Het wetsvoorstel opvraagbaarheid gegevens voor spoedeisende zorg van 3 juli 2023 introduceert een wettelijke verplichting voor zorgaanbieders om bepaalde gezondheidsgegevens beschikbaar te maken zodat deze door hulpverleners geraadpleegd kunnen worden in geval van spoedeisende zorg. Voorafgaande toestemming van de patiënt voor het beschikbaar maken en raadplegen van deze gegevens is dan niet meer vereist. Alhoewel de nadere uitwerking van het wetsvoorstel in lagere regelgeving zal worden ingevuld, geeft het wetsvoorstel aanleiding voor enkele kanttekeningen vanuit privacy perspectief.
Op 3 juli 2023 is het wetsvoorstel opvraagbaarheid gegevens voor spoedeisende zorg afkomstig van het ministerie van Volksgezondheid gepubliceerd. Het wetsvoorstel beoogt de toegankelijkheid van gezondheidsgegevens in spoedeisende situaties te vereenvoudigen, met als doel (onder meer) bevordering van de kwaliteit en continuïteit van de zorg.
Onder de huidige (privacy) wetgeving is de uitdrukkelijke toestemming van de patiënt vereist voor het opvraagbaar maken van gezondheidsgegevens en het doorbreken van het medisch beroepsgeheim. Kern van het wetsvoorstel is de introductie van een wettelijke verplichting voor bepaalde zorgaanbieders om bepaalde gegevens opvraagbaar te maken.
De privacywetgeving stelt strenge eisen aan het (rechtmatig) verwerken van gezondheidsgegevens en gegevens uit het medisch dossier, waardoor de vraag rijst hoe dit wetsvoorstel zich verhoudt tot die privacywetgeving. In dit blog zal een korte schets van het wetsvoorstel en een tweetal aandachtspunten gegeven worden vanuit privacy perspectief.
Een van de redenen waarom de gegevens op dit moment niet altijd direct opvraagbaar zijn in het kader van het verlenen van spoedeisende zorg is gelegen in de huidige regelgeving omtrent de grondslagen voor gegevensuitwisseling tussen zorgverleners, waaronder de AVG, de Uitvoeringswet AVG (UAVG), de Wet op de beroepen in de individuele gezondheidszorg (BIG), Wet geneeskundige behandelingsovereenkomsten (WGBO) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).
Op grond van de huidige regelgeving is de uitdrukkelijke toestemming van een patiënt vereist voordat de gezondheidsgegevens beschikbaar kunnen worden gesteld via een elektronisch uitwisselingssysteem (1). De enkele mogelijkheid om de gegevensverwerking te baseren op de grondslag toestemming, is volgens minister Kuipers van Volksgezondheid problematisch, nu een groot deel van de Nederlandse burgers niet heeft aangegeven of zij al dan niet akkoord zijn met de beschikbaarheidsstelling van de gezondheidsgegevens in een elektronisch uitwisselingssysteem. Ook bestaan er bezwaren ten aanzien van het verkrijgen van rechtsgeldige toestemming met het oog op de vereisten die de AVG en UAVG stellen aan geldige toestemming, die (onder meer) voldoende specifiek moet zijn. Dit betekent dat een patiënt voor elk specifiek geval toestemming moet geven voor het beschikbaar stellen van de gegevens.
Het wetsvoorstel beoogt met de introductie van een wettelijke verplichting tot het beschikbaar stellen van bepaalde gegevens deze problematiek te verhelpen.
Met het wetsvoorstel wordt geregeld dat bij algemene maatregel van bestuur (AMvB) aangewezen zorgaanbieders verplicht zijn bepaalde bij AMvB aangewezen medische gegevens direct (binnen 24 uur na contact met de patiënt) opvraagbaar te maken voor andere zorgverleners ten behoeve van de spoedeisende zorg. Er is dan geen toestemming meer nodig van de patiënt, de grondslag op basis waarvan de gegevens worden verwerkt, wordt deze wettelijke verplichting. De medische gegevens mogen dan verwerkt worden op grond van deze wettelijke verplichting in combinatie met de noodzakelijkheid van het verwerken van deze gegevens voor het verstrekken van gezondheidszorg aan de patiënt (2).
Ten eerste merken wij op dat de regeling nader moet worden ingevuld aan de hand van AMvB’s. Zo zullen de categorieën van medische gegevens en de zorgaanbieders voor wie deze verplichting zal gelden bij AMvB nader worden bepaald. Hoe de wettelijke verplichting er uiteindelijk uit zal zien, en hoe de verschillende beginselen vanuit het privacyrecht (zoals de beginselen van proportionaliteit en subsidiariteit en het beginsel van minimale gegevensverwerking) zullen worden gewaarborgd, is op dit moment derhalve nog niet duidelijk. Wel zijn er wat ons betreft vanuit privacy optiek enkele kanttekeningen te plaatsen bij het huidige wetsvoorstel.
Zeggenschap
Ten eerste voorziet het wetsvoorstel in een verplichting voor de zorgaanbieder om ervoor zorg te dragen dat de zorgverlener zich ervan vergewist dat de patiënt tegen het opvragen geen bedenkingen heeft (3). Het opvragen van de gegevens is niet toegestaan indien de patiënt daartegen bezwaar uit. In plaats van dat aan de patiënt voorafgaand aan het raadpleegbaar maken van de gegevens toestemming wordt gevraagd zoals nu het geval is (opt-in), wordt in dit wetsvoorstel dus de mogelijkheid gecreëerd om zich te verzetten tegen het raadplegen van die gegevens, indien spoedeisende zorg nodig is (opt-out).
In de praktijk zal de daadwerkelijke uitoefening van dit recht onzes inziens problematisch zijn, nu het uitdrukkelijk uiten van bezwaar in een spoedeisende situatie – in welke situatie vaak ook geen geldige toestemming verkregen kan worden voor de gegevensverwerking – in veel gevallen vrijwel onmogelijk is. Patiënten kunnen buiten bewustzijn of slecht aanspreekbaar zijn, in die gevallen geldt de vergewisplicht niet.
De informatieplicht
Daarnaast is het wetsvoorstel mogelijk problematisch in het licht van de informatieplicht van artikel 13 AVG. Op grond hiervan moeten mensen voorafgaand aan de verwerking van hun persoonsgegevens, over de verwerking duidelijk geïnformeerd worden. In de Memorie van Toelichting (MvT) bij het wetsvoorstel wordt toegelicht dat de zorgaanbieders niet hoeven te voldoen aan die informatieplicht bij het verwerken van de gegevens, nu betrokkenen gezien het feit dat de verplichting tot openbaarmaking van gegevens is opgenomen in het wetsvoorstel, worden geacht bekend te zijn met het feit dat hun gegevens in beginsel opvraagbaar worden gemaakt (4). De MvT benoemt wel uitdrukkelijk dat het wetsvoorstel belangrijke wijzigingen met zich brengt ten opzichte van het huidige recht, waarover betrokkenen op grond van de AVG geïnformeerd moeten worden. Bij de inwerkingtreding zullen burgers daarom worden geïnformeerd door middel van algemene communicatie, zoals een publiekscampagne en een online (AVG) informatiepunt.
Voordat een dergelijke wezenlijke verandering – in dit geval de verplichting voor zorgaanbieders om bepaalde gezondheidsgegevens van patiënten zonder hun toestemming ter beschikking te stellen – wordt doorgevoerd, moet de betrokkene echter met een expliciete en doeltreffende methode worden geïnformeerd: de betrokkene moet de verandering niet kunnen missen (5). Of de voorgenomen algemene communicatie, waaronder een online informatiepunt – dat de burger zelf actief moet raadplegen – een afdoende middel is om aan de informatieplicht van de AVG te voldoen is te betwijfelen. Daar komt bij dat pas bij vaststelling van de AMvB’s duidelijkheid zal bestaan over onder andere de (categorieën van) gezondheidsgegevens die zullen worden verwerkt. Onduidelijk is of, en wanneer, betrokkenen hierover geïnformeerd zullen worden.
Het wetsvoorstel beoogt een wettelijke grondslag te introduceren op basis waarvan gezondheidsgegevens in spoedeisende situaties conform de toepasselijke privacywetgeving kunnen worden verwerkt. Hoe de regeling precies ingevuld zal worden, is voor nu nog even afwachten. Het wetsvoorstel behoeft naar ons oordeel in ieder geval aanscherping wat betreft (i) de vergewisplicht en de toegevoegde waarde daarvan, nu onwaarschijnlijk is dat betrokkenen hier effectief gebruik van kunnen maken en (ii) de verhouding tot de informatieplicht.
(1) Artikel 15a Wabvpz, 7:457 BW;
(2) Artikel 6 lid 1 sub c AVG jo. artikel 9 lid 1 sub h AVG; artikel 7:457 WGBO;
(3) Zie ook de memorie van toelichting, p.24;
(4) Mvt, p.28;
(5) Groep gegevensbescherming artikel 29, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, p.20, raadpleegbaar via xxxx/17/EN (autoriteitpersoonsgegevens.nl);