Privacy bij ICT in de zorg - College bescherming persoonsgegevens

ACHTERGRONDSTUDIES EN VERKENNINGEN 26
Privacy bij ICT
in de zorg
Bescherming van persoonsgegevens
in de informatie-infrastructuur
voor de gezondheidszorg
VOORWOORD
mr. drs. T.F.M. Hooghiemstra
COLLEGE BESCHERMING PERSOONSGEGEVENS

ACHTERGRONDSTUDIES EN VERKENNINGEN 26
Privacy bij ICT
in de zorg
Bescherming van persoonsgegevens
in de informatie-infrastructuur
voor de gezondheidszorg
mr. drs. T.F.M. Hooghiemstra
COLLEGE BESCHERMING PERSOONSGEGEVENS

3
COLLEGE BESCHERMING
PERSOONSGEGEVENS
Prins Clauslaan 20
Postbus 93374
2509 AJ Den Haag
TELEFOON 070 381 13 00
FAX 070 381 13 01
E-MAIL info@cbpweb.nl
INTERNET www.cbpweb.nl
Publicaties in de serie Achtergrondstudies en verkenningen zijn het resultaat van
onderzoeken uitgevoerd door of in opdracht van het College bescherming persoonsgegevens
(CBP). Met het uitbrengen van deze publicaties beoogt het CBP de discussie
en de meningsvorming te stimuleren over ontwikkelingen in de samenleving waarbij
de persoonlijke levenssfeer van de burger in het geding is. In veel gevallen wordt in
de publicaties het normatieve kader zoveel mogelijk praktisch uitgewerkt voor het
onderwerp van de studie. Het CBP wil hiermee een handreiking geven voor het
realiseren van de eigen verantwoordelijkheid die de wet een ieder geeft voor de
bescherming van persoonsgegevens.
COLOFON
Privacy bij ICT in de zorg, College bescherming persoonsgegevens, Den Haag,
november 2002.
Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt
door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder
voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.
ISBN 90 74087 32 9
Ontwerp: Proforma, strategie, ontwerp en management (M. Monster)
Druk: Sdu Grafisch Bedrijf bv

Voorwoord
Privacy bij ICT
in de zorg
Voorwoord
De gezondheidszorg raakt steeds meer verknoopt met informatieverwerkende
processen in een niet altijd overzichtelijke omgeving die sterk in beweging is.
Voor alle betrokken partijen gaat het hierbij om grote belangen en doorgaans
zeer gevoelige gegevens. Bij de toepassing van informatie- en communicatietechnologie
(ICT) in de zorg is tijdige én adequate aandacht voor privacybescherming
daarom steeds meer een kritische succesfactor.
Met dit rapport geeft het College bescherming persoonsgegevens (CBP) invulling
aan zijn rol als toezichthouder op dit terrein. Het rapport beoogt
primair oriëntatie te geven en verbanden te leggen met betrekking tot de vele
vraagstukken die bij het gebruik van ICT in de zorg in relatie tot privacybescherming
aan de orde zijn. Pas bij voldoende overzicht kunnen goede
adviezen worden gegeven en adequate oplossingen worden gevonden voor de
verschillende vraagstukken.
Waarmee moeten organisaties in de zorg in de praktijk rekening houden als
gevolg van de privacywetgeving en het medisch beroepsgeheim? Deze vraag
wordt beantwoord aan de hand van een vijftal verbindende thema’s: elektronische
identiteitsinfrastructuur, elektronische informatie-infrastructuur,
patiënt en internet, organisatie en financiering van de zorg, en het monitoren
van patiënten en cliënten. Deze thema’s worden behandeld aan de hand van
feitelijke ontwikkelingen, normen en praktijkvoorbeelden, en zijn aan het slot
voorzien van aanbevelingen. Het rapport beoogt daarmee ook richting te geven
aan de ontwikkeling van een privacyvriendelijke ICT-infrastructuur in de zorg.
Dit rapport is mede tot stand gekomen aan de hand van vele gesprekken en
discussies met en publicaties van (ervarings)deskundigen op het terrein van ICT
in de zorg. Het bijgevoegde verslag van de conferentie met genodigden die het
CBP over dit onderwerp heeft gehouden, en de uitgebreide annotatie zijn daar
voorbeelden van.
Met deze studie is het laatste woord over privacy bij ICT in de zorg zeker niet
gezegd. De toepassing van ICT in de zorg staat immers nog maar aan het
begin van een ontwikkeling. Er zijn nog allerlei nieuwe vraagstukken om te
bestuderen, zoals vraagstukken die voortkomen uit de ontwikkeling van
diensten via internet en uit de opkomst van biogenetica in relatie tot ICT.
Het CBP rekent er op met dit rapport een bijdrage te leveren aan de totstandkoming
van een informatie-infrastructuur voor de zorg die terecht het
vertrouwen van de patiënt geniet.
mr. P.J. Hustinx
voorzitter College bescherming persoonsgegevens
< VORIGE INHOUD VOLGENDE >
4

Inhoud
Voorwoord
Inhoudsopgave
Samenvatting
1 Ontwikkelingen bij ICT in de zorg
1.1 ICT in de zorg in relatie tot privacybescherming
13
1.2 Opbouw van de studie 14
1.3 Verbindende thema’s 15
1.4 Elektronische identiteitsinfrastructuur 15
Zorgidentificatienummer 15
Unieke identificatie van zorgverleners 16
Unieke identificatie van zorgverzekeraars 16
1.5 Elektronische informatie-infrastructuur 16
Chipkaarten 16
Elektronisch patiëntdossier 18
Verwijsindexen 18
Zorgverlenersregistratie 18
Standaarden 19
Autorisatieprofielen en –protocollen 19
Digitale certificaten, PKI’s en TTP’s 19
E-health, telegeneeskunde en telezorg 19
1.6 Patiënt en internet 20
1.7 Organisatie en financiering 21
Stelselherziening gezondheidszorg 21
Diagnose behandel combinaties 21
1.8 Het monitoren van patiënten/cliënten 23
Managed care 23
Zorgtoewijzing en wachtlijstbeheer 23
1.9 Overige onderwerpen 24
2 Normen voor ICT in de zorg
2.1 Het begrip persoonsgegevens 27
Norm: Waneer is er sprake van een
persoonsgegeven? 27
Praktijkvoorbeeld: LADIS 29
2.2 Verwerken van persoonsgegevens 31
2.3 Toepasselijkheid van de WBP 31
2.4 Verantwoordelijke 32
2.5 Bewerker 32
2.6 Algemene bepalingen van de WBP 33
Het systeem van de algemene bepalingen 34
Transparantie 34
Doelbinding 35
Rechtmatige grondslag 35
Kwaliteit van gegevens 35
Beveiliging 35
Bewaartermijnen 36
2.7 Medisch beroepsgeheim 36
Norm: toestemming 37
Privacy bij ICT
in de zorg
Inhoudsopgave
Toestemming: verhouding WGBO – WBP
(voorheen WPR) 38
Praktijkvoorbeeld: toestemming voor
toekomstige gegevensverstrekking 39
Rechtstreeks betrokken bij de
behandelingsovereenkomst 39
Criteria van de Registratiekamer voor
‘rechtstreeks betrokken’ 40
Medisch wetenschappelijk en statistisch
onderzoek en het beroepsgeheim 41
Praktijkvoorbeeld: registratie van post
partum gegevens na triple-test 42
2.8 Bijzondere gegevens 43
2.9 Verenigbaar gebruik 44
Norm: verenigbaar gebruik 44
Praktijkvoorbeeld: Diabetespas 44
2.10 Privacybevorderende technologieën
in de zorg 45
Norm voor beveiliging 45
Geschiedenis Privacy-Enhancing
Technologies 45
Praktijkvoorbeeld: Privacy Incorporated
Database (PID) 46
2.11 Normen voor een elektronische
identiteitsinfrastructuur 47
Het sofi-nummer 47
Het A-nummer 48
Een versleuteld sofi- of A-nummer 48
Een nationaal gezondheidsnummer 48
Lokale of regionale zorgnummers 48
Zorgketennummers 49
Praktijkvoorbeeld: advies over een
versleuteld sofi-nummer 49
Biometrie 49
Conclusie ten aanzien van de vijf
patiëntnummers 50
Conclusie ten aanzien van biometrie 50
2.12 Normen voor een elektronische informatieinfrastructuur
51
Normen voor chipkaarten 51
Normen voor een EPD 51
Autorisatienormen voor een EPD? 51
Verantwoordelijkheids- en aansprakelijkheidsnormen
bij het EPD? 52
Normen voor verwijsindexen 54
2.13 Normen voor internet 54
Praktijkvoorbeeld: medische dossiers op
internet 55
2.14 Normen voor organisatie en financiering
van de zorg 57
2.15 Normen voor het monitoren 58
Praktijkvoorbeeld: regionale
MRSA-registratie 58
Normen voor managed care 58
< VORIGE INHOUD VOLGENDE >
6

2.16 Normen voor DNA-zelftests 59
3 Aanbevelingen voor ICT in de zorg
3.1 Algemeen: privacy by design en
normontwikkeling 63
3.2 De elektronische identiteitsinfrastructuur 63
3.3 De elektronische informatie-infrastructuur
63
Consequenties voor de toekomst: generieke
toestemming 64
3.4 Het terrein van patiënt en internet 64
3.5 Organisatie en financiering 65
3.6 Het monitoren van patiënten/cliënten 66
3.7 Witte plekken 66
Bijlagen
1 Verslag invitational conference
20 juni 2002 69
2 Deelnemerslijst invitational conference
20 juni 2002 76
3 Hand-out presentatie prof.dr.ir. Theo de
Vries 77
4 Hand-out presentatie mr.drs. Theo
Hooghiemstra 83
5 Dankwoord aan de meelezers 86
6 Lijst van afkortingen 87
Summary
Achtergrondstudies en Verkenningen
< VORIGE INHOUD VOLGENDE >
Privacy bij ICT
in de zorg
Inhoudsopgave
7

Samenvatting

Privacy bij ICT
in de zorg
Samenvatting
Samenvatting Met deze studie is het laatste woord over privacy bij ICT in de zorg nog niet gezegd.
ICT-toepassingen in de zorg staan nog maar aan het begin van hun ontwikkeling.
Er zijn nog vele nieuwe vraagstukken om te bestuderen, bijvoorbeeld de ontwikkeling
van diensten via internet en de opkomst van de biogenetica in relatie tot ICT.
Deze studie richt zich op iedereen die betrokken is bij de privacyaspecten van ICTtoepassingen
in de zorg. Meer in het bijzonder richt deze studie zich op degenen die
betrokken zijn bij de totstandkoming van de (landelijke) informatie-infrastructuur
voor de gezondheidszorg: overheid, patiëntenorganisaties, zorginstellingen, koepelorganisaties,
zorgverzekeraars en software-ontwerpers.
De doelstelling van de studie is tweeledig: de lezer via verbindende thema’s een
overzicht geven van de privacyaspecten van de vele ICT-toepassingen in de zorg, en
een privacyvriendelijke richting geven aan de ontwikkeling van de ICT-infrastructuur
in de zorg.
Verbindende thema’s
ICT kan worden ingezet om de kwaliteit en de doelmatigheid van de zorg te
verbeteren. Aan de hand van vijf verbindende thema’s is geprobeerd een overzicht
te geven van de privacyaspecten van de vele ICT-toepassingen in de zorg.
Deze vijf verbindende thema’s zijn:
1 de ontwikkeling van een elektronische identiteitsinfrastructuur;
2 de ontwikkeling van een elektronische informatie-infrastructuur;
3 een mogelijk sterkere positie voor de patiënt via internet;
4 veranderingen in de organisatie en de financiering van de zorg;
5 het monitoren van patiënten en cliënten.
1 Elektronische identiteitsinfrastructuur
Voor een goede hulpverlening is het van belang dat gegevens over één en
dezelfde patiënt met elkaar in verband kunnen worden gebracht zonder dat
daarbij verwarring optreedt met gegevens van een andere persoon. De meest
voorkomende vorm van unieke patiëntverificatie is een patiëntnummer.
Patiëntnummers zijn persoonsnummers en persoonsnummers zijn persoonsgegevens.
Het is aan te bevelen om het voornemen van een landelijk patiëntnummer
gefaseerd tot stand te laten komen in combinatie met regionale- en
ketennummers in de zorg. Verder is het raadzaam om op kleine schaal te
experimenteren met biometrie voor patiënt- en zorgverlenersidentificatie.
2 Elektronische informatie-infrastructuur
Het is begonnen met chipkaartprojecten. Het inzicht groeide vervolgens dat de
chipkaart een sleutel zou moeten zijn om toegang te krijgen tot een virtueel
elektronisch patiëntdossier (EPD). De ambitie van landelijke beleidsmakers is
dat het EPD via een virtuele landelijke infrastructuur in het hele land te raadplegen
is door degenen die daartoe geautoriseerd zijn.
De autorisatienormen voor een EPD dienen rekening te houden met het medisch
beroepsgeheim. De verantwoordelijkheid voor de verwerking van de gegevens
zal verdeeld zijn over de verschillende bij het EPD-project betrokken actoren.
Bovendien dient voldaan te worden aan de beveiligingsverplichtingen. Het is
aan te raden gebruik te maken van privacybevorderende technologieën.
3 Patiënt en internet
Internet kan de positie van de patiënt versterken. Internet is echter ook een
onveilig open systeem dat privacyrisico’s met zich meebrengt. De patiënt moet
daar bewust van worden gemaakt en doet er verstandig aan zich tegen deze
risico’s te beschermen.
< VORIGE INHOUD VOLGENDE >
10

11
4 Organisatie en financiering
Uitgangspunt van de regering is een stelselherziening van de gezondheidszorg
waarbij er concurrentie komt tussen aanbieders van zorg en tussen zorgverzekeraars.
Tevens is het voornemen een bekostigingssysteem in te voeren
dat is gebaseerd op geleverde prestaties, de zogeheten Diagnose Behandel
Combinaties. Daarvoor moeten waarschijnlijk gedetailleerde behandelingsgegevens
van de patiënt verwerkt worden. Het is van belang dat men bij de
nadere invulling en uitwerking van genoemde voornemens zich rekenschap
geeft van de verschillende rollen van de zorgverzekeraar, de andere partijen in
de gezondheidszorg en de grenzen die door de dwingendrechtelijke privacywetgeving
en het medisch beroepsgeheim worden gesteld. De wetgever zal
bovendien bij de verantwoording van de betreffende wetgeving rekening
moeten houden met de normen die gelden in het kader van het beroepsgeheim
en voor het verwerken van gezondheidsgegevens, met de Europese richtlijn
bescherming persoonsgegevens én met de verplichting om voorstellen van wet
en ontwerpen van algemene maatregelen van bestuur die geheel of voor een
belangrijk deel betrekking hebben op de verwerking van persoonsgegevens ter
advisering voor te leggen aan het CBP.
5 Het monitoren van patiënten en cliënten
In de zorgsector is er een sterke behoefte om met behulp van ICT de patiënt/cliënt
te kunnen volgen: bijvoorbeeld voor medisch wetenschappelijk onderzoek
en statistiek, managed care, zorgtoewijzing en wachtlijstbeheer of voor regionale
en landelijke registraties.
Medisch-wetenschappelijk onderzoek is daarbij meestal gebonden aan de spelregels
die gelden in relatie tot het medisch beroepsgeheim en de gedragscode
‘Goed Gedrag’ die momenteel herzien wordt in het licht van de WBP.
Managed care staat voor het op elkaar afstemmen van de zorgvraag en het zorgaanbod.
Dat betekent bijna altijd dat sprake is van informatiemanagement door
een andere partij dan arts en patiënt. Bij managed care dient eerst gekeken te
worden of de toegang tot de medische gegevens in overeenstemming is met de
vereisten die gelden op grond van het medisch beroepsgeheim, vaak ook in
relatie tot wetenschappelijk onderzoek en statistiek. Vervolgens dient het verwerken
van gezondheidsgegevens te voldoen aan het stringente regime dat
daarvoor geldt. Bovendien dient te worden voldaan aan de bepalingen voor
verenigbaar gebruik.
Wat betreft bestanden voor zorgtoewijzing en wachtlijstbeheer heeft de staatssecretaris
van VWS na kritische opmerkingen van het CBP een aparte werkgroep
in het leven geroepen van de betrokken partijen, die met name naar de
privacyaspecten moet kijken. Iedere nieuwe fase van een project wordt nu aan
het CBP voorgelegd.
Het CBP heeft verder behoefte aan meer feitelijke kennis over landelijke
registraties in de zorg en is derhalve in het najaar van 2002 begonnen met een
feitenonderzoek in de praktijk. Zorginstellingen en zorgverleners doen er zelf
ook verstandig aan hier meer inzicht in te krijgen, aangezien zij vaak wel verantwoordelijk
zijn te stellen voor de gegevens die aan dergelijke registraties
worden geleverd.
Privacyvriendelijke ICT-infrastructuur
Tijdige én adequate aandacht voor privacybescherming in de zorg is meer en
meer een kritische succesfactor. Uit de vijf verbindende thema’s valt af te leiden
dat de veranderingen in de gezondheidszorg vergaande gevolgen kunnen
< VORIGE INHOUD VOLGENDE >

Privacy bij ICT
in de zorg
Samenvatting
hebben voor de wijze waarop die zorg in de nabije toekomst wordt verleend,
bestuurd en gefinancierd. Schaalvergroting, transmuralisering en marktwerking
staan hierbij hoog in het vaandel. Daarbij is het van belang om rekening te
houden met de privacyaspecten. Bij de huidige ICT-toepassingen is privacy
echter vrijwel niet als ontwerpcriterium meegenomen. Dat zal moeten veranderen.
< VORIGE INHOUD VOLGENDE >
12

Ontwikkelingen bij ICT in de zorg
1

1
Zie de oratie van T. de Vries,
‘De toekomstige rol van ICT in de
Ontwikkelingen zorg’, Universiteit Twente, bij ICT in de zorg
21 maart 2002, p.4.
2
Met de woorden ‘patiënt’ of
‘cliënt’ wordt overal in de tekst
bedoeld: hem of haar, zijn wettelijk
vertegenwoordiger, een
mens met (chronische) ziekte(n)
of handicap.
3
In navolging van de oratie
van M. Berg, Kaf en koren van
kennismanagement, Erasmus
Universiteit Rotterdam,
1 maart 2002, p.3 worden hier
de dimensies van kwaliteit uit
het rapport van de Committee
on Quality of Healthcare in
America (2001) gehanteerd.
Privacy bij ICT
in de zorg
Hoofdstuk 1
Het CBP heeft tot taak toe te zien op naleving van de Wet bescherming persoonsgegevens
(WBP) en de bescherming van de persoonlijke levenssfeer met betrekking
tot de verwerking van persoonsgegevens in het algemeen. Dat brengt met zich dat
het CBP ook anticipeert op ontwikkelingen die van belang (kunnen) zijn voor de
persoonlijke levenssfeer. Het CBP ziet tijdige én adequate aandacht voor privacybescherming
meer en meer een kritische succesfactor worden. Dat geldt zeker voor
de privacygevoelige veranderingen in de gezondheidszorg.
In de gezondheidszorg zijn veranderingen gaande die verstrekkende gevolgen
kunnen hebben voor de wijze waarop die zorg in de nabije toekomst wordt verleend,
bestuurd, gemonitord en gefinancierd. Voorop staat hierbij het streven
om te komen tot betere kwaliteit, betere toegankelijkheid, meer efficiency en
duurzame financiering voor iedereen die zorg behoeft. Schaalvergroting, transmuralisering
en marktwerking staan hierbij hoog in het vaandel. De inzet van
informatie- en communicatietechnologie (ICT) moet het toenemende gegevensverkeer
binnen de sector in goede banen leiden.
Verantwoorde ICT-toepassingen kunnen van groot belang zijn voor de gezondheid
van de patiënt. Bij de inrichting en het gebruik van die ICT-toepassingen is
het van belang dat voldoende aandacht wordt besteed aan de bescherming van
persoonsgegevens. Bovendien dient het medisch beroepsgeheim de juiste aandacht
te krijgen. Door te weinig aandacht voor, maar ook door misbruik van
privacywetgeving en het medisch beroepsgeheim kunnen andere belangrijke
uitgangspunten van de gezondheidszorg in de verdrukking komen en ondergeschikt
raken, met name de belangen van de patiënt.
Tegen deze achtergrond wordt in deze studie een overzicht wordt gegeven van
trends, normen en praktijkvoorbeelden met betrekking tot privacy bij ICT in de
zorg, in het licht van de inzichten die het CBP heeft opgedaan in zijn contacten
met de betrokken partijen en deskundigen.
Deze achtergrondstudie pretendeert niet volledig te zijn. Geselecteerd zijn de
beleidsvoornemens, trends, normen en uitspraken die vanuit privacyperspectief
tot op heden relevant zijn geweest. Hiermee wordt beoogd de lezer duidelijk te
maken wat van de wetgever en het CBP verwacht kan worden aangaande vraagstukken
bij ICT in de zorg. Tevens wordt beoogd enig overzicht te geven en verbanden
te leggen met betrekking tot de zeer vele vraagstukken die bij ICT in de
zorg in relatie tot privacybescherming aan de orde zijn. Pas bij voldoende overzicht
kunnen adequate oplossingen voor deze vraagstukken gevonden worden.
1.1 ICT in de zorg in relatie tot privacybescherming
ICT in de zorg is een containerbegrip dat binnen de gezondheidszorg ongeveer
alles bevat waarin informatie en communicatie een rol spelen. 1 ICT kan worden
ingezet om de patiënt/cliënt 2 zorg van betere kwaliteit te bieden in termen van
veiligheid, effectiviteit, patiëntgerichtheid, tijdigheid, efficiency en toegankelijkheid.
3 Er zijn in de praktijk vele verschillende typen patiënten in vele verschillende
posities te onderscheiden. Zo bestaan er mondige patiënten die in een
positie zijn om zelf te kunnen kiezen, maar ook patiënten die in hun (levensbedreigende,
sociale of intellectuele) situatie geen eigen keuzes kunnen maken.
Ook verschilt de situatie per ziektebeeld. De verschillende situaties waarin
patiënten zich kunnen bevinden hebben ook consequenties voor de mate waarin
zij door privacynormen worden beschermd. In deze studie is er echter voor
gekozen dit niet nader uit te werken. Wel kan worden gesteld dat uniforme
informatiesystemen onvoldoende rekening houden met de verschillende
< VORIGE INHOUD VOLGENDE >
14

4
Overigens mag niet vergeten
worden dat ook de privacy van
hulpverleners moet worden
gewaarborgd. Juist omdat bij
ICT in de zorg er vaak sprake
is van een ketenproces, leidt
een zwakke privacybescherming
van één van de schakels
(bijvoorbeeld de hulpverlener)
al (te) snel tot een zwak
Ontwikkelingen proces, ondanks goede zorg bij ICT in de zorg
voor de patiënt.
5
Zie verslag invitational conference,
bijdrage Ouwehand e.a.
6
Zie verslag invitational conference,
bijdrage van Hustinx.
15
situaties waarin een patiënt zich kan bevinden.
De zorgvuldige omgang met vertrouwelijke gegevens van patiënten is altijd een
belangrijk aandachtspunt geweest in de gezondheidszorg. 4 Het medisch
beroepsgeheim staat daarbij centraal. Dit berust op het uitgangspunt dat
iedereen zich om hulp of advies tot een arts of een andere hulpverlener moet
kunnen wenden zonder de vrees dat informatie die hij in dat kader aan de
betrokken hulpverlener toevertrouwt, bij een ander bekend wordt.
Duidelijkheid over de reikwijdte en de consequenties van het beroepsgeheim is
in het belang van iedere patiënt en van de samenleving als geheel. Zorg voor de
patiënt en zorg voor de informatie over de patiënt zijn in de gezondheidszorg
nu eenmaal nauw verweven. Uitgangspunt in deze achtergrondstudie is de
bescherming van patiëntengegevens, hoewel de privacywetgeving uiteraard ook
op persoonsgegevens van zorgaanbieders van toepassing is. In de praktijk blijkt
dat er een continue vermenging is van de privacy van de patiënt, de privacy
van de zorgaanbieder en de privacy van de zorgverzekeraar. 5
Bij de zorg voor de gezondheid, baseert de gezondheidszorg zich steeds meer
op informatieverwerkende processen. Daarbij wordt informatie over patiënten
verzameld, vastgelegd, toegankelijk gemaakt en uitgewisseld, en wordt ook
voortdurend nieuwe informatie over patiënten gegenereerd en in de verwerkingen
betrokken. Dit geldt voor het ‘primaire proces’ – het leveren van zorg –
maar het geldt ook en in sterkere mate voor de samenhangende processen van
beheer, financiering, medisch-wetenschappelijk onderzoek en ontwikkeling van
beleid. Vanaf het moment dat een patiënt zich wendt tot een huisarts of medisch
specialist, is er sprake van een constante stroom van gegevens, die maar ten
dele verband houdt met het primaire proces. Elektronische dossiervorming
vindt intussen op grote schaal plaats. Niet alleen bij huisartsen en apotheken,
maar bijvoorbeeld ook in de geestelijke gezondheidszorg. Bij privacybescherming
gaat het niet zozeer om de vraag hoeveel ongerepte sneeuw je
in theorie kunt beschermen, maar veel meer om de vraag hoe de hiervoor
omschreven complexe ICT-transformatie van de zorg zodanig kan worden
ingericht dat daarbij de privacybescherming voldoende aandacht krijgt. 6
In september 2000 hebben koepels van patiënten, zorgaanbieders, zorgverleners,
zorgverzekeraars en de ministeries van Economische Zaken en Volksgezondheid,
Welzijn en Sport (VWS) de Intentieverklaring van het ICT Platform in de Zorg
(IPZorg) ondertekend, inmiddels het Nationaal ICT Instituut in de Zorg
(NICTIZ) genaamd. In november 2000 verscheen de Beleidsbrief en Actieplan ICT
in de Zorg van de minister van VWS, gevolgd door een voortgangsrapportage
eind januari 2002. Uit de intentieverklaring en beleidsplannen van VWS blijkt
dat de betrokken partijen een hoge ambitie hebben bij de toepassing van ICT in
de zorg en dat privacybescherming en beveiliging volgens alle partijen zeer
zwaar dienen te wegen.
De minister van VWS heeft laten weten dat het CBP bij het ontwikkelen van alle
voornemens betrokken zal worden. Hoewel dit uitgangspunt aanspreekt, laat
dit de eigen verantwoordelijkheid van de betrokken partijen onverlet. Zij
dienen elk voor zich zorg te dragen voor een adequate bescherming van de persoonsgegevens
in de zorg. Deze studie hoopt daarbij een handreiking te zijn.
1.2. Opbouw van de studie
Van belang is om in te zien dat het terrein van ICT in de zorg in relatie tot privacybescherming
voortdurend in ontwikkeling is. Deze studie wil hulp bieden
bij het vinden van overzicht in trends, beleidsvoornemens, normen en praktijkvoorbeelden
omtrent privacybescherming bij ICT in de zorg. Het eerste hoofdstuk
beschrijft de trends en beleidsvoornemens inzake ICT in de zorg in relatie
< VORIGE INHOUD VOLGENDE >

Ontwikkelingen 1.3. bij Verbindende ICT in de thema’s zorg
7
Deze ontwikkeling is te vergelijken
met die bij de elektro-
Ontwikkelingen nische overheid; zie J.A.G. bij ICT in de zorg
Versmissen en A.C.M. de Heij,
Elektronische overheid en privacy,
Bescherming van persoonsgegevens
in de informatie-infrastructuur
van de overheid. A&V
25, Den Haag, CBP, augustus
2002.
8
ZIN is ook een geregistreerd
begrip in de zorg en dan betekent
het Zorg Informatie
Netwerk. Hier staat, in navolging
van VWS en vele publicaties,
ZIN voor Zorg
Identificatie Nummer.
Privacy bij ICT
in de zorg
Hoofdstuk 1
tot privacybescherming. Het tweede hoofdstuk beschrijft de wettelijke normen,
uitspraken van de Registratiekamer en het CBP, rechtsgeleerde literatuur en
andere normen aangaande ICT in de zorg. Dit deel vormt min of meer een
checklist voor de normen waaraan een ICT-toepassing dient te voldoen en de
wijze waarop het CBP deze normen interpreteert. Het derde hoofdstuk geeft
aanbevelingen op basis van de conclusies die het CBP heeft getrokken gelet op
de trends, beleidsvoornemens, normen en zijn eerdere uitspraken en publicaties.
Tot slot worden in dit hoofdstuk de witte plekken beschreven die nader onderzoek
vergen.
Als bijlagen zijn toegevoegd het verslag van de door het CBP georganiseerde
invitational conference over ICT in de zorg van 20 juni 2002 en de bijbehorende
relevante stukken, zoals de presentaties en een deelnemerslijst.
ICT-toepassingen in de zorg hebben globaal (één van) de volgende doeleinden:
het verbeteren van de kwaliteit van de zorg en het verbeteren van de doelmatigheid
van de zorg. Om deze doeleinden te bereiken zijn er diverse beleidsvoornemens
geformuleerd en experimenten gaande van de zijde van de overheid,
zorgaanbieders, zorgverzekeraars en ICT-leveranciers. In dit verband is
vermeldenswaardig dat sinds 1 januari 2002 het Nationaal ICT Instituut in de
Zorg (NICTIZ) is opgericht. NICTIZ is een voortzetting van de deeltaken die
eerst uitgevoerd werden door de voormalige Stichting IPZ, VIZI (gericht op het
virtuele EPD), de Zorgpas Groep en het CSIZ (gericht op standaardisatie).
NICTIZ wordt in beginsel gefinancierd door VWS en regisseert, als belangeloze
en neutrale organisatie, de totstandkoming van een betere informatievoorziening
rondom en voor de patiënt/cliënt met behulp van ICT. Daarnaast zijn er
verschillende trends waar te nemen. De vele beleidsvoornemens, experimenten
en trends zijn onder te verdelen in de navolgende vijf verbindende thema’s:
1 de ontwikkeling van een elektronische identiteitsinfrastructuur;
2 de ontwikkeling van een elektronische informatie-infrastructuur;
3 een mogelijk sterkere positie voor de patiënt via internet;
4 veranderingen in de organisatie en de financiering van de zorg;
5 het monitoren van patiënten en cliënten.
Deze vijf verbindende thema’s worden, samen met een categorie ‘overig’ behandeld
in de navolgende zes paragrafen. Deze paragrafen beschrijven feitelijke
situaties die relevant zijn vanuit het perspectief van privacybescherming. De
normatieve aspecten van deze ontwikkelingen komen in het volgende hoofdstuk
aan de orde, terwijl in het laatste hoofdstuk bevindingen en aanbevelingen ten
aanzien van de genoemde thema’s beschreven worden.
1.4 Elektronische identiteitsinfrastructuur
Het beleid in de zorg is er op gericht om een elektronische identiteitsinfrastructuur
7 te realiseren. In de praktijk zijn er voornemens inzake unieke
patiëntidentificatie, zorgverleneridentificatie en zorgverzekeraaridentificatie. In
deze paragraaf worden de feitelijke ontwikkelingen op deze terreinen aan de
orde gesteld.
Zorgidentificatienummer
Beleidsmakers achten het Zorg Identificatie Nummer (ZIN) essentieel om tot
een landelijke elektronische infrastructuur te komen. 8 Het Expertisecentrum
(HEC) heeft opnieuw een advies uitgebracht over de gewenste wijze van implementatie
van het ZIN. HEC heeft de eerdere keuze van het ICT Platform Zorg
voor een ZIN op basis van versleuteld sofi-nummer herzien. Dit naar aanleiding
< VORIGE INHOUD VOLGENDE >
16

Ontwikkelingen bij ICT in de zorg
9
Zie paragraaf 1.8. waarin de
ervaringen van het CBP met de
AWBZ-brede Zorgregistratie
beschreven staan.
10
Zie ook T.F.M. Hooghiemstra,
‘ICT en het medisch dossier’,
in J. Legemaate (red.),
Knelpunten rond het medisch
dossier, Den Haag, Koninklijke
Vermande, 2000, p.73 e.v.
17
van aanhoudende onrust over deze keuze. Daarbij is HEC tot de conclusie
gekomen dat een landelijk ZIN-register de voorkeur heeft, waarbij het ZIN een
willekeurig nummer is dat gegenereerd wordt bij inschrijving in de
Gemeentelijke Basis Administratie (GBA) en gebaseerd is op een aantal basisgegevens
uit de GBA. Met betrekking tot de te volgen implementatiestrategie
stelt HEC dat een definitieve keuze gebaseerd zal moeten zijn op de ervaringen
met een aantal pilots. Het voorstel is de zorgregistratie van de Algemene wet
bijzondere ziektekosten (AWBZ) één van deze pilots te laten zijn. 9
HEC adviseert het NICTIZ aan te wijzen als Policy Autoriteit voor het ZIN en
het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) als Certificatie
Autoriteit. Ook adviseert HEC het wetgevingstraject te starten inzake het ZIN
als basisregistratie onder verantwoordelijkheid van de minister van VWS.
Verder adviseert HEC een voorstudie te starten naar de op termijn te realiseren
authenticatiefunctie van het ZIN door middel van een chipcard en de toepassing
van biometrie. HEC wijst daarbij op de nationale ontwikkelingen in het
kader van de elektronische Nederlandse Identiteitskaart (eNIK). Ten slotte dient
de ontwikkeling van het Zorg Identificatie Nummer volgens HEC aan mogelijk
relevante Europese ontwikkelingen en wetgeving te worden getoetst.
Unieke Identificatie van Zorgverleners
Het ministerie van VWS heeft besloten dat tot implementatie van Unieke
Identificatie van Zorgverleners (UZI) kan worden overgegaan. Het rapport
‘Stroomlijning Codestelsels Zorginstellingen’ van Vektis e.a. sluit hierbij aan.
Met het ministerie en het CIBG wordt overlegd hoe dit geëffectueerd kan
worden, waarna een gefaseerde aanpak zal worden gevolgd.
Unieke Identificatie van Zorgverzekeraars
Vektis heeft in opdracht van Zorgverzekeraars Nederland in februari 2002 een
plan van aanpak uitgebracht voor een definitiestudie Unieke Identificatie van
Zorgverzekeraars (UZOVI). De voorgestelde definitiestudie behandelt unieke
identificeerbaarheid van zorgverzekeraars en autorisatieaspecten in het proces
van gegevensuitwisseling. In NICTIZ-verband wordt de definitiestudie UZOVI
verder opgepakt.
1.5 Elektronische informatie-infrastructuur
De hiervoor beschreven voornemens om een elektronische identiteitsinfrastructuur
te realiseren zijn een eerste stap op weg naar een elektronische
informatie-infrastructuur. De voornemens omtrent een elektronische informatieinfrastructuur
in de zorg zijn begonnen met diverse chipkaartprojecten. Het
inzicht groeide dat de chipkaart een sleutel zou moeten zijn om toegang te
krijgen tot een virtueel elektronisch patiëntdossier (EPD). Virtueel betekent
daarbij dat de communicatie wellicht via een verwijsindex gaat verlopen. Een
EPD vergt autorisatieprofielen, standaarden en een goede beveiliging. Ook
daarover bestaan er beleidsvoornemens. Een nieuwe stap is het gebruik van
internet. Begrippen die hierbij gehanteerd worden zijn: telezorg, telegeneeskunde
en e-health. De hiervoor genoemde onderwerpen komen in deze
paragraaf aan bod. Het onderwerp internet in relatie tot de patiënt wordt in
de volgende paragraaf uitvoeriger behandeld.
Chipkaarten
Begin jaren negentig waren er diverse plannen en projecten in Nederland (en
daar buiten) om de technologische mogelijkheden die de chipkaart biedt, te
gebruiken ter vervanging van het papieren medisch dossier 10 . Het zou de autonomie
van de patiënt ten goede komen en als verzekeringsbewijs kunnen
< VORIGE INHOUD VOLGENDE >

11
Zie H.J.J. Leenen en J.K.M.
Gevers, Handboek gezondheidsrecht,
deel I, rechten van de
mensen in de gezondheidszorg.
Vierde druk, Samson H.D.
Tjeenk Willink, 2000, p.255.
12
Zie Registratiekamer, Advies
medische zorgpas, 1995.
13
Zie A. ter Linden, Een chipcard
voor de patiënt? Een beleidsonderzoek
naar functies en
aspecten van de chipcard in de
gezondheidszorg, Erasmus
Universiteit Rotterdam, september
1998.
14
Zie A. ter Linden, ‘Checklist
voor medische chipcards’,
Privacy & informatie, nr. 4,
augustus 1999, p.162 – 169.
Privacy bij ICT
in de zorg
Hoofdstuk 1
dienen. Al snel werd echter duidelijk dat er diverse medisch-professionele en
normatieve problemen kleven aan het plaatsen van een (deel van het) medisch
dossier op een chipkaart. Medisch-professionele problemen treden bijvoorbeeld
op als de patiënt de chipkaart niet bij zich heeft, of als de patiënt bewusteloos
is. Het is tot op heden ondenkbaar dat de medische chipkaart in de medische
praktijk een complete vervanging kan zijn voor het medisch dossier of de gegevensuitwisseling
tussen artsen. De arts moet immers zelf zijn medische administratie
kunnen bijhouden en zal zelf informatie van andere bij de behandeling
betrokken artsen moeten krijgen. Het zou bezwaarlijk zijn als de bevindingen
van de specialist pas bij de huisarts bekend zouden worden als de patiënt de
huisarts weer bezoekt. Ook interne gegevensverstrekking in het ziekenhuis kan
vooralsnog niet via de chipkaart. 11 De normatieve aspecten van de chipkaart
komen in paragraaf 2.12 aan de orde.
In 1995 heeft de Registratiekamer haar ‘Advies Medische Zorgpas’ uitgebracht
aan de Minister van VWS. 12 Zij adviseerde de Minister om de chipkaart van de
patiënt niet als medisch zakdossier te laten fungeren, omdat de uit privacybeginselen
en het medisch beroepsgeheim voortvloeiende waarborgen en regels
bij een medisch zakdossier niet of nauwelijks kunnen worden gerealiseerd. De
Registratiekamer acht het in haar rapport van 1995 echter wel zinvol om een
chipkaart in te voeren met ‘medical alert’-gegevens of chipkaarten voor
specifieke doelgroepen, zoals patiënten met chronische ziekten. In dergelijke
gevallen is het voor de patiënt voldoende transparant te maken welke gegevens
voor welk doel zijn opgenomen op de kaart. Nog beter zou het volgens de
Registratiekamer zijn indien een chipkaart slechts als toegangssleutel tot
medische informatie zou dienen.
In 1998 heeft de Registratiekamer in samenwerking met de Erasmus Universiteit
Rotterdam onderzocht hoe, drie jaar na het ‘Advies Medische Zorgpas’, in het
zorgveld over chipkaarten wordt gedacht en welke functies en aspecten inzake
de chipkaart relevant zijn. 13 Het bleek dat vrijwel iedereen tot het inzicht was
gekomen dat het niet gewenst is om een volledig medisch dossier op een chipkaart
te plaatsen en dat het de voorkeur verdient een chipkaart in beginsel
slechts te laten dienen als een toegangssleutel tot een EPD. In de afgelopen
jaren blijken de meeste chipkaartprojecten in de gezondheidszorg niet goed van
de grond te zijn gekomen. Op grond van de juridische, technische en organisatorische
voorwaarden waaraan chipkaartprojecten dienen te voldoen om de
persoonlijke levenssfeer van de patiënt voldoende te beschermen, is aan de
hand van de resultaten van het genoemde onderzoek uit 1998 een checklist
ontwikkeld voor organisaties die een chipkaartproject in de zorgsector willen
opzetten. 14
Op dit moment komt de mogelijkheid tot gegevensopslag vooral aan de orde
in het ZorgPas-project van de gezamenlijke zorgverzekeraars. In de eerste fase
richt dit project zich op administratieve functies, zoals controle op verzekeringsgerechtigdheid
en vereenvoudiging van financiële afwikkeling. Op de langere
termijn is het de bedoeling dat de zorgpas de sleutel wordt die toegang geeft
tot het EPD. Ook zijn er enkele chipkaartprojecten van afzonderlijke zorgverzekeraars,
zoals de chipkaart voor Parkinson-patiënten van Zorg en
Zekerheid.
In de nabije toekomst zal het ZIN door middel van een chipcard kunnen dienen
als authenticatiemiddel en zal mogelijk biometrie op de chipkaart worden toegepast.
Wellicht dat hierbij aansluiting zal worden gezocht bij de nationale ontwikkelingen
die op dit gebied lopen in het kader van de elektronisch
Nederlandse Identiteitskaart (eNIK).
< VORIGE INHOUD VOLGENDE >
18

15
Zie J. van der Lei, ‘Van huisartsendossier
naar elektronisch
patiëntdossier’, Nederlands
Tijdschrift voor Medische
Administratie, september 1998,
p.14-17.
16
Het Rathenau Instituut prefereert
in haar studie De nacht
schreef rood (1998) de benaming
Elektronisch Zorgdossier,
omdat die term aangeeft dat
het dossier eerst en vooral een
functie heeft in het proces van
zorgverlening en omdat dossiers
naast een drager van
‘patiëntgegevens’ ook vooral
dragers zijn van informatie
over de verrichte zorghandelingen.
17
Zie ook: P.E. Postmus, ‘Het
zorgketendossier’, Nederlands
Tijdschrift voor Medische administratie,
september 1998, p.7-9;
A. Hasman e.a., ‘Ontwikkeling
van het ziekenhuisdossier tot
EPD’, Nederlands Tijdschrift
voor Medische Administratie,
september 1998, p.11-13.
18
Zie ook Raad voor de
Volksgezondheid en Zorg,
Informatietechnologie in de zorg.
Zoetermeer, 1996.
19
Het onderdeel ‘verwijsindexen’
is grotendeels ontleend
aan passages uit T.F.M.
Hooghiemstra,
‘Verwijsindexen’, in: J.K.M.
Gevers, Juridische aspecten van
EPD’s. ZonMw, 2002 [nog te
verschijnen].
20
Zie J.H.A.M.Grijpink,
Werken met keteninformatisering,
informatiestrategie voor de informatiesamenleving.
Den Haag,
Sdu, 1999, p.21.
19
Elektronisch patiëntdossier
De beleidsvoornemens van VWS omtrent ICT in de zorg zijn grotendeels gericht
op de totstandkoming van een zorgbreed elektronisch patiëntdossier (EPD). In
de praktijk zijn al vele medische dossiers geheel of gedeeltelijk elektronisch
vastgelegd, al dan niet in combinatie met een papieren dossier. Het overgrote
deel van de huisartsen is inmiddels overgeschakeld van de traditionele groene
kaart naar de elektronische kaart. 15 Ook diverse maatschappen hebben een
eigen elektronisch dossier aangelegd. Dergelijke lokale dossiers worden door
beleidsmakers elektronische medische dossiers (EMD´s) genoemd. 16
Bij een EPD gaat het om een stelsel van elektronische deeldossiers over één
patiënt die door zorgverleners zonodig op afstand kunnen worden geraadpleegd.
Het gaat daarbij met andere woorden om een virtueel dossier. Een dergelijk
stelsel zou betrekking moeten hebben op de gehele zorgketen en in
theorie alle deeldossiers over één patiënt moeten omvatten. 17 Het EPD is met
andere woorden een verzameling van lokaal opgeslagen EMD’s. 18 Bij voorkeur
is dan nog een combinatie mogelijk met kennissystemen die uitsluitsel geven
over behandelmethoden. Om dat te realiseren zal er in ieder geval sprake
moeten zijn van gestructureerde gegevensvastlegging volgens daartoe ontwikkelde
normen en standaarden.
In deze paragraaf wordt ervan uit gegaan dat de kern van het EPD is dat de
behandelaar op elk gewenst ogenblik toegang heeft tot alle voor hem relevante
gegevens van een individuele patiënt. In de praktijk is tot op heden nergens een
EPD gerealiseerd dat voldoet aan het hiervoor omschreven ideale EPD. Er wordt
echter wel een aantal initiatieven ondernomen om het EPD te bevorderen.
Verwijsindexen 19
Een verwijsindex is een hulpmiddel bij het uitwisselen van gegevens via verwijsinformatie.
Verwijsinformatie wijst de weg naar de plaats waar een gegeven
gevonden kan worden. 20 Verwijsinformatie bestaat bij een elektronisch patiëntdossier
uit een identificerend gegeven van de patiënt en een verwijzing naar
een zorgverlener.
De hier gegeven definitie gaat uit van een beperkte gegevensset, ook wel een
‘kale verwijsindex’ genoemd. De verwijsinformatie wordt bijgehouden in speciaal
daarvoor ingerichte informatiesystemen en deze informatiesystemen
worden verwijsindexen genoemd. Uitgangspunt is dat de verwijsindex geen
daadwerkelijke toegang tot patiënteninformatie verschaft. Er zijn vele varianten
van verwijsindexen denkbaar zoals landelijke, regionale, lokale, doelgroepgebonden
(keten-) verwijsindexen of een verwijsindex op een chipcard van de
patiënt. Verder zijn er centrale en decentrale verwijsindexen. Binnen de gezondheidszorg
zijn de Landelijke Centrale Middelen Registratie en het Pathologisch
Landelijk Geautomatiseerd Archief voorbeelden van het gebruik van verwijsindexen.
Het beleidsvoornemen van VWS is gericht op een flexibele regionale invulling
voor een verwijsindex die past binnen een landelijke basisstructuur. Met een
aantal regio’s wordt gesproken op basis van de concrete behoefte aan een
verwijsindex.
Zorgverlenersregistratie
Het CIBG heeft een definitiestudie afgerond inzake de inrichting van een zorgverlenersregistratie.
Een dergelijk register is volgens VWS cruciaal voor het
verlenen van toegang tot een EPD. Het gaat hierbij om autorisatie van de zorgverlener.
< VORIGE INHOUD VOLGENDE >

21
Zie J.A.G. Versmissen,
Sleutels van vertrouwen, TTP´s,
digitale certificaten en privacy.
A&V 22, Den Haag,
Registratiekamer, maart 2001.
Dit rapport geeft aan dat via
de genoemde moderne technologieën
betrouwbare communicatie
en privacybescherming
op internet mogelijk is mits de
bepaalde randvoorwaarden in
acht worden genomen.
22
Zie het Advies van de Raad
voor de Volksgezondheid &
Zorg, ‘Patiënt en Internet’,
maart 2000, ‘Over e-health en
cybermedicine’, maart 2000 en
‘E-health in zicht’, 25 april
2002.
23
Zie de oratie van T. de
Vries, De toekomstige rol van
ICT in de zorg. Universiteit
Twente, 21maart 2002.
Privacy bij ICT
in de zorg
Hoofdstuk 1
Standaarden
VWS stimuleert verder het vorm geven aan ontwikkeling en beheer van standaarden.
Voor het NICTIZ is hier een belangrijke rol als regisseur weggelegd.
Autorisatieprofielen en –protocollen
Door de Normcommissie Informatiebeveiliging in de Zorg is in afstemming met
Enigma 303, een gezamenlijke beleidscommissie van CSIZ en NEN, een projectvoorstel
opgesteld om te komen tot een Nederlandse conceptnorm
‘Informatiebeveiliging in de zorg’. Het ministerie heeft zich inmiddels bereid
verklaard om voor de financiering van de activiteiten zorg te dragen. In dit
kader heeft de Nederlandse Patiënten en Consumentenfederatie (NPCF) zich
bereid verklaard de verantwoordelijkheid op zich te nemen voor het tot stand
brengen van een patiëntprofiel. Normcommissie 303001 (Informatiebeveiliging
in de zorg) van het Nederlands Normalisatie Instituut (NEN) en NICTIZ werken
samen aan de Nederlandse conceptnorm. Het opstellen van autorisatieprofielen
en –protocollen is een onderdeel van de norm voor informatiebeveiliging.
Digitale certificaten, PKI’s en TTP’s
Om betrouwbare elektronische communicatie en transacties mogelijk te maken
zullen in de toekomst zogenaamde ‘digitale certificaten’, ‘public-key infrastructures’
(PKI’s) en ‘trusted third parties’(TTP’s) een cruciale rol gaan spelen. 21
Voor wat betreft het gebruik van nieuwe technologie zijn internet en
telegeneeskunde, via onder andere GPRS, andere trends die door het CBP
gesignaleerd worden.
TTP’s komen nog niet veel voor in de gezondheidszorg. Stichting IVZ en ABZ
Nederland zijn voorbeelden van TTP’s in de zorg.
E-health, telegeneeskunde en telezorg
E-health definieert de Raad voor de Volksgezondheid en Zorg (RVZ) 22 als het op
elektronische wijze verkrijgen en uitwisselen van informatie en het verrichten
van transacties binnen het gezondheidsdomein.
Telegeneeskunde definieert De Vries 23 als een containerbegrip dat eigenlijk alle
activiteiten rond het primaire proces in de zorg omvat waar ICT aan te pas
komt en waar fysieke afstand in zekere mate een rol speelt. Logistieke efficiency
is de essentie.
In de publicatie Telezorg in aanbouw’ van het EPN-Platform voor de informatiesamenleving
24 wordt hieraan het begrip telezorg toegevoegd. Telezorg wordt in
deze publicatie gedefinieerd als het met ICT ondersteunen van zorghandelingen
gericht op transmurale processen. Telezorg stelt de patiënt centraal in het verzamelen
en ordenen van gegevens betreffende de eigen gezondheid en het eigen
welzijn. De begrippen e-health en telegeneeskunde voorziet het EPN van een
andere omschrijving.
Niet alleen de directe zorg, maar ook de zorgondersteuning kan met e-health,
telegeneeskunde en telezorg worden verbeterd. Door patiëntgegevens digitaal
uit te wisselen, kan zowel de efficiency als de kwaliteit van de zorg worden verbeterd.
Artsen en andere zorgverleners die bij de behandeling van een patiënt
betrokken zijn, kunnen dan snel een compleet beeld van de medische gegevens
van de patiënt krijgen. Hierdoor kunnen onder meer medische fouten, zoals
medicatiefouten, en onnodig dubbel onderzoek worden voorkomen.
24
Zie A. van Buitenen en
P. Epping, Telezorg in aanbouw, Een ontwikkeling die in opkomst is, is het betrekken van diensten via internet,
een verkenning naar de praktijk, zoals het raadplegen van een arts. Op dit moment zijn de mogelijkheden om via
analyse en modellen voor de toekomst.
EPN-Platform voor de < VORIGE INHOUD VOLGENDE >
20

Ontwikkelingen 1.6bij Patiënt ICT in en internet de zorg
informatiesamenleving, 2002.
25
Schnabel, P., ‘Een sociale en
culturele verkenning voor de
langere termijn’ in: CPB en
SCP, Trends, dilemma’s en beleid:
essays over ontwikkeling op de
langere termijn. Den Haag, Sdu,
2000, p.21-24.
26
Zie onder andere de zaken
van het CBP die horen bij
nummer z2001-1595, oktober
2002.
27
De onderstaande tekst is
ontleend aan T.F.M.
Hooghiemstra, ‘Patiënten en
internet’, Tijdschrift voor
Gezondheidsrecht, nr. 7, 2001,
p.434 - 445.
28
Zie ook het Working
Document Privacy on the
Internet, An integrated EU
Approach to On-line Data
Protection, 21 November 2000,
van de Working party in de zin
van artikel 29 van richtlijn
95/46/EC, met name p.13-20.
29
Richtlijn 95/46/EG van het
Europees Parlement en de
Raad van 24 oktober 1995,
Pb L281/31, 23 november 1995,
betreffende de bescherming
van natuurlijke personen in
verband met de verwerking
van persoongegevens en
betreffende het vrije verkeer
van gegevens.
21
internet een medische behandeling te geven en te ontvangen nog beperkt, maar
deze zullen met het voortschrijden van de techniek snel toenemen.
Uit in opdracht van de RVZ verricht onderzoek blijkt dat driekwart van de
internetgebruikers (ofwel meer dan 6 miljoen Nederlanders) met hun huisarts of
specialist via internet wil communiceren. Bijna de helft van de internetgebruikers
ziet heil in toekomstige gezondheidsbewaking op afstand. Van de internetgebruikers
zegt 74% zijn medische gegevens, mits goed beveiligd, via internet te
willen inzien.
Internet schept kansen en bedreigingen voor de patiënt. Internet kan de positie
van de patiënt versterken door een betere toegang tot informatie voor de
patiënt, betere mogelijkheden tot lotgenotencontact, verlaging van de drempel
voor het vragen van een second opinion, mogelijkheden tot anoniem communiceren
en de mogelijkheid voor patiënten om hun dossier op internet te plaatsen.
Het gebruik van e-health en internet kan ertoe bijdragen dat aan het beroep dat
patiënten op de zorg doen, beter, sneller en meer afgestemd op hun wensen
wordt voldaan. Zo kan de gezondheid van patiënten op afstand worden
bewaakt, kan op afstand een medische diagnose worden gesteld, kunnen
bepaalde behandelingen via internet worden gegeven en kunnen artsen via
internet worden geconsulteerd. Naast bestaande zorgaanbieders, zoals ziekenhuizen,
artsen en thuiszorg, zullen nieuwe typen zorgaanbieders e-healthdiensten
gaan aanbieden. Bepaalde routinematige taken die artsen of verpleegkundigen
nu nog zelf uitvoeren, kunnen deels door ander personeel, door de
patiënt zelf of op geautomatiseerde wijze worden verricht.
Zich individualiserende patiënten/cliënten zullen zich massaal wenden tot
internet omdat zij van de traditionele bronnen weinig soelaas verwachten. Dit
ondanks het feit dat steeds meer artsen zich als adviseur van de patiënt lijken te
gaan gedragen. De patiënt wil zich steeds minder van hen afhankelijk maken.
Dit wordt versterkt door een proces van onthiërarchisering van de samenleving
en grotere gelijkheid in menselijke verhoudingen. 25 De arts zal niet meer als
de ultieme bron van kennis worden gezien. Via internet zullen steeds meer
mogelijkheden tot second opinion, zelfdiagnose en zelfbehandeling worden aangeboden,
om het even of dat via kennissystemen gaat of via het aanbieden van
tests voor zwangerschap, allerlei bloedbepalingen enzovoorts. Het CBP merkt
aan de zaken die worden voorgelegd al dat het vraagstuk van de zelfdiagnose,
al dan niet gedeeltelijk met ondersteuning van internet, toeneemt. 26
Welke privacyvraagstukken kunnen voor patiënten en hulpverleners aan de
orde zijn bij gebruik van internet? 27 Internet is een open systeem dat privacyrisico’s
met zich meebrengt. 28 Bijvoorbeeld doordat de gegevens op internet een
dynamische route volgen op basis van protocollen waarbij snelheid vrijwel het
enige criterium is. Congestie is voor de snelheid een groter probleem dan
afstand, gegeven het feit dat de gegevens met bijna de snelheid van het licht
kunnen worden verplaatst. Dit betekent dat de snelste weg tussen twee steden
in hetzelfde Europese land kan verlopen via een niet-Europees land waar wellicht
geen sprake is van een adequate databescherming in de zin van het
Europees dataprotectieverdrag. 29
Naast protocollen spelen ook browsers en softwareprogramma’s een belangrijke
rol. In sommige gevallen maken zij het op grond van een identificerend gegeven
mogelijk om een persoon als patiënt te relateren aan diens activiteiten op
internet. Het behoort tot de verantwoordelijkheid van de ontwerpers van dit
< VORIGE INHOUD VOLGENDE >

Ontwikkelingen bij ICT in de zorg
30
In dat verband is artikel 14
van de Europese ontwerp-telecomrichtlijn
van 12 juli 2000
van belang, omdat daarin staat
dat wanneer dat vereist is, de
Europese Commissie technische
maatregelen zal opleggen
om de privacybescherming van
de gebruikers te garanderen.
31
Goldman, J., Hudson, Z. &
Smith, R.M., Privacy, Report on
the Privacy Policies and Practices
of Health Web Sites. California
Healthcare Foundation, januari
2000.
Privacy bij ICT
in de zorg
Hoofdstuk 1
soort producten dat zij gebruikers de mogelijkheid bieden zich tegen dergelijk
privacybedreigingen te beschermen. 30
Een meer specifiek privacyrisico is dat patiëntgegevens die in gegevensbestanden
zijn opgeslagen en gekoppeld zijn aan internet, voor mensen die zich
daarin bekwamen relatief gemakkelijk te bekijken, te verspreiden en te muteren
zijn. Daarnaast is de surfer op het internet traceerbaar via diens IP-adres, een
persoonlijk via de provider toegewezen nummer dat toegang verschaft tot
internet. Hierdoor kan men zien aan welke websites de patiënt een bezoek heeft
gebracht. Deze gegevens worden geregistreerd door aan de website gekoppelde
kleine bestanden, ‘cookies’ genaamd, die bij een bezoek aan een website op de
harde schijf van de computer van de surfer geplaatst worden. Wanneer men in
combinatie met een cookie een online webformulier invult met persoonlijke
gegevens, is het surfgedrag van de persoon inzichtelijk. De medische historie of
de medische interesse van de betreffende persoon wordt daarmee mogelijk
bekend bij onbevoegde derden. Bedrijven kunnen inspelen op het surfgedrag
van ‘potentiële klanten’. Uit een onderzoek van Goldman e.a. blijkt dat
(Amerikaanse) websites op het gebied van gezondheid vrijwel geen oog voor de
privacy van hun bezoekers hebben. 31
1.7 Organisatie en financiering
Twee onderwerpen bij ICT in de zorg staan in relatie tot de organisatie en financiering
van de zorg: ten eerste de stelselherziening gezondheidszorg en ten
tweede de diagnosebehandelingssystematiek.
Stelselherziening gezondheidszorg
In het strategisch akkoord voor het kabinet Balkenende, ‘Werken aan vertrouwen,
een kwestie van aanpakken’ (2002) staat dat er een ingrijpende wijziging
nodig is in de organisatie en financiering van de zorg. De voorgenomen
stelselwijziging sluit grotendeels aan bij een advies dat de Sociaal-Economische
Raad in december 2000 heeft uitgebracht. Uitgangspunt daarbij is concurrentie
tussen aanbieders van zorg en tussen zorgverzekeraars, in combinatie met een
sterkere positie van cliënten en patiënten, met andere woorden meer marktwerking.
De overheid biedt volgens het strategisch akkoord de kaders waarbinnen
patiënten en instellingen hun eigen keuzen kunnen maken en verantwoordelijkheid
kunnen nemen. Niet regelgeving maar de vraag van patiënten
stuurt dan het volume en de variëteit van het zorgaanbod. Het voornemen is
om in 2005 naast de AWBZ één verplichte privaatrechtelijke verzekering voor
iedereen in te voeren, verzorgd door private uitvoerders die een standaardpakket
van noodzakelijke zorg aanbieden. Om solidariteit en toegankelijkheid
te garanderen geldt voor verzekeraars een acceptatieplicht voor het standaardpakket
met een verbod op premiedifferentiatie naar gezondheid of leeftijd, in
samenhang met een systeem van risicoverevening. Om de productiviteit te
stimuleren wordt een bekostigingssysteem ingevoerd dat is gebaseerd op
geleverde prestaties. Daarbij wordt gedacht aan de systematiek van de zogeheten
DBC’s (Diagnose Behandel Combinaties).
Diagnose Behandel Combinaties
De invoering van de Diagnose Behandeling Combinatie (DBC)-systematiek
ondersteunt de omslag van een zogenaamd aanbodgereguleerde sturing naar
een vraaggerichte sturing van specialistische medische zorg. DBC’s moeten
uiteindelijk het fundament vormen voor een contractenstelsel tussen zorgverzekeraars
en ziekenhuizen/medisch specialisten en daarmee het huidige
financieringssysteem van functiegerichte budgettering voor ziekenhuizen en
het verrichtingensysteem voor medische specialisten vervangen.
< VORIGE INHOUD VOLGENDE >
22

32
Zie Registratiekamer, zaaknummer
93.B.06, augustus
1993.
23
Een DBC typeert de specialistische medische zorg volgens een methodiek
waarbij de zorgvraag en diagnose worden gekoppeld aan de daartoe geleverde
zorgprestaties, zoals behandeling en begeleiding van patiënt. Een en ander in de
vorm van een zeer specifieke en unieke codering per informatieonderdeel. Een
DBC is altijd gerelateerd aan een bepaalde periode binnen een zorgtraject van
de patiënt, het zogenaamde DBC-traject. Binnen dit traject wordt de DBCdataset
opgebouwd waarmee een DBC getypeerd kan worden. Onderdelen van
de DBC-dataset zijn: begindatum, einddatum, specialismecode, zorgtypecode,
zorgvraagcode, diagnosecode, behandelingscode, status en activiteiten.
De DBC-systematiek is landelijk uniform, waarbij per specialisme de te hanteren
codes vastgesteld worden. Er zal sprake zijn van één prijskaartje per DBC
waarin zowel het ziekenhuisdeel als het honorariumdeel van de medisch specialisten
is begrepen. De DBC-prijs kan per ziekenhuis verschillen.
De ontwikkeling van de DBC-systematiek is eind 2000 op gang gekomen mede
met belangrijke (financiële) steun van het ministerie van VWS. Wetenschappelijke
verenigingen van medische specialisten hebben DBC’s getypeerd en in
een veertigtal zogenaamde ‘koploperziekenhuizen’ is gestart met de registratie
van DBC’s om de getypeerde DBC’s te valideren. De bedoeling is dat uiteindelijk
de productieafspraken tussen ziekenhuizen en verzekeraars worden
gebaseerd op de DBC’s.
Informatie-uitwisseling zal volgens de plannen uiteindelijk regionaal plaatsvinden
tussen ziekenhuis/medisch specialist en de zorgverzekeraars op onderhandelings-
en declaratieniveau en herleidbaar tot de patiënt. De zorgverzekeraar
zal de NAW-gegevens van de patiënt met daarbij de DBC-dataset,
het zorgprofiel (= het geheel van activiteiten en verrichtingen van ziekenhuis en
medisch specialist voortvloeiend uit de zorgvraag per DBC-traject) en de prijs
ontvangen.
De informatievoorziening vindt landelijk plaats aan alle betrokken organisaties
op basis van gegevensaanlevering van ziekenhuizen aan een op te richten centraal
datawarehouse. Informatie over geleverde DBC’s, waaronder DBC-datasets,
zorgprofielen en prijzen, zal door het datawarehouse onder andere verstrekt
worden aan het ministerie van VWS, Zorgverzekeraars Nederland, de
Nederlandse Vereniging van Ziekenhuizen, de Vereniging van Academische
Ziekenhuizen, de Orde van medisch specialisten, wetenschappelijke verenigingen
en patiëntenorganisaties. De vraag is nog of de DBC’s en het zorgprofiel
door de specialist niet-herleidbaar worden doorgezonden naar de ziekenhuisregistratie.
Vanuit deze registratie zullen volgens de plannen gegevens via een
TTP naar het centrale datawarehouse gaan, zodat gegevens niet naar het ziekenhuis
te herleiden zijn. Of dit ook daadwerkelijk zo kan moet nog blijken.
Het onderhoud van de DBC-systematiek zal worden ondergebracht bij een op te
richten zelfstandig bestuursorgaan. Ook dit orgaan ontvangt informatie over
geleverde DBC’s uit het datawarehouse.
Over de identificeerbaarheid van gegevens kan (ten overvloede) nog opgemerkt
worden dat ook indien er geanonimiseerd wordt op patiëntniveau, er mogelijk
toch sprake van indirecte herleidbaarheid kan zijn door de veelheid van gegevens
in de DBC-dataset en de zorgprofielen.
Onduidelijk is nog of, en zo ja, hoe de DBC–systematiek wettelijk zal worden
verankerd. In dit verband is mogelijk de uitspraak relevant die de
Registratiekamer destijds over de ‘Ontslagdiagnosecode’ heeft gedaan. 32
< VORIGE INHOUD VOLGENDE >

Ontwikkelingen 1.8bij Het ICT monitoren in de van zorg patiënten/cliënten
33
Zie ook T.F.M.
Hooghiemstra, Privacy bij
wetenschappelijk onderzoek en
statistiek, Kader voor een
gedragscode. Den Haag,
CBP, mei 2002.
34
Hooghiemstra, T.F.M.,
Privacy & managed care.
A&V 12, Den Haag,
Registratiekamer, 1998.
Privacy bij ICT
in de zorg
Hoofdstuk 1
In de zorgsector is er een sterke behoefte om met behulp van ICT de patiënt/cliënt
te kunnen volgen, bijvoorbeeld bij medisch wetenschappelijk onderzoek
en statistiek, managed care, zorgtoewijzing en wachtlijstbeheer, en voor regionale
en landelijke registraties.
In de praktijk krijgt het CBP regelmatig te maken met nieuwe of tot dan toe
onbekende regionale landelijke bestanden met gegevens van patiënten/cliënten
voor wetenschappelijk onderzoek, statistiek en beleids- en managementdoeleinden.
33 Voorbeelden zijn de registraties van slachtoffers van brandwonden,
pasgeborenen, IVF-behandelden, HIV-en traumapatiënten enzovoorts.
Bovendien hebben diverse ministeries en andere beleidsinstanties ook steeds
meer behoefte aan gegevens over patiënten/cliënten, onder andere door het
streven van aanbodgerichte zorg over te schakelen op vraaggerichte zorg, in
ambtelijke termen: van beleidsbegroting tot beleidsverantwoording (VBTB).
Het CBP heeft behoefte aan meer feitelijke kennis over landelijke registraties in
de zorg en is derhalve in het najaar van 2002 een feitenonderzoek gestart naar
landelijke registraties in de zorg.
Medisch-wetenschappelijk onderzoek komt in relatie tot het beroepsgeheim in
hoofdstuk twee aan de orde. In deze paragraaf eerst enkele opmerkingen over
managed care en vervolgens de ervaringen van het CBP met de AWBZ-brede
zorgregistratie.
Managed Care
Managed care staat voor het op elkaar afstemmen van de zorgvraag en het zorgaanbod.
Dat betekent bijna altijd dat sprake is van informatiemanagement door
een andere partij dan arts en patiënt en dat gestuurd wordt met behulp van
onder andere persoonsgegevens. Een probleem met betrekking tot de privacywetgeving
is dat dergelijk informatiemanagement door een derde partij de vertrouwensrelatie
tussen arts en patiënt kan aantasten en de bescherming van
medische gegevens bedreigt. De Registratiekamer heeft over managed care een
rapport geschreven 34 . In dit rapport is de ontwikkeling van managed care in
kaart gebracht met als doel dit probleemveld te verkennen en daarbij aandacht
te vragen voor het informationele privacyaspect. De normen die gelden voor
managed care komen in hoofdstuk twee aan de orde.
Zorgtoewijzing en wachtlijstbeheer (AWBZ-brede zorgregistratie)
In de aanloop naar het nieuwe stelsel voor de gezondheidszorg was en is het
voornemen van de regering om de wachttijden terug te dringen en vraagsturing
in de verzorgende sectoren verder door te voeren. Het gaat dan om de AWBZ.
In 2000 heeft de Registratiekamer de minister en de staatssecretaris van VWS en
Zorgverzekeraars Nederland (ZN) er op gewezen ernstige twijfels te hebben of
de gegevensverstrekkingen die verband houden met zorgtoewijzing en wachtlijstbeheer
een rechtmatige grondslag hebben, zowel waar het gaat om zorgaanbieders
als waar het gaat om indicatieorganen, zorgkantoren, het ministerie
van VWS en het College voor Zorgverzekeringen (CvZ).
De kritische kanttekeningen van de Registratiekamer waren met name gericht
op de voorgenomen landelijke AWBZ-brede zorgregistratie, waarbij deze
registratie voorzien zou worden van gegevens die tot op individueel niveau
identificeerbaar zouden zijn. Na veelvuldig overleg met de betrokken partijen is
bereikt dat staatssecretaris Vliegenthart bij brief van 12 juli 2001 heeft verklaard
dat het project inzake de AWBZ-brede zorgregistratie dient te voldoen aan de
< VORIGE INHOUD VOLGENDE >
24

Ontwikkelingen 1.9bij Overige ICT in onderwerpen de zorg
35
Zie ook in de bijlagen: de
hand-out van de presentatie
van Theo de Vries.
36
Zie bijvoorbeeld: DNA.com;
Genetree.com; Genescene.com.
37
Zie zaak CBP, nummer
z2001-1595, oktober 2002
25
WBP en artikel 8 EVRM en om die reden in elke fase in elke AWBZ-sector
(Verpleging & Verzorging, Geestelijke Gezondheidszorg en Gehandicaptenzorg)
de toenmalige Registratiekamer en het huidige CBP dient te worden geïnformeerd
over de wijze waarop de persoonsgegevens worden verwerkt. Daartoe is
een aparte werkgroep in het leven geroepen van de betrokken partijen, die met
name naar de privacyaspecten moet kijken. Verder stelt de staatssecretaris dat
ten aanzien van de landelijke gegevensverzameling geen tot personen herleidbare
gegevens in de database zullen worden opgenomen. Inmiddels heeft tussen
het CBP en de door de staatssecretaris ingestelde werkgroep reeds enkele malen
afstemming plaatsgevonden over de praktische uitvoering van de AWBZ-brede
zorgregistratie. Met name de vraag naar de noodzakelijkheid van de te verwerken
gegevens en de bevoegdheden van het zorgkantoor hebben tot op heden
in het overleg tussen de werkgroep en het CBP centraal gestaan. Iedere nieuwe
fase van het project wordt nu aan het CBP voorgelegd.
De vijf hiervoor beschreven verbindende thema’s beschrijven een groot deel van
de feitelijke ICT-ontwikkelingen in de zorg die vanuit privacyoptiek interessant
zijn. Er zijn echter ook onderwerpen die niet bij deze vijf thema’s zijn onder te
brengen. Daarbij valt te denken aan ontwikkelingen omtrent certificering en
biogenetica.
Wat betreft certificering overlegt NICTIZ met TNO en KEMA en worden er
verbindingen gelegd met kwaliteitsinstituten in de zorg zoals de Stichting
Harmonisatie Kwaliteitsbeoordeling in de Zorgsector om de benodigde certificering
van de gegevensuitwisseling in de zorg te kunnen verankeren.
Wat betreft biogenetica is het van belang dat de kennis over genetica in snel
tempo toeneemt. De vraag welke ziekte de patiënt heeft, zal wellicht op termijn
worden vervangen door de vraag welke ziekte hij zou kunnen krijgen. Daaraan
verwant is de koppeling tussen geneesmiddelen en eigenschappen op genniveau
die steeds vaker gemaakt zal gaan worden. Ook zullen genetische zelftests
steeds belangrijker worden. 35
In de praktijk blijkt dat verschillende bedrijven in Nederland al DNA-zelftests
aanbieden. Het gaat daarbij tot op heden om verwantschaptests. Voor de
bedrijfsvoering wordt lichaamsmateriaal (wangslijm) van cliënten doorgestuurd
naar en getest in een laboratorium om met grote zekerheid verwantschap tussen
verschillende personen aan te tonen of dit met zekerheid uit te sluiten. In de
meeste gevallen gaat het daarbij om vaderschapstests. Op aanvraag van een
dergelijke test worden in beginsel ‘testkits’ toegezonden aan de aanvrager
waarmee wangslijm kan worden afgenomen bij degenen die zullen deelnemen
aan de test. Uit het lichaamsmateriaal worden door het laboratorium DNAprofielen
afgeleid op basis waarvan de verwantschapsbepaling wordt gedaan.
De uitslagen van de tests worden door het laboratorium gestuurd aan de aanvragers.
De testrapporten worden in het laboratorium bewaard met de gegevens
van de betreffende aanvragers. Deze dossiers worden op dit moment minimaal
vijf jaar bewaard. Voor een vaderschapstest is het voldoende als alleen de vermeende
vader en het kind lichaamsmateriaal afstaan voor de test. Dit komt dan
ook regelmatig voor. Maar ook de situatie waarbij zowel de vermeende vader,
het kind als de moeder deelnemen aan de test, komt geregeld voor.
Vermeldenswaardig is verder dat men in de Verenigde Staten inmiddels via
internet al veel meer gebruik kan maken van genetische zelftests. 36 In paragraaf
2.16 worden de normen die bij dergelijke DNA-zelftest van toepassing zijn,
behandeld aan de hand van CBP-uitspraken. 37
< VORIGE INHOUD VOLGENDE >

Privacy bij ICT
in de zorg
Hoofdstuk 1
26

Normen voor ICT in de zorg
2

Normen voor ICT in de zorg
38
Zie J.K.M. Gevers e.a.,
Juridische aspecten van EPD’s.
ZonMw, 2002 [nog te verschijnen].
39
Daar waar het woord
“nummer” wordt gebruikt,
gaat het wat het CBP betreft
om een willekeurige verzameling
van (alfa)numerieke
tekens.
Privacy bij ICT
in de zorg
Hoofdstuk 2
In dit hoofdstuk komen de normen voor ICT in de zorg aan bod. Het gaat om de wettelijke
normen, uitspraken van de voormalige Registratiekamer, het huidige CBP,
rechtsgeleerde literatuur en andere normatieve opvattingen aangaande ICT in de
zorg. Daarbij is ook gebruik gemaakt van de resultaten van het onderzoek dat het
juridisch laboratorium van ZonMw, in het kader van het programma Informatie- en
Communicatietechnologie in de Zorg (ICZ) heeft uitgevoerd naar de juridische
aspecten van ICT in de zorg, in het bijzonder van elektronische patiëntdossiers
(EPD’s). Het CBP was één van de deelnemers aan dit juridisch laboratorium, naast de
Universiteit van Amsterdam, de Universiteit Utrecht en de Katholieke Universiteit
Brabant. 38
Onderstaande paragrafen geven grotendeels de chronologische systematiek aan
waarmee vraagstukken omtrent ICT in de zorg vanuit het perspectief van de
privacywetgeving kunnen worden behandeld. Daarbij wordt steeds eerst de
norm uiteengezet, meestal gevolgd door een praktijkvoorbeeld. De uitspraken
van het CBP zijn gecomprimeerd weergegeven. In de noten vindt u de zaaknummers;
deze zaken zijn merendeels te raadplegen via de website van het CBP
of ook op te vragen bij het CBP.
2.1 Het begrip persoonsgegevens
Het begrip persoonsgegevens staat centraal bij de wetgeving ter bescherming
van persoonsgegevens. Als er geen sprake is van persoonsgegevens, is de wetgeving
niet van toepassing. Vandaar dat de uitleg van dit begrip van groot
belang is. Vooral voor degenen die wensen dat de wetgeving niet op hen van
toepassing is, maar ook voor degenen op wie de wetgeving wel van toepassing
is, omdat niet meer persoonsgegevens mogen worden verwerkt dan noodzakelijk.
Eerst worden de vragen beantwoord wanneer er sprake is van persoonsgegevens
volgens de wetgever, en hoe de Registratiekamer en het CBP deze normen
in de LADIS-casus hebben toegepast en vervolgens wordt bijzondere aandacht
besteed aan het vraagstuk van patiënt- en zorgverlenersidentificatie. In dat verband
wordt de aanbeveling behandeld van de Registratiekamer aan de toenmalige
Stichting IPZ (thans NICTIZ genaamd) over het destijds voorgenomen
versleutelde sofi-nummer als uniek patiëntidentificatienummer. 39
Norm: Wanneer is er sprake van persoonsgegevens?
De WBP verstaat onder een persoonsgegeven: elk gegeven betreffende een
geïdentificeerde of identificeerbare persoon. De definitie bevat twee elementen
die expliciet aandacht vragen. Ten eerste moet het gaan om informatie ‘betreffende’
een natuurlijke persoon. Ten tweede moet deze persoon geïdentificeerd of althans
identificeerbaar zijn. Als er aan één van beide elementen niet is voldaan, dan is er
geen sprake van persoonsgegevens en is de wet niet van toepassing. De beide elementen
staan echter niet los van elkaar. Daarnaast zijn de technische en organisatorische
mogelijkheden van de verantwoordelijke (of anderen) bepalend voor de vraag of
er sprake is van persoonsgegevens. Het begrip ‘verantwoordelijke’ wordt later
uitgelegd.
Allereerst is voor het begrip ‘persoonsgegeven’ relevant of de gegevens informatie
over een natuurlijke persoon bevatten. In veel gevallen, zoals bij feitelijke
of waarderende gegevens over eigenschappen, opvattingen of gedragingen, zal
dit uit de aard van de gegevens voortvloeien. In andere gevallen zal mede aandacht
moeten worden besteed aan de context waarin het gegeven wordt vastgelegd
en gebruikt. Als gegevens mede bepalend zijn voor de wijze waarop de
betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behan
< VORIGE INHOUD VOLGENDE >
28

29
deld, moeten die gegevens als persoonsgegevens worden aangemerkt. Het (maatschappelijk)
gebruik dat van gegevens wordt gemaakt is dus medebepalend voor
de beantwoording van de vraag of sprake is van een persoonsgegeven.
Gegevens die een neerslag vormen van een over een bepaalde persoon genomen
beslissing, kunnen worden beschouwd als deze persoon betreffende persoonsgegevens.
Ook gegevens die niet direct betrekking hebben op een bepaalde
persoon, maar bijvoorbeeld op een product of een proces, kunnen soms over een
bepaalde persoon informatie verschaffen.
De identificeerbaarheid van de persoon is het tweede element dat bepalend is
voor de vraag of sprake is van een persoonsgegeven. Uitgangspunt is dat een
persoon identificeerbaar is indien zijn identiteit redelijkerwijs, zonder onevenredige
inspanning, vastgesteld kan worden. Twee factoren spelen hierbij een rol:
de aard van de gegevens en de mogelijkheden om de identificatie tot stand te
brengen.
Een persoon is identificeerbaar indien sprake is van gegevens die alleen of in
combinatie met andere gegevens zo kenmerkend zijn voor een bepaalde persoon
dat deze aan de hand daarvan kan worden geïdentificeerd. Om te bepalen of
een persoon op wie een gegeven betrekking heeft ‘geïdentificeerd of identificeerbaar’
is in de zin van de WBP kunnen drie categorieën van gevallen worden
onderscheiden: een geïdentificeerde persoon, een identificeerbare persoon of
een persoon waarvan de identiteit redelijkerwijs niet vastgesteld kan worden.
In de eerste categorie betreft het verwerking van persoonsgegevens op naam.
In die situatie is vanzelfsprekend sprake van een persoonsgegeven.
Van een identificeerbare persoon, de tweede categorie, is sprake in geval gegevens
niet direct op naam zijn terug te vinden, maar de betrokken persoon met
aanwending van beschikbare middelen alsnog kan worden achterhaald, bijvoorbeeld
aan de hand van een nummer. Te denken valt aan een situatie waarbij een
lijst van nummers met bijbehorende namen beschikbaar is, hetzij via openbare
bron, hetzij via een bron die slechts raadpleegbaar is voor een bepaalde categorie
van personen. De met die nummers verbonden gegevens zijn – hoewel
niet op naam – persoonsgegevens wegens de beschikbare mogelijkheid om met
behulp van de nummers de identiteit van de betrokken personen te achterhalen.
Daarnaast valt te denken aan situaties waarin een bijzondere eigenschap of
combinatie van gegevens hetzij direct, hetzij door koppeling of vergelijking met
andere beschikbare informatie identificatie van een persoon mogelijk maakt.
Een combinatie van beroep, woonplaats en leeftijd is doorgaans sterk identificerend,
ook als de naam van de betrokkene niet vermeld wordt.
In de gezondheidszorg is het bij landelijke en regionale bestanden ten behoeve
van onderzoek, statistiek of beleid bijvoorbeeld heel gebruikelijk dat in vrijwel
alle bestanden de geboortedatum van de patiënt voor komt. Door mogelijke
koppeling via de geboortedatum zijn bestanden met de geboortedatum van de
patiënt dus al snel identificeerbaar. Te meer als naast de geboortedatum ook het
cijfergedeelte van de postcode in dergelijke bestanden is opgenomen.
Verder kan een onderscheid worden gemaakt tussen directe en indirecte identificeerbaarheid.
Van direct identificerende gegevens is sprake wanneer gegevens
betrekking hebben op een persoon waarvan de identiteit zonder omwegen
vast te stellen is. Direct identificerende gegevens zijn gegevens als naam, adres,
geboortedatum, die in combinatie met elkaar dermate uniek en dus kenmerkend
zijn voor een bepaalde persoon dat deze in brede kring met zekerheid of met
< VORIGE INHOUD VOLGENDE >

40
Zie zaak nummer
99.O.0174.03, 19 november
1999, Registratiekamer.
Privacy bij ICT
in de zorg
Hoofdstuk 2
een grote mate van waarschijnlijkheid, kan worden geïdentificeerd. Dergelijke
gegevens worden in het maatschappelijk verkeer ook gebruikt om personen van
elkaar te onderscheiden.
Anders ligt dit wanneer de gegevens niet direct tot identificatie van een bepaald
persoon leiden maar via nadere stappen de gegevens in verband kunnen
worden gebracht met een bepaalde persoon. Dit soort gegevens heten indirect
identificerende gegevens. Zij kunnen zijn ontdaan van de naam, maar onder
omstandigheden door combinatie met andere gegevens weer worden teruggebracht
tot een bepaalde persoon.
Bovendien zijn er gegevens die zodanig uniek zijn dat zij ook identificerend
zijn, zoals het sociaal-fiscaal nummer of unieke biometrische gegevens zoals
stem, vingerafdruk of DNA-profiel. Zo zijn biometrische kenmerken omtrent
een persoon, wanneer deze zijn vastgelegd op een gegevensdrager en daaraan
impliciet of expliciet aanvullende informatie is verbonden, persoonsgegevens.
Deze aanvullende informatie kan immers met hem in verband worden gebracht,
zodra de biometrische kenmerken worden vergeleken met de kenmerken van de
persoon waarvan zij afkomstig zijn.
De derde categorie is die waarbij de identiteit van de betrokken personen niet
of slechts met een disproportionele aanwending van geld, menskracht of
middelen kan worden achterhaald. Deze laatste gegevens worden niet als persoonsgegevens
aangemerkt. Dit doet zich bijvoorbeeld voor indien identificatie
van personen door de computer vele dagen in beslag zou nemen. In die situatie
dient er redelijkerwijs van te worden uitgegaan dat identificatie niet zal plaatsvinden
en de wet derhalve niet van toepassing is. Het begrip ‘redelijkerwijs’ is
in dit verband ontleend aan overweging 26 van Richtlijn 95/46/EG.
Praktijkvoorbeeld: LADIS
Aan de hand van het praktijkvoorbeeld van het Landelijke Alcohol en
Drugsinformatiesysteem (LADIS) 40 wordt geïllustreerd waar de grenzen liggen
van het begrip persoonsgegeven; een interessant voorbeeld voor de beantwoording
van de vraag of een bestand al dan niet persoonsgegevens bevat.
Deze casus betrof het verzoek van de Stichting Informatievoorziening Zorg
(IVZ) aan de toenmalige Registratiekamer om te bevestigen dat haar informatiesysteem
LADIS – bij de Stichting Informatievoorziening Verslavingszorg (IVV)
ondergebracht – geen persoonsregistratie was in de zin van de toenmalige Wet
persoonsregistraties (WPR). Voor de goede orde, weliswaar is thans de WBP in
plaats van de WPR van toepassing, maar dat heeft geen invloed op de relevantie
van deze casus. De WBP heeft namelijk juist een nog ruimere strekking dan de
WPR. Het gaat nu niet meer alleen om persoonsregistraties, maar om alles wat
met persoonsgegevens gedaan kan worden. Deze casus heeft dus alleen maar
aan relevantie gewonnen.
Het LADIS bevat gegevens over alle cliënten van de ambulante verslavingszorg.
Het gaat hierbij om demografische en diagnostische gegevens, informatie over
de behandeling en de evaluatie daarvan. Deze gegevens worden aan LADIS verstrekt
door de instellingen voor ambulante verslavingszorg. Een cliënt die zich
inschrijft bij zo’n instelling krijgt een landelijke code toegekend die bestaat uit
een versleutelde codering van de eerste twee letters van de achternaam, de
geboortedatum en het geslacht van de cliënt (LADIS-code). Deze codering vindt
plaats volgens een cryptografische methode (een one-way-hashing algoritme)
die de gegevens omzet in een geheime code. Gegevens van dezelfde cliënt
krijgen daarbij steeds dezelfde geheime code. Vervolgens vindt verstrekking aan
< VORIGE INHOUD VOLGENDE >
30

31
IVV voor opneming in LADIS plaats. Na de eerste versleuteling voert de IVV
nog een tweede soortgelijke versleuteling uit. Deze tweede versleuteling vindt
direct na ontvangst van de gegevens plaats via een protocol dat bij slechts bij
enkele medewerkers van de IVV bekend is.
Om de vraag te beantwoorden of het LADIS een persoonsregistratie is in de zin
van de WPR, moest volgens de Registratiekamer bekeken worden of het systeem
persoonsgegevens bevat. Daarvoor moest eerst vastgesteld worden of de direct
identificerende gegevens verwijderd zijn door de dubbele versleuteling. Gesteld
dat dit het geval zou zijn, dan moest nog bepaald worden of er sprake kon zijn
van indirecte herleidbaarheid.
De bij de instellingen van ambulante verslavingszorg aanwezige direct identificerende
gegevens werden in het LADIS vervangen door bovengenoemde versleuteling
aan de hand van achternaam, geboortedatum en geslacht van de
cliënt. De daarbij gebruikte methode van encryptie bracht met zich mee dat het
niet mogelijk was om uit de versleutelde code de identiteit van de cliënt te
achterhalen. De Registratiekamer tekende hierbij aan dat de sleutel zich geheel
binnen de macht en de zeggenschap van de IVV bevindt, zij het dat deze slechts
in beperkte kring bekend was.
De vraag naar de directe identificeerbaarheid concentreerde zich dan ook op de
eerste versleuteling. Deze eerste versleuteling maakte het onmogelijk om uit de
verkregen code de onderliggende gegevens te herleiden. Dat neemt niet weg dat
de door de instellingen gebruikte methode van versleuteling landelijk uniform
was, zodat aangenomen mocht worden dat deze methode ook bij de IVV bekend
was. Indien in een bepaald geval de volledige achternaam, de geboortedatum en
het geslacht van een (vermoedelijk) verslaafde bekend zouden zijn, leek het dus
op zichzelf mogelijk om de versleutelingsprocedure te herhalen.
Gesteld kon worden dat het LADIS een vrij omvangrijke en gevarieerde gegevensset
bevat met betrekking tot de geregistreerde cliënten. Het ging hierbij
in principe om alle cliënten in de Nederlandse ambulante verslavingszorg. Met
betrekking tot een deel van de gegevens ging het bovendien om gevoelige gegevens
als bedoeld in artikel 7 van de WPR. In termen van de WBP gaat het om
bijzondere gegevens in de zin van artikel 16 en volgende van de WBP (gezondheidsgegevens,
rasgegevens, strafrechtelijke gegevens enzovoorts). De vraag
naar het onderscheidend karakter van de gegevens en de daarmee samenhangende
mogelijkheid van spontane herkenning bekeek de Registratiekamer
tegen deze achtergrond met extra zorg.
Met het oog op de wens van de IVV om het LADIS geen persoonsregistratie te
laten zijn, heeft de Registratiekamer geadviseerd de kans op indirecte herleidbaarheid
te reduceren. Het advies hield daarom in het cliëntnummer uit jaarbestanden
te verwijderen, het dagnummer van de geboortedatum te verwijderen,
de duur van een behandeling in plaats van de exacte data te vermelden, na te
gaan in hoeverre de detaillering van rubrieken met gevoelige gegevens als ‘land
van geboorte’, ‘nationaliteit’, ‘problematiek’ en ‘delict’ noodzakelijk was. Verder
heeft de Registratiekamer er op gewezen dat indien een derde instantie, zoals
de politie, aan de hand van haar reeds bekende feiten en omstandigheden,
inlichtingen zou willen ontvangen uit het LADIS, een situatie zou kunnen ontstaan
waarbij er sprake blijkt te zijn van persoonsgegevens.
De Registratiekamer concludeerde dat de vraag of het LADIS een ‘persoonsregistratie’
is in de zin van de WPR niet steeds met volledige scherpte viel te
beantwoorden. Door de methodiek van dubbele encryptie zijn personen bij de
< VORIGE INHOUD VOLGENDE >

Normen voor ICT in de zorg
Normen voor ICT in de zorg
Privacy bij ICT
in de zorg
Hoofdstuk 2
verwerking van gegevens in het LADIS en het gegevensverkeer met de deelnemende
instellingen onder normale omstandigheden niet direct te herleiden.
De bijzondere gevallen waarin dit anders zou kunnen zijn, dienen zoveel mogelijk
te worden vermeden. Daarbij valt in het bijzonder te denken aan de herhaalbaarheid
van de versleutelingsprocedure voor de IVV op basis van de volledige
achternaam, de geboortedatum en het geslacht van een (vermoedelijk) verslaafde.
Voor wat betreft de indirecte herleidbaarheid ging de Registratieregeling
Verslavingsbeleid (Stcrt. 1998, nr. 250) er volgens de Registratiekamer ten
onrechte van uit, dat de gegevens in het LADIS op grond van de methodiek van
dubbele versleuteling niet meer aangemerkt konden worden als persoonsgegevens
in de zin van de WPR. Indien de aanbevelingen van de
Registratiekamer in het LADIS zouden worden doorgevoerd, mocht dit echter
redelijkerwijs wél worden aangenomen. Daarbij paste het voorbehoud dat geen
koppeling of vergelijking met gegevens uit andere bron plaats zou vinden,
waardoor er alsnog sprake zou kunnen zijn van een persoonsregistratie. De
Stichting IVZ heeft de aanbevelingen van de Registratiekamer overgenomen.
2.2. Verwerken van persoonsgegevens
Centraal in de WBP staat het ‘verwerken van persoonsgegevens’. Het begrip
verwerken van persoonsgegevens is in artikel 1, onder b, omschreven als:
“elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens,
waaronder in ieder geval het verzamelen, vastleggen, ordenen,
bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken
door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling,
samenbrengen, met elkaar in verband brengen, alsmede het
afschermen, uitwissen of vernietigen van gegevens.”
In de hiervoor beschreven LADIS-casus werd al geconstateerd dat de huidige
WBP een ruimere reikwijdte heeft dan de vroegere WPR. Persoonsgegevens die
(nog) geen deel uitmaken van een samenhangend groter geheel vielen niet
onder de WPR en vallen wel onder de WBP. Voor ICT-toepassingen in de zorg
betekent het begrip verwerking onder meer dat het bewaren van persoonsgegevens
op andere (onveilige) plaatsen dan in de vroegere ‘persoonsregistratie’,
bijvoorbeeld binnen een netwerk of op een chipcard als sleutel voor een elektronisch
patiëntdossier, wel onder de WBP vallen. De WBP heeft immers betrekking
op alle fasen van het verwerken van persoonsgegevens.
2.3. Toepasselijkheid van de WBP
De WBP is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking
van persoonsgegevens en de niet geautomatiseerde verwerking van
persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om
daarin te worden opgenomen. Een bestand is overeenkomstig artikel 1, onder c
WBP elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel
van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch
bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft
op verschillende personen.
De WBP is niet van toepassing op de uitzonderingen die in artikel 2 tot en met
4 WBP worden genoemd. In het kader van dit document kan van belang zijn
dat de WBP niet van toepassing is op verwerking van persoonsgegevens voor
activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. De
‘Parkinsonpas’ is mogelijk een voorbeeld van persoonlijk gebruik. Het betreft
< VORIGE INHOUD VOLGENDE >
32

Normen voor ICT in de zorg
41
Zie artikel 2 lid 2 onder a
van de WBP.
42
Zie H.J.M. Gardeniers,
Chipcards Normen en privacy, regels voor ICT in de zorg
een nieuw kaartspel. A&V 6,
Den Haag, Registratiekamer,
september 1995.
33
een chipcard met een biometrische vingerafdruk voor mensen met de chronische
ziekte van Parkinson. Bij deze toepassing wordt gebruik gemaakt van een flinterdunne
vingerafdruklezer, ingebed in een chipkaart. Zowel de meting van de
vingerafdruk als de vergelijking met de referentietemplate vinden op/in de
kaart plaats. Bij deze opzet komt de vingerafdruk dus noch tijdens de eerste
vastlegging van de gegevens, noch tijdens de gebruiksfase buiten de kaart. De
kaart geeft alleen een signaal af of al dan niet de juiste persoon de kaart vast
houdt. Het is te vergelijken met het openen van een huis met de goede sleutel.
In dat geval kan gesteld worden dat de persoonsgegevens in het persoonlijke
domein blijven, dat wil zeggen dat ze voor persoonlijke doeleinden gebruikt
worden. De WBP is niet van toepassing als het gaat om puur persoonlijke activiteiten,
ook al gaat het om een persoonsgegeven. 41
2.4. Verantwoordelijke
Het begrip verantwoordelijke heeft een belangrijke plaats in de WBP, omdat in
de WBP alle verplichtingen gelden voor de verantwoordelijke, terwijl eveneens
de betrokkene zijn rechten kan vorderen jegens de verantwoordelijke. Met
andere woorden alle bepalingen in de WBP richten zich op de verantwoordelijke.
Het begrip verantwoordelijke wordt in artikel 1, onder d, WBP omschreven als
de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan
dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking
van persoonsgegevens vaststelt.
Bij ICT-toepassingen in de zorg is vaak sprake van geschaalde verantwoordelijkheid.
In het rapport Chipcards en Privacy 42 wijst de Registratiekamer er op
dat bij chipkaartprojecten veel partijen bij het gegevensverwerkingsproces
betrokken kunnen zijn. Hetzelfde geldt voor andere ICT-projecten in de zorg.
De verdeling van verantwoordelijkheden voor de verwerking van de gegevens
zal per project moeten worden vastgesteld en aan betrokkenen kenbaar moeten
worden gemaakt. De kernvraag bij het vaststellen van deze verdeling is wie in
een concreet geval de centrale actor/verantwoordelijke is en wie medeverantwoordelijk
zijn. Van belang is dat daarbij geen lacunes ontstaan. Een
‘geschaalde’ verantwoordelijkheidsverdeling is hier het uitgangspunt. In de
praktijk betekent dit dat bij bijvoorbeeld een elektronisch patiëntdossier een
ziekenhuis de primair verantwoordelijke kan zijn, terwijl de hulpverlener
verantwoordelijk is voor bijvoorbeeld de juistheid van de gegevens. En de
hulpverlener is weer niet primair de verantwoordelijke wanneer een andere
hulpverlener daarvoor verantwoordelijk is. Deze verdeling van verantwoordelijkheden
en de eventueel daaruit voortvloeiende aansprakelijkheid doet
overigens niet af aan een eventuele aansprakelijkheid die kan voortvloeien uit
andere wetgeving, zoals de Wet geneeskundige behandelingsovereenkomst
(WGBO).
Ook ICT-dienstverleners kunnen onder omstandigheden als verantwoordelijke
worden aangemerkt. Zie wat dat betreft de Medlook-casus in 2.13: “Een rechtens
aanvaardbare en ook werkbare hypothese hierbij is Medlook primair verantwoordelijk
te houden voor de gegevensverwerkingen omtrent de medische
dossiers van patiënten die op de website van Medlook staan. Medlook is namelijk
verantwoordelijk voor de door haar geleverde dienstverlening.”
2.5. Bewerker
Overeenkomstig artikel 1, onder e, WBP is een bewerker degene die voor de
verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks
< VORIGE INHOUD VOLGENDE >

Normen voor ICT in de zorg
43
Zie bijvoorbeeld CBP zaak
z2000-1250 (Infomedics N.V.),
oktober 2002.
44
Door het huidige nijpende
personeelstekort in de zorg
worden echter ook steeds meer
taken, zogenaamde ‘voorbehouden
handelingen’ uitgevoerd
door verzorgenden (dat
wil zeggen lager opgeleiden
dan verplegenden). Deze handelingen
hebben gevolgen
hebben voor de inhoud van
een EPD.
Privacy bij ICT
in de zorg
Hoofdstuk 2
gezag onderworpen te zijn. Bewerker is degene die voor de verantwoordelijke
persoonsgegevens verwerkt, zonder dat hij diens ondergeschikte is. De begripsinhoud
is losgekoppeld van de middelen waarmee de verwerking wordt
gevoerd. Ingespeeld is op toekomstige technologische ontwikkelingen, die ertoe
leiden dat het medium waarmee of waarlangs (geautomatiseerde) gegevens
worden gevoerd minder relevant wordt.
De bewerker verwerkt gegevens voor de verantwoordelijke, dat wil zeggen
overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid.
Bepalend voor de afbakening van het begrip is de relatie met de verantwoordelijke
voor de gegevensverwerking en de mate van zeggenschap
waarmee de verwerking van persoonsgegevens gepaard gaat. De bewerker is
allereerst een buiten de organisatie van de verantwoordelijke staande persoon of
instelling. Het zal veelal gaan om een persoon of instelling die niet in een hiërarchische
relatie tot de verantwoordelijke staat. De verantwoordelijke die gegevens
buiten zijn rechtstreeks gezag verwerkt wil hebben is op grond van artikel 14,
tweede lid, WBP verplicht een overeenkomst met de bewerker aan te gaan.
Daarnaast beperkt de bewerker zich tot het verwerken van persoonsgegevens
zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking
van persoonsgegevens. Hij neemt geen beslissingen over het gebruik
van de gegevens, de verstrekking aan derden en andere ontvangers, de duur
van de opslag van de gegevens enzovoorts. Zou hij immers deze zeggenschap
wel verwerven dan dient hij als verantwoordelijke te worden aangemerkt.
Bij ICT-toepassingen in de zorg dient de bewerker zich met name af te vragen of
hij niet in die mate een spin in het web aan het worden is dat hij (langzamerhand)
zelf als verantwoordelijke aangemerkt moet worden. Die situatie ontstaat
zodra de zogenaamde bewerker feitelijk het doel van en de middelen voor de
gegevensverwerking bepaalt. Indien een organisatie er veel aan gelegen is
bewerker te worden of blijven in plaats van verantwoordelijke dan vergt dit
duidelijke schriftelijke afspraken (met heldere instructies) tussen de verantwoordelijke(n)
en de (sub)bewerker(s). Deze afspraken dienen bovendien periodiek
door of in opdracht van de verantwoordelijke te worden gecontroleerd. 43
2.6. Algemene bepalingen WBP
In het voorgaande zijn de centrale begrippen, de actoren en de toepasselijkheid
van de WBP aan de orde gesteld. Voor ICT-toepassingen in de zorg is het van
belang dat deze centrale begrippen duidelijk zijn alvorens de inhoudelijke bepalingen
van de WBP te kunnen duiden. In deze paragraaf worden de algemene
bepalingen van de WBP behandeld.
Hoewel er hier naar gestreefd is een chronologische beschrijving te geven van
normen ter bescherming van persoonsgegevens waar de verantwoordelijke bij
ICT-toepassingen in de zorg achtereenvolgens mee te maken krijgt, wordt daar
in het volgende enigszins van afgeweken.Vaak zal bij ICT in de zorg namelijk
sprake zijn van zorgverleners voor wie het medisch beroepsgeheim geldt. 44
Op grond van artikel 9, vierde lid, WBP dient de verwerking van persoonsgegevens
achterwege te blijven voorzover een geheimhoudingsplicht uit hoofde
van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Met andere
woorden, dit artikel blokkeert de bepalingen van de WBP zodra er in strijd met
het medisch beroepsgeheim wordt gehandeld. Pas wanneer er geen sprake is
van strijdigheid met het medisch beroepsgeheim gelden, aanvullend, de bepalingen
van de WBP. Om in overeenstemming met de WBP te handelen dient
< VORIGE INHOUD VOLGENDE >
34

35
bij het verwerken van bijzondere gegevens in de zin van artikel 16 tot en met
23 WBP, zoals gezondheidsgegevens (artikel 21 WBP), eerst sprake te zijn van
een ontheffing op het verbod om deze gegevens te verwerken alvorens voor een
verwerking aan de algemene bepalingen toe te komen.
Onderhavige paragraaf over algemene bepalingen dient derhalve beschouwd te
worden als een overgang van de eerder besproken algemene begrippen en
actoren van de WBP naar specifieke vraagstukken bij ICT in de zorg, zoals het
medisch beroepsgeheim en gezondheidsgegevens. Om die reden worden de
algemene bepalingen slechts kort aangestipt. Alvorens de zes geselecteerde
beginselen kort toe te lichten, volgt eerst een uitleg over het systeem van de
algemene bepalingen.
Het systeem van de algemene bepalingen
Als algemeen basisprincipe is in artikel 6 WBP bepaald dat persoonsgegevens in
overeenstemming met de wet en op behoorlijke en zorgvuldige wijze dienen te
worden verwerkt. Met ‘de wet’ worden alle wetten bedoeld. Voor ICT in de zorg
is bijvoorbeeld ook de Wet geneeskundige behandelingsovereenkomst (WGBO)
een relevante wet voor het verwerken van persoonsgegevens. In de volgende
paragraaf, over het medisch beroepsgeheim, wordt aan deze wet uitvoerig aandacht
besteed.
Uitgaande van een chronologisch proces van gegevensverwerking stuit de verantwoordelijke
vervolgens op artikel 7 WBP. Hierin is bepaald dat persoonsgegevens
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden dienen te worden verkregen. In artikel 8 zijn de gerechtvaardigde
doeleinden limitatief omschreven.
Indien eenmaal vaststaat dat de gegevensverzameling toelaatbaar is, zijn er vervolgens
eisen aangaande de wijze waarop de gegevens mogen worden verwerkt.
Gegevens mogen niet worden verwerkt op een wijze die ‘onverenigbaar’ is met
de doeleinden waarvoor zij zijn verkregen. Gegevens mogen ook voor andere
doeleinden worden gebruikt dan waarvoor zij zijn verkregen, maar die andere
doeleinden mogen met het oorspronkelijke doel ‘niet onverenigbaar’ zijn. De
WBP geeft in artikel 9 WBP algemene criteria voor het bepalen van de verenigbaarheid.
Vervolgens zijn er enkele aanvullende voorwaarden. Deze hebben in de eerste
plaats betrekking op de inhoudelijke kwaliteit van de gegevens. Deze moeten
volgens artikel 11 WBP toereikend, ter zake dienend, niet bovenmatig en nauwkeurig
zijn. Verder dienen de gegevens te worden beveiligd overeenkomstig de
artikelen 12, 13 en 14 WBP.
Tot slot bepaalt artikel 10 WBP dat persoonsgegevens niet langer mogen worden
bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor
de gegevens zijn verzameld of vervolgens zijn verwerkt.
De algemene bepalingen van de WBP zijn samen te vatten in zes beginselen:
Transparantie
Het gaat hierbij om het principe dat de patiënt of de zorgverlener op de hoogte
hoort te zijn van het feit dat gegevens over hem worden verwerkt en voor welk
doel. Dit raakt de verzameling en het gebruik van de gegevens en de mogelijkheden
tot kennisneming daarvan door de patiënt. Het raakt ook de vraag waar,
wanneer en door wie de persoonsgegevens van de patiënt en/of de zorgverlener
worden verwerkt.
< VORIGE INHOUD VOLGENDE >

45
Zie J.A.G. Versmissen,
Sleutels van vertrouwen, TTP´s,
digitale certificaten en privacy.
A&V 22, Den Haag,
Registratiekamer, maart 2001.
Dit rapport geeft aan dat via
de genoemde moderne technologieën
betrouwbare communicatie
en privacybescherming
op internet mogelijk is mits
bepaalde randvoorwaarden in
acht worden genomen.
46
Zie H. Franken, ‘ICT en
gezondheidszorg’, in: J.C.J.
Dute e.a., Omzien naar de
toekomst, 35 jaar preadviezen
Vereniging voor Gezondheidsrecht.
Houten/Diegem, Bohn
Stafleu van Loghum, 2002.
Privacy bij ICT
in de zorg
Hoofdstuk 2
Doelbinding
Het doelbindingsbeginsel vereist dat de persoonsgegevens slechts worden verzameld
voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden, dat niet
meer gegevens worden verwerkt dan voor die doeleinden noodzakelijk zijn en
dat deze gegevens niet worden gebruikt voor doeleinden die daarmee niet verenigbaar
zijn. Aan het vraagstuk van verenigbaar gebruik is een speciale paragraaf
gewijd (2.9). In die paragraaf wordt ter illustratie de Diabetespas-casus
besproken.
Rechtmatige grondslag
Een rechtmatige grondslag voor de verwerking van persoonsgegevens kan zijn:
– toestemming van de patiënt. Bij toestemming gaat het steeds om een vrije
gerichte toestemming die op toereikende informatie berust;
– de uitvoering van een overeenkomst waarbij de patiënt partij is;
– de nakoming van een wettelijke verplichting. Bij ICT in de zorg kan het dan
gaan om de Wet geneeskundige behandelingsovereenkomst (WGBO);
– een vitaal belang (bijvoorbeeld zwaarwegende geneeskundige redenen);
– de uitvoering van een publiekrechtelijke taak door een bestuursorgaan;
– een gerechtvaardigd belang van degene die verantwoordelijk is voor de
gegevensverwerking, terwijl het belang van de patiënt niet wordt geschaad.
Kwaliteit van gegevens
De gegevens moeten toereikend, ter zake dienend en niet overmatig zijn in
relatie tot het doel waarvoor ze worden verwerkt. De gegevens dienen ook
nauwkeurig te zijn en zonodig te worden bijgewerkt. In dit verband dienen alle
redelijke maatregelen te worden getroffen om tekortkomingen te herstellen. Bij
toepassingen inzake ICT in de zorg gaat het bij de kwaliteit van de gegevens
vaak om de vraag in hoeverre de kwaliteit van gegevens te beheersen is en of
de gegevens inderdaad juist zijn.
Beveiliging
Er zal voor passende organisatorische en technische maatregelen gezorgd
moeten worden tegen verlies van gegevens en tegen iedere vorm van onrechtmatige
verwerking. Ook zullen er inspanningen dienen te worden verricht om
te zorgen dat er zo min mogelijk persoonsgegevens worden verwerkt.
Privacybevorderende technieken kunnen daarbij behulpzaam zijn. In de studie
nr. 23 Beveiliging van persoonsgegevens heeft het CBP zijn beveiligingseisen gepubliceerd.
In verband met ICT in de zorg is overigens ook de studie Sleutels van
vertrouwen van belang. 45 Dit rapport gaat in op de privacyaspecten van digitale
certificaten, een public-key infrastructure (PKI) en trusted third parties (TTP’s).
Digitale certificaten zullen in de toekomst namelijk een cruciale rol spelen bij
het faciliteren van betrouwbare en vertrouwelijke elektronische communicatie
en transacties.
Overigens is er in de gezondheidszorgpraktijk ook een vorm van zelfregulering
in voorbereiding via de NEN Normcommissie 303001 (Informatiebeveiliging in
de Zorg). Informatiebeveiliging bevat volgens deze Normcommissie de volgende
aspecten: vertrouwelijkheid (daaronder verstaan zij privacy); integriteit
en beschikbaarheid. In aanvulling op deze (gebruikelijke) drie aspecten is nog
vermeldenswaardig dat Franken daaraan nog drie aspecten toevoegt in wat hij
noemt ‘de beginselen voor behoorlijk ICT-gebruik’, te weten: authenticiteit;
flexibiliteit en transparantie. 46 Het beveiligingsvraagstuk wordt samen met
het onderwerp privacybevorderende technologieën verder uitgewerkt in
paragraaf 2.10.
< VORIGE INHOUD VOLGENDE >
36

Normen voor ICT in de zorg
47
Zie de Brief van de Minister
van VWS aan de Tweede
Kamer met het kabinetsstandpunt
op de evaluatie van de
WGBO, TK 2001-2002, 28 000
XVI, nr. 14, 5 november 2001,
p.15.
48
Zo is opzettelijke schending
van het medisch beroepsgeheim
door een zorgverlener
die uit hoofde van diens ambt,
beroep of wettelijk voorschrift
verplicht is te bewaren, strafbaar
ex artikel 272 Wetboek
van Strafrecht. Op basis van
artikel 88 van de Wet op de
beroepen in de individuele
gezondheidszorg kan schending
van het medisch beroepsgeheim
ook tuchtrechtelijk
worden vervolgd, niet alleen
bij artsen, maar bijvoorbeeld
ook bij klinisch psychologen,
psychotherapeuten, fysiotherapeuten
en verpleegkundigen.
49
Zie S. Nouwt, Zorg voor privacy,
informatietechnologie en
informationele privacy in de
gezondheidszorg. Dissertatie
Tilburg, 1997, p.109 e.v.
50
Zie Registratiekamer, rapport
nummer 93.B.003, juni
1993.
37
Bewaartermijnen
Persoonsgegevens mogen op grond van artikel 10 WBP niet langer worden
bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren dan
noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden
verzameld of vervolgens worden verwerkt. Met betrekking tot ICT in de zorg
zal daarnaast vaak specifieke wetgeving van belang zijn, namelijk artikel 7:454,
derde lid, BW(ook wel artikel 454 lid 3 WGBO genoemd). In dit artikel is
bepaald dat medische behandeldossiers van geneeskundige hulpverleners tien
jaren mogen worden bewaard, tenzij voor een zorgvuldige hulpverlening langere
bewaring noodzakelijk is. Over het onderwerp ‘bewaartermijnen’ bestaat in
de praktijk vaak veel onduidelijkheid. Onder meer om die reden pleiten
patiëntenorganisaties (met name organisaties die opkomen voor mensen met
een chronische ziekte) er al jaren voor dat vernietiging van patiëntgegevens
slechts in overleg met de betrokken patiënt/cliënt dient plaats te vinden. Ook
de minister van VWS deelt de bezorgdheid dat mogelijk te veel gegevens zullen
worden vernietigd en ziet graag dat de Gezondheidsraad in samenspraak met
de KNMG en het veld tot een aanvaardbare oplossing komt. 47 In dat verband
werken zowel een commissie van de KNMG, als recent ook een commissie van
de Gezondheidsraad in aanvulling op elkaar aan een oplossing. Daarbij zal de
Gezondheidsraad de huidige wet- en regelgeving ook aan een kritische
beschouwing onderwerpen in het licht van de ICT-ontwikkelingen in de zorg.
2.7. Medisch beroepsgeheim
Met de toenemende geautomatiseerde verwerking van medische gegevens door
ICT in de zorg neemt ook het belang van het medisch beroepsgeheim toe. Het
CBP (en daarvoor de Registratiekamer) hanteert ten aanzien van het medisch
beroepsgeheim meestal de wettelijke regeling van de behandelingsovereenkomst
in het Burgerlijk Wetboek (BW, 1995), ook wel de WGBO genoemd, hoewel er
ook andere wettelijke bepalingen zijn betreffende het medisch beroepsgeheim. 48
In de praktijk wordt regelmatig de vraag gesteld hoe de hiervoor behandelde
normen uit de WBP zich verhouden tot de WGBO. Een uitgebreide beschouwing
over de verhouding van de WBP tot de WGBO is te vinden in de parlementaire
behandeling van laatstgenoemde wet (kamerstukken II 1990/91, 21 561, nr. 6,
blz. 6 e.v., en 1991/92, 21 561, nr. 11, blz. 4 e.v.). Hetgeen daar is opgemerkt
over de verhouding tussen WGBO en WPR geldt ook voor de relatie tussen de
WGBO en de WBP. Meer in zijn algemeenheid kan gesteld worden dat de WBP
en de WGBO elkaar aanvullen. Op grond van artikel 9, vierde lid, WBP gaan
wettelijke bepalingen omtrent het medisch beroepsgeheim vooraf aan de bepalingen
van de WBP.
Overigens is de reikwijdte van het medisch beroepsgeheim in relatie tot de WBP
wel ruimer geworden dan ten tijde van de WPR. Overeenkomstig artikel 11,
derde lid, WPR mochten persoonsgegevens niet worden verstrekt in geval er
sprake was van een beroepsgeheim. Op grond van artikel 9, vierde lid, WBP
blijft de verwerking van persoonsgegevens achterwege voorzover het medisch
beroepsgeheim daaraan in de weg staat.
De Registratiekamer heeft reeds voorafgaand aan de WGBO diverse rapporten
uitgebracht waaruit blijkt dat het medisch beroepsgeheim een belangrijke plaats
inneemt in het normenstelsel van de privacybescherming omtrent ICT in de
zorg. 49 Aldus stond het medisch beroepsgeheim bijvoorbeeld in de weg aan een
stelselmatige verstrekking van gegevens aan een casusregister in de geestelijke
gezondheidszorg, wanneer dat althans geschiedde zonder toestemming van de
patiënt. 50 De criteria die de Registratiekamer destijds hanteerde, zijn in de
< VORIGE INHOUD VOLGENDE >

51
Zie Registratiekamer zaak
nummer 93.B.06, augustus
1993.
52
Dit onderdeel is vrijwel
integraal overgenomen uit de
bijdrage van J.K.M. Gevers en
H.D.C. Roscam Abbing, ‘Het
elektronisch patiëntdossier en
de positie van de patiënt bij
raadpleging van patiëntengegevens’,
in: J.K.M. Gevers e.a.,
Juridische aspecten van EPD’s.
ZonMw, 2002 [nog te verschijnen].
Privacy bij ICT
in de zorg
Hoofdstuk 2
WGBO vervolgens verwoord in artikel 7: 458 BW. Ook de verstrekking van de
ontslagdiagnosecode door medisch specialisten aan zorgverzekeraars leverde
een schending van het beroepsgeheim op. 51 Het rapport over de ontslagdiagnosecode
heeft destijds zijn functie gehad. Mogelijk dat dit rapport weer
actueel wordt bij de diagnose behandelcombinaties (zie nader 1.7).
Bij de behandeling van de kring van ‘rechtstreeks bij de behandeling betrokkenen’
komen ook andere, meer recente rapporten van de Registratiekamer aan
bod in relatie tot het medisch beroepsgeheim. Eerst worden echter de artikelen
7:457 en 7:458 BW (WGBO) genoemd, omdat zij betrekking hebben op het
medisch beroepsgeheim. Onderhavige paragraaf beperkt zich tot de behandeling
van het algemene artikel 7:457 BW:
1 “[…] draagt de hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen
over de patiënt dan wel inzage in of afschrift van de bescheiden (het dossier, TH)
worden verstrekt dan met toestemming van de patiënt. Indien de verstrekking
plaatsvindt, geschiedt deze slechts voorzover daardoor de persoonlijke levenssfeer
van een ander niet wordt geschaad. De verstrekking kan geschieden zonder inachtneming
van de beperkingen, bedoeld in de voorgaande zinnen, indien het bij of
krachtens de wet bepaalde daartoe verplicht.
2 Onder anderen dan de patiënt zijn niet begrepen degenen die rechtstreeks betrokken
zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als
vervanger van de hulpverlener, voorzover de verstrekking noodzakelijk is voor de
door hen in dat kader te verrichten werkzaamheden […]”
Uit de omschrijving van artikel 7:457 BW blijkt dat het medisch beroepsgeheim
niet absoluut is. Doorbreking van het geheim kan plaatsvinden op grond van
een wettelijk voorschrift of toestemming van de betrokkene. Ook kan doorbreking
van het geheim geschieden op basis van een conflict van plichten zoals is
bedoeld in artikel 40 Wetboek van Strafrecht, oftewel overmacht.
Registratiekamer en CBP hebben zich, in relatie tot ICT in de zorg, tot op heden
alleen uitgesproken over de onderwerpen ‘toestemming’ en ‘rechtstreeks
betrokken zijn bij de uitvoering van de behandelingsovereenkomst’. Beide
onderwerpen worden nader toegelicht.
Norm: toestemming 52
Als gegevensuitwisseling plaatsvindt buiten de kring van degenen die direct
betrokken zijn bij de uitvoering van de behandelingsovereenkomst, vereist de
WGBO toestemming van de patiënt. De wet laat zich niet uit over de vorm
waarin of wijze waarop die toestemming moet worden gegeven. Toestemming in
de zin van de WGBO hoeft dus niet altijd expliciet of schriftelijk te zijn.
Zo mag bij doorverwijzing in het kader van een actuele zorgvraag worden uitgegaan
van stilzwijgende toestemming. Stilzwijgende toestemming voor gegevensuitwisseling
mag worden aangenomen wanneer de patiënt in het kader van
de actuele zorgvraag naar een andere behandelaar wordt doorverwezen die de
behandeling overneemt. Bij een dergelijke overdracht van zorg komt een nieuwe
behandelingsovereenkomst tot stand en de nieuwe behandelaar kan niet meer
geacht worden betrokken te zijn bij de uitvoering van de behandelingsovereenkomst
met de vorige behandelaar. In zo’n situatie wordt in de praktijk,
behoudens indien het extra gevoelige gegevens (zoals psychiatrische) betreft,
aanvaard dat de toestemming stilzwijgend kan zijn, dat wil zeggen dat uit het
gedrag van de patiënt diens toestemming valt op te maken. Zijn er redenen om
daaraan te twijfelen, dan dient expliciete toestemming te worden gevraagd.
Overigens kan de constructie van de stilzwijgende toestemming alleen worden
gehanteerd, voorzover de gegevensverstrekking beperkt blijft tot het voor de
< VORIGE INHOUD VOLGENDE >
38

53
‘Griepvaccinatie’, rapport
Registratiekamer 1993; J. Dute,
‘De apotheker, de griepvaccinatie
en het beroepsgeheim’,
Iust 1993, 43-48.
54
Zie ook T.F.M.
Hooghiemstra,
‘Laboratoriumuitslagen en privacy’,
Nederlands Tijdschrift
voor Klinische Chemie, 2000, 25,
p. 261.
55
De verhouding tussen de
WGBO en de WBP zal niet
anders zijn dan die tussen de
WGBO en de WPR, zie
Kamerstukken II 1997-1998,
25 892, nr. 3, p.12, 42 en 108.
56
Zie Tweede Kamer, vergaderjaar
1990-1991, 21 561, nr. 6,
p.15.
39
hulpverlening noodzakelijke en kenbaar is voor de patiënt. In relatie tot ICTtoepassingen
in de zorg valt op te merken dat de vereisten die samenhangen
met stilzwijgende toestemming moeilijk te controleren zijn. Om die reden zou
het een idee kunnen zijn om in EPD’s een logging te laten opnemen betreffende
(bepaalde onderdelen van) de verwerking van patiëntgegevens.
Als het gaat om gegevensverstrekking buiten de gezondheidszorg, wordt algemeen
expliciete toestemming (bij voorkeur in schriftelijke vorm) als eis gezien.
Bij gebruik van patiëntgegevens voor secundaire doeleinden zal allereerst de
vraag gesteld moeten worden of wel uitwisseling van identificeerbare gegevens
nodig is. Vaak zal dat niet zo zijn. Dat geldt zeker voor zorgondersteunende
vormen van beheer en kwaliteitsbewaking die minder direct aan de individuele
zorg gerelateerd zijn. Als dat toch het geval is, dan wordt algemeen aanvaard
dat met veronderstelde toestemming kan worden volstaan. Behoudens blijk van
het tegendeel mag de toestemming verondersteld worden te zijn gegeven. Dat
kan worden uitgegaan van veronderstelde toestemming laat onverlet, dat de
betreffende gegevensuitwisseling moet zijn beperkt tot het noodzakelijke.
Overigens heeft reeds voor de totstandkoming van de WGBO de
Registratiekamer de uitspraak gedaan dat toestemming niet mag worden verondersteld
voor verstrekking van patiëntgegevens door apothekers aan huisartsen
ten behoeve van griepvaccinatie. 53
Toestemming: verhouding WGBO – WBP (voorheen WPR) 54
Tijdens de parlementaire behandeling van de WGBO vroegen diverse
Kamerleden zich af hoe het artikel over het beroepsgeheim, waarin geen schriftelijke
toestemming vereist wordt voor het verstrekken van inlichtingen over de
patiënt aan derden, zich verhoudt tot de desbetreffende regeling in de Wet persoonsregistraties
(WPR) waarin wel van schriftelijke toestemming uit wordt
gegaan. Thans in de WBP is schriftelijke toestemming overigens niet meer vereist,
maar worden de begrippen uitdrukkelijke of ondubbelzinnige toestemming
gehanteerd. Echter ook bij ondubbelzinnige toestemming (de lichtste vorm van
toestemming in de WBP) dient elke twijfel te zijn uitgesloten over de vraag óf
de betrokkene (de patiënt/cliënt) zijn toestemming heeft gegeven en voor welke
specifieke verwerkingen deze toestemming is gegeven. Terwijl in geval de verantwoordelijke
de uitdrukkelijke toestemming van de betrokkene dient te verkrijgen,
de betrokkene expliciet zijn wil daarover dient te hebben geuit. Een stilzwijgende
of impliciete toestemming is onvoldoende: de betrokkene dient in
woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming
te verlenen voor de gegevensverwerking. Verder is het algemene
begrip toestemming in de WBP in artikel 1. onder i, gedefinieerd als elke vrije,
specifieke en op informatie berustende wilsuiting waarmee de betrokkene
aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
Naar aanleiding van de Kamervragen merkte de regering op dat de toestemmingen
in de WGBO en de WPR (nu WBP) 55 niet geheel met elkaar kunnen
worden vergeleken 56 . In de WGBO gaat het om de vraag in hoeverre de hulpverlener
tot geheimhouding verplicht is: bij toestemming van de patiënt is deze
verplichting vervallen. In artikel 11, eerste lid, WPR maakte de toestemming
deel uit van een meer omvattende regeling over het verstrekken van gegevens
aan een derde. Hoofdregel was daarbij dat slechts gegevens worden verstrekt
aan een derde voorzover dat voortvloeit uit het doel van de betrokken persoonsregistratie.
Voorzover het laatste het geval was, was de toestemming van
de geregistreerde dus in het geheel niet nodig. Ging de verstrekking verder, dan
was behoudens de aanwezigheid van een wettelijke verplichting tot gegevens-
< VORIGE INHOUD VOLGENDE >

57
Dit onderdeel is vrijwel
integraal overgenomen uit de
bijdrage van J.K.M. Gevers en
H.D.C. Roscam Abbing, ‘Het
elektronisch patiëntdossier en
de positie van de patiënt bij
raadpleging van patiëntengegevens’,
in: J.K.M. Gevers e.a.,
Juridische aspecten van EPD’s.
ZonMw, 2002 [nog te verschijnen].
Privacy bij ICT
in de zorg
Hoofdstuk 2
verstrekking de uitdrukkelijke schriftelijke toestemming van de geregistreerde
vereist. Bij samenloop met de WPR zou in bepaalde gevallen dus de schriftelijke
toestemming van de patiënt moeten zijn verkregen; in andere gevallen zou juist
omdat de hulpverlener handelt met uitdrukkelijke of stilzwijgende instemming
van de patiënt, aangenomen kunnen worden dat de gegevensverstrekking in
concreto uit het doel van de registratie voortvloeit. De regering meende met
deze genuanceerde aanpak de behoeften van de praktijk het beste te benaderen
en te waken tegen onnodige formalisering.
Praktijkvoorbeeld: toestemming voor toekomstige gegevensverstrekking
De Regionale Privacy Commissie in de regio West-Brabant kreeg de vraag voorgelegd
of een patiënt om toestemming gevraagd mag/moet worden om zijn
medische persoonsgegevens, indien dit noodzakelijk is voor de behandeling,
beschikbaar te stellen aan diens toekomstige behandelaars voorzover werkzaam
in een bij de DIV aangesloten instelling. DIV was de toenmalige Dienst
Informatie Verwerking, thans Getronics Care Services (GCS), een samenwerkingsverband
van ziekenhuizen in de regio West-Brabant. De Regionale
Privacy Commissie kwam, in overleg met de Registratiekamer, tot de conclusie
dat er twee scenario’s waren om dit vraagstuk op een rechtmatige wijze op te
lossen.
Ten eerste zou een schriftelijke toestemming in de zin van artikel 12 WPR, gelet
op de beperkte regio waarin de gegevens beschikbaar worden gesteld, als voldoende
beperkt in de zin van artikel 12 mogen worden aangemerkt. Een dergelijke
instemming van de patiënt met diens toekomstige verwerkingen binnen de
DIV-regio (mits noodzakelijk voor de behandeling) zou door de verantwoordelijke
artsen mogen worden beschouwd als een toestemming om de zwijgplicht te
doorbreken. In termen van de WBP zou het pleitbaar zijn te stellen dat de toestemming
voldoende specifiek is gelet op de beperkte schaal en het gegeven dat
slechts voor een goede behandeling en verzorging noodzakelijke informatie ter
beschikking wordt gesteld.
Ten tweede zou de behandelend arts de arts die reeds over de voor de behandeling
noodzakelijke patiëntgegevens beschikt op grond van artikel 7:457, tweede
lid, BW kunnen vragen naar de eventuele aanwezigheid van noodzakelijke
informatie voor de behandeling. Door de patiënt over deze eventuele mogelijkheid
vooraf te informeren kan de verantwoordelijke voldoen aan de informatieplicht
van artikel 33 WBP: vóór het moment van verkrijging deelt de verantwoordelijke
aan de betrokkene zijn identiteit mee, de doeleinden van de
verwerking en de nadere informatie (in casu de mogelijkheid dat gegevens
worden gebruikt door andere artsen binnen de DIV-regio als dat noodzakelijk is
voor een goede behandeling en verzorging).
In de slotbeschouwing komen we terug op de consequenties van het voorgaande
voor ICT in de zorg.
Rechtstreeks betrokken bij de behandelingsovereenkomst 57
Voor dit onderwerp is het tweede lid van artikel 7:457 BW van belang, dat
bepaalt dat degenen die rechtstreeks betrokken zijn bij de uitvoering van de
behandelingsovereenkomst en degene die optreedt als vervanger van de behandelaar,
niet aan te merken zijn als derden. Naar de letter van de wet betekent
dit dat geen toestemming aan de patiënt behoeft te worden gevraagd om hen in
de voor hun taakuitoefening noodzakelijke informatie over de patiënt te laten
delen. Bij de parlementaire behandeling van de WGBO is overigens uitdrukkelijk
aangegeven dat dit niet betekent dat de zeggenschap van de patiënt
geheel verdwenen is. De patiënt kan altijd aangeven dat hij bepaalde gegevens
< VORIGE INHOUD VOLGENDE >
40

58
Zie in dat verband ook M.
Nuyten, ‘Medisch advies en
privacy’, Registratiekamer
1996, en A. Rommelse,
‘Medische geschillen voor de
administratieve rechter’,
Tijdschrift voor Gezondheidsrecht,
1996, 448-466.
59
Registratiekamer,
Medicatiebewaking door centrale
patiëntenregistratie, p.7.
60
Het rapport over medicatiebewaking
borduurde voort op
eerdere rapporten van de
Registratiekamer over De rekening
van de arts, februari 1994
(met name p.13) en het Advies
medische zorgpas van oktober
1995, p.9.
41
niet bekend wil hebben bij de medebehandelaar. Anders gezegd, ook al hoeft geen
toestemming te worden gevraagd, de mogelijkheid van bezwaar blijft aanwezig.
De wetgever heeft de kring van ‘direct betrokkenen’ niet precies omschreven.
Het moet, aldus de wetgever, gaan om personen die in concreto medebehandelaar
of consulent zijn, of bij de materiële verzorging en begeleiding
betrokken zijn. Voorts zijn in die context genoemd beheerders van dossiers en
bij financiële afwikkeling betrokken personen, alsmede, afhankelijk van de
intensiviteit van de relatie, personen in opleiding, intervisie of supervisie.
Naasten van de patiënt gelden niet als betrokkenen in de zin van artikel 7:457
lid 2 BW. Hen informeren kan in beginsel alleen met instemming van de patiënt.
Hetzelfde geldt voor nabestaanden. Ten aanzien van hen zal in bepaalde
gevallen van veronderstelde toestemming kunnen worden uitgegaan. Hierna
wordt nog ingegaan op de verschillende vormen waarin aan toestemming uitdrukking
kan worden gegeven.
Alle niet direct betrokkenen bij de uitvoering van de behandelingsovereenkomst
zijn te beschouwen als derden. Daarbij kan het gaan om hulpverleners aan wie
de zorg voor de patiënt wordt overgedragen of die in verband met een andere
hulpvraag met de patiënt te maken krijgen. Derden kunnen uiteraard ook niethulpverleners
zijn, zoals functionarissen binnen de instelling die zich bezighouden
met kwaliteitstoetsing of klachtenbehandeling, of nog weer anderen,
zoals wetenschappelijk onderzoekers. Ten slotte valt te denken aan derden
buiten de sfeer van de gezondheidszorg, zoals politie en justitie, of bij beoordeling
van arbeidsgeschiktheid en schadeclaims betrokken artsen. 58
Doordat de kring van rechtstreeks betrokkenen bij de uitvoering van de geneeskundige
behandelingsovereenkomst niet van te voren vast staat, kan zij in de
praktijk de nodige vragen oproepen.
Criteria van de Registratiekamer voor ‘rechtstreeks betrokken’
De Registratiekamer heeft naar aanleiding van praktijkvragen over bijvoorbeeld
de rekening van de arts, over plannen voor een medische zorgpas en voor
gezamenlijke medicatiebewaking van patiënten via een (centrale) database,
diverse uitspraken gedaan en adviezen gegeven. De vragen die aan de orde
kwamen, waren zeer gevarieerd. Hoe zit het bijvoorbeeld met de rol van administratiekantoren,
incassobureaus en faktoringbedrijven in de financiële afwikkeling
van de geneeskundige behandelingsovereenkomst? En met hulpverleners
en anderen die gebruik maken een medische zorgpas van de patiënt waarop diens
hele medische dossier staat? En wat te denken van de apotheker in het kader van
de bewaking van de medicatie die door de behandelaar is voorgeschreven? 59
De Registratiekamer heeft in de diverse rapporten gepoogd nadere criteria te
ontwikkelen voor de toepassing van het begrip ‘rechtstreeks betrokken’. 60 Om te
kunnen beoordelen of daarvan sprake is dienen de volgende vragen cumulatief
te worden beantwoord:
– is de betreffende vorm van gegevensuitwisseling gebruikelijk in de beroepsgroep?
– zijn er redelijke alternatieven voor de betreffende praktijk?
– heeft en houdt de behandelaar voldoende zeggenschap?
- zijn er privacybeschermende maatregelen getroffen?
– is wat gebeurt, kenbaar voor de patiënt en kan hij bezwaar maken?
– wordt het belang van de patiënt met de gegevensuitwisseling gediend?
– is de omvang van de gegevensuitwisseling beperkt?
In de door de Registratiekamer genoemde criteria zijn verschillende achterliggende
beginselen ter bescherming van persoonsgegevens, zoals die in para-
< VORIGE INHOUD VOLGENDE >

61
Zie o.a. H.J.J. Leenen en
J.K.M. Gevers, Handboek
gezondheidsrecht, Deel I Rechten
van mensen in de gezondheidszorg.
Vierde druk, Amsterdam,
Bohn Stafleu Van Loghum,
2000.
62
Dit heeft onder andere
gevolgen voor het bewaren
van medische gegevens in een
registratie met een wetenschappelijk
doel. Dat is dan
slechts mogelijk met expliciete
toestemming, zie C. Ploem,
‘Wetenschapsbeoefening en
belemmerende privacywetgeving:
de wetgever in balans?’
Nationaal programma informatietechnologie
en recht, publicatienummer
51, Den Haag,
Sdu, 2002. Zie ook het verschil
met artikel 23 lid 2 WBP.
Privacy bij ICT
in de zorg
Hoofdstuk 2
graaf 2.6 aan de orde zijn geweest, te onderkennen. Dat geldt ook voor het in
de WBP en de WGBO tot uitdrukking komende noodzakelijkheidsvereiste. Ze
zijn daarmee zonder uitzondering relevant te achten voor de normering van
gegevensuitwisseling in de gezondheidszorg, te meer nu ook de uit het beroepsgeheim
voortvloeiende verantwoordelijkheid van de hulpverlener als aandachtspunt
is opgenomen. Tegelijk moet worden vastgesteld dat ook met behulp
van deze vraagpunten geen eenduidig antwoord mogelijk is op de vraag wie
concreet als rechtstreeks betrokken moet worden beschouwd. Voorts dient te
worden opgemerkt dat de genoemde criteria even goed gebruikt zouden kunnen
worden voor beantwoording van de vraag welke vorm van betrokkenheid de
patiënt in bepaalde omstandigheden moet hebben, bijvoorbeeld voor de vaststelling
of het om expliciete toestemming moet gaan of dat diens instemming
ook een stilzwijgend karakter mag hebben.
Medisch-wetenschappelijk en statistisch onderzoek en het beroepsgeheim
Voor medisch-wetenschappelijk onderzoek 61 gelden de spelregels van het
medisch beroepsgeheim en er bestaat een aparte gedragscode voor gezondheidsonderzoek,
‘Goed gedrag’ genaamd, die thans wordt herzien in het licht
van de WBP en gewijzigde inzichten.
Uitgangspunt bij medisch-wetenschappelijk onderzoek is dat voor het door
hulpverleners verstrekken van herleidbare medische gegevens aan onderzoekers
de toestemming van de patiënt vereist is. Deze hoofdregel staat in artikel 7:457
BW. 62 Maar het vragen van toestemming is niet altijd mogelijk. Zo kunnen
patiënten overleden of feitelijk niet meer bereikbaar zijn, of kan het om zo grote
aantallen patiënten gaan dat het ondoenlijk is die allemaal te benaderen.
Daarom is in de WGBO een uitzondering voor verstrekking van herleidbare persoonsgegevens
voor wetenschappelijk onderzoek en statistiek op het gebied van
de volksgezondheid zonder toestemming van de patiënt neergelegd (artikel
7:458 BW). In het eerste lid van dit artikel worden twee uitzonderingsmogelijkheden
genoemd:
a. het vragen van toestemming is in redelijkheid niet mogelijk en er zijn bij de
uitvoering van het onderzoek waarborgen dat de persoonlijke levenssfeer van
de patiënt niet onevenredig wordt geschaad;
b. gelet op de aard en het doel van het onderzoek kan het vragen van toestemming
in redelijkheid niet worden verlangd en de hulpverlener draagt er
zorg voor dat de gegevens in zodanige vorm worden verstrekt dat herleiding
tot individuele personen redelijkerwijs wordt voorkomen.
Onder a) gaat het om omstandigheden bij de patiënt, bij b) om de aard van het
onderzoek. Onder de aard van het onderzoek is begrepen dat het grote aantallen
patiënten betreft. Bij de uitzondering sub b. is als methode met name
gedacht aan de codering van de persoonsgegevens.
Voor verstrekking van persoonsgegevens op grond van artikel 7:458 BW moet
zijn voldaan aan de voorwaarden, neergelegd in het tweede en derde lid van
dat artikel. In het tweede lid wordt vereist dat:
– het onderzoek een algemeen belang dient;
– het onderzoek niet zonder de desbetreffende gegevens kan worden uitgevoerd;
– de betrokken patiënt niet uitdrukkelijk bezwaar heeft gemaakt.
Dat het onderzoek een algemeen belang moet dienen, betekent dat onderzoek in
het kader van belangenbehartiging of voor een commercieel of industrieel
belang niet onder 7:458 BW valt. Bij dergelijk onderzoek kan dus niet op de uitzondering
van 7:458 BW een beroep worden gedaan. Uit de eis van algemeen
belang lijkt voort te vloeien dat de resultaten van het onderzoek publiekelijk
beschikbaar zijn. De voorwaarde dat het onderzoek niet zonder de betreffende
< VORIGE INHOUD VOLGENDE >
42

63 Zie CBP zaak nummer
z2001-0943.
43
gegevens kan worden uitgevoerd, betekent dat met geanonimiseerde en nietherleidbare
persoonsgegevens moet worden gewerkt als dat mogelijk is. Volgens
het derde lid moet van een verstrekking op grond van artikel 7:458 BW aantekening
worden gehouden in het dossier.
Bij de registratie van herleidbare persoonsgegevens voor wetenschappelijke
doeleinden moet in het oog worden gehouden dat die in het kader van een
opsporingsonderzoek door de rechter kunnen worden opgevraagd. Persoonsgegevens
in een wetenschappelijke databank onder beheer van een
verschoningsgerechtigde (zoals een arts) kunnen worden beschermd.
Het CBP krijgt met enige regelmaat vraagstukken voorgelegd aangaande wetenschappelijk
onderzoek en statistiek. Ter illustratie volgt hier de recente casus
inzake de registratie van post partum gegevens na triple-test.
Praktijkvoorbeeld: registratie van post partum gegevens na triple-test
Het CBP heeft in nauwe samenwerking met het Rijksinstituut voor
Volksgezondheid en Milieu (RIVM) onderzoek uitgevoerd naar de rechtmatigheid
van de verwerking van persoonsgegevens in het kader van de triple-test 63 .
Deze test betreft het risicoschatten bij zwangere vrouwen op het krijgen van
kinderen met het Syndroom van Down en/of een Neuraal Buis Defect. Voor het
kunnen optimaliseren van de test beschikt het RIVM over de post partum gegevens
(de uitkomst) van de zwangerschap. De gegevens van de triple-testen zijn
opgeslagen in een database. Na afloop van de zwangerschap worden door de
betrokken hulpverleners (verloskundigen en gynaecologen) post partum gegevens
verstrekt. Het RIVM wilde daarnaast graag de onderzochte vrouwen
benaderen waarvan de benodigde post partum gegevens niet via de hulpverleners
bij het RIVM terechtgekomen zijn.
Het CBP heeft vastgesteld dat ten tijde van het onderzoek de door de betrokken
hulpverleners en het RIVM gehanteerde procedure niet in overeenstemming was
met de privacywetgeving en het medisch beroepsgeheim. Met name omdat de
zwangere niet werd geïnformeerd over het feit dat het RIVM (als laboratorium)
de triple-test, naast het onderzoek in opdracht van de hulpverlener naar het
Syndroom van Down of een Neuraal Buis Defect, tevens voor zichzelf bewaarde
in het kader van medisch-wetenschappelijk en statistisch onderzoek.
Op grond van de bepaling over het beroepsgeheim bij medisch wetenschappelijk
onderzoek en statistiek (artikel 7:458 BW) dient de patiënt in
beginsel toestemming te geven voor, dan wel onder voorwaarden tenminste
bezwaar te kunnen maken tegen, verdere verwerking van diens gegevens voor
medisch-wetenschappelijk en statistisch onderzoek.
Op basis van de aanbevelingen van het CBP heeft het RIVM het formulier behorende
bij de triple-test en de toelichting daarop voorzien van een duidelijke
uitleg. Tevens wordt de zwangere expliciet toestemming gevraagd om de verstrekte
persoonsgegevens te mogen bewaren zodat later de post partum gegevens
toegevoegd kunnen worden. Daarnaast heeft het RIVM laten weten dat
ook de interne processen dusdanig aangepast zijn dat alleen medewerkers die
uit hoofde van hun functie deze persoonsgegevens mogen verwerken dat ook
kunnen. Hiertoe zijn volgens het RIVM in het kader van de al aanwezige algemene
beveiligingsmaatregelen extra technische en organisatorische maatregelen
genomen die deze rechtmatige verwerking moeten waarborgen.
< VORIGE INHOUD VOLGENDE >

Normen voor ICT 2.8. Bijzondere in de zorg gegevens
64
Zie Memorie van Toelichting
bij WBP, TK, 1997-1998, 25892,
nr.3, pagina 109.
65
Zie Registratiekamer, zaak
nummer z2000-1330, 23 mei
2001.
Privacy bij ICT
in de zorg
Hoofdstuk 2
Het verbodsregime van de bijzondere gegevens (artikel 16 tot en met 23 WBP)
speelt in de reguliere zorg niet of nauwelijks een rol, maar is wel van belang
voor de omgeving van de zorg.
Verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging,
ras, politieke gezindheid, gezondheid, seksuele leven, alsmede
persoonsgegevens betreffende het lidmaatschap van een vakvereniging is
verboden, tenzij de wetgever daarvoor een ontheffing heeft verleend in de
artikelen 17 tot en met 23 WBP. Hetzelfde geldt voor strafrechtelijke persoonsgegevens
en persoonsgegevens over onrechtmatig of hinderlijk gedrag in
verband met een opgelegd verbod naar aanleiding van dat gedrag.
Bij ICT-toepassingen in de gezondheidszorg is er uiteraard een ontheffing op
het verbod om gezondheidsgegevens te verwerken voor hulpverleners, instellingen
of voorzieningen in de gezondheidszorg. Gezondheidsgegevens zijn
alle gegevens die de lichamelijke of geestelijke gezondheid van een persoon
betreffen. 64
Er zijn specifieke situaties denkbaar waarin in het belang van een goede geneeskundige
behandeling en verzorging van patiënten in aanvulling op gezondheidsgegevens
in strikte zin, ook andere bijzondere (gevoelige) persoonsgegevens
moeten worden verwerkt. Gegevens als godsdienst of
levensovertuiging kunnen in bijzondere gevallen van essentiële betekenis zijn
bij de onderkenning van bijvoorbeeld bepaalde psychiatrische ziektebeelden en
kunnen directe invloed hebben op het behandelingsplan voor een patiënt. Ook
het gegeven ras kan soms een belangrijke determinant zijn bij de diagnosestelling.
Als uit de verwerking van een gegeven rechtstreeks en dwingend
voortvloeit dat het gegeven als gevolg van bijkomende omstandigheden een
medisch karakter heeft, kan het noodzakelijk zijn deze gegevens met het oog op
een goede geneeskundige behandeling vast te leggen. Vandaar dat artikel 21,
derde lid, WBP een ontheffing biedt van het verbod voor de verwerking van
andere gevoelige persoonsgegevens. De bepaling blijft strikt beperkt tot de verwerking
door hulpverleners, instellingen of voorzieningen van gezondheidszorg
of maatschappelijke dienstverlening voorzover die met het oog op een goede
behandeling of verzorging van de betrokkene noodzakelijk is.
Voor afzonderlijke stichtingen die verwijsindexen beheren, zal er doorgaans
geen sprake zijn van een ontheffing. Opname van zorgverleners (bijvoorbeeld
psychiaters) en/of instellingen (bijvoorbeeld het Anthonie van Leeuwenhoekziekenhuis)
in een verwijsindex kan ertoe leiden dat er, indirect, gezondheidsgegevens
in de verwijsindex worden opgenomen. In casu gegevens over de
geestelijke of lichamelijke staat (kanker). De indirecte identificeerbaarheid van
de lichamelijke of geestelijke gezondheid van de patiënten in de verwijsindex
neemt toe als er meer gegevens van de patiënt in opgenomen zijn. Juridisch
gezien is de vraag of er sprake is van gezondheidsgegevens van belang, omdat
het verwerken van gezondheidsgegevens voor de verantwoordelijke in beginsel
verboden is, tenzij dit verbod kan worden opgeheven op grond van de uitzonderingen
in artikel 21 WBP, dan wel omdat er sprake is van een uitzondering op
het verbod op grond van artikel 23 WBP. Artikel 23 WBP is een restbepaling. In
artikel 23 WBP is onder andere te lezen dat het CBP onder strikte voorwaarden
ook een ontheffing kan verlenen. Dit onderwerp kwam aan de orde toen de
Registratiekamer is gevraagd of een centrale regionale registratie van MRSAbesmette
patiënten toelaatbaar is gelet op het medisch beroepsgeheim en WBP. 65
(Voor meer informatie over de MRSA-casus, zie 2.15.)
< VORIGE INHOUD VOLGENDE >
44

Normen voor ICT in de zorg
66
Zie Registratiekamer, zaak
nummer 99.K.0919.06.
45
2.9. Verenigbaar gebruik
In deze paragraaf wordt één van de algemene bepalingen, de bepaling van verenigbaar
gebruik, geïllustreerd aan de hand van de Diabetespas-casus. 66
Norm: verenigbaar gebruik
De bepaling voor verenigbaar gebruik werd in de WPR omschreven in artikel 6
WPR en is in de WBP nader uitgewerkt in artikel 9, eerste en tweede lid WBP:
1 Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar
is met de doeleinden waarvoor ze zijn verkregen.
2 Bij de beoordeling of een verwerking onverenigbaar is als bedoeld in het
eerste lid, houdt de verantwoordelijke in elk geval rekening met:
a de verwantschap tussen het doel van de beoogde verwerking en het doel
waarvoor de gegevens zijn verkregen;
b de aard van de betreffende gegevens;
c de gevolgen van de beoogde verwerking voor de betrokkene;
d de wijze waarop de gegevens zijn verkregen en
e de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.
Praktijkvoorbeeld: Diabetespas
De Diabetespas was niet zo zeer zelf interessant als wel de vraag of de wijze
waarop een verzekeraar de Diabetespas had verspreid, verenigbaar was met
het doel van zijn verzekerdenbestand. De verzekeraar had aan de hand van
declaratiegegevens alle diabetespatiënten geselecteerd. Kon dit gebruik van de
declaratiegegevens door de verzekeraar als verenigbaar gebruik worden
beschouwd? Geconcludeerd werd dat bij het bedoelde gebruik wel sprake was
van een zekere verwantschap met het primaire doel van de rechtsverhouding
tussen verzekeraar en verzekerde. Maar met name de aard van de gebruikte
gegevens bracht met zich mee dat striktere eisen dienden te worden gesteld
aan de doelbinding. Het ging namelijk om een specifieke groep patiënten met
diabetes. Daarbij diende tevens rekening te worden gehouden met de striktere
beperkingen die zijn gesteld aan de verwerking van medische gegevens.
Bovendien was het gebruik van medische gegevens voor de verspreiding van
de Diabetespas niet noodzakelijk voor de uitvoering van een verzekeringsovereenkomst,
dan wel voor de goede uitvoering van de Ziekenfondswet (ZFW)
of de AWBZ.
Van negatieve gevolgen voor de verzekerden was niet gebleken en er zaten ook
serviceaspecten aan de Diabetespas. De relevante belangenorganisaties van
diabetespatiënten waren bij de realisering van het project betrokken, evenals de
zorgverleners die bij deze belangenorganisaties waren aangesloten. De verzekerden
waren echter tevoren niet geïnformeerd over de voorgenomen aanbieding
van de pas en hen was ook niet de mogelijkheid geboden bezwaar te
maken tegen de voorgenomen werkwijze of daarmee in te stemmen.
De Registratiekamer kwam tot de conclusie dat de verzekeraar bij de verspreiding
van de Diabetespas was getreden buiten hetgeen op grond van de verzekeringsovereenkomst,
onderscheidenlijk de ZFW of de AWBZ, van deze verwacht
mocht worden. De gegevens van verzekerden waren gebruikt voor een
doel dat - zonder nadere waarborgen - niet verenigbaar was met het doel waarvoor
die gegevens verkregen waren. Nu de gevolgde werkwijze een selectie
vergde van een specifieke groep verzekerden met een bepaald ziektebeeld, had
alleen de uitdrukkelijke (schriftelijke) toestemming van de betrokken verzekerden
dit gebrek kunnen repareren.
< VORIGE INHOUD VOLGENDE >

Privacy bij ICT
in de zorg
Hoofdstuk 2
Normen voor ICT 2.10.Privacybevorderende in de zorg technologieën in de zorg67 67
De tekst van dit onderdeel
is vrijwel geheel ontleend aan
S. Nouwt, ‘Beveiliging van het
EPD’, in: J.K.M. Gevers e.a.,
Juridische aspecten van EPD’s,
ZonMw, 2002 [nog te verschijnen].
Norm voor beveiliging
De beveiligingsplicht voor elke verantwoordelijke voor een verwerking van persoonsgegevens
is vastgelegd in artikel 13 WBP. Artikel 13, WBP luidt:
‘De verantwoordelijke legt passende technische en organisatorische maatregelen
ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige
vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening
houdend met de stand van de techniek en de kosten van de tenuitvoerlegging,
een passend beveiligingsniveau gelet op de risico’s die de verwerking en de
aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn
er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens
te voorkomen.’
Dit artikel schrijft voor dat de verantwoordelijke voor de verwerking van persoonsgegevens
passende technische maatregelen neemt om persoonsgegevens te
beveiligen tegen verlies en tegen enige vorm van onrechtmatige verwerking.
Bovendien geldt voor persoonsgegevens dat de maatregelen onnodige verzameling
en onnodige verdere verwerking van persooonsgeggevens dienen te
voorkomen.
Deze maatregelen worden gewogen aan de hand van een aantal criteria: stand
der techniek, kosten, risico’s van zowel de verwerking als de aard en omvang
van de gegevens. Daar waar technische maatregelen niet voldoende zijn of niet
haalbaar zijn, kunnen organisatorische maatregelen worden genomen. Ook
kunnen organisatorische maatregelen de technische ondersteunen in een samenhangend
stelsel van maatregelen. Wanneer als onderdeel van een evenwichtig
verwerkings- of beveiligingsbeleid, de keuze bestaat tussen een organisatorische
en een technische voorziening, wordt de voorkeur gegeven aan de laatste.
Technische maatregelen zijn doorgaans doeltreffender omdat het moeilijker is
aan het effect ervan te ontkomen.
Bij de behandeling van de WBP in de Eerste Kamer antwoordde de Minister van
Justitie aan de Eerste Kamer: “dat de tegenwoordige informatietechnologische
mogelijkheden om persoonsgegevens te misbruiken, noodzaken om te zien naar
aanvullende mogelijkheden om een behoorlijke en zorgvuldige omgang met
persoonsgegevens te waarborgen. Hierbij kan gedacht worden aan gedeeltelijke
of algehele anonimisering, bijvoorbeeld door persoonsgegevens te ontdoen van
identificerende kenmerken of door ze af te schermen voor bepaalde toepassingen
of gebruikers, of het gebruik tot bepaalde doeleinden te beperken.
In deze lijn is bij amendement 22 van de Tweede Kamer artikel 13 van het wetsvoorstel
aangevuld in die zin dat de voorgeschreven beveiligingsmaatregelen er
mede op moeten zijn gericht onnodige verzameling en verdere verwerking van
persoonsgegevens te voorkomen. Daarmee is de wettelijke basis gegeven voor
de toepassing van Privacy-Enhancing Technologies (PET). Dit soort regels
sluiten aan bij de zich ontwikkelende informatietechnologie.”
De consequentie van het voorafgaande is dat de verantwoordelijke pas mag
overgaan tot het treffen van louter organisatorische maatregelen voor de beveiliging
van een verwerking van persoonsgegevens als deze kan aantonen dat
het niet mogelijk is passende technische maatregelen te nemen (daarbij rekening
houdend met de stand van de techniek en de kosten van de tenuitvoerlegging).
Geschiedenis Privacy-Enhancing Technologies
In augustus 1995 verscheen de studie Privacy-Enhancing Technologies: The Path to
Anonymity, die in nauwe samenwerking met TNO/FEL te Den Haag en de
< VORIGE INHOUD VOLGENDE >
46

47
Information and Privacy Commissioner van de Canadese provincie Ontario te
Toronto geschreven was.
In dit rapport wordt een model gepresenteerd op basis waarvan een informatiesysteem
ontwikkeld kan worden waarin de betrokkene verschillende identiteiten
kan aannemen. De persoonsgegevens worden in dit model opgeslagen in
verschillende domeinen. Om een en ander technisch te realiseren, wordt binnen
het informatiesysteem gebruik gemaakt van een systeemelement Identity
Protector of identiteitsbeschermer genoemd, dat de identiteit van de betrokkene
converteert in één of meer pseudo-identiteiten. Door het plaatsen van de identiteitsbeschermer
ontstaan twee soorten domeinen binnen het informatiesysteem:
één of meerdere domeinen waar de identiteit van de betrokkene bekend of toegankelijk
is (identiteitsdomein) en één of meerdere domeinen waar dit niet het
geval is (pseudo-identiteitsdomein). Het doel van het pseudo-identiteitsdomein
is enerzijds er voor te zorgen, dat de betrokkene niet kan worden getraceerd aan
de hand van eerder verkregen persoonsgegevens en anderzijds dat de persoonsgegevens
niet kunnen worden gevonden aan de hand van een bekende identiteit.
De conclusies van de studie Privacy-Enhancing Technologies, de inmiddels gedurende
vijf jaar opgedane ervaringen van het CBP en de voortgaande research
hebben tot de volgende definitie van PET geleid:
“Privacy-Enhancing Technologies (PET) zijn een samenhangend geheel van ICT
maatregelen dat de persoonlijke levenssfeer (conform de EG richtlijn 95/46 en
de Wet bescherming persoonsgegevens) beschermt door het elimineren of verminderen
van persoonsgegevens of door het voorkomen van onnodige dan wel
ongewenste verwerking van persoonsgegevens, een en ander zonder verlies van
de functionaliteit van het informatiesysteem waarop het wordt toegepast.”
Bij het inzetten van PET om de privacy te beschermen, kan de verantwoordelijke
voor twee strategieën kiezen: deze richt zich op het voorkómen of
verminderen van identificeerbaarheid en/of de verantwoordelijke zet in op het
voorkomen van onrechtmatig verwerken van persoonsgegevens. Een combinatie
van beide is zeker denkbaar.
Praktijkvoorbeeld: Privacy Incorporated Database ® (PID)
Uitgaande van de definitie kunnen als Privacy-Enhancing Technologies worden
beschouwd alle technische maatregelen gericht op het beveiligen van persoonsgegevens
zoals bedoeld in artikel 13 WBP. PET wordt vaak beschreven als een
‘container begrip’: elke nieuwe of bestaande techniek (biometrie, encryptie)
ingezet als middel om de privacy te beschermen kan als PET geclassificeerd
worden. Hieronder volgt een beknopte beschrijving van voorbeeld van een
informatiesysteem waarbinnen PET met succes is toegepast .
Als reactie op een door de Registratiekamer uitgevoerde privacy audit werd de
leverancier van het gebruikte ziekenhuis informatiesysteem verzocht de theoretische
beschrijving van de Identity Protector in concrete technische maatregelen
te vertalen en in het ziekenhuis informatiesysteem (inclusief het elektronisch
patiëntdossier) op te nemen.
De gegevens van de patiënten in de database werd gesplitst in twee groepen. De
eerste groep omvat de direct tot de patiënt herleidbare gegevens als naam,
adres, geboortedatum, verzekering etc (identiteitsdomein). In de tweede groep
werden alle diagnostische en behandelgegevens verzameld (pseudo-identiteitsdomein).
< VORIGE INHOUD VOLGENDE >

Normen voor ICT in de zorg
68
Zie T.F.M. Hooghiemstra,
‘Patiënten- en zorgverlenersidentificatie’,
in: J.K.M.Gevers
e.a., Juridische aspecten van
EPD’s. ZonMw, 2002 [nog te
verschijnen].
69
Zie voor meer informatie
over biometrische toepassingen
in relatie tot privacy:
R. Hes, T.F.M. Hooghiemstra
en J.J. Borking, At face value, on
biometrical identification and
privacy. A&V 15, Den Haag,
Registratiekamer, september
1999 en T.F.M. Hooghiemstra,
‘Biometrie en privacy: kansen
en bedreigingen’, (Smart)Cards
in Business, nummer 1, 2001,
p.38-39.
Privacy bij ICT
in de zorg
Hoofdstuk 2
In beide groepen werden de patiënten geïdentificeerd door een patiëntnummer,
echter ongelijk aan elkaar. Dit betekent dat er op het niveau van de database
geen relatie gelegd kon worden tussen de gegevens in de twee groepen. Het
resultaat hiervan was dat een gebruiker die niet langs een geautoriseerde weg
toegang had weten te krijgen tot deze database, geen samenhangende verzameling
van gegevens aantrof.
Bij het ontwerpen van de systematiek van de patiëntnummers is in het eerste
domein gekozen voor een systeem van volgnummers. Het patiëntnummer in het
tweede domein wordt verkregen door encryptie van dit volgnummer. Het
gebruikte encryptieprotocol maakt het ook mogelijk het oorspronkelijke patiëntnummer
te decrypten. De encryptie of decryptie vinden plaats binnen de toepassingssoftware.
Het protocol maakt gebruik van een encryptiesleutel. Deze
sleutel wordt verstrekt, bij voorkeur door een TTP, eerst nadat de identiteit van
de gebruiker van de toepassing is vastgesteld.
2.11.Normen voor een elektronische identiteitsinfrastructuur68
Voor een goede hulpverlening is het van belang dat gegevens over één en
dezelfde patiënt met elkaar in verband kunnen worden gebracht zonder dat
daarbij verwarring optreedt met gegevens van een ander. Daarnaast moet
bepaald worden of de zorgverlener op het geëigende moment bevoegd is om
toegang te krijgen tot patiëntengegevens. Het vaststellen of verifiëren van de
identiteit of authenticiteit kan op verschillende manieren. De meest voorkomende
vormen zijn een nummer van de patiënt en een wachtwoord of een
pasje voor de zorgverlener. Een andere mogelijkheid is het gebruik van biometrie.
Bij biometrie gaat het om een verzameling van technieken gebaseerd op
het meten en reeds weten van kenmerken die uniek kunnen worden toegeschreven
aan de drager daarvan. Bijvoorbeeld via het scannen van vingers,
handen of de iris van een oog. De biometrische kenmerken worden omgezet in
een template (een soort binaire streepjescode) waarmee een volgende meting
van hetzelfde biometrische kenmerk wordt vergeleken. Biometrische kenmerken
zijn persoonsgebonden en daardoor is identificatie en/of verificatie van
patiënten en zorgverleners met behulp van biometrie op termijn wellicht een
alternatief voor de nummers en wachtwoorden die nu gebruikt worden. 69
Eerst worden de verschillende soorten patiëntnummers besproken.
Patiëntnummers zijn persoonsnummers en persoonsnummers zijn persoonsgegevens.
In de WBP wordt in diverse bepalingen specifiek voor persoonsnummers
nadere aandacht gevraagd. Op grond van artikel 24, eerste lid, WBP is
gebruik van wettelijk voorgeschreven nummers slechts toegestaan binnen het
gesloten stelsel dat daartoe is vastgesteld. Voorbeelden van wettelijk voorgeschreven
nummers zijn het sofi- en het A-nummer. Beide nummers worden in
het navolgende toegelicht, evenals nog drie andere soorten (niet wettelijke)
patiëntnummers.
Bij de vijf te bespreken patiëntnummers is het steeds van belang de reikwijdte
te bepalen. Voor welke (zorg)voorzieningen zal het gelden? In ieder geval dient
de vraag beantwoord te worden wie van deze gezondheidsnummers gebruik
mogen en moeten maken.
Het sofi-nummer
Het sofi-nummer is opgezet als een doelgebonden persoonsnummer voor
gebruik binnen bepaalde sectoren voor de belastingheffing en de uitvoering van
de sociale zekerheidswetgeving. Het nummer heeft in dat kader eveneens een
< VORIGE INHOUD VOLGENDE >
48

70
Zie P.J. Hustinx,
Informatietechnologie in de
gezondheidszorg, Preadvies voor
de Vereniging voor
Gezondheidsrecht, april 1999,
p. 34.
71
Idem.
49
functie gekregen bij de bestrijding van fraude en andere criminaliteit. Het
gebruik is door regering en parlement destijds bewust aan banden gelegd door
verspreiding buiten deze vooraf aangegeven grenzen te verbieden. In het
Besluit van 15 augustus 2001 inzake het gebruik van het sofi-nummer (Besluit
gebruik sofi-nummer Wbp, Staatsblad 2001, 383) komen limitatief de gevallen
aan de orde waarbij het gebruik van het sofi-nummer kan worden toegelaten,
anders dan op basis van reeds bestaande wettelijke regelingen.
Het A-nummer
Het Administratie (A)-nummer is te omschrijven als een doelgebonden nummer
binnen de publieke sector, zoals is vastgelegd in de Wet gemeentelijke basisadministratie
persoonsgegevens. Het gebruik buiten deze kaders is uitdrukkelijk
verboden.
Een versleuteld sofi- of A-nummer
Zie hieronder bij het praktijkvoorbeeld.
Een nationaal gezondheidszorgnummer
Een nationaal gezondheidsnummer dat voor alle gezondheidszorginstellingen
verplicht wordt, zal gelet op de grondrechten en praktische ordeningsaspecten
een wettelijke grondslag vergen. Een speciaal nummer voor de gezondheidszorg
is meer doelgebonden dan het sofi- of A-nummer, maar door de onduidelijke
reikwijdte van de gezondheidszorg en de verschillende doelen waarvoor het
nummer gebruikt kunnen worden, blijft er op grond van het doelbindingsbeginsel
nog een aantal vragen bestaan. Is het bijvoorbeeld nodig zowel voor de
inhoudelijke zorg als voor de administratieve afwikkeling daarvan één en dezelfde
wijze van identificatie te hanteren? 70
Lokale- of regionale zorgnummers
Voor lokale, regionale zorgnummers geldt de wet- en regelgeving die voor alle
persoonsgegevens geldt. Er zijn thans diverse voorbeelden van lokale en regionale
zorgnummers. Vrijwel alle instellingen hebben een eigen lokaal instellingsnummer.
Sommige regio’s, zoals de regio West-Brabant, hebben een regionaal
nummer.
Zolang het elektronisch gegevensverkeer in de zorg nog vooral een lokale of
hooguit regionale aangelegenheid is, hoeft aan het ontbreken van een landelijke
oplossing wellicht minder zwaar te worden getild. 71 Er is geen specifieke wettelijke
grondslag nodig om een lokaal of regionaal nummer te mogen gebruiken.
Wel gelden de spelregels voor persoonsgegevens en daarmee ook artikel 31
WBP. In deze bepaling staat dat het CBP voorafgaand aan een verwerking een
onderzoek instelt indien de verantwoordelijke:
”a. een nummer ter identificatie van personen voornemens is te verwerken voor
een ander doeleinde dan waarvoor het nummer bestemd is teneinde gegevens in
verband te kunnen brengen met gegevens die worden verwerkt door een andere
verantwoordelijke, tenzij het gebruik van het nummer geschiedt voor gevallen
als omschreven in artikel 24; [..]”
Deze bepaling gaat over persoonsnummers die niet bij wet zijn voorgeschreven,
zoals lokale of regionale zorgnummers. In de praktijk zijn er duizenden van die
nummers. Maar zodra men die nummers voor andere doeleinden wil gaan
gebruiken, bijvoorbeeld anders dan voor de gezondheidszorg, dan moet dit
gemeld moeten worden aan het CBP. Het CBP besluit vervolgens of een nader
onderzoek nodig is om te bezien of de persoonlijke levenssfeer hierdoor niet
< VORIGE INHOUD VOLGENDE >

72
Zie voor meer informatie
over keteninformatisering
J.H.A.M.Grijpink, Werken met
keteninformatisering, informatiestrategie
voor de informatiesamenleving,
Den Haag, Sdu,
1999, p.21.
73
Deze methode biedt meer
waarborgen dan tweezijdige
versleuteling, maar kan in bijzondere
gevallen wel reproduceerbaar
zijn. Zie de uitspraak
van de Registratiekamer van
19 november 1999, in de zaak
nummer 99.O.0174.03.
74
Zie Registratiekamer zaak
nummer z2000-0724.
75
Zie ook hoofdstuk 3 uit
R.Hes, T.F.M. Hooghiemstra,
J.J. Borking, At face value, on
biometrical identification and
privacy, A&V 15, Den Haag,
Registratiekamer, september
1999; Ronald Hes en Theo
Hooghiemstra, ‘Biometrie:
meer dan persoonsherkenning’,
Interactie & Innovatie,
18e jaargang 2000-1, p.35-41 en
T.F.M. Hooghiemstra,
‘Biometrie en privacy: kansen
en bedreigingen’, (Smart)Cards
in Business, nummer 1, 2001,
p.38-39.
Privacy bij ICT
in de zorg
Hoofdstuk 2
onevenredig geschaad wordt.
Zorgketennummers
Zorgketennummers zijn een hulpmiddel bij keteninformatisering. 72 Keteninformatisering
gaat uit van de vraag hoe men op het goede moment in een
proces de juiste gegevens van elders bij elkaar krijgt. Dit dient in het concept
van keteninformatisering plaats te vinden door gebruik te maken van een
gemeenschappelijke informatie-infrastructuur die zo ‘kaal’ mogelijk is, bijvoorbeeld
een nummer of een verwijzing. Die gemeenschappelijke informatieinfrastructuur
kan tot stand worden gebracht naar de mate waarin partijen
geneigd zijn mee te werken. Hiervoor is het belangrijk dat er een ketenprobleem
is. In de gezondheidszorg is de verslavingszorg een voorbeeld van zo’n keten.
Deze keten hanteert een eigen nummer. Het gebruik van een algemeen nationaal
nummer past niet binnen deze benadering. Wel kan er sprake zijn van een
nationaal of regionaal nummer met betrekking tot een bepaalde keten. Het verslavingszorgnummer
is een voorbeeld van een nationaal nummer voor een
bepaalde keten.
Praktijkvoorbeeld: advies over een versleuteld sofi-nummer
Nationale persoonsnummers voor sectoren buiten de gezondheidszorg, zoals
het sofi-nummer en het A-nummer, kunnen worden omgevormd tot nieuwe
nummers voor de gezondheidszorg, bijvoorbeeld door de one way hashingtechniek
die in onderdeel 2.1. bij de LADIS-casus aan de orde is geweestl 73 . De
toenmalige Registratiekamer heeft destijds ten aanzien van het voornemen van
de toenmalige Stichting ICT Platform in de Zorg om van een versleuteld sofinummer
een zogenaamd Zorg Identificatie Nummer (ZIN) te maken gematigd
positief geadviseerd onder de volgende randvoorwaarden. 74
De Registratiekamer vindt een onomkeerbare versleuteling van het sofi-nummer
vergelijkbaar met een willekeurig zorgnummer, mits het algoritme goed beveiligd
is en uitgaat van een adequate sleutellengte. De zwakke plek van het
beoogde nummer is echter dat het versleutelingsalgoritme gemakkelijk bekend
kan worden, vooral indien dit op grote schaal wordt toegepast. Verder merkt de
Registratiekamer op dat als het sofi-nummer niet juist is, ook het versleutelde
nummer niet klopt. Bovendien vraagt zij zich af of de organisatie die de versleuteling
van sofi-nummers op zich neemt daartoe bevoegd is. Het feit dat het
onomkeerbaar versleutelde sofi-nummer, mits goed beveiligd, tot een doelgebonden
nummer voor de gezondheidszorg leidt, vindt de Registratiekamer
wel positief.
De Registratiekamer vermoedt dat bij de invoering van het onomkeerbaar versleutelde
sofi-nummer op termijn een nadere wettelijke regeling nodig zal zijn.
Weliswaar is het mogelijk om zonder extra wettelijke regelingen het beoogde
nummer in de voorgestelde pilots te testen, maar daarbij gelden dan wel de volgende
beperkingen:
– een adequate beveiliging dient gegarandeerd te kunnen worden;
– de organisatie die de sofi-nummers versleutelt, dient bevoegd te zijn om
over het sofi-nummer te mogen beschikken;
– een eenmaal door een patiënt gegeven toestemming moet weer ingetrokken
kunnen worden;
– ook voor dit nieuwe unieke nummer geldt de algemene privacywetgeving.
Biometrie
Naast nummers kunnen zowel voor patiënten- als zorgverlenersidentificatie ook
biometrische toepassingen gebruikt worden. Aangezien biometrische gegevens
bij uitstek gebruikt kunnen worden voor persoonsherkenning zijn ook biometrische
gegevens persoonsgegevens. 75
< VORIGE INHOUD VOLGENDE >
50

76
Zie T.F.M. Hooghiemstra,
‘Patiënten- en zorgverlenersidentificatie’,
in: J.K.M.Gevers
e.a., Juridische aspecten van
EPD’s, ZonMw, 2002 [nog te
verschijnen].
51
Het proces van biometrische identificatie en verificatie kent een aantal stappen.
Er moet altijd sprake zijn van een eerste vastlegging of enrollment. In principe
is dit een eenmalige gebeurtenis, waarbij het biometrische gegeven (bijvoorbeeld:
vinger, hand, iris of stem) gemeten wordt en toegeschreven aan de juiste
persoon. Dit gegeven wordt vastgelegd in een template, bijvoorbeeld in een
database of op een chipcard. In de gebruiksfase presenteert iemand zijn
lichaamskenmerk aan een sensor. Het lichaamskenmerk wordt gemeten en
omgezet in een template.Vervolgens wordt dit vergeleken met de opgeslagen
template. De meting zal altijd een zekere onnauwkeurigheid hebben en daarom
een template opleveren die afwijkt van de referentie. Wanneer de afwijking
tussen beide kleiner is dan een van tevoren gespecificeerde drempel, is de persoon
geverifieerd en krijgt toegang. De tevoren gespecificeerde drempel betreft
een keuze gebaseerd op een delicaat evenwicht tussen wat genoemd wordt de
‘False Rejection Rate’ en de ‘False Acception Rate’, oftewel het evenwicht tussen
iemand ten onrechte weigeren of toelaten. Er bestaan nog geen algemeen aanvaarde
standaarden om deze drempel eenduidig en betrouwbaar te specificeren.
Conclusie ten aanzien van de vijf patiëntnummers
De vijf bovengenoemde soorten patiëntnummers en de mogelijke toepassingen
van biometrische identificatie en verificatie zijn in een onderzoek van het juridisch
laboratorium van ZonMw getoetst aan vijf beginselen voor gegevensverwerking:
1) transparantie, 2) doelbinding, 3) rechtmatige grondslag, 4) kwaliteit,
5) beveiliging. 76 Het betreft vijf van de zes beginselen die in paragraaf 2.6. reeds
aan de orde zijn geweest. Hier worden slechts de conclusies ten aanzien van de
verschillende soorten patiëntnummers en biometrie uiteen gezet.
Ten aanzien van de vijf soorten patiëntnummers die hiervoor zijn genoemd kan
uit de toetsing afgeleid worden dat naarmate het bereik van het patiëntenidentificatienummer
groter of langduriger is, het risico toeneemt dat beginselen
ter bescherming van persoonsgegevens geschonden worden. Daarnaast hangt
dit risico af van wat er vervolgens met dit nummer (mogelijk) gedaan wordt.
Conclusie ten aanzien van biometrie
Biometrie blijkt een belangrijke bijdrage aan de beveiliging van persoonsgegevens
te kunnen leveren. Een ander voordeel van het gebruik van biometrische
toepassingen kan zijn dat er minder (of misschien zelfs wel geen)
persoonsgegevens vastgelegd hoeven worden. Er zijn biometrische toepassingen
waarbij gesteld kan worden dat er sprake is van persoonlijk gebruik en dat
derhalve de WBP niet van toepassing is.
Gelet op de beginselen voor gegevensverwerking treedt een mogelijke bedreiging
van de kant van biometrische toepassingen op wanneer dezelfde biometrische
kenmerken worden gebruikt op allerlei verschillende terreinen,
waardoor het mogelijk wordt om iemands handel en wandel voor een groot deel te
reconstrueren. Overigens is deze bedreiging via asymmetrische versleuteling, met
verschillende sleutels te voorkomen. Een andere bedreiging is dat biometrische
gegevens meer informatie kunnen bevatten dan direct voor identificatie of authenticatie
noodzakelijk is. Vandaar dat het van belang is dat slechts gebruik gemaakt
wordt van templates die niet tot het oorspronkelijke biometrische kenmerk te
reconstrueren zijn.
Om de verschillende biometrietoepassingen in de praktijk te kunnen toetsen aan
de algemene normen ter bescherming van persoonsgegevens, zowel wat de
betrouwbaarheid van de toepassing als de privacydreigingen voor
patiënten/cliënten betreft, neemt de behoefte aan concrete standaarden voor
biometrie toe. Pas dan is er een kader voor biometrie-audits. Naast de
< VORIGE INHOUD VOLGENDE >

Normen voor ICT in de zorg
77
Zie H. Roscam Abbing,
Beslissen door de patiënt, Bohn
Stafleu Van Loghum, 1994,
p.15.
78
Zie H.J.J. Leenen en J.K.M.
Gevers, Handboek gezondheidsrecht,
deel I, rechten van de
mensen in de gezondheidszorg.
Vierde druk, Samson H.D.
Tjeenk Willink, 2000, p.255.
79
J.K.M. Gevers e.a., Juridische
aspecten van EPD’s. ZonMw,
2002 [nog te verschijnen].
80
De hierna volgende tekst
met betrekking tot autorisatie
is vrijwel integraal overgenomen
uit de bijdrage van
J.K.M. Gevers en H.D.C.
Roscam Abbing, ‘Het elektronisch
patiëntdossier en de
positie van de patiënt bij raadpleging
van patiëntengegevens’,
in: J.K.M. Gevers e.a.,
Juridische aspecten van EPD’s.
ZonMw, 2002 [nog te verschijnen].
Privacy bij ICT
in de zorg
Hoofdstuk 2
genoemde algemene randvoorwaarden zou daarbij ook aan meer specifieke randvoorwaarden
kunnen worden gedacht, zoals de norm dat templates uitsluitend
asymmetrisch versleuteld over het openbare net verspreid mogen worden.
2.12.Normen voor een elektronische informatieinfrastructuur
In paragraaf 1.5. zijn de feitelijke ontwikkelingen omtrent de voorgenomen
elektronische informatie-infrastructuur beschreven. Hier volgen de normatieve
aspecten.
Normen voor chipkaarten
Bij chipkaartprojecten dient rekening te worden gehouden met de normatieve
vraagstukken die in de gezondheidsrechtelijke literatuur genoemd worden.
Daarin wordt bijvoorbeeld gewezen op het feit dat het medisch beroepsgeheim de
gegevens van de patiënt op de chipkaart niet beschermt. 77 Bovendien wordt er op
gewezen dat de medische gegevens op de kaart van de patiënt, al dan niet onder
druk, ook door personen en instanties buiten de gezondheidszorg gelezen kunnen
worden. Denk daarbij bijvoorbeeld aan de sociale verzekeringsinstellingen en de
zorgverzekeraars. Ook kan in een rechtszaak de patiënt tot gegevensverstrekking
worden gedwongen waar de arts zich op het verschoningsrecht zou kunnen
beroepen. Als laatste normatieve bezwaar zijn nog de aansprakelijkheidsvragen te
noemen die de medische chipkaart oproept. De gegevens op de chipkaart veranderen
immers steeds, terwijl voor de aansprakelijkheid het noodzakelijk is dat
oude gegevens beschikbaar en veranderingen zichtbaar blijven en dat wordt vastgelegd
door wie op welk moment veranderingen zijn aangebracht. 78 Uiteraard
kunnen deze normatieve vraagstukken worden voorkomen bij een chipkaart die
slechts als sleutel voor een EPD dient. Er van uitgaande dat in de toekomst de
chipkaart als sleutel voor een EPD zal dienen, dan wel gebruikt zal worden voor
specifieke patiëntengroepen (chronisch zieken), zijn de aanvullende relevante
normen voor chipkaarten ook aan te treffen in het volgende onderdeel waarin de
normen voor EPD’s beschreven worden.
Normen voor een EPD
Naast de beschreven normen betreffende de elektronische identiteitsinfrastructuur
en de daarvoor beschreven normen voor beveiliging en privacytechnologie
zijn voor een EPD nog een veelheid van andere normen relevant. Een
uitvoerige studie naar de juridische normen voor EPD’s is gedaan door het al
eerder aangehaalde juridisch laboratorium van ZonMw. 79 In deze paragraaf
worden, in aanvulling op de normen die in andere delen van deze achtergrondstudie
al aan de orde zijn gesteld of komen, twee onderwerpen in het bijzonder
er uitgelicht: autorisatie en verantwoordelijkheid/aansprakelijkheid.
Autorisatienormen voor een EPD? 80
Geen toegang voor onbevoegden heeft bij een EPD een dubbele gelaagdheid:
zonder autorisatie zonder meer geen toegang tot medische gegevens, met autorisatie
alleen toegang op basis van toestemming van de patiënt (in enigerlei
vorm). Zie wat dat betreft ook paragraaf 2.7 over het medisch beroepsgeheim.
Autorisatie wordt in het algemeen gehanteerd voor het aangeven van de
bevoegdheid om uit hoofde van een beroep in principe kennis te mogen nemen
van medische persoonsgegevens. Om van de autorisatie ook gebruik te mogen
maken, moet aan voorwaarden zijn voldaan, wil de in principe geautoriseerde
raadpleger, gelet op zijn positie, ook rechtmatig toegang krijgen. Met andere
woorden het gaat hier om de rechtmatigheidsvraag. Deze vraag staat in relatie
tot de zeggenschap van de patiënt over diens medische persoonsgegevens.
< VORIGE INHOUD VOLGENDE >
52

81
Het onderdeel verantwoordelijkheid
en aansprakelijkheid
is grotendeels ontleend
aan passages uit S. Nouwt,
‘Aansprakelijkheid en verantwoordelijkheid
voor het EPD’,
in: J.K.M. Gevers, Juridische
aspecten van EPD’s. ZonMw,
2002 [nog te verschijnen].
53
Bij de zeggenschap van de patiënt is de vraag aan de orde op welk moment en
bij welke hulpverlener deze gestalte moet krijgen. In principe zou zoveel mogelijk
aangesloten moeten worden bij de ‘conventionele’ situatie van gegevensverwerking.
Dat wil zeggen vormgeving aan zeggenschap bij de primaire bron
van de gegevensverwerking indien die bron anderen moet inschakelen, en bij de
gegevensvrager alleen indien deze degene is die zelfstandig behoefte heeft aan
(nadere) gegevens van de bron dan wel van elders. Op die wijze kan het meest
recht worden gedaan aan de uiteenlopende situaties van gegevensuitwisseling
die zich later kunnen voordoen, met name ook aan de kenbaarheid voor de
patiënt dat, door wie en waarvoor gegevens geraadpleegd zullen worden.
Rest nog de vraag welke informatie door de bevoegde en op het concrete
moment tot toegang gerechtigde hulpverlener, gelet op zijn functie/discipline
en de hulpvraag van de patiënt, geraadpleegd moet kunnen worden (“need to
know”, noodzakelijkheidsvraag). Algemene voorwaarde bij toegang tot medische
persoonsgegevens (in welke situatie dan ook) is dat de kennisneming
beperkt blijft tot het relevante en noodzakelijke gelet op de hulpvraag van de
patiënt en de functie van de hulpverlener. Dit kan vorm krijgen in bijvoorbeeld
“standaardisering” van bij een soort klacht en/of functie van de hulpverlener
behorende informatierubricering of van een markering gebaseerd op codering
van ziekten of aandoeningen. Om te bereiken dat raadpleging beperkt blijft tot
gegevens die de betreffende hulpverlener voor uitoefening van diens functie
nodig heeft, is een verdere onderverdeling of rubricering van patiëntgegevens
naar (hoofd)functies nodig. De indeling en rubricering zou overigens uit hoofde
van de WGBO als zodanig, ongeacht het systeem dat voor het dossier wordt
gebruikt, al tot stand moeten zijn gekomen. De exacte vormgeving is een vraag
voor de systeembouwers die de door de beroepsgroepen te formuleren eisen
technologisch moeten vertalen.
Verantwoordelijkheids- en de aansprakelijkheidsnormen bij het EPD? 81
Bij het gebruik van bijvoorbeeld een EPD in instellingen, zoals een ziekenhuis,
is een onderscheid te maken tussen aansprakelijkheid en verantwoordingsplicht.
Het gaat immers niet om de ‘eigendom’ van een dossier, maar om verschillende
zeggenschapsrechten. Zo is de instelling (het ziekenhuis) meestal
degene die het doel en de middelen (de randvoorwaarden, zoals de keuze voor
een EPD) vaststelt voor het verwerken van de gegevens. In het algemeen wordt
de instelling dan tevens als eigenaar beschouwd van het medium waarop de
gegevens worden opgeslagen. De hulpverlener is degene die verantwoordelijk is
voor de inhoud (juistheid, verstrekking, e.d.) van de gegevens, terwijl de
patiënt er recht op heeft een afschrift te ontvangen van de gegevens. Hoewel
het begrip aansprakelijkheid mede een verantwoordingsplicht omvat, wordt in
het spraakgebruik vaak onderscheid gemaakt tussen de inhoudelijke verantwoordelijkheid
voor bijvoorbeeld de juistheid en de verstrekking van gegevens
uit het EPD, en de juridische aansprakelijkheid voor gevallen waarin schade is
geleden en schadevergoeding wordt geclaimd.
In het algemeen geldt als uitgangspunt dat de geleden schade moet worden vergoed
door de hulpverlener die deze heeft veroorzaakt. Een gegroeide praktijk is
dat medische zorg niet alleen door individuele hulpverleners wordt verleend,
maar ook door behandelteams. Teneinde te voorkomen dat een patiënt die de
schade heeft geleden, moet uitzoeken hoe de interne verhoudingen binnen het
ziekenhuis liggen (hulpverleners al dan niet in dienstverband, medisch specialisten
al dan niet op basis van toelatingscontract) is in artikel 7:462 BW de
centrale aansprakelijkheid van het ziekenhuis vastgelegd. De centrale aansprakelijkheid
geldt in het bijzonder indien in een ziekenhuis medisch specia-
< VORIGE INHOUD VOLGENDE >

82
Zie H.J.M. Gardeniers,
Chipcards en privacy, regels voor
een nieuw kaartspel. A&V 6,
Den Haag, Registratiekamer,
september 1995.
Privacy bij ICT
in de zorg
Hoofdstuk 2
listen werkzaam zijn, die geen dienstverband met het ziekenhuis hebben. In dat
geval sluit de patiënt immers twee behandelingsovereenkomsten: één met de
specialist (maatschap) voor de feitelijke behandeling, en één met het ziekenhuis
voor de met de behandeling samenhangende verzorging en het eventuele verblijf.
Wanneer zich in zo’n situatie een fout voordoet, dan is de specialist weliswaar
aansprakelijk op grond van diens eigen behandelingsovereenkomst met
de patiënt, maar de patiënt kan zijn claim neerleggen bij het centrale adres, het
ziekenhuis. Het ziekenhuis kan vervolgens regres nemen op de specialist die de
fout feitelijk heeft gemaakt. De primaire verplichtingen op grond van de behandelingsovereenkomst,
zoals de nakoming van de overeenkomst, het verlenen
van inzage, enzovoorts, alsmede de aansprakelijkheid voor gebrekkige zaken,
vallen evenwel buiten de regeling van de centrale aansprakelijkheid.
In het rapport Chipcards en Privacy 82 wijst de Registratiekamer er op dat bij
chipkaartprojecten veel partijen bij het gegevensverwerkingsproces betrokken
kunnen zijn. Hetzelfde geldt voor andere ICT-projecten in de zorg. De verantwoordelijkheid
voor de verwerking van de gegevens zal verdeeld zijn over
de verschillende bij het EPD-project betrokken actoren. Dit zal per project
moeten worden vastgesteld, en aan betrokkenen kenbaar moeten worden
gemaakt. De kernvraag bij het vaststellen van deze verdeling is wie in een
concreet geval de centrale actor/verantwoordelijke is en wie daarbij medeverantwoordelijk
zijn. Van belang is dat daarbij geen lacunes ontstaan. Een
‘geschaalde’ verantwoordelijkheidsverdeling is hier het uitgangspunt. In de
praktijk betekent dit dat bij een EPD-project een ziekenhuis de primair verantwoordelijke
kan zijn, tenzij de hulpverlener verantwoordelijk is (bijvoorbeeld
voor de juistheid van de gegevens; zie hierna), en die weer tenzij een andere
hulpverlener verantwoordelijk is (bijvoorbeeld wanneer gegevens worden
geraadpleegd waarvoor die laatstgenoemde hulpverlener verantwoordelijk is).
Deze verdeling van verantwoordelijkheden en de eventueel daaruit voortvloeiende
aansprakelijkheid doet overigens niet af aan een eventuele aansprakelijkheid
die kan voortvloeien uit andere regelgeving, zoals de WGBO.
In een – al dan niet elektronisch – patiëntdossier bestaan geen eigendomsrechten,
maar is sprake van gedeelde zeggenschap. Daaruit vloeit voort dat de
verantwoordelijke (i.c. het ziekenhuis, dat in het licht van de WGBO tevens als
centraal aansprakelijkheidsadres fungeert) zeggenschap heeft over – en derhalve
verantwoordelijk is voor – de (geautomatiseerde) middelen die bij de
gegevensverwerking worden gebruikt. De verantwoordelijke (meer concreet zal
dat in de regel de directie van het ziekenhuis zijn) heeft echter geen toegang tot,
noch zeggenschap over de gegevens inhoudelijk. De inhoud van het EPD is een
verantwoordelijkheid van de arts, hetgeen volgt uit art. 7:454, lid 1, BW.
De aansprakelijkheid hangt samen met de omvang van de verantwoordelijkheid.
In de eerste hiervoor genoemde samenwerkingsconstructie is de verantwoordelijke
in beginsel aansprakelijk voor de verwerkingen als geheel. Is echter sprake
van een afzonderlijke verantwoordelijkheid voor deelverwerkingen, dan is elke
verantwoordelijke in beginsel aansprakelijk voor zijn deel. Bij gezamenlijke verantwoordelijkheid
zijn alle in het samenwerkingsverband participerende personen
c.q. instellingen hoofdelijk aansprakelijk. Uit de artikelen 6:6 e.v. BW
vloeit voort dat iedere verantwoordelijke tegenover de betrokkene voor het
geheel aansprakelijk is. Dit laat onverlet de mogelijkheid van regres (verhaal),
bijvoorbeeld als de schuld bij één van de andere verantwoordelijken ligt. De
benadeelde patiënt kan één verantwoordelijke aansprakelijk stellen. Die zal
eventuele schade moeten vergoeden, maar kan in sommige gevallen de schade
op zijn beurt verhalen op een ander die schuld heeft.
< VORIGE INHOUD VOLGENDE >
54

83
Het onderdeel ‘verwijsindexen’
is grotendeels ontleend
aan Normen passages uit T.F.M. voor ICT in de zorg
Hooghiemstra, ‘Verwijsindexen’,
in: J.K.M. Gevers,
Juridische aspecten van EPD’s.
ZonMw, 2002 [nog te verschijnen].
55
Een verantwoordelijke die aansprakelijk is gesteld door een benadeelde en
schade heeft vergoed, kan ook een recht op regres hebben op de bewerker. De
verantwoordelijke blijft echter aansprakelijk voor de verwerking, ook al heeft
hij een externe bewerker ingeschakeld. Een bewerker is daarnaast ook zelf aansprakelijk
voor zijn aandeel in de schade (art. 49, lid 3, WBP).
Normen voor verwijsindexen 83
In paragraaf 1.5. is uiteengezet dat het EPD waarschijnlijk een virtueel EPD gaat
worden en dat er derhalve wellicht met verwijsindexen gewerkt zal gaan
worden. Aan welke normen moet gedacht worden alvorens gebruik te maken
van verwijsindexen? Allereerst dient nagegaan te worden of een verwijsindex
noodzakelijk is, vanwege de mogelijke risico’s die aan (met name meer dan
‘kale’) verwijsindexen kleven. De risico’s zijn onder meer zeggenschapsverlies
van de zorgverleners, onduidelijke verantwoordelijkheidstoedeling en daardoor
bijvoorbeeld onduidelijkheden over het verwijderen, bewaren en actueel
houden van de gegevens, ongerechtvaardigde schending van het medisch
beroepsgeheim en de aanwezigheid van gezondheidsgegevens. Wanneer de
keuze voor een verwijsindex is gemaakt, dan zijn in ieder geval de WBP en de
wettelijke bepalingen omtrent het medisch beroepsgeheim van toepassing.
Op grond van de WBP is de eerste vraag, wie de verantwoordelijke is voor de
verwijsindex. De verantwoordelijke zal de patiënten en zorgverleners moeten
informeren waarvoor hij de gegevens in de verwijsindex gaat gebruiken.
Bovendien mogen de betrokkenen verzoeken om inzage in en verbetering, aanvulling,
verwijdering of afscherming van hun gegevens. Soms ook om een recht
van verzet. De verantwoordelijke dient er zelf voor te zorgen dat de gegevens
juist en nauwkeurig zijn. De verantwoordelijke dient ook rekening te houden
met de (wettelijke) bewaartermijnen.
Bij het overwegen van de vraag welke gegevens in de verwijsindex opgenomen
mogen worden, is het raadzaam achtereenvolgens de volgende drie vragen te
stellen:
1 Is er sprake van een gerechtvaardigde inbreuk op het (medisch) beroepsgeheim?
2 Is er sprake van gezondheidsgegevens?
3 Is er sprake van een rechtmatige grondslag?
De stappen twee en drie hebben met name betrekking op uitzonderingssituaties
waarbij wel sprake is van het gebruik van persoonsgegevens van de patiënt,
maar niet van een behandelingsovereenkomst in de zin van de WGBO.
Het laatste belangrijke vereiste waar de verantwoordelijke voor een verwijsindex
aan moet voldoen is het treffen van de noodzakelijke technische en
organisatorische maatregelen tegen onnodige, dan wel onrechtmatige verwerking
van persoonsgegevens. In dat verband zij verwezen naar de mogelijkheid om
gebruik te maken van privacybevorderende technologie. In samenhang daarmee
is het van belang dat de verantwoordelijke zich realiseert dat de verwijzing ook
afgeschermd kan worden. Vanuit het oogpunt van beveiliging, beheersbaarheid
en zeggenschap van patiënten en zorgverleners worden decentrale verwijsindexen
aanbevolen.
2.13.Normen voor internet
De in hoofdstuk 1 genoemde privacyrisico’s kunnen er toe leiden dat het recht
op geheimhouding in de relatie tussen patiënt en hulpverlener, zoals onder
andere is vastgelegd in artikel 7:457 BW, wordt aangetast. Daardoor ontstaat
ook een probleem ten aanzien van het recht op een goede hulpverlening.
< VORIGE INHOUD VOLGENDE >

84
Zie H.D.C Roscam Abbing,
‘Informatie- en communicatietechnologie
en patiëntenzorg;
kansen en bedreigingen in de
21e eeuw’, in: Privaatrecht in de
21e eeuw: blik in de medische
praktijk in de 21e eeuw, Kluwer
(in opdracht van het Ministerie
van Justitie) 1999, p.55.
85
Zie Registratiekamer zaak
nummer z2000-0926, 20 juni
2001, o.a. op www.cbpweb.nl.
86
Zie over de discussie inzake
Medlook ook: R.
Crommentuyn, ‘Digitalisering
met mitsen en maren’, Medisch
Contact, 55, 2000, p.1184-1186.
87
Voor meer informatie over
Medlook, zie www.medlook.nl.
Privacy bij ICT
in de zorg
Hoofdstuk 2
Voorwaarde voor een goede hulpverlening is immers dat de patiënt vrijuit kan
spreken met zijn hulpverlener zonder bang te hoeven zijn dat deze informatie
ook bij derden bekend wordt. Bij gebrek aan vertrouwen in de geheimhouding
wordt de patiënt minder mededeelzaam. De positie van de patiënt zal daardoor
verzwakken. 84
Daarnaast zal bij internettoepassingen die er toe leiden dat het medisch dossier
van de patiënt door hemzelf, of bijvoorbeeld een internetbedrijf, op een website
wordt bijgehouden (naast het dossier dat de hulpverlener overeenkomstig
artikel 7:454 BW, zelf bijhoudt), dit op internet geplaatste dossier niet worden
beschermd door het verschoningsrecht van de hulpverlener. Over de privacynormen
bij het plaatsen van medische dossiers op internet gaat het volgende
praktijkvoorbeeld.
Praktijkvoorbeeld: medische dossiers op internet 85
Het bedrijf Medlook biedt aan patiënten de mogelijkheid hun medisch dossiers
op de website van Medlook te plaatsen. De Registratiekamer heeft zich op verzoek
van de Landelijke Huisartsen Vereniging (LHV) uitgesproken over deze
casus. 86
Medlook is een internetbedrijf. 87 De doelstelling van Medlook is via internet de
beschikbaarheid van het medisch dossier van de individuele patiënt zo groot
mogelijk te maken. De zorgverlener krijgt geen volledige inzage in het dossier,
slechts de onderdelen waartoe de patiënt hem heeft geautoriseerd worden aan
de zorgverlener getoond. Via de website van het bedrijf kunnen patiënten hun
medisch dossier op internet plaatsen. De patiënt kan de medische gegevens
online laten controleren en bevestigen door zijn hulpverlener. Uit het dossier
blijkt wie de gegevens heeft toegevoegd. Ook vermeldt het dossier bij ieder
gegeven of het door de hulpverlener bevestigd is. De hulpverlener kan zelf ook
gegevens aan het dossier toevoegen. Medlook beheert de wachtwoorden van de
patiënten voor de inlogprocedures van de patiënten en zorgverleners.
Het dossier op de website bevat van de patiënt de volgende gegevens: loginnaam,
de zorgverleners aan wie de patiënt toegang tot het dossier heeft gegeven
en een overzicht met categorieën van medische gegevens en door de patiënt te
bepalen aanvullende informatie. De patiënt heeft de mogelijkheid om een
selectie toe te passen bij de keuze van medische gegevens die hij in zijn medisch
dossier opneemt en door zijn zorgverlener(s) laat bevestigen. Er is geen garantie
dat het dossier een volledig en juist beeld geeft van de medische gegevens van
de patiënt. Dergelijke garanties kunnen overigens ook niet bij andere medische
dossiers in de gezondheidszorg gegeven worden.
Op de algemene site van Medlook wordt ingegaan op de beveiligingsmaatregelen
die getroffen zijn. Daarbij wordt echter geen melding gemaakt van de risico’s
die inherent zijn aan internetgebruik. Voor de beveiliging heeft Medlook
gekozen voor een combinatie van verschillende beveiligingsmaatregelen. De
beveiliging is opgebouwd uit vijf onderdelen:
1 Er staan geen naam, adres, woonplaats (NAW) gegevens in het dossier;
2 Toegangsbeveiliging door middel van een login-password, waarbij maximaal
drie inlogpogingen zijn toegestaan;
3 Beveiliging van het dataverkeer met behulp van een standaard voor cryptografische
beveiliging van internetverkeer;
4 Functionele autorisatie door middel van verschillende domeinen voor
patiënt, arts en apotheker;
5 Beveiliging van de database door versleuteling van de gegevens in de database.
< VORIGE INHOUD VOLGENDE >
56

88 Zie www.medlook.ch.
57
Medlook ambieert een internationale uitbreiding van haar activiteiten.
Inmiddels heeft uitbreiding in Zwitserland plaatsgevonden. 88 Medlook ambieert
tevens een uitbreiding van haar activiteiten en opgeslagen gegevenssoorten. In
dat verband treft Medlook voorbereidingen op het terrein van medicatiebewaking,
telegeneeskunde, zorg voor diabetespatiënten en vraagstukken op het terrein
van methadonregistratie en drugsverslaving.
De Registratiekamer stelde in haar uitspraak voorop dat verwerking van medische
gegevens van patiënten via internet risico’s met zich meebrengt. Medlook
is volgens haar primair verantwoordelijk voor de gegevensverwerkingen
omtrent de medische dossiers van patiënten die op de website van Medlook
staan. Medlook is namelijk verantwoordelijk voor de door haar geleverde
dienstverlening. Dit sluit overigens niet uit dat ook andere actoren, zoals de
patiënt en de webhost, medeverantwoordelijk kunnen zijn. Het onderzoek van
de Registratiekamer beperkte zich echter tot de positie van Medlook.
Er is sprake van het verwerken van persoonsgegevens ondanks het feit dat
Medlook geen NAW-gegevens van de patiënten op de website plaatst. Directe
identificatie wordt hiermee voorkomen. Een Medlook-dossier biedt door de
combinatie van de opgeslagen gegevens echter een meer dan theoretische mogelijkheid
om patiënten te kunnen identificeren. De mate van identificeerbaarheid
zal bovendien alleen maar verder toenemen naarmate de ambities van Medlook
worden gerealiseerd. De door Medlook geleverde dienstverlening biedt dus op
grond van de combinatie van de opgeslagen patiëntengegevens, andere relevante
actoren die hiervan gebruik maken, direct of indirect, de mogelijkheid om
met de middelen die hen redelijkerwijs ter beschikking staan, de identiteit van
de patiënt vast te stellen. Daarmee is in dit geval sprake van het verwerken van
persoonsgegevens in de zin van de WBP.
Schending van het medisch beroepsgeheim is slechts van toepassing voor zover
artsen en apothekers zonder toestemming van de patiënt gegevens over de
patiënt aan het dossier toevoegen. Uitgaande van de feitelijke werking van
Medlook meent de Registratiekamer dat er van uit mag worden gegaan dat in
casu sprake is van verstrekking van gegevens door de arts met (gerichte) toestemming
van de patiënt.
Toegangsbeveiliging door middel van een loginnaam en wachtwoord is een
zwakke schakel in de beveiliging van Medlook. Uitgaande van de combinatie
van beveiligingsmaatregelen waar Medlook voor heeft gekozen, meent de
Registratiekamer echter dat de beveiliging van het dataverkeer, gezien de huidige
stand van de techniek en hetgeen in redelijkheid van Medlook kan worden
gevergd, vooralsnog als voldoende kan worden beschouwd. De voorlichting aan
de patiënt over de algemene beveiligingsrisico’s van internet is echter onvoldoende.
Ten onrechte wordt bij de algemene site van Medlook geen melding
gemaakt van de risico’s die inherent zijn aan internetgebruik.
Vanuit haar centrale verantwoordelijkheid heeft Medlook maatregelen getroffen
om vast te stellen welke gegevens door de patiënt in het dossier zijn gezet en
welke gegevens door de betreffende artsen en apothekers zijn geaccordeerd.
Vastgesteld kan echter worden dat de volledigheid en de juistheid van de
gegevens in het dossier van de patiënt niet te garanderen zijn. Zorgverleners
dient daarom te worden afgeraden uitsluitend op basis van de gegevens in het
dossier ingrijpende beslissingen ten aanzien van patiënten te nemen. In het
verlengde van de hiervoor genoemde conclusies deed de Registratiekamer de
volgende vijf aanbevelingen:
< VORIGE INHOUD VOLGENDE >

Normen voor ICT in de zorg
89
Zie Registratiekamer/CBP,
februari 1994 (met name p.13).
90
Zie Registratiekamer/CBP,
zaak nummer 93B006,
augustus 1993.
91
Zorgverzekeraars zijn hier:
verzekeraars als bedoeld in
artikel 1, eerste lid, onder h,
van de Wet toezicht verzekeringsbedrijf
1993, verzekeraars
als bedoeld in artikel 1, onder
c, van de Wet toezicht naturauitvaartverzekeringsbedrijf
en
tussenpersonen en sub-agenten
als bedoeld in artikel 1, onder
b en c, van de Wet assurantiebemiddelingsbedrijf.
Privacy bij ICT
in de zorg
Hoofdstuk 2
1 De patiënt te waarschuwen voor de gevaren van internet, voorafgaand aan
de algemene website van Medlook;
2 Artsen en apothekers er op attenderen dat het af te raden is, uitsluitend op
basis van de site, ingrijpende beslissingen te nemen ten aanzien van de
patiënt;
3 Aanvullende beveiligingsmaatregelen te treffen in de nabije toekomst, zoals
biometrische verificatie of de zogenaamde ‘challenge response tokencard’,
dit gelet op de ambities van Medlook en de voortschrijdende technologische
mogelijkheden;
4 De procedure voor aanvraag voor een nieuw wachtwoord op korte termijn
aan te passen in die zin dat de patiënt na toekenning van een nieuw wachtwoord
bij de eerst volgende inlogpoging verplicht wordt het toegekende
password te wijzigen;
5 Geen onderwerp in de header van e-mailberichten op te nemen.
2.14.Normen voor organisatie en financiering van
de zorg
Bij de beschrijving van de feitelijke ontwikkelingen in paragraaf 1.7 is onder
andere de steeds sterker wordende rol van de zorgverzekeraars aan de orde
gesteld. Vanuit normatief oogpunt zijn hier een aantal vraagtekens bij te
plaatsen. Daarbij kan verwezen worden naar voorafgaande passages in dit
hoofdstuk.
Om te beginnen is bij de gegevensverwerking ten behoeve van de diverse sturende
rollen van de zorgverzekeraars de vraag relevant of het daarbij steeds om
persoonsgegevens gaat. Gesteld dat het steeds om verwerking van persoonsgegevens
gaat, hoe verhoudt zich dat dan tot het medisch beroepsgeheim van
de zorgverleners? Hoewel in het begin van het eerste hoofdstuk al is opgemerkt
dat in de praktijk zo nu en dan zorgverleners ook wel eens misbruik maken van
het medisch beroepsgeheim, staat toch voorop dat het medisch beroepsgeheim
een belangrijk recht van de patiënt is waar slechts op een gerechtvaardigde
wijze inbreuk op gemaakt mag worden. Daar waar het gaat om noodzakelijke
gegevens in het kader van de financiële afwikkeling van geneeskundige behandelingen
zal in de bestaande wetgeving vaak wel een rechtvaardiging worden
gevonden. Zie in dat verband ook de uitspraken die de Registratiekamer
destijds gedaan heeft inzake ‘De rekening van de arts’ 89 en ‘De ontslagdiagnosecode’
90 .
Buiten dit kader kan het verstrekken van persoonsgegevens aan verzekeraars,
zonder toestemming van de verzekerde of specifieke wettelijke bepalingen, problematisch
worden. Deze problematiek is, naast de bepalingen omtrent het
beroepsgeheim (zie paragraaf 2.7), ook afhankelijk van het doel van de gegevensverwerking.
Gelet op het feit dat het in de regel om gezondheidsgegevens
gaat, mogen zorgverzekeraars 91 zonder toestemming van de verzekerde overeenkomstig
artikel 21, eerste lid onder b, WBP slechts gezondheidsgegevens
verwerken, voorzover dat noodzakelijk is voor de beoordeling van het door de
verzekeraar te verzekeren risico en de betrokkene daartegen geen bezwaar
maakt, of voor de uitvoering van de verzekeringsovereenkomst.
De hiervoor genoemde normering is zowel voor de voorgenomen stelselherziening
gezondheidszorg als de DBC’s relevant. De wetgever zal bij de verantwoording
van zijn wetgeving in het kader van de stelselherziening en de
DBC’s naast de reeds genoemde normering rekening moeten houden met de
Europese richtlijn bescherming persoonsgegevens (95/46/EG) én de verplichting
om overeenkomstig artikel 51, tweede lid, WBP voorstellen van wet en
< VORIGE INHOUD VOLGENDE >
58

Normen voor ICT in de zorg
92
Hooghiemstra, T.F.M.,
Privacy & managed care. A&V
12, Den Haag, Registratiekamer,
1998.
59
ontwerpen van algemene maatregelen van bestuur die geheel of voor een
belangrijk deel betrekking hebben op de verwerking van persoonsgegevens, ter
advisering voor te leggen aan het CBP.
2.15.Normen voor het monitoren
De normen voor het monitoren van patiënten worden in deze paragraaf behandeld
aan de hand van een praktijkvoorbeeld over een regionale registratie
en een samenvatting van de normen die de Registratiekamer destijds heeft
geformuleerd in haar rapport over managed care 92 .
Praktijkvoorbeeld: regionale MRSA-registratie
Dit praktijkvoorbeeld is boeiend voor degenen die geïnteresseerd zijn in de
mogelijkheid het CBP te verzoeken om ontheffing te verlenen voor het verwerken
van gezondheidsgegevens, in relatie tot het medisch beroepsgeheim.
Bovendien komt infectieziektewetgeving aan de orde.
Aan de Registratiekamer werd gevraagd of een regionale registratie van MRSAbesmette
patiënten toelaatbaar was gelet op het medisch beroepsgeheim en de
WBP. MRSA is een besmettelijke ziekenhuisbacterie. Het doel van de regionale
MRSA-registratie is het voorkomen van verdere besmetting onder overige patiënten
en personeel door de bij de regionale informatie-infrastructuur aangesloten
ziekenhuizen meteen te waarschuwen wanneer een MRSA-positieve
patiënt daar wordt ingeschreven. Daarnaast werd de vraag gesteld naar de
mogelijkheid van een ontheffing door het CBP op grond van artikel 23, eerste
lid, onder e WBP.
De Registratiekamer heeft geconcludeerd dat een regionale MRSA-registratie,
zonder toestemming van de patiënt, om drie redenen niet in overeenstemming
is met het medisch beroepsgeheim en de privacywetgeving. Ten eerste is er geen
wettelijk voorschrift om het medisch beroepsgeheim in de zin van artikel 7:457
BW te doorbreken. MRSA valt niet onder de Infectieziektenwet. Ten tweede is er
geen sprake van rechtstreekse betrokkenheid bij de behandelingsovereenkomst.
Ten derde is er geen sprake van een ‘conflict van plichten’. Het gaat immers om
een stelselmatige registratie.
De gevraagde ontheffing door het CBP kan niet worden verstrekt, omdat niet
wordt voldaan aan de vereisten van het medisch beroepsgeheim. Het medisch
beroepsgeheim is niet ondergeschikt aan een ontheffing door het CBP. Volgens
de Registratiekamer was overigens is de gestelde problematiek te omvangrijk
om met een regionale registratie op te lossen. Het probleem zou beter in een
bredere context kunnen worden bekeken. De Registratiekamer deed daarom de
aanbeveling het vraagstuk voor te leggen aan de Gezondheidsraad.
Normen voor managed care
De eerste vraag die bij managed care gesteld moet worden, is of de toegang tot
de medische gegevens in overeenstemming is met de vereisten die er gelden op
grond van het medisch beroepsgeheim (zie paragraaf 2.7). Bij managed care kan
het daarbij gaan om een situatie waarin sprake is van wetenschappelijk onderzoek
en statistiek op het gebied van de volksgezondheid. In dat geval dient voldaan
te worden aan het hiervoor aangehaalde artikel 7:458 BW. Deze bepaling is
nader uitgewerkt in de gedragscode ‘Goed Gedrag’ die momenteel herzien
wordt in het licht van de WBP. In deze gedragscode wordt een onderscheid
gemaakt naar het gebruik van niet-identificeerbare gegevens, identificeerbare
maar gecodeerde gegevens en overige identificeerbare gegevens onder strikte
randvoorwaarden.
< VORIGE INHOUD VOLGENDE >

Privacy bij ICT
in de zorg
Hoofdstuk 2
Vervolgens dient het uitwisselen van persoonsgegevens overeenkomstig artikel 9
WBP verenigbaar te zijn met het doel waarvoor deze gegevens zijn verzameld.
Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke
doeleinden wordt niet als onverenigbaar beschouwd, mits er sprake
is van een strikte functionele scheiding tussen het onderzoeks- en het behandelingsdossier
en er geen herleiding tot individuen mogelijk is. Het verwerken van
gezondheidsgegevens dient te voldoen aan het stringente regime dat overeenkomstig
artikel 16 jo. artikel 21 WBP geldt voor bijzondere gegevens.
Zodra in een concrete situatie op grond van het bovenstaande de spelregels zijn
bepaald, dienen deze spelregels zichtbaar te zijn en nageleefd te worden. Van
belang hierbij is dat de juridische spelregels vertaald worden in de architectuur
van de databases. PET kan hieraan een nuttige bijdrage leveren.
Uit het voorgaande kan worden afgeleid dat er twee situaties denkbaar zijn
waarbij managed care en privacybescherming elkaar in elk geval niet hoeven te
bijten:
1 als gebruik wordt gemaakt van niet-identificeerbare gegevens, en
2 als sprake is van wetenschappelijk onderzoek of statistiek. Buiten die twee
situaties is er bij het containerbegrip managed care een categorie toepassingen
waarvoor buitengewoon strikte grenzen gelden. Van geval tot
geval zal daarbij een afweging moeten worden gemaakt. Het CBP richt zich
in zijn uitspraken en vervolgonderzoeken op deze categorie.
Normen voor ICT in de zorg
2.16 Normen voor DNA-zelftests
In paragraaf 1.9. zijn al de feiten omtrent DNA-zelftest behandeld. In deze paragraaf
volgen de bijbehorende normen. Deze normen worden hier vermeld,
omdat in de nabije toekomst te verwachten is dat de relatie tussen ICT en
genetica sterker zal worden en tot interessante normatieve vraagstukken zal
leiden.
Om te beginnen is de WBP van toepassing omdat de door het CBP onderzochte
bedrijven die DNA-zelftests aanbieden, als (mede-)verantwoordelijken persoonsgegevens
verwerken die in een (gedeeltelijk) geautomatiseerd bestand zijn
opgenomen of daarin worden opgenomen. De verwerking dient derhalve plaats
te vinden in overeenstemming met alle toepasselijke, bij WBP gestelde regels.
Het CBP beschouwt lichaamsmateriaal verder als een bron van persoonsgegevens
betreffende erfelijke eigenschappen. Het ontsluiten van celmateriaal
en in het verlengde daarvan het maken van DNA-profielen kan worden gezien
als verkrijging of verdere verwerking van (persoons)gegevens betreffende erfelijke
eigenschappen. In hoeverre deze gegevens persoonsgegevens zijn hangt af
van de context van de verwerking. Gegevens betreffende erfelijke eigenschappen
zijn identificerend vanaf het moment dat er een referentiemogelijkheid
is of ze samengebracht worden met andere persoonsgegevens. In casu
wordt het lichaamsmateriaal onder naam bewerkt. Er vindt dus een verkrijging
van persoonsgegevens betreffende erfelijke eigenschappen plaats en vervolgens
een verdere verwerking. Ook de testrapporten die op naam door het laboratorium
worden opgesteld, bevatten persoonsgegevens betreffende erfelijke eigenschappen.
Deze rapporten worden tezamen met het bijgehouden dossier van
cliënten bewaard.
Erfelijkheidsgegevens vallen, onverminderd het specifiek bepaalde in artikel 21
lid 4 WBP, onder de ‘gegevens betreffende iemands gezondheid’. Verwerking
van gezondheidsgegevens is op grond van artikel 21 lid 1 WBP voorbehouden
< VORIGE INHOUD VOLGENDE >
60

61
aan met name genoemde categorieën van instellingen of personen, voor
bepaalde omschreven taken. De betreffende bedrijven vallen niet onder deze
limitatief genoemde categorieën. Voor zover verwerking van die gegevens
overigens is toegelaten, rekening houdend met het bepaalde in artikel 21 lid 4,
vindt men daartoe een grondslag in artikel 23 WBP. Artikel 21 lid 4 stelt dat
erfelijkheidsgegevens slechts verwerkt mogen worden voor zover deze verwerking
plaatsvindt met betrekking tot de betrokkene bij wie de betreffende
gegevens zijn verkregen tenzij van in dat lid omschreven uitzonderingsgevallen
sprake is. Van die uitzonderingsgevallen is bij de betreffende bedrijven geen
sprake. Uit artikel 23 WBP volgt nu in samenhang met artikel 21 lid 4 WBP dat
erfelijkheidsgegevens slechts verwerkt mogen worden met betrekking tot de
betrokkene bij wie de betreffende gegevens zijn verkregen wanneer het bedrijf
daarvoor tevens uitdrukkelijke toestemming van die betrokkene heeft.
In het kader van het toestemmingsvereiste is het van belang dat al diegenen die
uitdrukkelijke toestemming moeten verlenen, voldoende en juist geïnformeerd
zijn. Toestemming kan immers pas uitdrukkelijk gegeven worden, wanneer
iemand over alle relevante informatie beschikt die van invloed kan zijn op het
geven van de toestemming.
Bovendien is het in dit kader van belang dat regelmatig minderjarige kinderen
betrokkene zijn. In plaats van de toestemming van een betrokkene onder 16
jaren is die van zijn wettelijk vertegenwoordiger vereist op grond van artikel 5
WBP. Die wettelijk vertegenwoordiger kan in beginsel elke met gezag belaste
ouder of voogd zijn. In geval van gezamenlijke gezagsuitoefening is op grond
van 1:253 i BW één ouder alleen bevoegd het kind te vertegenwoordigen, mits
van bezwaren van de andere ouder niet gebleken is. Het gaat in het kader van
deze zelftests vaak om vaststelling van het biologische vaderschap. Juist in deze
situaties kan niet aangenomen worden dat wanneer een van de ouders toestemming
verleent voor zijn kind om een verwantschapstest uit te voeren, de andere
ouder daar altijd mee instemt. Het is zeer wel voorstelbaar dat de andere ouder
bezwaar zou hebben tegen een verwantschapstest.
Mede in het licht van artikel 6 WBP, dat stelt dat persoonsgegevens op behoorlijke
en zorgvuldige wijze verwerkt worden, is het voor een juiste toepassing
van artikel 5 WBP in casu noodzakelijk dat niet van bezwaar van een andere
gezaghebbende ouder of voogd gebleken is, bij de uitvoering van een dergelijke
test. Om bezwaar te kunnen uiten zal iemand echter op de hoogte moeten zijn.
De betreffende bedrijven kunnen niet controleren wie er op de hoogte zijn van
de uitvoering van een bepaalde test, zodat zij in voorkomende gevallen een
schriftelijke verklaring moeten verlangen van de wettelijke vertegenwoordiger
waarin deze verklaart dat de andere gezaghebbende ouder of voogd geen
bezwaar heeft tegen uitvoering van de test bij het kind.
Voor de rechtmatigheid van een bepaalde verwerking is het overigens ook van
belang dat persoonsgegevens niet langer worden bewaard dan noodzakelijk
voor het doel van de verwerking. De vraag die daarbij in casu speelt is of het
noodzakelijk is dat gegevens over betrokkenen na afronding van de tests en
afhandeling van de rapportage aan de cliënt nog langer (identificerend) worden
bewaard. Passende maatregelen zijn verder noodzakelijk om de veiligheid van
deze bijzondere persoonsgegevens bij de verwerking – ook het bewaren valt in
de WBP onder verwerken - te waarborgen.
< VORIGE INHOUD VOLGENDE >

Privacy bij ICT
in de zorg
Hoofdstuk 2
62

Aanbevelingen voor ICT in de zorg
3

Aanbevelingen voor ICT in de zorg
Aanbevelingen voor ICT in de zorg
Aanbevelingen voor ICT in de zorg
93
Zie P.J. Hustinx,
Informatietechnologie in de
gezondheidszorg, Preadvies voor
de Vereniging voor
Gezondheidsrecht, april 1999,
p.39.
Privacy bij ICT
in de zorg
Hoofdstuk 3
In dit hoofdstuk worden aanbevelingen gegeven bij de feitelijke ontwikkelingen die
in het eerste hoofdstuk zijn beschreven. Darbij wordt rekening gehouden met het
normatieve kader uit het vorige hoofdstuk.
3.1 Algemeen: privacy by design en normontwikkeling
Bij de huidige ICT-toepassingen is privacy (vrijwel) niet als designcriterium is
meegenomen. Doordat de huidige systemen van oorsprong niet ontworpen zijn
met privacybescherming in het achterhoofd ontstaan vele problemen. Zeker
gelet op de communicatiemogelijkheden die deze systemen hebben en de koppelingen
die gelegd kunnen worden. Juist bij het ontwerpen van ICT-toepassingen
in de zorg is het daarom van belang en ten zeerste aan te bevelen om
rekening te houden met de privacyaspecten.
In het verlengde van deze aanbeveling dient men zich te realiseren dat een
privacyvriendelijke infrastructuur een kritische succesfactor is voor een kwalitatieve
en doelmatige zorgverlening. Voor het goed functioneren van ICT-toepassingen
is het immers essentieel dat patiënten en zorgverleners er vertrouwen
in hebben. In dat verband is het aan te bevelen PET-toepassingen krachtig te
stimuleren, zo nodig zelfs met een financiële prikkel van overheidswege.
Naast investeringen in een privacyvriendelijke infrastructuur is het aan te
bevelen dat de beroepsbeoefenaren in de zorg (zorgverleners, zorgverzekeraars,
softwareleveranciers) gaan investeren in (vertaling en inkleuring van) de normen
die voor het verwerken van persoonsgegevens in de zorg gelden. Bijvoorbeeld
door aan de hand van de in hoofdstuk twee genoemde normen meer specifieke
praktijknormen te ontwikkelen die een schakel vormen tussen de algemene privacywetgeving
enerzijds en de mensen die er mee moeten werken anderzijds.
Een begin hiermee wordt gemaakt door de normcommissie informatiebeveiliging
van NEN. Het is aan te bevelen dergelijke initiatieven te stimuleren.
Door bovenstaande algemene aanbevelingen op te volgen kan er voor gezorgd
worden dat door het toenemend gebruik van ICT in de gezondheidszorg de uitgangspunten
van het medisch beroepsgeheim en de privacywetgeving niet in
het gedrang komen. Een stelselmatige toepassing van privacywetgeving in combinatie
met de inzet van privacyvriendelijke ICT zal voorshands kunnen bijdragen
aan het noodzakelijk evenwicht van kwaliteit en doelmatigheid van de
zorg in een veranderende omgeving. 93
3.2 De elektronische identiteitsinfrastructuur
Aan te bevelen is het ZIN, als landelijk uniek patiëntnummer voor de zorgsector,
gefaseerd tot stand te laten komen in combinatie met regionale en ketennummers
in de zorg. Overigens blijven er ondanks de goede richting, nog enkele vraagstukken
waar een oplossing voor gevonden moet worden. Wie geeft het nummer
uit? Is deze partij daartoe bevoegd? Wat wordt gerekend tot de zorgsector?
Kunnen zorginhoudelijke informatiestromen gescheiden worden gehouden van
financiële informatiestromen? Hoe wordt de kwaliteit van de nummers beheerst?
Het is aan te bevelen deze vragen met voorrang te behandelen.
3.3 De elektronische informatie-infrastructuur
Bij de behandeling van het beroepsgeheim in paragraaf 2.7 is reeds in het vooruitzicht
gesteld dat in dit hoofdstuk een aanbeveling zou volgen inzake generieke
toestemming en dat de consequenties daarvan zouden worden behandeld.
In deze paragraaf wordt ook een aanbeveling gedaan ten aanzien van logging
< VORIGE INHOUD VOLGENDE >
64

Aanbevelingen voor ICT in de zorg
94
Zie de opmerkingen van
Gevers in het verslag van de
invitational conference.
95
Zie verslag invitational conference,
bijdrage Grijpink.
96
Zie het Advies van de Raad
voor de Volksgezondheid &
Zorg: ‘Patiënt en Internet’,
maart 2000, ‘Over e-health en
cybermedicine’, maart 2000 en
E-health in zicht, 25 april 2002.
97
Aanbeveling Nr. R (99) 5.
Inzake de bescherming van
privacy op internet.
98
Zie www.anonymiser.com.
65
bij bijvoorbeeld EPD’s. Bovendien wordt een specifieke aanbeveling gedaan ten
aanzien van relevante ontwikkelingen op het terrein van beveiliging en privacytechnologie.
Consequenties voor de toekomst: generieke toestemming
Gelet op het toenemend gebruik van ICT, in combinatie met schaalvergroting en
transmuralisering, is het aan te bevelen om het vereiste afwegingsmoment op
grond van het medisch beroepsgeheim te verplaatsen. Dit kan wanneer de
patiënt/cliënt vooraf een generieke toestemming geeft voor een beperkt deel
van de gegevensverwerkingen. 94 Die toestemming moet in vrijheid zijn gegeven,
voldoende specifiek zijn en gebaseerd zijn op de noodzakelijke informatie.
Daarbij zou het bijvoorbeeld kunnen gaan om de keten van gegevensverwerkingen
bij diabetespatiënten, voor zover deze keten van tevoren vast
staat. Gelet op de geschetste ontwikkelingen is te verwachten dat in de nabije
toekomst de behoefte aan generieke toestemming voor een beperkt deel van
gegevensverwerkingen verder zal toenemen.
Logging
Bij ICT-toepassingen in de zorg is logging van gegevensstromen van patiënten
en cliënten aan te raden om ongeautoriseerde toegang op te kunnen sporen,
mits het middel niet erger is dan de kwaal. Want logging zou er ook toe kunnen
leiden dat er een ongekende hoeveelheid persoonsgegevens extra opgeslagen
wordt. Allemaal gegevens die apart kunnen worden beheerd en ook kunnen
worden gemanipuleerd. Niet automatisch alle informatiesystemen zou moeten
worden gelogd gelet op de consequenties die dat zou hebben voor het bewaren
en beheren van al die gegevens. 95
Beveiliging en privacytechnologie
Het is wenselijk dat er in de gezondheidszorg wordt gewerkt aan een Public
Key Infrastructure (PKI): een systeem van het toewijzen, beheren, gebruiken en
beveiligen van sleutels voor de versleuteling van gegevens en in het in samenhang
daarmee inrichten van een Trusted Third Party (TTP) die zorgt voor certificatie
en registratie. De zorgsector zou daarbij kunnen leren van de activiteiten
die op dit gebied door het Ministerie van Binnenlandse Zaken en
Koninkrijksrelaties worden ondernomen.
3.4. Het terrein van patiënt en internet
Evenals de RVZ 96 vindt het CBP dat internet de positie van de patiënt in de
gezondheidszorg aanzienlijk kan versterken. Ten aanzien van de privacyaspecten
die verbonden zijn aan het gebruik van internet door patiënten/
cliënten deelt het CBP de opvatting van de RVZ dat deze in meer of mindere
mate verankerd zijn in wettelijke regelingen, terwijl ook zelfregulering een
optie is om het gebruik van het internet in goede banen te leiden. Dit neemt
echter niet weg dat in de praktijk de patiënt, voor zover nog nodig, bewust
moet worden gemaakt van het feit dat internet niet veilig is. In navolging van
de Aanbeveling van de Raad van Europa over de bescherming van privacy op
internet 97 is het patiënten aan te raden zich zo goed mogelijk te beschermen op
internet via anonimiseringssoftware. 98
Het stimuleren van transparantie van de gegevensverwerkingen op internet en
van bewustwording, bijvoorbeeld in onderwijsprogramma’s, van de kansen en
bedreigingen van internet voor de patiënt, zijn op dit moment eveneens belangrijke
aanbevelingen voor een verantwoord gebruik van internet door de patiënt.
Op dit moment is de veiligheid van internet een groot probleem. Het is echter
niet uitgesloten dat dit beveiligingsprobleem, zelfs in de gezondheidszorg,
< VORIGE INHOUD VOLGENDE >

Privacy bij ICT
in de zorg
Hoofdstuk 3
opgelost gaat worden met behulp van moderne beveiligingstechnologie. Juist
omdat communicatie via internet een dergelijke beveiligingsinvestering vergt,
zou dit een kans kunnen bieden om tot een beter beveiligingsniveau te komen
dan dat in de bestaande situatie in veel huisartsenpraktijken, ziekenhuizen en
andere hulpverleningsinstellingen.
Voorlopig lijkt echter een waarschuwing op zijn plaats voor overhaaste internettoepassingen.
De mogelijkheden zijn vele, maar niet alles is in het belang van
de patiënt. Niet alles wat kan, moet nú.
Aanbevelingen voor ICT in de zorg
3.5. Organisatie en financiering
Het is van belang dat men bij de nadere invulling en uitwerking van de stelselherziening
in de gezondheidszorg en bij DBC’s zich rekenschap geeft van de
verschillende rollen van de zorgverzekeraar, de andere partijen in de gezondheidszorg
en de grenzen die in de wetgeving ter bescherming van persoonsgegevens
en het medisch beroepsgeheim zijn gesteld. Deze rollen luisteren
nauw en hebben gevolgen voor de inrichting van processen. Verheldering van
rollen en grenzen is nodig, omdat er anders ontsporingen zullen plaatsvinden.
Een zorgvuldige regie en daarmee sporende inrichting van systemen zijn daarbij
van groot belang. Het is de hoogste tijd voor VWS, de zorgverzekeraars en de
andere betrokken partijen om over deze ontwikkelingen na te denken en helderheid
te scheppen. In dit verband is het van belang dat de betrokken partijen
zich realiseren dat de regels van de privacywetgeving en het beroepsgeheim
dwingend recht zijn, zodat de partijen in de zorg niet de mogelijkheid hebben
om daarvan af te wijken.
Maar niet alleen de stelselherziening en DBC’s vergen de aandacht van
genoemde actoren in de zorg. De organisatie en financiering van de zorg
worden ook in belangrijke mate beïnvloed door ICT-dienstverleners. Zij nemen
steeds meer taken op zich: medische dossiers op internet, declaratieafwikkeling
via internet, uitvoering van wettelijke taken, telegeneeskunde, archivering
enzovoorts. Afhankelijk van de feitelijke omstandigheden zijn deze ICT-dienstverleners
bewerker of verantwoordelijke. Vele ICT-dienstverleners zijn zich
daarvan nog niet bewust. Zo zullen diverse ICT-dienstverleners als verantwoordelijke
moeten worden aangemerkt, waardoor de WBP volledig op hen van toepassing
is. En ook voor bewerkers geldt een aantal belangrijke voorwaarden.
ICT-dienstverleners in de zorg zouden beter moeten worden voorgelicht om
deze onwetendheid op te heffen. Deze achtergrondstudie hoopt daar ook een
bijdrage aan te leveren.
Ten aanzien van het belangrijkste beleidsvoornemen van VWS aangaande ICT in
de zorg, namelijk het EPD, is het vanuit organisatorisch gezichtspunt aan te
raden om te beginnen met goed doordachte lokale of regionale experimenten
alvorens grootschalige landelijke blauwdrukken op te stellen. Uiteraard is het
daarbij wel goed om deze regionale experimenten landelijk te coördineren en
ook landelijk daar lessen uit te trekken. Geslaagde experimenten kunnen zo vervolgens
op landelijke of misschien zelfs wel op Europese schaal opgezet
worden. Lokale of regionale toepassingen kunnen immers soms ook niet werken
en dan zullen wel uniforme landelijke of Europese toepassingen noodzakelijk
zijn. Daarbij is het aan te bevelen om zoveel mogelijk te denken in ketens die
gerelateerd zijn aan de behandeling van de patiënt, gelet op het algemene
beginsel dat niet meer persoonsgegevens dan noodzakelijk verwerkt mogen
worden. De strategie van keteninformatisering is goed toepasbaar op vele van
de belangrijkste behandelingstypes. Deze bevinden zich vaak binnen één circuit.
De informatievoorziening in de zorg zou per circuit bekeken moeten worden, te
< VORIGE INHOUD VOLGENDE >
66

Aanbevelingen voor ICT in de zorg
Aanbevelingen 3.7. voor Witte ICT plekken in de zorg
67
beginnen met de meest belangwekkende en evidente gebieden. Als voorbeeld is
de verslavingszorg te noemen waar reeds gebruik gemaakt wordt van de ketenbenadering.
Bij diabeteszorg zou deze benadering ook gevolgd kunnen worden.
3.6. Het monitoren van patiënten/cliënten
Wat betreft regionale en landelijke bestanden in de zorg die persoonsgegevens
bevatten is het van belang dat er een beter overzicht komt van dergelijke
bestanden. Het CBP is daarom inmiddels begonnen met een feitenonderzoek
naar landelijke registraties. Zorginstellingen en zorgverleners doen er zelf ook
verstandig aan hier meer inzicht in te krijgen. Want zij zijn vaak wel verantwoordelijk
te stellen voor de gegevens die aan dergelijke bestanden worden
geleverd.
Daar waar het monitoren voortkomt uit de wens van de verzekeraar of de overheid
om te controleren is het aan te bevelen kritisch te bezien of hetgeen men
wil controleren ook allemaal vastgelegd moet worden. Wellicht zijn steekproefsgewijze
controles mogelijk in plaats van de huidige controles op basis van de
bulk aan gegevens die massaal naar de verzekeraars wordt toegestuurd. Veel
zou ook goed geregeld kunnen worden via een second opinion als de cliënt of
de verzekeraar daar behoefte aan heeft.
Met deze studie is het laatste woord over privacy bij ICT in de zorg nog niet
gezegd. ICT-toepassingen in de zorg staan aan het begin van hun ontwikkeling.
Er zijn nog vele nieuwe vraagstukken om te bestuderen, bijvoorbeeld de vraagstukken
die voortkomen uit de ontwikkeling van diensten via internet en de
opkomst van de biogenetica in relatie tot ICT.
Verder is het de vraag of bij de te verwachten stelselherziening van de gezondheidszorg
en het gebruik van DBC’s, het in de praktijk mogelijk zal zijn om een
zo goed mogelijke scheiding tussen zorginhoudelijke en financiële gegevensstromen
te realiseren, zoals dat gewenst is vanuit het oogpunt van doelbinding
en vanuit bescherming van de noodzakelijke vertrouwelijkheid.
Ook privacyvragen die voortvloeien uit het gebruik van nieuwe technologieën,
zoals GPRS ten behoeve van mobiele thuiszorg, zijn nog niet aan het CBP voorgelegd.
Wat betreft het EDP dient opgemerkt te worden dat hoewel er al wel veel nagedacht
en geschreven is over de privacyaspecten van EPD’s, het veelal nog
ontbreekt aan concrete juridische handvaten voor de architecten van EPD’s. Om
tot goede resultaten te komen zullen technologen, organisatiekundigen, medici
en juristen samen moeten werken, ondanks de verschillen in taal en cultuur.
< VORIGE INHOUD VOLGENDE >

Privacy bij ICT
in de zorg
Hoofdstuk 3
68

Bijlagen

BijlagenVerslag invitational conference van 20 juni 2002
Bijlage 1
HUSTINX opent de discussie.
GEVERS begint met het stellen van twee vragen. De eerste vraag heeft betrekking op stelling
2 van de presentatie van HOOGHIEMSTRA. Hij vraagt zich af wat er in zo’n convenant moet
worden afgesproken. Zijn tweede vraag heeft betrekking op nummer 5 van de in het consultatiedocument
gesignaleerde witte plekken en dilemma’s. Hij vraagt het CBP in het uiteindelijke
achtergrondstuk meer reflectie en verdieping te besteden aan het geconstateerde dilemma
tussen het medisch beroepsgeheim enerzijds en het instrumenteel en standaard handelen in de
ICT-praktijk anderzijds. Daarbij kan het vereiste afwegingsmoment op grond van het medisch
beroepsgeheim mogelijk verplaatst worden door het vooraf geven van een generieke toestemming
voor een beperkt deel van gegevensverwerkingen. GEVERS merkt op dat hij bij zijn
onderzoek naar juridische aspecten van elektronische patiëntdossiers ook met dit onderwerp
is bezig geweest.
HOOGHIEMSTRA antwoordt op de eerste vraag van GEVERS dat zo’n convenant (of iets
anders) multidisciplinaire basisnormen dient te bevatten waaraan ICT-toepassingen zouden
moeten voldoen. Voor dergelijke basisnormen acht hij wetgeving een erg zwaar middel.
GEVERS vraagt of het dus om een invulling van wetgeving gaat. HOOGHIEMSTRA antwoordt
bevestigend. BAKKER stelt dat Nederlandse normen niet zoveel zin hebben aangezien
de ICT-ontwerpers veelal in het buitenland zitten. DE VRIES is daar niet zo bang voor. Als er
geld te verdienen is, wil het buitenland volgens hem alles wel doen. Hij verwijst ook naar de
zijns inziens behoorlijke sterke normen in de Amerikaanse HIPAA. HUSTINX verwijst in dat
verband nog naar het zesde kaderprogramma van de Europese Unie waar een groot accent
wordt gelegd op e-health. Wellicht dat daar ook nog een weg te vinden is.
HOOGHIEMSTRA antwoordt op de tweede vraag van Gevers dat hij zal proberen te voldoen
aan zijn verzoek om in de uiteindelijke achtergrondstudie meer reflectie en verdieping te
besteden aan de mogelijkheid om bij ICT-toepassingen in de zorg op onderdelen van generieke
toestemming gebruik te maken. HOOGHIEMSTRA geeft volledigheidshalve aan dat die
toestemming in vrijheid moet zijn gegeven, voldoende specifiek moet zijn en gebaseerd moet
zijn op de noodzakelijke informatie. Hij kan zich zo’n situatie voorstellen voor bijvoorbeeld
de vaak van tevoren vaststaande keten van gegevensverwerkingen bij diabetespatiënten.
HUSTINX vat samen dat het gaat om het structureren van redelijke verwachtingen en het in
kaart brengen van stappen die een brug slaan tussen de abstracte normen en de ICT-praktijk
van alledag in de zorg.
HEIJNEN vraagt aandacht voor het inbouwen van PET bij het ontwerpen van software. In het
verleden zijn een aantal applicaties via PET ingericht. Een tendens die je volgens hem de
laatste tijd sterk ziet in de zorg is dat men meer wil gaan doen met gegevens. Daarvoor
worden datawarehouses opgezet die vaak ook de naam van de patiënt bevatten. HOOGHIEM-
STRA vraagt of HEIJNEN misschien doelt op stelling 3 van zijn presentatie. HEIJNEN geeft
aan dat die stelling hem uit het hart gegrepen is al hecht hij er ook aan op te merken dat je nu
nog niet eens toe komt aan gedogen. Er is nog helemaal geen zicht op wat er allemaal gebeurt.
Hij denkt dat het feitenonderzoek van het CBP bij landelijke registraties wat dat betreft veel
op zal leveren.
GRIJPINK vindt het consultatiedocument een omvattend paper. Ook na de inleidingen is hem
onduidelijk wat nou precies de output gaat worden, behalve dan een brede schets. Als het
bedoeld is als een brede schets, dan vindt hij te weinig het uitgangspunt terug dat de situatie
onoverzichtelijk is en zal blijven en dat dus niet te snel naar een oplossing gezocht moet gaan
worden. In plaats daarvan raadt hij aan eerst te kijken hoe veelkoppig het probleem is.
Bovendien komt hij te weinig stellingname van het CBP in het consultatiestuk tegen met de
strekking: dit zou niet mogen gebeuren en hoe je dat vervolgens dan kunt conditioneren. Hij
vindt dat het stuk te snel naar klassieke managementtools grijpt die op de schaal van de
gezondheidszorg niet zullen werken. En dat maakt hem bezorgd. HUSTINX legt uit dat het,
zeer kort geformuleerd, de bedoeling is geweest om bij alle genoemde punten de relevantie
weer te geven vanuit het privacyperspectief. Hij wijst er op dat een paar jaar geleden de
minister van VWS in de nota ‘ICT in de zorg’ stelde dat privacy heel belangrijk was voor VWS
en dat er daarom veel aandacht aan besteed zou worden. In de praktijk zien we daar volgens
< VORIGE INHOUD VOLGENDE >
70

71
HUSTINX slechts een heel minimale invulling van en lijkt het er bovendien op dat men niet
precies weet waarover men het heeft. Met de uiteindelijke achtergrondstudie wordt volgens
hem beoogd een overall oriëntatie te verschaffen om vervolgens in te zoomen op onderwerpen
waar het CBP en mensen in de praktijk en wetenschap wat aan hebben. Daarvoor is
een overzicht nodig. Als het overzicht ontbreekt, dan is ook de samenhang niet goed zichtbaar,
aldus HUSTINX. GRIJPINK vult aan met de opmerking dat de woorden van HUSTINX
onderstrepen dat het consultatiedocument nog te weinig een beeld geeft van de moeilijk
beheersbare situatie omtrent ICT in de zorg. Hetgeen door HUSTINX wordt bevestigd.
VAN BOVEN heeft een andere zorg. Hij mist in het consultatiedocument en de stellingen het
element dat ICT-toepassingen van vitaal belang kunnen zijn voor de patiënt. Het gaat hem om
de afweging van privacybescherming versus wat ermee onmogelijk wordt gemaakt door de
strikte of te ingewikkelde wet- en regelgeving en discussies. Als voorbeeld noemt hij het Zorg
Identificatie Nummer (ZIN) waarover in Nederland al vele jaren wordt gesproken en dat er
nog steeds niet is. Er zijn volgens hem voorbeelden van patiënten waar (ernstige) fouten
voortvloeiden uit het ontbreken van een ZIN. VAN BOVEN mist de keerzijde van het belang
van privacy in het consultatiedocument.
HOOGHIEMSTRA zegt toe dat waar nodig in het einddocument nog uitvoeriger zal worden
duidelijk gemaakt dat de patiënt een groot belang kan hebben bij ICT, zoals bij unieke patiëntidentificatie.
Dat betekent volgens hem echter niet dat het CBP een blanco cheque zou moeten
geven bij ICT-toepassingen in de zorg. Nog afgezien van het feit dat bescherming van de persoonsgegevens
een grondrecht is, blijkt volgens HOOGHIEMSTRA in de praktijk heel vaak dat
wanneer je in een vroegtijdig stadium wel rekening houdt met de randvoorwaarden die de privacywetgeving
stelt, projecten veel beter te realiseren zijn. Hij wijst er op dat juist ten aanzien
van persoonsnummers het CBP, ook in andere sectoren, vele aanbevelingen heeft gedaan voor
de praktijk, maar dat deze tot voor kort vaak niet geheel opgevolgd werden. Het laatste advies
van Het Expertise Centrum (HEC) over het ZIN komt volgens HOOGHIEMSTRA sterk overeen
met hetgeen het CBP, althans in ieder geval hij zelf, al veel eerder voor ogen had en als zodanig
naar buiten toe heeft uitgedragen. Het ligt volgens hem niet zozeer aan de privacywetgeving
dat er in de praktijk problemen ontstaan, maar eerder aan allerlei bestuurders, die denken in
termen van ‘grote stappen snel thuis’, ‘sense of urgency’ en vooral geen voorzichtigheid. Als
voorbeeld noemt hij de ervaringen van het CBP bij het project AWBZ-brede zorgregistratie.
BEUN bepleit aandacht in de uiteindelijke achtergrondstudie voor een financiële prikkel van
de overheid om PET toe te passen, bijvoorbeeld in de vorm van ondersteuning achteraf of een
belastingvoordeel om het vanaf dag één gelijk goed te doen. Zelf heeft hij bij het Parkinsonpasproject
meegemaakt dat ze erg graag PET wilden gebruiken, maar schrokken van de bijbehorende
begroting.
VAN BOVEN vult zijn eerdere opmerkingen over het belang van het bekijken van ICT in de
zorg van twee kanten aan door er op te wijzen dat de organisatie van de zorg niet zo is dat
een bestuurder een verstandig besluit neemt en dat het daarna geregeld is. Wanneer een
bestuurder wetgeving op zijn bureau krijgt waar hij niet mee uit de voeten kan, dan wordt
daarmee volgens hem het belang van de patiënt geschaad.
OUWEHAND, onder meer verantwoordelijk voor het in het consultatiedocument beschreven
Landelijk Alcohol en Drugs Informatie Systeem (LADIS), loopt in de praktijk bij een aantal
projecten ertegenaan dat er een continue vermenging is van de privacy van de patiënt die
beschermd wordt door de wetgever, de privacy van de zorgaanbieder die beschermd zegt te
moeten worden en de privacy van de zorgverzekeraar. Hij pleit er voor dat in het einddocument
een grotere scheiding wordt aangebracht en dat het primaat bij de patiënt wordt gelegd.
Dat zou volgens hem tot een aanmerkelijke verandering van stelling één kunnen leiden. Dan
is het volgens hem niet meer een bedreiging, maar een zege dat er op dit moment krapte is.
Want de patiënt kan dan dwang uitoefenen in de keten om er voor te zorgen dat de informatie
die in zijn situatie van belang is aan de volgende schakel wordt doorgegeven. In de praktijk
merkt hij dat heel veel beroepsgroepen van individuele zorgaanbieders en soms ook zorgverzekeraars
belangentegenstellingen hebben en zich daarbij verschuilen achter het thema
privacy. Vandaar dat hij pleit voor een grotere scheiding.
HUSTINX vraagt of zijn vaststelling gedeeld wordt in de zaal. Vele deelnemers geven er blijk
van de vaststelling van OUWEHAND te delen.
< VORIGE INHOUD VOLGENDE >

Zo kwam HAMILTON in de tijd dat hij nog bij Zorgverzekeraars Nederland werkte er achter
dat achter de privacy van de patiënt, vaak de privacy van de beroepsbeoefenaar schuil ging
die veel doet en veel declareert. Zij het niet bij de consument die de zorg afneemt, maar bij de
totaliteit van de collectiviteit. Het in het consultatiedocument geformuleerde probleem dat de
te verwachten stelselherziening in de gezondheidszorg, in combinatie met ICT, het moeilijk
zal maken om de vanuit het oogpunt van doelbinding gewenste scheiding tussen zorginhoudelijke
en financiële stromen te realiseren, is volgens HAMILTON onontkoombaar in ons
systeem waarbij de consument niet rechtstreeks de zorg betaalt. In zo’n systeem moet je wat
er betaald wordt koppelen aan wat er gepresteerd wordt en daar ook op controleren. En als
dat gefrustreerd wordt met een beroep op de privacy van de patiënt, dan zitten daar belangen
van anderen achter. Hij denkt dat dit straks een heel belangrijk aspect gaat worden bij de
Diagnose Behandeling Combinaties (DBC’s): er zijn eenvoudige DBC’s met een lage prijs en
zeer gecompliceerde DBC’s met een hele hoge prijs. Daarbij is het volgens HAMILTON
ondenkbaar dat je blanco cheques gaat betalen, doordat je niet zou kunnen controleren wat er
gedaan wordt. Dat plaatst volgens hem de eerste stelling uit de presentatie van HOOGHIEM-
STRA in een ander daglicht. Er wordt niet ver genoeg gedacht als er van uitgegaan wordt dat
controle zou worden ingegeven door schaarste en dat die controle strijdig is met privacybescherming.
HAMILTON wijst er op dat de betaalbaarheid van de zorg afhankelijk is van de
bereidheid van de hele samenleving om die zorg te betalen en daar is de hele toegankelijkheid
van afhankelijk. Een verabsolutering van het belang van privacybescherming kan volgens hem
een bedreiging zijn voor de toegankelijkheid van de zorg. Hij illustreert dat aan de hand van
de mensen die nu in de AWBZ-sector op wachtlijsten staan en nog niet geholpen kunnen
worden. Voor hen is het oplossen van de wachtlijsten volgens HAMILTON even wat belangrijker
dan het privacybelang.
HUSTINX vraagt HAMILTON of hij ook een oplossing weet om de drie belangen van OUWE-
HAND alle drie tot hun recht te laten komen. HAMILTON laat weten dat hij daar natuurlijk
ook over nadenkt en volgens hem die driedeling in de praktijk transparant moet worden en
dat daarbij de positie van de patiënt bepaald moet worden. Hierover moet nog verder worden
nagedacht.
Het probleem is volgens MEIJER dat er een kloof zit tussen de normen en principes enerzijds
en de medische praktijk van de dokter die binnen een beperkte tijd gegevens nodig heeft
anderzijds. Daarom zijn volgens hem normen nodig die in de praktijk toepasbaar zijn als
schakel tussen de algemene principes en de werkvloer. Daaraan wordt gewerkt door de normcommissie
informatiebeveiliging. In het licht van stelling twee (uit de presentatie van HOOG-
HIEMSTRA) zegt hij zich weinig bij een dergelijk convenant te kunnen voorstellen. Volgens
hem worden normen door het NEN ontwikkeld, samen met de beroepsgroep en NICTIZ. En
juist die drie partijen ontbreken in stelling twee. Hij vraagt zich af of we niet teveel in twee
gescheiden werelden bezig zijn.
SANDERS haakt aan bij hetgeen HAMILTON heeft gezegd over de stellingen. Hij stelt voor
om stelling zeven om te keren:“ICT-toepassingen in de zorg hebben, uitgaande van het
gezondheidsbelang van de patiënt meer goed gedaan dan kwaad.”Dat is zijn vertrekpunt. Wat
volgens hem voorkomen moet worden is dat de nadelige privacyeffecten van zo’n toepassing
onevenredig meer kwaad doen dan de bevordering van de gezondheidstoestand aan winst
oplevert.
Stelling vier vindt Sanders een hele goede stelling. Hij vindt dat ten opzichte van de papieren
werkelijkheid van nu een belangrijke vooruitgang. Papieren dossiers zijn volgens hem in de
werkelijkheid van alle dag toegankelijk voor alle dokters die ze opvragen. Het is daarbij heel
moeilijk om achteraf na te gaan wie dat heeft gedaan en van welke gegevens er kennis is
genomen, ook als die gegevens niet relevant waren voor de behandeling. Dat soort problemen
kun je volgens SANDERS heel goed met logging adresseren. Daarover kan dan ook de patiënt
in kennis worden gesteld en dit is daarmee volgens hem een heel belangrijke ‘tool’ om ten
aanzien van privacybescherming van patiënten winst te boeken. Ten aanzien van stelling vijf
stelt SANDERS dat lokale of regionale toepassingen soms ook niet werken en dat uniforme
landelijke toepassingen dan wel noodzakelijk zijn. Dan is zoiets als het Amerikaanse HIPAA
van belang. SANDERS wijst er op dat de HIPAA niet in de eerste plaats een patiëntenrechtenwet
is, maar vooral een wet met functionaliteitseisen aan de inrichting van informatiesystemen
in de gezondheidszorg. In Nederland zou het volgens hem om de functionaliteitseis
< VORIGE INHOUD VOLGENDE >
72

73
kunnen gaan dat elektronische data overdraagbaar moeten zijn, bijvoorbeeld van huisartsensysteem
A naar huisartsensysteem B. In Nederland kan dat nog steeds niet. En patiënten
vinden dat onbegrijpelijk en ongewenst. Daarnaast kun je volgens SANDERS patiëntenrechten
definiëren. Hij vindt echter dat voorkomen moet worden dat een papieren pakketje van A
naar B gaat en daar dan weer opnieuw moet worden ingevoerd en concludeert dat er wel
degelijk afspraken over landelijke uniforme toepassingen te maken zijn. Daarbij is volgens
hem interoperabiliteit van toepassingen belangrijk juist in het belang van de patiënt.
HOOGHIEMSTRA reageert op de opmerkingen van HAMILTON en SANDERS ten aanzien
van stelling 7. Hij vindt het van belang in te zien dat er een verschil is tussen de bestaande
ICT-toepassingen in de zorg en de gewenste toepassingen voor de toekomst. ICT-toepassingen
kunnen volgens hem in de zorg zodanig worden ingezet dat het vele voordelen oplevert voor
het gezondheids- en het privacybelang van de patiënt. HOOGHIEMSTRA stelt dat de
bestaande ICT-toepassingen in de zorg echter vrijwel geen van alle rekening houden met de
vereisten die gelden op grond van het medisch beroepsgeheim en privacybescherming. Hij
wijst er op dat in de bestaande toepassingen er niet of nauwelijks afwegingsmomenten zijn
ingebouwd om de vereiste zeggenschap van de patiënt een plaats te geven, terwijl dit technologisch
wel kan. Er zijn volgens hem zelfs systemen in omloop die niet eens aan de meest
elementaire patiëntenrechten kunnen voldoen, zoals inzage- en vernietigingsrecht. De achtergrond
van stelling 7 is volgens HOOGHIEMSTRA het ontbreken van een balans tussen
gestandaardiseerde ICT-toepassingen en afwegingsmomenten die rekening houden met de
zeggenschapsrechten van de patiënt anderzijds. Daarom meent hij dat in het licht van
medisch beroepsgeheim en privacybescherming ICT in de zorg, op dit moment, meer kwaad
dan goed doet. Overigens neemt hij scherp afstand van de suggestie dat privacybescherming
afbreuk zou doen aan de gezondheidssituatie van patiënten. Beide zijn met elkaar in evenwicht
te brengen en dat moet vanaf nu ook snel gaan gebeuren.
VAN DER LEI geeft aan dat stelling 7 van hem afkomstig is en licht dit toe. Het grote voordeel
van het papieren dossier vindt hij dat je het in beginsel alleen kan gebruiken in de setting
van de dagelijkse zorg. ICT heeft volgens hem de doelgebondenheid van het (papieren)
dossier afgebroken, hetgeen op zich ook een positieve ontwikkeling kan zijn. Hij zegt zich
overigens te hebben geïrriteerd aan de gemaakte vergelijking tussen papieren en elektronische
dossiers. De kracht van ICT ligt volgens hem namelijk in het combineren en doorzoeken van
grote hoeveelheden gegevens. Met HOOGHIEMSTRA is hij van mening dat bij de huidige
ICT-toepassingen privacy niet als designcriterium is meegenomen, waardoor allerlei afgeleide
debatten ontstaan die allemaal terug te voeren zijn op het niet correct meenemen van privacy
als designcriterium.
SANDERS kan zich in de analyse van VAN DER LEI vinden, mits het vertrekpunt is dat ICT
een geweldige toegevoegde waarde kan representeren in de zorg. Vervolgens is zijn conclusie
dat we gezamenlijk moeten bedenken hoe we de opzet van informatiesystemen zo kunnen
inrichten dat er geen onevenredige schade wordt toegebracht aan de privacybescherming van
de mensen van wie de gegevens in het systeem zijn opgenomen.
VAN DER LEI trekt daarbij als tweede conclusie dat dit tot op heden nog niet is gebeurd,
waardoor we in een hele rare spagaat zitten bij de systemen die van oorsprong niet bedoeld of
ontworpen zijn met de privacy in het achterhoofd. Zeker niet gelet op de communicatiemogelijkheden
die we nu hebben en de koppelingen die we kunnen aanleggen.
BAKKER maakt nog even bezwaar tegen de stellingname dat er geen systemen met ‘security’
ontworpen zouden zijn. Hij weet tenminste één voorbeeld waar het van meet af aan wel een
ontwerpcriterium is geweest. Daarbij zij drie dimensies: vertrouwelijkheid, integriteit en
beschikbaarheid als ontwerpcriterium gehanteerd. Een probleem is volgens BAKKER dat de
faciliteiten die er zijn, in de praktijk niet allemaal toegepast worden. Daaraan knoopt hij de
vraag vast: waarom hebben we de eisen die in de WGBO staan niet geïmplementeerd? Het
antwoord is volgens hem dat het veld daar niet om vraagt en de (Nederlandse) industrie het
dus ook niet doet. BAKKER kent nog steeds geen systemen waar de mogelijkheid om toegang
tot gegevens te beperken tot het behandelteam in strikte zin is ingebouwd.
GRIJPINK vraagt aandacht voor het feit dat stelling 4 er toe leidt dat er een ongekende
< VORIGE INHOUD VOLGENDE >

hoeveelheid persoonsgegevens extra opgeslagen wordt. Allemaal gegevens die apart kunnen
worden beheerd en ook kunnen worden gemanipuleerd. GRIJPINK vraagt zich af of je stelling
4, als je de argumenten voor en tegen afweegt, overeind moet houden.
BEUN vraagt GRIJPINK hoe hij het dan zou willen. We willen toch immers degene die recht
hebben op toegang tot de gegevens dat recht geven en de daders die onbevoegd toegang
krijgen tot gegevens kunnen aanwijzen?
GRIJPINK denkt dat het uitgangspunt van BEUN wel goed is, maar dat betekent volgens hem
nog niet dat je alle informatiesystemen zou moeten loggen, gelet op de consequenties die dat
zou hebben voor het bewaren en beheren van al die gegevens. Iedere computer logt wat er is
gebeurd en geen mens doet er wat mee. In een computer is het niet te beveiligen en het vervliegt
op een gegeven moment weer. Ook ziet hij weinig heil in het dwingen van mensen tot
registratie. GRIJPINK vindt het wel belangrijk om te bekijken in welke situaties de zaak eventueel
moet kunnen worden teruggefilmd. Hij betwijfelt of daar logging voor nodig is.
Ook HEIJNEN vraagt zich af of je, wanneer je iets wilt controleren, dat dan ook allemaal moet
vastleggen, met name ook in de relatie met verzekeraars. Hij vraagt zich af of steekproefsgewijze
controles niet mogelijk zouden zijn in plaats van de huidige bulk aan gegevens die
massaal naar de verzekeraars wordt toegestuurd. In dat verband verwijst hij ook naar zijn
ervaringen met de indicatiestelling. De overheid stelt hierbij volgens hem terecht vast dat een
indicatiestelling objectief moet zijn en belangeloos. Dat zou je volgens HEIJNEN ook goed
kunnen regelen in de vorm van een second opinion als de cliënt of de verzekeraar daar
behoefte aan heeft. Maar VWS heeft bepaald dat er overal in de AWBZ een onafhankelijke
indicatiestelling moet komen door externe bureau’s, de zogenaamde RIO’s. Zij zijn niet
gebonden aan de WGBO, omdat zij niet behandelen, maar krijgen wel allerlei gegevens uit
medische dossiers. Deze gegevens plaatsen zij naast alle andere gegevens waarover zij
beschikken. HEIJNEN maakt zich daar vreselijke zorgen over. Hij bepleit bij de indicatiestelling
te kiezen voor een andere methode, zoals het gebruik van een second opinion. Dat is ook
kwalitatief beter (RIO’s beschikken amper over artsen). Ook kan zo’n methode beter bemenst
worden, dan de huidige RIO’s. Nu worden er gigantisch veel gegevens verzameld.
Als voorbeelden noemt HEIJNEN de ouderenzorg en de verplegings- en verzorgingssector
waar voor elke aanvraag een formulier van 50 bladzijden moet worden ingevuld en wordt
ingevoerd in een computer. Aangezien dit grote risico’s voor de privacybescherming met zich
meebrengt, zou hij graag zien dat het CBP de hakken meer in het zand zet en zegt: u gaat veel
te ver. HUSTINX vat samen dat HEIJNEN pleit voor slimme tussenoplossingen. HEIJNEN
beaamt dat en voegt daaraan toe dat ook, of misschien wel juist, op die manier de doelstellingen
van de heer HAMILTON bereikt kunnen worden. HAMILTON merkt in dat verband
nog even op dat bij de AWBZ en indicatiestelling veel meer aspecten een rol spelen dan
privacy alleen. Met name noemt hij het bureaucratieprobleem. HOOGHIEMSTRA meent dat
goede naleving van de privacywetgeving juist kan leiden tot veel minder bureaucratie. De
privacywetgeving schrijft immers voor dat de verantwoordelijke technische en organisatorische
maatregelen dient te treffen om onnodige verzameling en verdere verwerking van
persoonsgegevens te voorkomen (artikel 13 WBP).
STRAETMANS voegt daar nog de stelling aan toe dat volgens hem informatisering juist leidt
tot meer privacy, omdat hij merkt dat juist de technologen/informatici waarmee hij samenwerkt
in het kader van de taskforce AWBZ-brede zorgregistratie er bij het ontwerpen van de
systemen heel kritisch en gestructureerd op letten dat er niet meer gegevens worden verzameld
dan noodzakelijk. Bovendien zijn tot nu toe bij de verplegings- en verzorgingssector
deze schema’s ook bekeken en op noodzakelijkheid getoetst door het CBP.
HUSTINX vraagt de deelnemers aan de discussie om in ‘de laatste ronde van de discussie’ aan
te geven wat voor de praktijk een goede strategie is voor privacybescherming bij ICT in de
zorg.
MEIJER stelt dat de vaak gesuggereerde tegenstelling tussen privacybescherming en zorgverlening
een schijntegenstelling is. De privacywetgeving vergt dat slechts de gegevens die
noodzakelijk zijn voor een goede zorgverlening, verzameld worden en dat is precies ook hetgeen
voor de kwaliteit van de zorg van belang is. De kwaliteit van de zorgverlening wordt
niet gediend met een ongestructureerde lawine van gegevens. Overigens merkt hij nog eens
< VORIGE INHOUD VOLGENDE >
74

75
op dat de activiteiten van de NEN-normcommissie inzake informatiebeveiliging in de zorg
wat hem betreft complementair zijn ten opzichte van de privacywetgeving en het streven naar
een kwalitatief betere zorgverlening.
VAN BUITENEN pleit in het kader van privacybescherming bij ICT in de zorg voor een strategie
waarbij begonnen wordt met goed doordachte regionale experimenten in plaats van met
grootschalige landelijke blauwdrukken. VAN BOMMEL ziet niet veel in de strategie van VAN
BUITENEN. Met honderden verschillende regio’s kom je volgens hem nooit tot een goed landelijk
beleid. BEUN denkt bij regio’s aan toekomstige Europese regio’s. Zelf heeft hij, als chronisch
zieke, voor zijn behandeling nu regelmatig te maken met ziekenhuizen in drie verschillende
regio’s. Die drie ziekenhuizen communiceren volgens hem in het geheel niet met elkaar.
Wel is hij het met VAN BUITENEN eens dat je proeven eerst moet doen in het klein, alvorens ze
op een grotere schaal kunnen lukken.
GRIJPINK pleit ten eerste voor de strategie van keteninformatisering. Hij constateert dat de
belangrijkste behandelingstypes zich sterk rond één circuit begeven. De informatievoorziening
in de zorg zou per circuit bekeken moeten worden, te beginnen met de meest belangwekkende
en evidente gebieden. Als voorbeeld noemt hij de verslavingszorg waar reeds gebruik gemaakt
wordt van de ketenbenadering. Voor de rest komt hij het ‘ketendenken’ in de zorg nog amper
tegen en is wat dat betreft pessimistisch over de toekomst. ICT in de zorg zal volgens hem niet
veel worden, zolang de slag naar keteninformatisering niet is gemaakt.
Ten tweede vindt GRIJPINK dat het consultatiedocument te simpel uitgaat van één type
patiënt, terwijl er wel 4 à 5 typen patiënt te benoemen zijn. Ook zijn er vier à vijf verschillende
posities te onderscheiden waar de patiënt zich in bevindt. Vervolgens zou bekeken
moeten worden in welke situatie de norm de patiënt beschermt.
VAN DER LEER merkt op dat er een tendens is in de richting van vraaggestuurde zorg.
Daarbij is ICT een goed hulpmiddel. Daarbij moet volgens hem in aanmerking worden
genomen dat de behoefte aan zorg de komende jaren sterk zal toenemen. Hij stelt dat als je
veel zorg vraagt, je ook steeds meer privacy inlevert. HUSTINX merkt op dat het niet om
‘privacy inleveren’, maar om ‘toevertrouwen aan een ander’ gaat. VAN DER LEER beaamt
dat. Hij voegt er nog aan toe dat met het oog op een te formuleren strategie het van belang is
in te zien dat na 11 september privacy uit is en veiligheid in.
HUSTINX geeft aan dat het er bij privacybescherming niet zozeer om gaat hoeveel ongerepte
sneeuw je in theorie kunt beschermen, maar veel meer om de vraag hoe de complexe transformatie
bij ICT in de zorg zodanig kan worden ingericht dat daarbij de privacybescherming
voldoende aandacht krijgt.
VAN BUITENEN waarschuwt er voor om niet eerst normen te ontwikkelen alvorens zorg toe
te passen, maar juist eerst zorg toe te passen en vervolgens daarbij normen te ontwikkelen.
VERKLEIJ is het opgevallen dat het overheidsbeleid omtrent ICT in de zorg vaak slecht afgestemd
wordt met de geldende (privacy)wetgeving. Vaak is hetzelfde departement zowel verantwoordelijk
voor het beleid als de (privacy)wetgeving, terwijl beide met elkaar in strijd zijn.
Zij bepleit daarom een betere afstemming tussen beleid en wetgeving. HUSTINX vindt het
probleem dat VERKLEIJ signaleert heel herkenbaar.
LOUWERSE geeft aan dat het, in zijn ervaring, van belang is veel aandacht te besteden aan
het feit dat veel (privacy) gevolgen van ICT-toepassingen in de zorg te maken hebben met de
wijze waarop mensen met ICT-toepassingen omgaan. Vandaar dat hij hecht aan handhaving
en certificering, zoals in stelling 3 wordt bepleit.
OUWEHAND wijst op de politieke discussie omtrent de invoering van de identificatieplicht.
In dat verband vraagt hij van het CBP op een verstandige manier om te gaan met het, in de
nota van de RVZ bepleite, naar elkaar toe groeien van de elektronische Nationale
Identiteitskaart (eNIK), het zorgidentificatienummer (ZIN), PKI van de overheid en de zorg et
cetera. Hij hoopt dat dit alles een begrijpelijk geheel wordt.
HEIJNEN vraagt tenslotte nog aandacht voor de vertegenwoordiging van cliënten. Cliënten
zijn er in vele gedaanten en met verschillende belangen. Voor chronische patiënten gelden
weer andere belangen dan voor patiënten in de geestelijke gezondheidszorg en die verschillen
< VORIGE INHOUD VOLGENDE >

weer van de cliënten die zo af en toe gebruik maken van de zorgvoorzieningen. Wat dat
betreft pleit hij er voor ook de Consumentenbond te betrekken bij de inventarisatie van de
belangen van patiënten en cliënten.
HUSTINX sluit de discussie af en bedankt de sprekers en de deelnemers voor hun bijdrage.
< VORIGE INHOUD VOLGENDE >
76

Bijlagen
Bijlage 2
77
Deelnemerslijst invitational conference 20 juni 2002
bij het CBP
de heer prof.dr. A.R. Bakker –
de heer ir. J. Beun Patiëntenambassadeur
de heer drs. W.L. Posthumus AMC
de heer drs. J.N.L.M. Aartman Achmea
mevrouw mr. A.C.M. van Saase College voor zorgverzekeringen
de heer mr. A. van Buitenen EPN Platform
de heer prof.dr. van der Lei Erasmus Universiteit
mevrouw dr. I van der Ploeg Erasmus Universiteit
mevrouw mr.dr. C.J. van de Klippe Gezondheidsraad
de heer drs. E.S. Mazurkiewicz GG&GD Utrecht
de heer drs. H.M.J.C. Heijnen Heijnen & Rozendaal
de heer prof.mr. J.K.M. Gevers AMC
de heer drs. W.J. Meijer KNMG
de heer mr. F. Moss KNMP
de heer dr. C.P. Louwerse LUMC
de heer mr. dr. J. Grijpink min. van Justitie
de heer mr. G.J.A. Hamilton VWS
de heer M.A.M. van der Haagen NVMA
mevrouw prof.mr. M.D.B. Schutjens Nefarma
de heer drs. G.J. van Boven NICTIZ
de heer G. Elemans NICTIZ
de heer H.J. Hoogendijk NP/CF
mevrouw mr. G.J. Boshuizen NVZ
mevrouw mr. N. Verkleij NVZ
de heer prof.dr. T. de Vries NITEL
de heer drs. F.B.M. Sanders RVZ
de heer A.W. Ouwehand stichting IVZ
de heer W.A Kuling zorgverzekeraar Zorg en Zekerheid
mevrouw drs. P. van de Koelen Prismant
de heer O.F.C. van der Leer Prismant
de heer mr. dr. J.C.J. Dute Universiteit Maastricht
de heer ing. F.A. van Bommel Vektiz
mevrouw mr.drs. E. Crebas Zorg & Zekerheid
de heer mr. G. Straetmans Zorgverzekeraars Nederland
de heer mr. P.J. Hustinx CBP
de heer mr.drs. T.F.M. Hooghiemstra CBP
de heer drs. J.W. Broekema CBP
de heer mr. J.W. Heuver CBP
mevrouw mr. J.A.L. Krabben CBP
mevrouw A.C. Gräve CBP
mevrouw mr. J.C. Wièrdak CBP
< VORIGE INHOUD VOLGENDE >

Bijlagen Hand-out prof.dr.ir. Theo de Vries
Bijlage 3
< VORIGE INHOUD VOLGENDE >
78

79
< VORIGE INHOUD VOLGENDE >

VORIGE INHOUD VOLGENDE >
80

81
< VORIGE INHOUD VOLGENDE >

VORIGE INHOUD VOLGENDE >
82

83
< VORIGE INHOUD VOLGENDE >

Bijlagen
Bijlage 4
Hand-out mr.drs. Theo Hooghiemstra
< VORIGE INHOUD VOLGENDE >
84

85
< VORIGE INHOUD VOLGENDE >

VORIGE INHOUD VOLGENDE >
86

BijlagenDankwoord aan de meelezers
Bijlage 5
87
Bij deze dank ik de externe en interne meelezers van deze studie. Buiten het CBP hebben meegelezen:
Theo de Vries, Johan Beun en Jos Dute. Verder heb ik dankbaar gebruik gemaakt van
de resultaten van en de gedachtevorming tijdens mijn deelname aan het juridisch laboratorium
van ZonMw. Ruim twee jaar heb ik in dat laboratorium namens het CBP mogen
samenwerken met Sjef Gevers, Henriette Roscam Abbing en Sjaak Nouwt met betrekking tot
de juridische vraagstukken omtrent EPD’s. Intern was Peter Hustinx als meelezer én verantwoordelijk
portefeuillehouder zelfs bijna als medeauteur te beschouwen. Daarnaast hebben
ook de andere collegeleden, Ulco van de Pol en Jan Willem Broekema, waardevolle adviezen
gegeven. Van de directe collega’s ontving ik uitgebreid commentaar van Ruud Beugelsdijk en
dank ik de PET-passages aan Gilles van Blarkom. Uiteraard hebben ook de andere leden van
het cluster Zorg & Welzijn, Jacqueline Krabben, Jacqueline Wièrdak en Jan-Willem Heuver,
meegelezen. Bovendien kreeg ik van vele deelnemers aan de invitational conference ook na
afloop nog het nodige commentaar om te verwerken. Ten slotte dient Gert Onne van de
Klashorst vermeld te worden voor een aantal adviezen en de eindredactie van deze achtergrondstudie.
Bij deze wil ik alle genoemde, en ook de eventueel niet genoemde, meelezers hartelijk danken
voor hun bijdragen.
Naast de meelezers wil ik in het bijzonder Janneke Hooghiemstra-van Zetten bedanken voor
de vele ondersteunende handelingen die deze studie, het daaraan voorafgaande consultatiedocument,
de verspreiding ervan en de op het consultatiedocument aansluitende invitational
conference van haar gevergd hebben.
< VORIGE INHOUD VOLGENDE >

Bijlagen
Bijlage 6
Lijst van afkortingen
A&V Achtergrondstudies en verkenningen
AMC Academisch Medisch Centrum
A-nummer Administratienummer in de zin van de WGBA
AWBZ Algemene Wet Bijzondere Ziektekosten
BIG Beroepen in de Individuele Gezondheidszorg
BW Burgerlijk wetboek
CBP College bescherming persoonsgegevens
CIBG Centraal Informatiepunt Beroepen Gezondheidszorg
CSIZ Coördinatiepunt Standaardisatie Informatievoorziening in de
Zorgsector
CvZ College voor zorgverzekeringen
DBC Diagnose Behandeling Combinatie
DNA Desoxyribo Nucleic Acid
EG Europese Gemeenschap
eNIK elektronische Nationale Identiteitskaart
EPN Electronic-highway Platform Nederland
EU Europese Unie
EPD Elektronisch patiëntdossier
EVRM Europees Verdrag voor de Rechten van de mens en de
fundamentele vrijheden
GPRS General Packet Radio Service
HEC Het Expertise Centrum
HIPAA Health Insurance Portability and Accountability Act
HIV Humaan immunodeficiëntievirus
ICT Informatie- en communicatietechnologie
IP Internet Provider
IPZorg ICT platform in de Zorg
IVF In vitro fertilisatie
IVV Stichting Informatievoorziening Verslavingszorg
IVZ Stichting Informatievoorziening in de Zorg
KNMG Koninklijke Nederlandse Maatschappij ter bevordering van de
Geneeskunde
KNMP Koninklijke Nederlandse Maatschappij ter bevordering der
Pharmacie
LADIS Landelijke Alcohol en Drugs Informatiesysteem
LHV Landelijke Huisartsen Vereniging
LUMC Leids Universitair Medisch Centrum
MRSA Meticilline-resistente Staphylococcus aureus
NAW Naam, Adres, Woonplaats
NEN Nederlands Normalisatie Instituut
NICTIZ Nationaal ICT Instituut in de Zorg
NITEL Nederlands Instituut Telemedicine
NPCF Nederlandse Patiënten en Consumentenfederatie
NVMA Nederlandse Vereniging voor Medische Administratie
NVZ Nederlandse Vereniging van Ziekenhuizen
P3P Platform for Privacy preferences
PET Privacy enhancing technologies
PID Privacy Incorporated Database
Pisa Privacy incorporated software agent
PKI Public Key Infrastructure
RAI Resident Assessment Instrument
RIVM Rijksinstituut voor Volksgezondheid en Milieu
RVZ Raad voor de Volksgezondheid & Zorg
Stcrt Staatscourant
< VORIGE INHOUD VOLGENDE >
88

89
Sofi-nummer Sociaal-fiscaal nummer
TNO Nederlandse Organisatie voor toegepastnatuurwetenschappelijk
onderzoek TNO
TTP Trusted Third Party
UZI Unieke Identificatie van Zorgverleners
UZOVI Unieke Identificatie van Zorgverzekeraars
VBTB Van Beleidsbegroting tot Beleidsverantwoording
VWS Ministerie van Volksgezondheid, Welzijn en Sport
WBP Wet bescherming persoonsgegevens
WGBA Wet gemeentelijke basisadministratie persoonsgegevens
WGBO Wet op de geneeskundige behandelingsovereenkomst
ZonMw Zorg Onderzoek Nederland / Medische Wetenschappen
ZFW Ziekenfondswet
ZIN Zorg Identificatie Nummer
ZN Zorgverzekeraar Nederland
< VORIGE INHOUD VOLGENDE >

Summary

Privacy bij ICT
in de zorg
Summary
This study is not the final word on ICT in the care sector. ICT applications in the
care sector are still in their infancy in terms of development. Numerous new issues
still need to be studied, including the creation of services via the Internet and the
emergence of biogenetics in relation to ICT.
The broad target group of this study is everybody with an interest in the privacy
aspects of ICT applications in the care sector. More specifically, the study
is for those involved in establishing the national information infrastructure for
healthcare, i.e. central government, patients’ associations, care institutions,
umbrella organisations, medical insurance companies and software designers.
The study has a twofold purpose: (1) to examine interrelated subjects to provide
readers with an overview of the privacy aspects of the numerous ICT applications
in the care sector, and (2) to set out a privacy-friendly course for
developing the ICT infrastructure in the care sector.
Interrelated subjects
ICT can be used to improve the quality and effectiveness of care. By addressing
five interrelated subjects, the study seeks to provide an overview of the privacy
aspects of the many ICT applications that exist in the care sector.
The five subjects are:
1 Development of an electronic identity infrastructure;
2 Development of an electronic information infrastructure;
3 A possible stronger position for the patient via the Internet;
4 Changes in the organisation and financing of the care sector;
5 Monitoring of patients and clients.
1 Electronic identity infrastructure
The provision of good services requires the correlation of information about one
and the same patient without any mix-up with information about another
person. A patient number is the most commonly-used form of unique patient
verification. Patient numbers are personal numbers and personal numbers are
personal data. It is advisable to phase in the proposed national patient number
in combination with regional and supply chain numbers in the care sector. It is
further recommendable to experiment on a small scale with biometry as a way
of identifying patients and care providers.
2 Electronic information infrastructure
Smart card projects were the starting point for the electronic information infrastructure.
The projects triggered a growing awareness that a smart card should
be a key to accessing a virtual electronic patient dossier (EPD), i.e. medical
records. The ambition of national policymakers is for all authorised persons in
the Netherlands to be able to view EPDs via a virtual nationwide infrastructure.
The authorisation standards for an EPD must respect professional medical confidentiality.
Responsibility for processing the data will be distributed over the
various actors involved in the EPD project. There are also security obligations
that must be fulfilled. It is advisable to use privacy-enhancing technologies.
3 Patient and the Internet
The Internet can strengthen the position of the patient. However, the Internet is
an insecure open system with privacy risks. The patient must be made aware of
these risks and would be well-advised to obtain protection against them.
< PREVIOUS CONTENTS NEXT >
92

93
4 Organisation and financing
The government wants to review the system of providing healthcare with a
view to bringing about competition between care providers and between
medical insurers. Another intention is to introduce a funding system –
‘Diagnosis Treatment Combinations’ – based on services rendered. This will
probably require the processing of detailed data on the treatment of patients. It
will be important when working out and elaborating these proposals to be
aware of the different roles of the medical insurer, the other parties in the
healthcare sector and the constraints imposed by privacy laws and professional
medical confidentiality. Lawmakers must ensure that legislation respects the
standards that apply under professional medical confidentiality and for processing
medical data, the European Data Protection Directive and the obligation
to submit to the Dutch Data Protection Authority for an opinion all bills and
draft orders in council that concern or have a bearing on the processing of personal
data.
5 Monitoring patients and clients
Agreat need exists in the care sector to use ICT to keep track of
patients/clients. This is because of such circumstances as the need to conduct
scientific medical research and keep statistics, to provide managed care, to allocate
care, to manage waiting-lists and to record data regionally and nationally.
Scientific medical research is usually bound by the rules embodied in professional
medical confidentiality and the ‘Good Behaviour’ code of conduct
currently under review in the context of the Data Protection Act.
Managed care means harmonising demand and supply in the care sector. This
almost always requires a party other than the doctor and patient to be involved
in information management. It is first necessary to examine whether access to
medical data for managed care purposes is allowable under the rule of professional
medical confidentiality. The same often applies in relation to scientific
medical research and statistics. The subsequent processing of medical data must
satisfy the stringent regime applicable to such processing. Moreover, the provisions
concerning use of data in a way compatible with the purpose for which
it was gathered must be satisfied.
Following critical comments by the Dutch Data Protection Authority, the State
Secretary for Health, Welfare and Sport established a separate working group
consisting of representatives of the various stakeholders to examine the privacy
aspects of databases used to allocate care and manage waiting lists. Each new
phase of a project is now being submitted to the Dutch Data Protection
Authority for an opinion.
The Dutch Data Protection Authority needs a greater factual knowledge of
national registration systems in the care sector. For that reason the Authority
launched a fact-finding study in the field in autumn 2002. Care institutions and
care providers would also be well-advised to obtain a greater insight into this
matter, because not infrequently they can be held responsible for the data supplied
to such registration systems.
Privacy-friendly ICT infrastructure
Timely and proper attention to privacy in the care sector is increasingly becoming
a critical success factor. It can be concluded from the five interrelated
subjects that the changes taking place in healthcare may have far-reaching
consequences for the way care will be provided, managed and financed in the
< PREVIOUS CONTENTS NEXT >

Privacy bij ICT
in de zorg
Summary
near future. Economies of scale, transmuralisation (i.e. optimum co-ordination
of intramural and extramural care) and market mechanisms are extremely
important matters. Due consideration must be given to their privacy aspects.
Privacy is hardly ever a design criterion for ICT applications at present,
however. This must change.
< PREVIOUS CONTENTS NEXT >
94

Achtergrondstudies en verkenningen

In de serie Achtergrondstudies en verkenningen zijn verschenen:
Privacy bij ICT
in de zorg
Studies
Versmissen, J.A.G. en A.C.M. de Heij, Elektronische overheid en privacy. Bescherming van persoonsgegevens
in de informatie-infrastructuur van de overheid. A&V 25; College
bescherming persoonsgegevens, Den Haag 2002.
Eijk, M.M.M. van en Helden, W.J. van, Klant te koop. Privacyregels voor adressenhandel.
A&V 24; College bescherming persoonsgegevens, Den Haag 2001.
Blarkom, G.W. van, Beveiliging van persoonsgegevens. A&V 23; Registratiekamer, Den Haag
2001.
Versmissen, J.A.G., Sleutels van vertrouwen, TTP’s, digitale certificaten en privacy. A&V 22;
Registratiekamer, Den Haag 2001.
Terstegge, J.H.J., Goed werken in netwerken. Regels voor controle op e-mail en internetgebruik
van werknemers. A&V 21; (1e druk; Registratiekamer, Den Haag 2000) 2e druk herzien
door drs. S. Lieon, College bescherming persoonsgegevens, Den Haag 2002.
Buitenhuis, R., Campen, N.G.M. van, Helden, W.J. van, Vries, H.H. de, Bankverzekeraars en
privacy. Gegevensverwerking in financiële conglomeraten. A&V 20; Registratiekamer,
Den Haag 2000.
Helden, W.J. van, Herkomst van de klant. Privacyregels voor etnomarketing. A&V 19;
Registratiekamer, Den Haag 2000.
Wishaw, R.W.A. De gewaardeerde klant. Privacyregels voor credit scoring. A&V 18;
Registratiekamer, Den Haag 2000.
Artz, M. en Eijk, M.M.M. van, Klant in het web. Privacywaarborgen voor internettoegang.
A&V 17; Registratiekamer, Den Haag 2000.
Zeeuw, J. de. Informatieverstrekking. Ontheffing van de fiscale geheimhoudingsplicht in het
licht van privacywetgeving. A&V 16; Registratiekamer, Den Haag 2000.
Hes, R., Borking, J.J. en Hooghiemstra, T.F.M. At face value. On biometrical identification and
privacy. A&V 15; Registratiekamer, Den Haag 1999.
Artz, M.J.T., Koning Klant. Het gebruik van klantgegevens voor marketingdoeleinden. A&V 14;
Registratiekamer, Den Haag 1999.
Borking, J.J., e.a., Intelligent software agents and privacy. A&V 13; Registratiekamer, Den
Haag 1999.
Hooghiemstra, T.F.M., Privacy & Managed care. A&V 12; Registratiekamer, Den Haag 1998.
Hes, R. en J. Borking, Privacy-enhancing technologies: the path to anonimity. A&V 11 revised
edition; Registratiekamer, Den Haag 1998.
Almelo, L. van, e.a., Gouden bergen van gegevens. Over datawarehousing, datamining en
privacy. A&V 10; Registratiekamer, Den Haag 1998.
Zandee, C., Doelbewust volgen. Privacyaspecten van cliëntvolgsystemen en andere vormen
van gegevensuitwisseling. A&V 9; Registratiekamer, Den Haag 1998.
< VORIGE INHOUD VOLGENDE >
96

97
Zeeuw, J. de, Informatiegaring door de fiscus. Privacybescherming bij derdenonderzoeken.
A&V 8; Registratiekamer, Den Haag 1998.
Hulsman, B.J.P. en P.C. Ippel, Gegeven: de Genen. Morele en juridische aspecten van het
gebruik van genetische gegevens. A&V 7; Registratiekamer, Den Haag 1996.
Gardeniers, H.J.M., Chipcards en privacy. Regels voor een nieuw kaartspel. A&V 6,
Registratiekamer, Den Haag 1995.
Rossum, H. van e.a., Privacy-enhancing technologies: the path to anonymity, volume I and II.
A&V 5; Registratiekamer, Den Haag 1995.
Rommelse, A.F., Zwarte lijsten. Belangen en effecten van waarschuwingssystemen. A&V 4;
Registratiekamer, Rijswijk 1995.
Rommelse, A.F., Ziekteverzuim en privacy. Controle door de werkgever en verplichtingen van
de werknemer. A&V 3; Registratiekamer, Rijswijk 1995.
Casteren, J.P.M. van, Bevolkingsgegevens: Wie mag ze hebben? Verstrekking van gegevens uit
de GBA aan vrije derden. A&V 2; Registratiekamer, Rijswijk 1995 (niet meer beschikbaar).
Hulsman, B.J.P. en Ippel, P.C., Personeelsinformatiesystemen - de Wet persoonsregistraties
toegepast. A&V 1; Registratiekamer, Rijswijk 1994 (niet meer beschikbaar).
Vrijwel alle publicaties van het CBP kunt u inzien en/of downloaden van de website
www.cbpweb.nl. Voor het toezenden van gedrukte publicaties kunnen kosten in rekening
worden gebracht.
< VORIGE INHOUD VOLGENDE >

COLLEGE BESCHERMING PERSOONSGEGEVENS
Prins Clauslaan 20
Postbus 93374
2509 AJ Den Haag
TELEFOON 070 381 13 00
FAX 070 381 13 01
E-MAIL info@cbpweb.nl
INTERNET www.cbpweb.nl
< VORIGE INHOUD VOLGENDE >
98