Mogen ziekenhuizen medische gegevens van coronapatiënten delen zonder toestemming? Jazeker, ook van de AVG.
Gisteren viel in de media te lezen dat Nederlandse ziekenhuizen een database met gegevens van coronapatiënten creëren, om zo nieuwe patiënten sneller en effectiever te kunnen behandelen. Ook valt de lezen dat er geen toestemming wordt gevraagd, omdat sprake is van een crisissituatie.
De Autoriteit Persoonsgegevens komt via een woordvoerder al snel door met wat ik een waarschuwend vingertje noem: ‘de coronapatiënten maken al een zware tijd door. Ook zij moeten er blind op kunnen vertrouwen dat de artsen en de ziekenhuizen uiterst zorgvuldig met hun medische gegevens omgaan.’ De woordvoerder van de Autoriteit Persoonsgegevens licht vervolgens toe dat er in principe toestemming nodig is van de patiënt, behalve als toestemming vragen niet mogelijk is of door de huidige omstandigheden niet van de arts kan worden verlangd.
De Autoriteit Persoonsgegevens mist hier een uitgelezen kans om klare wijn te schenken, maar vooral ook om de ziekenhuizen en patiënten gerust te stellen. Want helaas duiken er ook berichten op van mensen die pretenderen verstand te hebben van de AVG, en die alleen maar ‘TOESTEMMING’ roeptoeteren. Ik begrijp dat je als waakhond moet staan voor privacy, maar ik vind dat je als waakhond ook moet staan voor duidelijkheid en rust. Want ik verzeker u dat er inmiddels onrust is ontstaan bij FG’s en security officers binnen de ziekenhuizen.
Ik hoop ze met deze blog gerust te kunnen stellen. Natuurlijk is er onder deze omstandigheden geen toestemming nodig. We moeten echt ophouden met ‘nee, vanwege de AVG’. De AVG bevat meerdere haakjes op basis waarvan de ziekenhuizen met een gerust hart zich volledig kunnen storten op het redden van levens van coronapatiënten die moeten knokken voor dat leven.
Overigens is het voor de volledigheid nog goed te vermelden dat het initiatief voor het delen van medische gegevens van coronapatiënten wordt gesteund en gecoördineerd vanuit het ministerie van Volksgezondheid, Welzijn en Sport. Het ministerie heeft bijvoorbeeld diverse leveranciers van EPD’s gevraagd om zo snel mogelijk te bewerkstelligen dat ziekenhuizen en huisartsenpraktijken medische informatie over coronapatiënten kunnen delen.
Goed, waarom is de AVG nou juist géén belemmering?
In overweging 46 van de AVG is allereerst letterlijk opgenomen dat een verwerking van medische gegevens zonder toestemming van de patiënten in geval van een epidemie mogelijk is. Even voor de context: corona is inmiddels uitgeroepen tot een pandemie. De overweging vermeldt letterlijk:
- ‘De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.’
Voorts is in artikel 9.2 van de AVG bepaald dat de verwerking van medische gegevens is toegestaan indien ‘noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een ander natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven’. Ik hoef überhaupt niet na te denken over de vraag of coronapatiënten die op de intensive care vechten voor hun leven, in staat is toestemming te geven.
Tenslotte is in artikel 30 UAVG bepaald dat de verwerking van medische gegevens is toegestaan door ‘hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene’. Ook is expliciet in dit verband bepaald dat ‘het verbod om andere bijzondere categorieën van persoonsgegevens te verwerken is niet van toepassing, indien de verwerking noodzakelijk is in aanvulling op de verwerking van gegevens over gezondheid, (…) met het oog op een goede behandeling of verzorging van de betrokkene.’
Naar mijn smaak biedt bovenstaande voldoende houvast en grondslag om medische informatie van coronapatiënten te delen, zonder toestemming van de patiënt. En hierbij dan ook meteen mijn bijdrage aan deze crisis: ik help ziekenhuizen en huisartsenpraktijken graag om dit met hand en tand te verdedigen, bij wie dan ook. Rest mij om iedereen in en om te zorg te bedanken voor de strijd die ze tegen dit verschrikkelijke virus leveren.
Menno Weij is Legal Counsel bij BDO
Dag Menno,
Wat je schrijft is waar. Echter niet de AVG, maar de Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) vormt het obstakel.
Artikel 15a lid 1 van deze wet bepaalt namelijk: “De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven.”
Het gaat er dus om, dat de patiënt toestemming moet geven voor de uitwisseling van zijn gegevens via een elektronisch uitwisselingssysteem.
De minister heeft nu, met de nodige juridische waarborgen, deze bepaling in het kader van de coronacrisis, tijdelijk (en gedeeltelijk) buiten werking gesteld.