Hoe zorgvuldig omgaan met gegevensdeling? Wat zegt de wetgeving?Johan Vandendriessche
Advocaat | Crosslaw
Gastprofessor | UGent | HoWest
Juridische kader
Basiswetteksten De Wet Verwerking Persoonsgegevens (WVP) – de Belgische Privacywet
De Wet Patiëntenrechten (WPR)
De Wet houdende diverse bepalingen betreffende gezondheid
Beroepsgeheim (Sw.) - Deontologische Code (Code Geneeskundige Plichtenleer)
Bijkomende sectorspecifieke regelgeving De eHealth wet
KB Algemeen Medisch Dossier/ KB Medisch Dossier ZH/ KB Verpleegkundig ZH Dossier
Decreet Elektronische Gegevensdeling
Brussels - Kortrijk | www.crosslaw.be 2
Geheimhoudingsverplichting
Afhankelijk van de actor Beroepsbeoefenaar in de gezondheidszorg
• Beroepsgeheim (artikel 458 van het Strafwetboek)
Aangestelden/ gemachtigden/ verwerkers• Contractuele geheimhoudingsplicht evenwaardig aan het beroepsgeheim
• = afgeleid beroepsgeheim (discretieplicht)• Naast andere verplichtingen tot geheimhouding
• Strafwetboek• Deontologische regels• Arbeidsreglement
• Schending eveneens strafrechtelijk gesanctioneerd
Gezamenlijk beroepsgeheim = een bepaalde groep van hulpverleners binnen één organisatie, die werken in een
teamverbandGedeeld beroepsgeheim Bij doorverwijzing naar andere personen die eveneens door het beroepsgeheim zijn
gebonden• Belang voorafgaandelijke kennisgeving van de patiënt
| 3
Geheimhoudingsverplichting
Geen absoluut recht Getuigenis in rechte
Verdediging in rechte
Wettelijke verplichting tot mededeling
Noodtoestand
Kennis van specifieke misdrijven gepleegd op een minderjarige• Eigen onderzoek of vertrouwensrelatie
• Ernstig en dreigend gevaar integriteit minderjarige
• Niet in staat om de integriteit zelf of met anderen te beschermen
Brussels - Kortrijk | www.crosslaw.be 4
Enkele basisbegrippen
Wat is een elektronisch (gedeeld) patiëntendossier (EGPD)? Geen wettelijke definitie
• Recht op een zorgvuldig bijgehouden en veilig bewaard ‘patiëntendossier’ t.a.v. beroepsbeoefenaar (KB nr. 78)
Inhoud dossier• Persoonsgegevens
• Gezondheidsgegevens
Wat is een individueel (deelbaar) dossier? Dossier van hulpverlener en zorgverlener
Inhoud dossier: gegevens gegenereerd door zorgverlener en hulpverlener
Brussels - Kortrijk | www.crosslaw.be 5
Basisbegrippen vanuit de WVP
Persoonsgegevens iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon
• “ruwe” en gecodeerde persoonsgegevens >< anonieme gegevens• Persoonsgegevens > persoonlijke informatie
Gezondheidsgegevens persoonsgegevens die de gezondheid betreffen
• rechtstreeks betrekking op de gezondheid
• omwille van de inhoud• omwille van het gebruik
Andere gevoelige persoonsgegevens Gevoelige persoonsgegevens Gerechtelijke persoonsgegevens
Verwerking elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet
uitgevoerd met behulp van geautomatiseerde procédés (bijvoorbeeld: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, …) = elke manipulatie van persoonsgegevens
| 6
Toepassing van de WVP
De WVP is van toepassing: op elke geheel of gedeeltelijk geautomatiseerde verwerking van
persoonsgegevens
op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen• Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria
toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze
| 7
Rollen vanuit de WVP
De betrokkene of de patiënt/ zorgbehoevende geïdentificeerd of identificeerbaar
De verantwoordelijke voor de verwerking (VV) bepaling doel en middelen voor de verwerking voor gezondheidsgegevens: beroepsbeoefenaar in de gezondheidszorg, tenzij:
• schriftelijke toestemming• voorkomen van een dringend gevaar/ beteugeling van strafrechtelijke inbreuk
De verwerker (VW) ten behoeve van de verantwoordelijke Externe persoon of instantie / Trusted Third Party
>< aangestelden
Derden
Ontvanger waaraan de gegevens worden meegedeeld
• kan een derde zijn!
| 8
Toepassingsvoorbeeld - rollen
Het ziekenhuis “Goede Zorgen” besluit om voortaan de persoonsgegevens van haar patiënten elektronisch te bewaren. Zij doet hiervoor een beroep op de firma X. Firma X zorgt er tevens voor dat wanneer de patiënt wordt ontslagen uit het ziekenhuis er automatisch een ontslagbrief naar de huisarts wordt gestuurd. patiënt
firma X
het ZH “Goede Zorgen”
de huisarts
| 9
Toepassingsvoorbeeld - oplossing
Patiënt betrokkene
firma X verwerker
het ZH “Goede Zorgen” verantwoordelijke voor de verwerking
de huisarts ontvanger
verantwoordelijke voor de verwerking
| 10
Basisbeginselen vanuit de WVP (i)
Legaliteitsbeginsel Een eerlijke en rechtmatige verwerking Gebaseerd op een ligitieme grond (bijv. de toestemming)
Finaliteitsbeginsel Verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden Geen verdere verwerking die onverenigbaar is met die doeleindenen
• rekening houdend met alle relevante factoren, met name o.a. met de redelijke verwachtingen van de betrokkene
Transparantiebeginsel Informatieverplichtingen t.a.v. de betrokkenen Aangifteverplichting/ verplichting tot het indienen van een machtigingsaanvraag
| 11
Basisbeginselen vanuit de WVP (ii)
Proportionaliteitsbeginsel Gegevenskwaliteit: persoonsgegevens dienen
• toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de vooropgestelde doeleinden
• nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de vooropgestelde doeleinden verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren
Maximum bewaartermijn: • Persoonsgegevens dienen in een vorm die het mogelijk maakt de betrokkenen te
identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is
| 12
Verwerking van gezondheidsgegevens (i)
Legaliteitsbeginsel (i) Juridische gronden
• Schriftelijke toestemming van de betrokken patiënt• Noodzakelijk voor doeleinden van preventieve geneeskunde of medische diagnose, het
verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van gezondheidsdiensten handelend in het belang van de betrokkene
• Noodzakelijk ter verdediging van vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven• aanwezigheid van een dringende medische oorzaak
• essentieel voor het leven van de betrokkene
• het niet in staat zijn toestemming te geven is geen voldoende vereiste
• [Noodzakelijk in het kader van het arbeidsrecht of de sociale zekerheidswetgeving]• [Noodzakelijk voor de bevordering en de bescherming van de volksgezondheid]• [Noodzakelijk voor het wetenschappelijk onderzoek]
| 13
Verwerking van gezondheidsgegevens (ii)
Legaliteitsbeginsel (i) Verdere algemene voorwaarden voor een eerlijke en rechtmatige verwerking
• inzameling van gegevens bij betrokkene zelf• Tenzij betrokkene niet in staat
• onder verantwoordelijkheid van een beroepsbeoefenaar, tenzij:• (Bijkomende) schriftelijke toestemming• Een dringend gevaar• Beteugeling van een strafrechtelijke inbreuk
• een geheimhoudingsverplichting
Overige beginselen Rechten van de patiënt/ betrokkene Verplichtingen van de verantwoordelijke voor de verwerking
| 14
Rechten van de patiënt/ betrokkene
Rechten mbt de toestemming van de betrokkene
Recht op voorafgaandelijke informatie Welke informatie dient er aan de betrokkene te worden gegeven? Wat indien de gegevens niet bij de betrokkene zelf kunnen worden gezameld? (bijv. bij wilsonbekwamen, minderjarigen,…)
Recht op toegang Rechtstreeks en onrechtstreekse toegang Hoe valt het recht op toegang te rijmen met het recht op weten en niet-weten en de therapeutische exceptie vanuit de
patiëntenwetgeving? Het verschil met recht op inzage en recht op afschrift vanuit de patiëntenwetgeving?
Recht op verbetering en/ of verwijdering
Recht op verzet Direct marketing: specifieke deontologische regels Algemeen recht van verzet
Recht om niet te worden onderworpen aan geautomatiseerde besluiten
><Medewerkingsplicht van patiënten
| 15
Rechten mbt de toestemming (i)
Het begrip “toestemming” Vrij
• Bij gezondheidsgegevens: geen beroep op toestemming indien de betrokkene persoon zich ten aanzien van de VV in een afhankelijke positie bevindt• Uitzondering: wanneer de verwerking erop gericht is de betrokkene een voordeel te verstrekken
Specifiek• Gekoppeld aan specifieke doelstellingen
Geïnformeerd Expliciet
• Bij gezondheidsgegevens: “schriftelijk”
“Aanvullende” rechten Het recht de toestemming te wijzigen/ in te trekken
• Recht schriftelijke vastlegging in patiëntendossier Veronderstelde toestemming in geval van spoedhulp
• Verdediging van de vitale belangen van de betrokkene of een derde en• Betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven
| 16
Rechten mbt de toestemming (ii)
Door wie? De betrokkene zelf
Zijn wettelijke vertegenwoordiger
Systeem van vertegenwoordiging Geen toestemming nodig bij levensbedreigende situaties
Toestemmingsregeling in WPR bij wilsonbekwame patiënten
| 17
Rechten mbt de toestemming (iii)
Toestemmingsregeling? Voor minderjarige patiënten
• Rechten worden uitgeoefend door ouders/ voogd• Tenzij de beroepsbeoefenaar het kind voldoende rijp acht zelf zijn toestemming te geven
• Verplichte betrokkenheid van kind bij uitoefening van rechten rekening houden met:• Leeftijd• maturiteit
Voor meerderjarige patiënten: cascaderegeling• Verplichte betrokkenheid van betrokkene in verhouding met zijn begripsvermogen
| 18
De toestemming in de praktijk
Hoe? Opstellen van een “informed consent”
• Toestemmingsformulier• Informatiebrochure
Mogelijke vormen Geen dwingende juridische bepalingen
• Mondeling• In een geschrift• Op een elektronische drager
Inhoud Wettelijke informatieverplichtingen
Conclusie Schriftelijke toestemming via een toestemmingsformulier = veiligste wijze
| 19
Recht op voorgaandelijke informatie (i)
Wat? Wettelijke informatieverplichtingen (transparantie)
Wettelijke informatie (i) Verplichte standaardinformatie
• naam en adres van de VV• de doeleinden van de verwerking• het bestaan van een recht op verzet bij direct marketing
Verplichte informatie bij een elektronisch deelbaar dossier• de ontvangers of de categorieën ontvangers van de gegevens• het al dan niet verplichte karakter van het antwoord en de eventuele gevolgen van niet-
beantwoording• het bestaan van een recht op toegang • Bestaan van een recht op verbetering van de persoonsgegevens die op hem betrekking
hebben
| 20
Recht op voorgaandelijke informatie (ii)
Wettelijke informatie (ii) Verplichte informatie bij de verwerking van gezondheidsgegevens
• De redenen van de verwerking• De mogelijkheid tot inzage van de lijst van de categorieën van personen die
toegang hebben tot de persoonsgegevens• Vermelding van de wettelijke grondslag
• Indien geen aangifte bij de Privacycommissie
Wenselijke informatie bij de verwerking van gezondheidsgegevens• Eventuele mogelijkheid tot inzage van de lijst van de categorieën van personen die
toegang hebben tot de persoonsgegevens• Enkel wettelijke verplichting t.a.v. de Privacycommissie
| 21
Informed consent- enkele “tips and tricks”
Mbt de opbouw een “multi-layered” informed consent (in verschillende lagen)
Mbt de inhoud Geen vage of algemene bewoordingen (specifiek) Duidelijke taal (niet te juridisch of te lang) Vermelding van VV in aangifte + vermelding van VV in “informed consent” = zelfde VV Bijkomende elementen die het vertrouwen kunnen wekken
• Vermelding indien geen verwerking voor direct marketing doeleinden• Uitdrukkelijke vermelding indien de verwerking onder het toezicht van een beroepsbeoefenaar gebeurt• Verwijzing naar de geheimhoudings-/ vertrouwelijkheidsplicht van de betrokken actoren• Vermelding van een contactpersoon
• Een concreet aanspreekpunt kan drempelverlagend werken• Nominatieve namen niet nodig als aanduiding van de VV in de aangifte bij de Privacycommissie
• Wel vermelding contactpersonen tav de Privacycommissie
Gebruik van een duidelijk toestemmingsmechanisme• Duidelijke formulering• Duidelijke technische stappen• Gebruik van een tick-box
• Technische bewaring van elektronisch gegeven toestemmingen• Bewijskracht?
| 22
De verplichtingen van de VV
Het voorzien van een juridische basis Ook voor de doorgifte van gegevens (gegevensdeling)
Het inlichten van de betrokkene
Beroepsgeheim/ geheimhoudingsplicht wat zijn de verschillen?
Formele verplichtingen Aangifte bij de Privacycommissie Machtigingsaanvraag bij het Sectoraal Comité voor de Gezondheid
Het nemen van de technische en organisatorische maatregelen ter bescherming van de persoonsgegevens Bewaring en beveiliging Opstellen van een verwerkingsovereenkomst
| 23
Kwaliteitsbewaking
Verplichting tot kwaliteitsbewaking en –zorg Bijwerking
• up-to-date houden van de gegevens Verbetering Verwijdering
• Respecteren van verjaringstermijnen
Bijzondere aandacht bij de kwaliteitszorg aan de vorm van opslag Decentrale opslag Centrale opslag Opslag in de vorm van een e-dienst onder controle van de patiënt
Middelenverbintenis en/ of resultaatsverbintenis?Opmerking Verplichting niet verwarren met het recht op verbetering en verwijdering “op verzoek”
van de betrokkene
| 24
Toepasselijkheid juridische regels
Het opstellen van de authorisatieregels (toegangscontrole) Wie heeft er toegang?
Wanneer/ in welke omstandigheden?
Tot welke gegevens?
Het garanderen van de kwaliteit van de gegevens Hoe de authorisatieregels verder uitwerken teneinde de kwaliteit van de
gegevens te beschermen?
| 25
In de praktijk: delen van gezondheidsgegevens
Enkel toegang mogelijk indien: Schriftelijke toestemming van de betrokkene
• eHealthConsent via eID
Therapeutische (zorg)relatie met de betrokkene• In de praktijk: toestemming
• Geen dubbele rollen mogelijk• Voorbeeld: expert uit verzekeringssector
• Geen zorgrelatie = geen toegang
Wat bij levensbedreigende situaties? Nood om te kunnen afwijken van de authorisatieregels
• Mogelijkheid tot ‘overruling’ (van de regels)
Extra aandacht aan controle a posteriori
| 26
Sancties
Voornaamste strafbepalingen In de WVP
• Geldboetes tot 600.000 EUR
• Verbeurdverklaring van de dragers
In de WPR• Geen uitdrukkelijke strafbepalingen
• Huidige civiel- en strafrechtelijke remedies volstaan?• Schending beroepsgeheim
• gevangenisstraf van acht dagen tot zes maanden
• geldboetes tot 3.000 EUR
| 27
Verhaalmogelijkheden van de patiënt
Recht van verhaal van de patiënt Specifieke verhaalsmogelijkheden
• Klacht bij Privacycommissie• Bijzondere procedure voor de voorzitter van de rechtbank van eerste aanleg voor het
afdwingen van bepaalde rechten• Klacht neerleggen bij het Parket
Recht op schadevergoeding van de patiënt• Objectieve aansprakelijkheid van de VV
• Verhaalmogelijkheid op de VW
• Voorwaarden• Onrechtmatige verwerking• Schade• Oorzakelijk verband
• Belang bewijs
| 28