de uitgevoerde verrichtingen en andere gegevens die voor een goede zorg- en hulpverlening noodzakelijk zijn⁶. Dat betekent dat een zorgaanbieder persoonsgegevens verwerkt: dus is de AVG ook van toepassing. 

Informatieverplichting onder AVG

Net als de WGBO kent de AVG een informatieverplichting. Deze informatieverplichting vormt een belangrijk onderdeel van het transparantiebeginsel dat ten grondslag ligt aan de AVG⁷. Het transparantiebeginsel houdt in dat de betrokkene – degene van wie persoonsgegevens worden verwerkt – onder andere op de hoogte moet worden gesteld van het feit dat verwerking van persoonsgegevens plaatsvindt en wat de doeleinden daarvan zijn⁸. 

De AVG maakt onderscheid tussen gewone persoonsgegevens (zoals voor- en achternaam, geboortedatum, geslacht, adres, telefoonnummer en e-mailadres) en bijzondere persoonsgegevens die extra gevoelig zijn, zoals gegevens waaruit ras of etnische afkomst blijkt, iemands religieuze of levensbeschouwelijke overtuigingen duidelijk worden en gegevens over iemands gezondheid. Op grond van de AVG mogen persoonsgegevens alleen verwerkt worden wanneer daar een rechtmatige grondslag voor aanwezig is. 

Voor gewone persoonsgegevens zijn deze grondslagen opgenomen in art. 6 lid 1 AVG, onder andere: toestemming van de betrokkene (sub a), de noodzakelijkheid voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (sub b), de noodzakelijkheid om te voldoen aan een wettelijke verplichting (sub c) en de noodzakelijkheid om de vitale belangen van de betrokkene of van een andere persoon te beschermen (sub d). 

Verwerkingsgrondslagen AVG

Wanneer persoonsgegevens onder de dossierplicht van de WGBO worden verwerkt, is dit noodzakelijk om te voldoen aan een wettelijke verplichting⁹. Mocht de verwerking van persoonsgegevens buiten de dossierplicht om noodzakelijk zijn voor het uitvoeren van de behandelingsovereenkomst, dan vormt dat de verwerkingsgrondslag¹⁰. Is er sprake van spoedeisende hulp, dan is dat om de vitale belangen van de betrokkene te beschermen. Omdat de situatie van spoedeisende hulp een bijzondere situatie is, zal deze in het vervolg van deze bijdrage buiten beschouwing gelaten worden. 

Met betrekking tot bijzondere persoonsgegevens is het uitgangspunt dat het verboden is om deze te verwerken¹¹, tenzij een van de uitzonderingen in art. 9 lid 2 AVG van toepassing¹² is. Een van die uitzonderingen – die in de gezondheidszorg van essentieel belang is – is de uitzondering dat de verwerking noodzakelijk is voor het stellen van een medische diagnose en/of het verstrekken van gezondheidszorg. 

Deze uitzondering is in Nederland verder uitgewerkt in art. 30 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (‘UAVG’), waarin expliciet is opgenomen dat het verbod op verwerking niet van toepassing is indien er sprake is van hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk¹³. 

Hiervoor geldt ook als vereiste dat de gegevens alleen worden verwerkt door personen die krachtens een overeenkomst of wettelijk verplicht zijn tot geheimhouding¹⁴. Op zorgaanbieders rust een geheimhoudingsplicht¹⁵. Deze geheimhoudingsplicht (ook wel het beroepsgeheim genoemd) geldt niet richting anderen die rechtstreeks betrokken zijn bij de uitvoering van de geneeskundige behandelingsovereenkomst, voor zover zij informatie nodig hebben om hun werkzaamheden goed te kunnen verrichten¹⁶. 

Elektronisch uitwisselsysteem

Worden gegevens via een elektronisch uitwisselingssysteem gedeeld, dan is daarop de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’) van toepassing. Een elektronisch uitwisselingssysteem is een systeem, waarin twee of meer zorgaanbieders patiëntgegevens kunnen uitwisselen¹⁷. 

Onder art. 15a lid 1 Wabvpz mag een zorgaanbieder de gegevens van de cliënt slechts beschikbaar stellen via een elektronisch uitwisselingssysteem als de client daartoe uitdrukkelijk toestemming heeft gegeven. De client moet in dit geval ook worden geïnformeerd over, onder andere, zijn rechten en de werking van het elektronisch uitwisselingssysteem¹⁸. 

Conclusie

Geconcludeerd kan worden dat – wanneer er sprake is van een medische behandeling – er onder de AVG geen toestemming van de betrokkene (in dit geval een cliënt) vereist is omdat er andere verwerkingsgrondslagen van toepassing zijn waarbij de bescherming van de persoonsgegevens van de betrokkene gewaarborgd wordt. De toestemming wordt dus alleen onder de WGBO vereist, namelijk voor het uitvoeren van de medische behandeling. In het volgende nummer van ICT&health gaan we hier verder op in.