De Hoge Raad heeft een cassatieberoep van de Vereniging Praktijkhoudende Huisartsen (VPH) over privacyschending binnen het LSP (Landelijk Schakelpunt) verworpen. Het oordeelt dat die landelijke infrastructuur voor de uitwisseling van medische gegevens tussen huisartsen, medisch specialisten en apotheken een juridisch juiste manier is om zorggegevens uit te wisselen. Wel moet de keuzemogelijkheid van toestemming verfijnd worden en aansluiten op de nieuwe wetten en regels.
De uitspraak van de Hoge Raad volgt op twee eerdere rechtszaken, bij de rechtbank Midden Nederland en het gerechtshof in Arnhem waarin de groep boze huisartsen ook in het ongelijk werd gesteld. Daarmee komt een einde aan een langslepende zaak tussen de groep huisartsen en LSP-beheerder VZVZ. De Vereniging Zorgaanbieders voor Zorgcommunicatie (VZVZ) reageert dat ze in de uitspraak van de Hoge Raad bevestigd worden in hun overtuiging volledig te werken binnen de kaders van wet. Ze zeggen zich nu volledig te kunnen richten op hun eigen doelstellingen, namelijk: het bieden van een platform voor betrouwbare en veilige elektronische uitwisseling van medische gegevens. Dat moet leiden tot kwaliteitsverbetering van de zorg voor patiënten.
Volgens de Vereniging van Praktijkhoudende Huisartsen (VPH) is de opzet van het LSP in strijd met het recht op de privacy van patiënten, de Wet bescherming persoonsgegevens en het medisch beroepsgeheim van de huisartsen. Het vindt dat te veel gegevens worden gedeeld. Het hof noemt de uitwisseling van gegevens in de zorginfrastructuur ‘aanvaardbaar’ omdat de patiënt daarvoor uit vrije wil toestemming geeft. ‘Die toestemming is gebaseerd op voldoende informatie over de vraag welke gegevens in welke situatie voor welke zorgverlener toegankelijk zijn. Daarbij kan de patiënt ervoor kiezen bepaalde gegevens van de uitwisseling uit te sluiten. Niet gebleken is dat patiënten en huisartsen in feite gedwongen zijn aan de zorginfrastructuur mee te doen.’ schrijft de Hoge Raad in een toelichting op de uitspraak.
De huisartsen nemen hun verlies, maar noemen vinden het toch ‘winst’ dat met de rechtszaken de discussie over toestemming en keuzemogelijkheden voor het delen van informatie met bepaalde specialisten is uitgebreid.
Uitspraak
De Hoge Raad schrijft in de uitspraak: ‘Het hof is dus met het Cbp van oordeel dat het inrichten en gebruiken van een zorginfrastructuur waarbij gegevens worden verwerkt op grond van een eenmalige op voorhand gegeven toestemming door de patiënt nog niet betekent dat een ongerechtvaardigde inbreuk op de persoonlijke levenssfeer van de patiënt wordt gemaakt. Het hof volgt VPH ook niet in hun stelling dat een dergelijke toestemming geen gerechtvaardigde doorbreking van de geheimhoudingsverplichting van de (informatie verstrekkende) zorgverlener kan opleveren.’
Het vervolgt: ‘In dat kader acht het hof nog van belang dat de mogelijkheid bestaat, en dat patiënten daar in de informatiebrochure ook op worden gewezen (terwijl de huisarts hen er ook nog op kan wijzen), om informatie af te schermen. Alle informatie die de patiënt niet wenst te delen met toekomstige behandelaars, kan aldus worden uitgesloten van de gegevensuitwisseling.’
Specifieke toestemming
Wel merkt het hof op dat op dit moment de patiënt nog beperkt is in zijn keuzemogelijkheid ten aanzien van de (type) zorgaanbieders die gegevens mogen inzien. ‘Vooralsnog kan de patiënt niet aangeven dat hij wel instemt met uitwisseling van het HWD (huisartsen waarneming dossier) ten behoeve van waarnemingen, maar niet met de uitwisseling van ICA-gegevens in het EMD (elektronisch mediactie dossier red. ) ten behoeve van bijvoorbeeld medische specialisten (waarbij meestal geen sprake zal zijn van een spoedeisende situatie; ter zitting is immers komen vast te staan dat SEH-artsen niet tot de medisch specialisten behoren).’
VZVZ stelt bezig te zijn met de ontwikkeling van patiënt-toestemmingsprofielen, waarbij de patiënt (bepaalde categorieën) zorgaanbieders van de toestemming kan uitsluiten en hij aldus meer regie heeft over de gegevensuitwisseling. Het is de bedoeling om die mogelijkheid vanaf eind 2016 te kunnen aanbieden. Het hof merkt hierover op dat die mogelijkheid maakt dat de patiënt gerichter, en dus specifieker, kan bepalen welke zorgaanbieder hij toestemming verleent om zijn gegevens in te zien. Naar het oordeel van het hof behoort het tot de verantwoordelijkheid van VZVZ om zoveel mogelijk beslisvrijheid te bieden aan mensen die aan de zorginfrastructuur (willen) deelnemen en deelnemers op die manier zoveel mogelijk regie te geven over het systeem en aldus maatwerk aan te bieden.’
Die ontwikkeling is in de langlopende rechtszaak door de tijd ingehaald. Inmiddels bestaat er een nieuwe site waar patiënten kunnen inloggen om te bekijken welke medische specialist hun gegevens heeft ingezien.
Dat is ook een van de redenen waarom ik mij destijds heb afgemeld met het EPD. Wetende dat niet ITers hier niet zorgvuldig genoeg mee omgaan. Maar zelfs als u zich hebt afgemeld dan kan het nog voorkomen dat u medische gegevens alsnog tegen u wil via het LSP beschikbaar zijn. Kwestie van goed opletten dus en als het moet aan de bel trekken.
Dankzij Europese wetgeving is het mogelijk om uw persoonlijke gegevens ten allen tijde te laten verwijderen als deze ten onrechte gedeeld worden of de beheerder van deze gegevens niet kan aantonen dat deze perse nodig zijn. In dit geval is het dus duidelijk omzeilt door de patiënten te vragen om deze gegevens te delen. Dat die daarmee dan instemmen dat die gegevens door heel medisch Nederland ingezien zouden kunnen worden wordt er dan niet bij verteld.