De burgemeester van een Brabantse gemeente wil de inwoners van de gemeente die vanwege een vermoeden van besmetting in thuis-isolatie verkeren een brief sturen om zijn betrokkenheid te tonen. Mag hij daarvoor persoonsgegevens ontvangen van de GGD?
Aan de hand van deze actuele casus wordt beschreven wat de standaardwerkwijze is om tot een antwoord te komen. Het bestrijden van infectieziekten is van zeer groot maatschappelijk belang. Om die reden zijn in de Wet publieke gezondheid (WPG) gedetailleerde voorschriften opgenomen over hoe te handelen. Hoe groter de bevoegdheid om op te treden en persoonsgegevens te verwerken, hoe preciezer is geregeld hoe ver die bevoegdheden reiken en wat er met persoonsgegevens mag gebeuren.
In de WPG zijn vergaande bevoegdheden opgenomen om in te grijpen in de persoonlijke levenssfeer bij infectieziektebestrijding. De doeleinden en de gegevens die worden verwerkt zijn precies omschreven.
De wet laat geen ruimte om persoonsgegevens van mogelijk besmette mensen voor andere doeleinden te gebruiken, zoals het toesturen van bemoedigende brieven door de burgemeester. Toestemming van de betrokken mensen is niet aan te raden in dit geval, daarvoor is de informatie te gevoelig. De burgemeester zal een andere weg moeten zoeken om de mensen een hart onder de riem te steken.
Om deze vraag te beantwoorden moet eerst helder zijn wie de verwerkingsverantwoordelijke en wie de betrokkene is, wat de aard van de gegevens is, welke wet van toepassing is en wat die wet zegt over het verwerken en verstrekken van persoonsgegevens.
De herkomst van de gegevens is als volgt. Elke arts is verplicht om bij de GGD melding te doen: “De arts die bij een door hem onderzocht persoon een infectieziekte behorend tot groep A vermoedt of vaststelt, meldt dit onverwijld aan de gemeentelijke gezondheidsdienst.”(1) Deze 'informatieplicht' staat voorgeschreven in de WPG.(2)
In de arts-patiëntrelatie zijn de regels van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) van toepassing. Daarin is opgenomen dat een inbreuk gemaakt kan worden op de 'geheimhoudingsplicht' “indien het bij of krachtens de wet bepaalde daartoe verplicht”.(3) Een voorbeeld van zo’n verplichting is de informatieplicht van de arts in de WPG.
Op deze wijze verzamelt de GGD informatie van alle geïnfecteerde mensen uit de regio. De bevoegdheden van de GGD zijn uitvoerig beschreven in de WPG. De GGD is verwerkingsverantwoordelijke voor de verwerking van die gegevens.(4) De WPG heeft als doel het bewaken van de publieke gezondheidszorg: “de gezondheidsbeschermende en gezondheidsbevorderende maatregelen voor de bevolking of specifieke groepen daaruit, waaronder begrepen het voorkómen en het vroegtijdig opsporen van ziekten.”(5) Het bestrijden van infectieziekten is van zeer groot maatschappelijk belang. Om die reden zijn in de WPG gedetailleerde voorschriften opgenomen over hoe te handelen.
De betrokkene is elke persoon die tot de doelgroep van de WPG behoort. In dit geval is dat de met het coronavirus besmette of vermoedelijk besmette persoon.(6)
De melding van de arts aan de GGD bevat de volgende gegevens: naam, adres, geslacht, geboortedatum, burgerservicenummer en verblijfplaats van de betrokken persoon; de infectieziekte of beschrijving van het ziektebeeld, eerste ziektedag, vaccinatietoestand, gebruik van chemoprofylaxe, vermoedelijke infectiebron, datum van vermoeden of vaststelling van infectie en wijze van vaststelling van die infectieziekte. Indien nodig tevens informatie over of de betrokken persoon dan wel een persoon in zijn directe omgeving beroeps- of bedrijfsmatig betrokken is bij de behandeling van eet- of drinkwaren of bij de behandeling, verpleging of verzorging van andere personen.(7)
Deze informatie valt in de categorie ‘bijzondere persoonsgegevens’, waarvoor als hoofdregel geldt dat het verboden is deze te verwerken tenzij de doeleinden expliciet bij wet geregeld zijn.(8) In dit geval is de verwerking van gegevens ter bestrijding van infectieziekten geregeld in de WPG
In de WPG zijn vergaande bevoegdheden van de GGD, de rol van het RIVM, de rol van de burgemeester en de voorzitter van de veiligheidsregio bij de bestrijding van besmettelijke infectieziekten beschreven. Een van de burgemeesters uit de regio wordt aangesteld als voorzitter. Die bevoegdheden gaan zelfs zover dat mensen gedwongen in isolatie of quarantaine opgenomen kunnen worden.(9) Voor het overige rust op de medewerkers van de GGD een beroepsgeheim, wat betekent dat persoonsgegevens niet voor andere doeleinden mogen worden gebruikt. Achter dit beroepsgeheim schuilt een groot maatschappelijk belang; iedere besmette persoon moet zich tot een dokter kunnen wenden voor advies en behandeling. Daarvoor is het nodig dat iedereen kan rekenen op vertrouwelijkheid van de informatie waarover een beroepskracht beschikt. De drempel om hulp te vragen moet laag blijven, want de gevolgen zijn niet te overzien als besmette mensen zich niet zouden melden.
Naast het verzamelen van de meldingen door de GGD is verder van groot belang dat achterhaald wordt welke contacten een besmette persoon heeft (gehad). Om die reden is er een bevoegdheid gecreëerd om bron- en contactopsporing te doen.(10) Daarvoor heeft de GGD toegang tot de persoonsgegevens in de landelijke basisregistratie personen. De GGD kan uit de landelijke databank met bevolkingsgegevens (GBA-V) informatie krijgen over personen die op hetzelfde adres ingeschreven zijn als de besmette persoon. De bevoegdheid en de doeleinden zijn precies omschreven: de GGD is bevoegd om de gegevens te vragen als deze noodzakelijk zijn in verband met het opsporen en bestrijden van infectieziekten en ten minste een van de personen die op het adres ingeschreven zijn een infectieziekte heeft of het vermoeden bestaat dat die ingeschrevene een infectieziekte heeft. De gegevens die de GGD mag ontvangen zijn identificerende gegevens van de besmette persoon zelf, gegevens van de beide ouders, van de partner en van de kinderen.(11)
Nu komen we bij de vraag: mogen die gegevens door de GGD aan de burgemeester verstrekt worden als hij mensen een bemoedigende brief wil sturen?
De verstrekking is in de wet als volgt beschreven: “De gemeentelijke gezondheidsdienst verstrekt de burgemeester dan wel de voorzitter van de veiligheidsregio de gegevens die deze nodig heeft voor de uitoefening van de hem bij deze wet toegekende bevoegdheden.”(12)
Dus alle gegevens van alle besmette mensen mogen niet zonder meer verstrekt worden, maar alleen als die gegevens nodig zijn om taken die in de wet zijn genoemd uit te voeren. Een van die bevoegdheden is bijvoorbeeld ‘maatregelen gericht op het individu’: de bevoegdheid van de voorzitter van de veiligheidsregio of de burgemeester om over te gaan tot verplichte isolatie of quarantaine. De gegevens die mogen worden verstrekt zijn de eerder genoemde van artikel 24 WPG: naam, adres, geslacht, geboortedatum, burgerservicenummer en verblijfplaats van de betrokken persoon e.d.
In andere gevallen voor andere doeleinden mag een burgemeester niet over die gegevens beschikken.
De cijfers die het RIVM dagelijks op de website publiceert, zijn gebaseerd op de meldingen die de artsen verplicht aan de GGD moeten doen. Deze meldingen zijn door de GGD geanonimiseerd naar het RIVM gestuurd. Deze verstrekking is eveneens een 'wettelijke plicht', net als de informatieplicht van de arts.(13)
Nu de wet geen mogelijkheid biedt, is er dan nog ruimte voor ‘toestemming’ als rechtmatige grondslag om de gegevens te verstrekken aan de burgemeester?
In veel gevallen bestaat er een rest-mogelijkheid om bij het ontbreken van een rechtmatige grondslag toch gegevens te verwerken of te verstrekken als de betrokkene daarvoor toestemming geeft.(14) Maar toestemming vragen aan de betrokkene is administratief omslachtig en een hele wankele basis om gegevens te verstrekken. De toestemming kan immers op elk moment worden ingetrokken en dan moet direct gestopt worden met de verstrekking. Nog belangrijker in deze relatie is de eis dat de toestemming in alle vrijheid gegeven moet zijn.(15) De definitie van toestemming luidt als volgt: “Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”(16)
De betrokkene moet vooraf volledig geïnformeerd zijn (informed consent) en op de verantwoordelijke, de GGD, rust de plicht dat aan te tonen. Veelal schriftelijk of in ieder geval door een aantekening in het dossier. Er dient voor gewaakt te worden dat de handeling of handtekening waarmee toestemming wordt gegeven niet tevens betrekking heeft op andere onderwerpen dan het verstrekken van gegevens aan de burgemeester.
De toestemming is alleen rechtmatig als deze in alle vrijheid gegeven is. Toestemming kan alleen een grondslag zijn als de betrokkene een daadwerkelijke keuzemogelijkheid wordt geboden, als het gaat om het accepteren of weigeren, zonder dat dit nadelige gevolgen heeft.(17) Tegenover een hulpverlener zit de cliënt vaak in een kwetsbare en afhankelijk positie. En dit maakt het toestemming vragen lastig, want als een cliënt ziek is of hulp nodig heeft, is er al snel sprake van een ongelijkwaardige relatie.
Het verkrijgen van toestemming van de betrokkene betekent nog geen verplichting om het beroepsgeheim te doorbreken. In alle individuele gevallen dient een afweging gemaakt te worden. Als de betrokkene toestemming geeft om informatie met derden te delen moet de verstrekker van de gegevens zich ervan vergewissen dat hij in het belang van de betrokkene handelt én dat de betrouwbaarheid en toegankelijkheid van de hulpverlening hiermee niet in het geding is.
Toestemming van de betrokkene om zijn gegevens aan de burgemeester te verstrekken is niet aan te raden. Daarvoor is de informatie te gevoelig en verdere verwerking voor andere doeleinden is een zeer grote inbreuk en omgeven met risico’s. Die verstrekking o.g.v. toestemming zou dan met de hoogste beveiligingsmaatregelen omgeven moeten zijn zoals versleutelde gegevens en versleutelde verzending, slechts een zeer beperkt aantal mensen mag toegang hebben tot die informatie en die informatie mag bovendien niet ergens blijven slingeren. Hoe verleidelijk en nieuwswaardig is het om te weten wie er in een gemeente besmet zijn en waar die mensen wonen?
Voor de liefhebbers zijn hier nog de rechtmatige grondslagen vermeld. Voor de arts die een informatieplicht en meldingsplicht bij de GGD heeft is art. 457 lid 1 BW boek 7 van toepassing. Met de behandelend arts heeft de zieke een directe relatie waarop gedurende de hele behandeling de WGBO van toepassing blijft.
De verwerking van de meldingen door de GGD is de wettelijke verplichting tot het verwerken van persoonsgegevens van art. 6 lid 1 onderdeel c jo art. 9 lid 2 onderdeel i Algemene verordening gegevensbescherming (AVG), evenals de verstrekking van de geanonimiseerde gegevens aan het RIVM. Dit alles uitgewerkt in de WPG. En de mogelijkheid om ondanks het verbod toch op grond van uitdrukkelijke toestemming gegevens te verstrekken is gebaseerd op art. 6 lid 1 onderdeel c jo art. 9 lid 2 onderdeel a en art. 22 lid 2 onderdeel a Uitvoeringswet AVG (UAVG).
Opmerkelijk is dat de WPG geen bepaling kent die de mogelijkheid biedt om persoonsgegevens van de betrokkene met toestemming voor andere doeleinden te gebruiken. Dit kan betekenen dat toestemming als rechtmatige grondslag niet de bedoeling is. De WPG kent namelijk limitatieve verstrekkingsbepalingen en die laten in de regel geen ruimte voor verder gebruik van persoonsgegevens. In dit bestek wordt dat niet nader uitgezocht. Het is wel handig als de wetgever dit expliciet in de wet opneemt.(18)
In de WPG is niet geregeld dat de burgemeester of de voorzitter van de veiligheidsregio persoonsgegevens mag gebruiken om mensen die thuis in isolatie verblijven een hart onder de riem te steken. Toestemming is administratief omslachtig, vereist de hoogste mate van beveiliging en is zeer risicovol, omdat persoonsgegevens van besmette mensen dan bij meerdere mensen van een gemeente bekend zijn. Het beste alternatief is dat men een andere weg zoekt waarlangs mensen de boodschap van de burgemeester kunnen ontvangen.
(1) Het coronavirus behoort tot de A-groep: groep A: Middle East respiratory syndrome coronavirus (MERS-CoV), pokken, polio, severe acute respiratory syndrome (SARS), virale hemorragische koorts. Art. 1 onderdeel e WPG
(2) Art. 22 WPG en COVID-19 Richtlijn
(3) Art. 457 lid 1 BW boek 7 De overeenkomst inzake geneeskundige behandeling
(4) Art. 4 lid 7 AVG jo art. 29 WPG
(5) Art. 1 onderdeel c WPG
(6) Art. 4 lid 1 AVG.
(7) Art. 24 WPG
(8) Art. 9 AVG
(9) Art. 30 e.v WPG ‘Maatregelen gericht op het individu’
(10) Art. 6 lid 1 c WPG
(11) Staatscourant 2016, 9485
(12) Art. 27 lid 7 WPG
(13) Art. 28 lid 3 WPG
(14) In dit geval de ‘uitdrukkelijke’ toestemming van art. 9 lid 2 onderdeel a jo art. 22 lid 2 onderdeel a UAVG
(15) Art. 7 AVG.
(16) Art. 4 lid 11 AVG.
(17) Art.9 AVG, art. 22 UAVG en WP 259, Richtsnoeren inzake toestemming. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf.
(18) Art. 9 lid 2 onderdeel a AVG.
Een aantal onderwerpen die hier worden beschreven zijn terug te vinden in het boek Privacy in het sociaal domein van Corrie Ebbers, Paulien Bunt, Sophie Vastenhout en Micha Venderbos (Berghauser Pont; augustus 2019)
Dit artikel is ook te vinden in het dossier Coronavirus
