Verstrekking van gegevens en privacy Mr.dr. Sjaak Nouwt Voorzitter Privacy Commissie DHD Adviseur Gezondheidsrecht KNMG 21 september 2011

Inhoud Wat is Privacy nou helemaal? Is het beroepsgeheim echt zo heilig? Vallen bedrijfsgegevens ook onder privacy? Privacycommissie DHD Wat kan er nu eigenlijk mis gaan? 21-09-2011 Gegevens en privacy

Heeft u iets te verbergen? Wie verdient meer dan Balkenendenorm? Wel eens last (gehad) van depressie? Wie heeft er in 2010 een SOA gehad? Balkenendenorm = € 188.000. Volgens Kamerlid Wolbert (PvdA) verdiende >50% van ziekenhuisbestuurders in 2009 > Balkenendenorm. Volgens de minister was dit 20%. Jaarlijks lijdt circa 6% van de bevolking in Nederland (13 jaar en ouder) aan een depressie. Opvallend is dat het percentage vrouwen dat aan een depressie lijdt groter is dan het percentage mannen met een depressie. Een depressie komt met name voor bij volwassenen, jongeren en ouderen lijden gemiddeld iets minder vaak aan aan depressie. Soa-cijfers 2011 voorlopige resultaten voor 2010  (bron RIVM) Belangrijkste bevindingen Het aantal door de soa-centra opgespoorde en behandelde soa onder hoogrisicogroepen is opnieuw toegenomen in 2010. Het percentage bezoekers gediagnosticeerd met één of meer soa (chlamydia, gonorroe, infectieuze syfilis, hepatitis B of hiv) bleef zeer hoog: 14% en is licht gestegen ten opzichte van eerdere jaren. Bij 19% van de MSM en bij ruim 12% van de heteroseksuele populatie werden één of meer soa gediagnosticeerd, en bij 31% van de bekend hiv-positieve bezoekers werden één of meer soa gevonden. In 2009 was dit respectievelijk 20%, 12% en 34%. 21-09-2011 Gegevens en privacy 3

iPhone 21-09-2011 Gegevens en privacy Bericht uit Trouw, 21 april 2011: http://www.trouw.nl/tr/nl/5724/Internet-3-0/article/detail/1878293/2011/04/21/iPhone-maakt-elke-minuut-een-foto-van-je-ook-in-bed.dhtml De Britse Guardian berichtte gisteren (20/04/2011) dat onderzoekers uit de doeken hebben gedaan hoe de iPhone, dat populaire mobieltje dat al in zovele jas- en broekzakken zwerft, elke paar minuten even checkt waar precies op de aardbol de broekzak is, en vervolgens die gegevens opslaat in een lange log-file. Dat bestand is vervolgens door iedereen met een beetje handigheid uit te lezen. Niet alleen de mensen van uw belbedrijf, en via hun de politie en geheime dienst, kunnen dus dankzij uw mobieltje achterhalen waar u was, ook uw jaloerse echtgenoot, achterdochtige baas en nog een paar duizend anderen kunnen dat. Met dank aan Apple. 21-09-2011 Gegevens en privacy

TomTom 21-09-2011 Gegevens en privacy

Google StreetView 21-09-2011 Gegevens en privacy Persbericht CBP, 19 april 2011: Het College bescherming persoonsgegevens (CBP) heeft Google een last onder dwangsom opgelegd. Uit onderzoek van het CBP blijkt dat Google door middel van Street View auto’s twee jaar lang systematisch en buiten medeweten van de betrokkenen het unieke nummer (het MAC-adres) van ruim 3,6 miljoen wifi-routers heeft vastgelegd in combinatie met de berekende locatie van de wifi-router. MAC-adressen in combinatie met een berekende locatie zijn in deze context persoonsgegevens omdat de gegevens informatie kunnen verschaffen over de houder van de wifi-router. Het CBP stelt ook vast dat Google met dezelfde Street View auto’s inhoudelijke communicatiegegevens (zogeheten ’payload data’) heeft verzameld. Uit het onderzoek blijkt dat deze informatie persoonsgegevens bevat, zoals emailadressen, medische gegevens en informatie over financiële transacties. In de last onder dwangsom wordt Google onder meer gesommeerd om binnen drie maanden de betrokkenen zowel offline als online te informeren over de verzameling van gegevens over wifi-routers met Street View auto’s door Google ten behoeve van zijn geolocatiedienst. Bovendien moet Google binnen drie maanden een online opt-out mogelijkheid aanbieden waarmee mensen zich kunnen verzetten tegen de verwerking van gegevens over hun wifi-routers. Als Google de in de last genoemde maatregelen niet binnen de gestelde termijnen neemt, is het een dwangsom verschuldigd die kan oplopen tot maximaal een miljoen euro. Voorts moet Google de in Nederland verzamelde payload data binnen vier weken vernietigen. 21-09-2011 Gegevens en privacy

EPD 21-09-2011 Gegevens en privacy

DigiNotar 21-09-2011 Gegevens en privacy

Privacy = lichamelijk (art. 11 Gw) De Anatomische Les – Rembrandt van Rijn. 21-09-2011 Gegevens en privacy

Privacy = ruimtelijk (huisrecht) BW, Artikel 7:459, lid 1: “De hulpverlener voert verrichtingen in het kader van de behandelingsovereenkomst uit buiten de waarneming van anderen dan de patiënt, tenzij de patiënt ermee heeft ingestemd dat de verrichtingen kunnen worden waargenomen door anderen...” 21-09-2011 Gegevens en privacy

Privacy = ruimtelijk, huisrecht (art. 12 Gw) 21-09-2011 Gegevens en privacy

Privacy = correspondentie (art. 13 Gw: briefgeheim) Persbericht CBP, 19 april 2011: Het College bescherming persoonsgegevens (CBP) heeft Google een last onder dwangsom opgelegd. Uit onderzoek van het CBP blijkt dat Google door middel van Street View auto’s twee jaar lang systematisch en buiten medeweten van de betrokkenen het unieke nummer (het MAC-adres) van ruim 3,6 miljoen wifi-routers heeft vastgelegd in combinatie met de berekende locatie van de wifi-router. MAC-adressen in combinatie met een berekende locatie zijn in deze context persoonsgegevens omdat de gegevens informatie kunnen verschaffen over de houder van de wifi-router. Het CBP stelt ook vast dat Google met dezelfde Street View auto’s inhoudelijke communicatiegegevens (zogeheten ’payload data’) heeft verzameld. Uit het onderzoek blijkt dat deze informatie persoonsgegevens bevat, zoals emailadressen, medische gegevens en informatie over financiële transacties. In de last onder dwangsom wordt Google onder meer gesommeerd om binnen drie maanden de betrokkenen zowel offline als online te informeren over de verzameling van gegevens over wifi-routers met Street View auto’s door Google ten behoeve van zijn geolocatiedienst. Bovendien moet Google binnen drie maanden een online opt-out mogelijkheid aanbieden waarmee mensen zich kunnen verzetten tegen de verwerking van gegevens over hun wifi-routers. Als Google de in de last genoemde maatregelen niet binnen de gestelde termijnen neemt, is het een dwangsom verschuldigd die kan oplopen tot maximaal een miljoen euro. Voorts moet Google de in Nederland verzamelde payload data binnen vier weken vernietigen. 21-09-2011 Gegevens en privacy

Privacy = relationeel (incl gezinsleven) Recht op gezinsleven valt ook onder recht op privacy (art. 8 EVRM). 21-09-2011 Gegevens en privacy

Privacy = informationeel Bron: http://nos.nl/artikel/235865-data-playstationspelers-gestolen.html 21-09-2011 Gegevens en privacy

Privacy of bescherming (persoons)gegevens? Wat betekent dit bord? Wie houdt zich daar altijd aan? Ook midden in de nacht op een verlaten stuk snelweg? En wie vindt dat 100 km de max snelheid moet worden i.p.v. 120 km? Dus: niet iedereen is het hier onder alle omstandigheden mee eens (verschillen in opvatting). Toch is het een verkeersregel waar iedereen zich aan moet houden (zoals ook aan de WBP). Privacy = like a personal opinion whether the maximum speed of 100 km/hr is too slow, too fast or fast enough on this road. = subjective Data Protection = like the traffic rules that prohibit you to drive >100 km/hr on this road. = objective Is data protection a human right? YES: Handvest van de Grondrechten EU. 21-09-2011 Gegevens en privacy 15

Zo hoeft het nou ook weer niet… 21-09-2011 Gegevens en privacy

Medisch beroepsgeheim Zwijgplicht (o.a. 457 WGBO, 88 BIG, 272 WvSr) Verschoningsrecht (218 WvSv, 165 WvRv) Verschoningsrecht geldt tegenover de rechter, politie en justitie. Wetgever vindt geheimhouding door artsen belangrijker dan hun medewerking aan de opsporing en vervolging van strafbare feiten. Bij verschoningsgerechtigden mag de politie ook geen brieven en andere geschriften (incl rontgenfoto’s en computerbestanden) in beslag nemen (art. 98 WvSv), tenzij zij daarvoor toestemming geven. Huiszoeking zonder toestemming mag alleen zonder schending van het geheim, en mag zich niet uitstrekken tot andere brieven en geschriften dan die welke voorwerp zijn van het strafbare feit. Waarheidsvinding prevaleert wel als de arts zelf wordt verdacht van een strafbaar feit dat is gepleegd jegens de patient. De toestemming van die patient om het dossier te gebruiken voor de opsporing en vervolging mag in dat geval worden verondersteld. Bovendien moet dan sprake zijn van een ernstig vermoeden van schuld, van een ernstig strafbaar feit en van de onmogelijkheid om de benodigde gegevens langs een andere weg te verkrijgen (= ‘zeer uitzonderlijke omstandigheden’). 21-09-2011 Gegevens en privacy

Medisch beroepsgeheim Individueel belang: jezelf ‘bloot’ kunnen geven bij een arts in je eigen gezondheidsbelang Algemeen belang: vrije toegang voor iedereen tot de gezondheidszorg Algemeen belang: HR, 21 oktober 2008: dat aan het verschoningsrecht ten grondslag ligt dat het maatschappelijk belang dat de waarheid in rechte aan het licht komt, moet wijken voor het maatschappelijk belang dat een ieder zich vrijelijk en zonder vrees voor openbaarmaking van het toevertrouwde om bijstand en advies tot de verschoningsgerechtigde moet kunnen wenden. Ieder die zich bij de (geestelijke) gezondheidszorg meldt, moet op geheimhouding kunnen vertrouwen. Men mag zich niet geremd voelen om hulp te zoeken uit angst dat dit uitlekt. Dit geldt ook voor het slachtoffer van een vechtpartij, los van de vraag of die verdachte is van een strafbaar feit. 21-09-2011 Gegevens en privacy

WGBO: hoofdregel “Onverminderd […] draagt de hulpverlener zorg, dat aan anderen dan de patient geen inlichtingen over de patient dan wel inzage in of afschrift van de bescheiden, bedoeld in artikel 454, worden verstrekt dan met toestemming van de patient.” Behalve WGBO ook geheimhoudingsplicht in art. 88 Wet BIG en art. 272 WvSr. 21-09-2011 Gegevens en privacy

Uitzonderingen op beroepsgeheim: Toestemming Wettelijk verplicht Rechtstreeks betrokken Vervanger of waarnemer Wettelijk vertegenwoordiger of gemachtigde Conflict van plichten Zwaarwegend belang Zeer uitzonderlijke omstandigheden Eigen verweer Opdracht derde Wetenschappelijk onderzoek, statistiek, onderwijs (Zorg van een goed hulpverlener)? 21-09-2011 Gegevens en privacy

Privacy = ook bedrijfsgegevens? WBP alleen voor persoonsgegevens Bedrijfsgegevens: Actieve verstrekking Passieve verstrekking Bron: “Vertrouwelijk gegeven” (onderzoek 1999) “Vertrouwelijk gegeven: Juridische beschouwingen over de verstrekking van bedrijfsgegevens aan de overheid en het beheer daarvan door de overheid.” Actief = gegevensverstrekking gebaseerd op wettelijke regeling die bedrijven/organisaties verplichten om bedrijfsgegevens te verstrekken aan de overheid. Passief = verstrekking gebaseerd op wettelijke regeling die overheidsinstanties de mogelijkheid bieden om inzage / verstrekking van gegevens te verlangen in gegevens die in bedrijfsinformatiesystemen (of andere systemen) zijn opgeslagen, in het kader van toezicht, handhaving of ander onderzoek. 21-09-2011 Gegevens en privacy

Actieve verstrekkingen Fiscale regelgeving: Awr, Wet loonbelasting Mededingingswet: ontheffingsaanvraag, melding concentratie, vergunningsaanvraag concentratie Wet milieubeheer: milieueffectrapport Algemene wet bestuursrecht: vergunning-aanvraag, bestuursrechtelijk geschil (bezwaar, beroep) Wet marktordening gezondheidszorg (Wmg): DBC’s Mw: ontheffing betreft ontheffing op kartelverbod. Concentratie = fusie, bedrijfsovername, e.d. Wet milieubheer: gegevensverstrekking bij het opstellen van een milieueffectrapport. Awb: gegevens verstrekken bij een vergunningaanvraag. 21-09-2011 Gegevens en privacy

Passieve verstrekkingen Strafrechtelijke opsporing Fiscaalrechtelijke bevoegdheden Financieel economische controle (accountantscontrole, audit) Economisch strafrechtelijke controle (Wed, Wmg) Controle op vergunningen (milieu, ruimtelijke ordening) Strafrechtelijk: Meestal in kader van toezicht (inclusief opsporing van strafbare feiten): inbeslagname, huiszoeking, onderzoek van telecommunicatie, onderzoek van gegevens in geautomatiseerde werken, strafrechtelijk financieel onderzoek. Fiscaalrechtelijke: Meestal ter ondersteuning van fiscaalrechtelijk opsporingsonderzoek. Financ ec controle: 21-09-2011 Gegevens en privacy

Privacycommissie DHD 3-5 leden Prof.dr. A. Stiggelbout, hoogleraar medische besliskunde LUMC M. Fischer, beleidsadviseur ICT/EPD deskundige informatiebeveiliging NVZ Mr. S. Nouwt, privacyadviseur, juridisch adviseur KNMG PatientenZoekVraagDataBank = voor de ondersteuning van de directe patiëntenzorg in de laboratoria. Patholoog die voor dit doel PZVDB gebruikt is/lijkt mij “rechtstreeks betrokken bij de uitvoering van de geneeskundige behandelingsovereenkomst” die de specialist/het ziekenhuis met de patiënt heeft. Voor de uitwisseling van informatie over patiënt tussen behandelaar en patholoog is geen toestemming van de patiënt nodig, “voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden” (art. 7:457 BW). Palga-InformatieDataBank = voor het wetenschappelijk onderzoek, de ondersteuning van bevolkingsonderzoeken en de landelijke registraties. 21-09-2011 Gegevens en privacy

Privacycommissie DHD Taken: adviseren over het gebruiken en verstrekken van gegevens, conform eventueel beschikbare protocollen voor gegevensgebruik. adviseren over overige vraagstukken die gerelateerd zijn aan de vertrouwelijkheid van de ziekenhuisgegevens die door, of in opdracht van, de Stichting worden verzameld, verwerkt, beheerd of uitgeleverd aan derden. Het betreft de vertrouwelijkheid van gegevens van patiënten, zorgverleners en instellingen. 21-09-2011 Gegevens en privacy

Privacycommissie DHD Juridisch kader: Statuten DHD Wetgeving: Wbp, Wgbo, Wet BIG, WOB, Wgbsn-z, Databankenwet, Mededingingswet, Wet marktordening gezondheidszorg Protocol gegevensgebruik DIS en LMR/LAZR + Aflevervoorwaarden 21-09-2011 Gegevens en privacy

Privacycommissie DHD Inkomende gegevensaanvraag Toets door DHD aan protocol, tenzij: Uit protocol volgt toetsing vooraf door PC Protocol geeft geen uitsluitsel, dan toetsing vooraf door PC Uitkomst wordt vastgelegd in Aanvragen Register PC controleert Aanvragen Register iedere vergadering DHD zorgt dat Aanvragen Register actueel is en opvraagbaar voor directie DHD en PC 21-09-2011 Gegevens en privacy

Mogelijke gevolgen van schending beroepsgeheim strafrechtelijke vervolging tuchtrechtelijke maatregel of bij schade een civielrechtelijke veroordeling tot schadevergoeding 21-09-2011 Gegevens en privacy

Casus inzage e-medisch dossier (1) Een KNO-arts raadpleegt na beëindiging behandelrelatie zonder toestemming een patiëntendossier om de verjaardag van een patiënte te achterhalen en deze met een sms'je te feliciteren. Tuchtcollege Den Haag: waarschuwing! Nee, Regionaal Tuchtcollege Den Haag, 21 juli 2009, vindt het tuchtrechtelijk verwijtbaar om een patientendossier als telefoonboek te gebruiken. De KNO-arts krijgt een waarschuwing. 21-09-2011 Gegevens en privacy

Casus inzage e-medisch dossier (2) 13-jarige dochter van een secretaresse bij een GGZ-instelling wordt op familiefeestje onzedelijk betast door een familielid (oom). Afspraak = behandelen door GGZ, anders alsnog aangifte bij de politie. Secretaresse raadpleegt het patiëntendossier van het familielid om te verifiëren of deze zich wel door GGZ laat behandelen. Rb Den Haag: terecht ontslagen! Rechtbank sGravenhage 2 juni 2010, JPG 2010/158. Nee. Hoewel de kantonrechter begrip heeft voor hetgeen de secretaresse en haar dochter is overkomen, heeft de sectretaresse als werknemer gefaald. Privacy van patienten is van belang voor de samenleving (algemeen belang) opdat ieder die zich bij de GGZ meldt op geheimhouding moet kunnen vertrouwen. Burgers moeten zich niet geremd voelen om hulp te zoeken uit angst dat het uitlekt. Iedere informatie in een EPD is vertrouwelijk. De secretaresse handelde “zeer ernstig verwijtbaar” en is terecht ontslagen door haar werkgever. 21-09-2011 Gegevens en privacy

Samengevat Privacy is actueel Belang van het beroepsgeheim Regels zijn ingewikkeld Regels zijn er voor DHD Onzorgvuldigheid kan nare gevolgen hebben Belang van vertrouwelijk en zorgvuldig omgaan met gegevens en lichaamsmateriaal = Belang zorginstelling: idem + voorkomen van negatieve publiciteit. Belang patiënt: individueel gezondheidsbelang. Belang samenleving: betere gezondheidszorg. 21-09-2011 Gegevens en privacy

Verstrekking van gegevens en privacy Mr.dr. Sjaak Nouwt Voorzitter Privacy Commissie DHD Adviseur Gezondheidsrecht KNMG 21 september 2011

Casus 4 – Afscherming gegevens Is een zorgverlener verplicht om tot uitwisseling van gegevens over te gaan indien de patiënt daar toestemming voor heeft gegeven? 21-09-2011 Gegevens en privacy

Casus 4 – Afscherming gegevens Geeft een patiënt toestemming dan betekent dit nog niet dat de hulpverlener het beroepsgeheim ook moet doorbreken. De hulpverlener moet zich verzekeren van het feit dat de patiënt de gevolgen van het doorbreken van het beroepsgeheim kan overzien en de hulpverlener moet inschatten of het doorbreken van het beroepsgeheim in het belang van de patiënt is. 21-09-2011 Gegevens en privacy

Casus Infectiepreventie uitwisselen van informatie over uitslagen van onderzoeken in het kader van infectiepreventie tussen het ene ziekenhuis en het andere terwijl patiënten daar zelf geen weet van hebben. 21-09-2011 Gegevens en privacy

Casus Infectiepreventie In concrete situaties, waarin het kenbaar is voor de patiënt dat gegevens voor zorgdoeleinden worden verstrekt, de patiënt daartegen geen bezwaar heeft gemaakt en de gegevensverstrekking beperkt blijft tot hetgeen noodzakelijk is voor de ontvanger, mag de toestemming van de patiënt worden verondersteld. Punt is dus: het moet kenbaar zijn voor de patient. 21-09-2011 Gegevens en privacy

Landelijke privacy afspraak Alle casussen lezende kom je tot de conclusie dat het eigenlijk gaat om het beveiligen van gegevens. De Privacy wetgeving heeft hier een duidelijk rol maar volgens mij ook de NEN 7510 (Informatiebeveiliging binnen de zorgsector.) Een van de normen geeft aan dat er beleid moet worden vastgesteld, waarin is opgenomen welke gegevens in aanmerking komen voor uitwisseling, zowel intern als extern, en de daarbij geldende voorwaarden. Overeenkomsten moeten worden opgesteld zowel voor het uitwisselen (elektronisch, mondeling of op papier) van gegevens tussen zorginstellingen onderling als tussen zorginstellingen en andere partijen.   Iedere instelling heeft hiervoor inmiddels beleid opgesteld. Maar het zou fijn zijn dat er landelijk 1 afspraak zou komen. 21-09-2011 Gegevens en privacy

Landelijke privacy afspraak Gedragscode Elektronische Gegevensuitwisseling in de Zorg (i.o.) 21-09-2011 Gegevens en privacy