HR, 01-12-2017, nr. 16/03434

In cassatie kan worden uitgegaan van de volgende feiten, ontleend aan het arrest van het hof Arnhem-Leeuwarden van 8 maart 2016, rov. 3 en 4.3, alsmede aan het vonnis van de rechtbank Midden-Nederland van 23 juli 2014, rov. 2.1 tot en met 2.11.1.

VPH is een vereniging van huisartsen en heeft blijkens art. 2 van haar oprichtingsakte als statutaire doelstelling (i) de belangen van praktijkhoudende huisartsen in heel Nederland te behartigen, zowel in financieel-economisch opzicht als in andere opzichten, en (ii) de professionele autonomie van de huisartsen te bewaken en te ondersteunen.

Eisers tot cassatie onder 2 tot en met 4 zijn huisartsen. Eiseres tot cassatie onder 5 is patiënt/consument.

Na verwerping door de Eerste Kamer van het wetsvoorstel Wet gebruik Burgerservicenummer in de zorg in verband met elektronische informatie-uitwisseling in de zorg hebben de Landelijke Huisartsen Vereniging (LHV), de Vereniging Huisartsenposten Nederland (VHN), de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) en de Nederlandse Vereniging van Ziekenhuizen (NVZ) besloten een doorstart te maken met de reeds ontwikkelde landelijke infrastructuur voor elektronische uitwisseling van medische persoonsgegevens. Zij hebben daartoe een Doorstartmodel (het Doorstartmodel) opgesteld en dit op 21 december 2011 ter advisering voorgelegd aan het College bescherming persoonsgegevens (Cbp). Het Doorstartmodel is gebaseerd op de bestaande infrastructuur voor de elektronische uitwisseling van medische persoonsgegevens gegevens, “AORTA-standaard”, die is ontwikkeld door het Nederlands Instituut voor ICT in de zorg (Nictiz). Deze infrastructuur wordt hierna aangeduid als de zorginfrastructuur.

VZVZ is opgericht met het doel om na de doorstart op te treden als “verantwoordelijke” in de zin van art. 1, aanhef en onder d, Wet bescherming persoonsgegevens (Wbp). Dat wil zeggen dat VZVZ optreedt als de rechtspersoon die het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt. In art. 3 van de statuten van VZVZ is daartoe als doelstelling opgenomen: “het bevorderen van de gezondheidszorg door het optreden als verantwoordelijke in de zin van de Wbp voor de verwerking van (medische) persoonsgegevens in een landelijke verwijsindex ten behoeve van de uitwisseling van die gegevens.”

Bij brief van 18 januari 20122.heeft het Cbp aan VZVZ meegedeeld dat zij het Doorstartmodel voor de bestaande landelijke infrastructuur voor uitwisseling van medische gegevens (door het Cbp aangeduid als landelijk Elektronisch patiëntendossier, EPD) heeft bestudeerd waarbij zij de volgende aspecten heeft betrokken:

“- gaat het model uit van toestemming van de patiënt/burger voor de gegevensverwerking(en) conform de zienswijze van het Cbp van 9 augustus 2011;

- is de verantwoordelijkheid voor de gegevensverwerking helder belegd;

- hoe kan de betrokkene straks zijn rechten ingevolge de Wbp effectueren;

- wordt de juiste (normering van de) informatiebeveiliging gehanteerd;

- is helder geregeld wie toegang krijgt tot het landelijk EPD;

- wat is de duur van de zogeheten transitiefase.”

De conclusie van het Cbp luidt dat zij op basis van het Doorstartmodel op het moment van beoordeling geen bijzondere risico’s op overtreding van de Wbp onderkent in verband met de verwerkingen die vanaf 1 januari 2012 onder verantwoordelijkheid van VZVZ plaatsvinden. Het Cbp wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en nog niets zegt over de praktijk.

Brancheorganisaties van zorgaanbieders, de Nederlandse Patiënten/Consumenten Federatie (NPCF), de brancheorganisatie Zorgverzekeraars Nederland (ZN) en Nictiz hebben afspraken gemaakt over de ontwikkeling en het gebruik van de zorginfrastructuur en deze vastgelegd in het Convenant Gebruik Landelijke Zorginfrastructuur 2013-2016 (het Convenant). VZVZ heeft het Businessplan 2013-2016 (het Businessplan) vastgesteld. Het Convenant is “oplegger” bij het Businessplan. In de preambule van het Convenant is opgenomen dat de convenantpartijen de volgende doelstellingen hebben:

“a. betere en veiliger zorg door gegevens beschikbaar te hebben voor de waarneming en medebehandeling en voor het uitvoeren van de richtlijn overdracht van medicatiegegevens en door het doorvoeren van gemeenschappelijke standaarden voor registratie en uitwisseling van medische gegevens;

b. het bevorderen van doelmatigheid in de zorg door vermindering van administratieve lasten en overdrachtsproblemen;

c. het hiertoe in stand houden en verder ontwikkelen van een betrouwbare, werkbare en betaalbare infrastructuur;

d. het behouden van door zorg geleverde investeringen in de infrastructuur, in aanpassingen van hun systemen, in ingevoerde standaardisatie en ervaringen en knowhow;

e. meer betrokkenheid van patiënten bij hun eigen gezondheid en behandeling door:

- het vergroten van inzicht in en zeggenschap over de uitwisseling van medische gegevens

- toegang tot en communicatie over zijn medische gegevens

- het bieden van faciliteiten voor E-health en zelfmanagement toepassingen.”

De zorginfrastructuur bestaat uit de volgende onderdelen:

- Landelijk Schakelpunt (LSP): faciliteert het berichtenverkeer tussen de zorgaanbieders, regelt de toegangscontroles van alle aangemelde patiëntendossiers, registreert waar patiëntengegevens opvraagbaar zijn, welke gegevens zijn opgevraagd en door wie dat is gedaan.

- Zorgserviceprovider (ZSP): aansluiting van zorgaanbieders op het LSP vindt plaats via zorgproviders. Dit zijn gekwalificeerde marktpartijen die een beveiligde verbinding aanbieden tussen het zorgsysteem van de zorgaanbieder en het LSP.

- Goed beheerd zorgsysteem (GBZ): dit is een gekwalificeerd zorginformatiesysteem van de zorgaanbieder dat aan procedurele en technische eisen moet voldoen om te mogen aansluiten op het LSP. De zorgaanbieder is eigenaar van het GBZ.

- Unieke Zorgverlener Identificatie (UZI): een pas waarmee de zorgaanbieder gegevens van de zorginfrastructuur kan opvragen. De UZI-pas bevat de elektronische identiteit van de pashouder via een certificaat waarop de naam en, indien van toepassing, de beroeps- of opleidingstitel, specialisme en een uniek tot de eigenaar herleidbaar UZI-nummer vermeld staan.

In een Bijlage B bij het Doorstartmodel is een toelichting gegeven op de beveiliging,

security monitoring en de toetsing van toetsing van de behandelrelatie.

Slechts de bij de zorginfrastructuur aangesloten waarnemend huisartsen kunnen via het LSP toegang krijgen tot een huisartsenwaarneemdossier (HWD) van een aangesloten huisarts, waarin naast persoonlijke gegevens (naam, adres, geboortedatum, leeftijd, geslacht en burgerservicenummer) en een overzicht van de door de apotheek verstrekte medicijnen, ook een uit het dossier van de huisarts gegenereerde professionele samenvatting is opgenomen. Deze professionele samenvatting bevat de volgende gegevens:3.

- episodes: alle open episodes (naam, datum laatste contact en ICPC);

- journaal: alle contacten van de laatste vier maanden en tenminste de laatste vijf contacten;

- medicatie: alle voorgeschreven medicatie van de laatste vier maanden;

- metingen: alle metingen en uitslagen (NHG codetabel 45, diagnostische bepalingen) binnen de periode van het opgeleverde journaal;

- contra-indicaties: alle relevante informatie over comorbiditeit, geneesmiddelenintoleranties en -allergieën;

- overdrachtgegevens: gegevens over de actuele toestand van de patiënt die de huisarts van belang acht voor de waarnemer;

- huisarts: identiteitsgegevens van de huisarts en de praktijk.

Alle overige aangesloten zorgaanbieders (tot nu toe slechts (ziekenhuis)apothekers, medisch specialisten en spoedeisende hulp-artsen (SEH- artsen)) kunnen via het LSP alleen toegang krijgen tot een elektronisch medicatiedossier (EMD). In het EMD zijn opgenomen, naast de hiervoor vermelde persoonlijke gegevens en een - voor zover de patiënt de apotheek daartoe toestemming heeft gegeven - overzicht van de door de apotheek verstrekte medicijnen, de uit het huisartsendossier van aangesloten huisartsen afkomstige ICA-gegevens (gegevens over intoleranties, contra-indicaties en allergieën). De huisarts kan, in overleg met de patiënt, informatie door middel van afscherming uitsluiten van opname in het HWD of EMD en daarmee van gegevensuitwisseling aan informatie opvragende zorgverleners.

VZVZ heeft een formulier (het Toestemmingformulier) ontwikkeld waarmee patiënten toestemming kunnen geven voor het elektronisch uitwisselen van medische gegevens. Dit formulier bevat de volgende keuzemogelijkheden:

“Ik geef toestemming aan onderstaande zorgverlener om mijn gegevens beschikbaar te stellen voor raadpleging door andere zorgverleners zoals in de brochure ‘Uw medische gegevens elektronisch delen?’ is aangegeven.”,

of de tekst:

“Ik geef geen toestemming aan onderstaande zorgverlener om mijn gegevens beschikbaar te stellen voor raadpleging door andere zorgverleners zoals in de brochure ‘Uw medische gegevens elektronisch delen?’ is aangegeven.”

Boven deze teksten kan “ja” of “nee” worden aangekruist.

In de brochure Uw medische gegevens elektronisch delen? (de Brochure) is het volgende vermeld:4.

“Betere zorg met de juiste informatie

Artsen en apotheken kunnen uw medische gegevens delen via het LSP (Landelijk Schakelpunt). Zodat u de juiste zorg krijgt. Deze brochure legt uit hoe het LSP werkt. Ook leest u hoe u hier toestemming voor geeft. En u krijgt antwoord op vragen over het LSP.

Komt u ’s avonds of in het weekend bij de waarnemend huisarts op de huisartsenpost of bij een andere apotheek? Ook dan wilt u de juiste zorg krijgen. Daarvoor heeft die andere arts of apotheek de juiste informatie nodig. Dit kan met het LSP. Het LSP is een beveiligd netwerk. Artsen en apotheken kunnen hun computersysteem hierop aansluiten. Via dit netwerk kunnen zij de belangrijkste gegevens in uw dossiers bij uw eigen huisarts en apotheek opvragen. Uw medische gegevens zijn dan altijd beschikbaar. Ook ’s avonds en in het weekend. Maar alleen als uw huisarts en uw apotheek die gegevens hebben aangemeld bij het LSP. Daar hebben zij uw toestemming voor nodig!

(...)

Zijn uw huisarts en apotheek aangesloten op het LSP? Dan vragen zij u om toestemming. Als u toestemming geeft, meldt uw huisarts of apotheek de belangrijkste gegevens uit uw dossier aan bij het LSP. Waarnemend huisartsen op de huisartsenpost kunnen die medische gegevens dan inzien. Andere apotheken en medisch specialisten in het ziekenhuis kunnen alleen uw medicatiegegevens inzien. Uw gegevens blijven in het computersysteem van uw eigen huisarts of apotheek staan.

Stel, u wordt ’s avonds of in het weekend onverwachts ziek

Of u krijgt een ongeluk. Dan komt u op de huisartsenpost of in het ziekenhuis. Daar helpt een andere arts u.

De andere arts vraagt uw belangrijkste medische gegevens op

Dit doet hij alleen als het nodig is voor uw behandeling. Met uw burgerservicenummer (BSN) kan hij uw belangrijkste medische gegevens inzien. Zo weet hij waar hij rekening mee moet houden. Bijvoorbeeld met andere klachten die u heeft of medicijnen die u gebruikt.

U haalt misschien ook medicijnen bij een andere apotheek

Omdat uw eigen apotheek gesloten is. Die andere apotheek kan via het LSP zien welke medicijnen u van uw eigen apotheek krijgt. Zo weet hij of de medicijnen die u krijgt goed samengaan met andere medicijnen. En of u allergisch bent voor bepaalde medicijnen.

(…)

Goed om te weten

U kunt een deel van uw medische gegevens afschermen

Wilt u niet dat al uw gegevens zichtbaar zijn via het LSP? U heeft het recht bepaalde gegevens te laten afschermen. Overleg dit met uw huisarts en/of uw apotheek. Andere artsen en apotheken kunnen deze gegevens dan niet zien als ze uw gegevens opvragen via het LSP. Ze zien ook niet dat u bepaalde gegevens afschermt. Ook niet in spoedsituaties.

Goed om te weten

U kunt uw toestemming altijd weer intrekken

Dat kunt u tegen uw huisarts en apotheek zeggen. Of u geeft het online door via www.vzvz.nl. Trekt u uw toestemming in? Dan kunnen andere artsen en apotheken uw medische gegevens niet meer opvragen via het LSP.

(…)

4. Stel, ik geef toestemming. Welke zorgverleners kunnen dan mijn gegevens opvragen?

Zorgverleners in uw regio die zijn aangesloten op het LSP. Dat gaat om:

• huisartsen

• huisartsenposten (waarnemend huisartsen)

• (dienst)apotheken

• ziekenhuisapotheken

• medisch specialisten (ook buiten uw regio)

(…)

1. Aangesloten zorgverleners kunnen de volgende gegevens van u zien:

• Uw persoonlijke gegevens: naam, adres, geboortedatum, leeftijd, geslacht en burgerservicenummer (BSN).

• Een overzicht van de medicijnen die u heeft gekregen van uw apotheek.

2. Vraagt een waarnemend huisarts, bijvoorbeeld op de huisartsenpost, uw gegevens op via het LSP? Dan ziet hij naast uw persoonlijke en medicatiegegevens ook een samenvatting van uw dossier bij uw huisarts. In deze samenvatting staan:

• de problemen die u met uw gezondheid heeft.

• de medicijnen die de huisarts u heeft voorgeschreven.

• de allergieën die u heeft.

• informatie over de contacten met u in de afgelopen 4 maanden (of over de laatste 5 contacten).

• andere informatie die belangrijk die voor een waarnemend huisarts. (…)

(…)

7. Stel, ik geef geen toestemming. Wisselen zorgverleners dan helemaal geen medische gegevens over mij uit?

Niet via het LSP. Want uw huisarts en apotheek mogen uw medische gegevens alleen beschikbaar stellen als u toestemming geeft. Misschien gebruiken uw huisarts en apotheek een ander netwerk om uw gegevens uit te wisselen. Vraag hen om meer informatie.

Het LSP voldoet aan de Wet bescherming persoonsgegevens (Wbp) en de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Deze wetten beschermen het gebruik van uw persoonlijke en medische gegevens. Het LSP beschermt uw privacy op verschillende manieren:

• Een zorgverlener kan niet zomaar aansluiten op het LSP. Zijn computersysteem moet bijvoorbeeld voldoen aan strenge beveiligingseisen.

• U moet eerst toestemming geven. Zonder uw toestemming kunnen uw huisarts en apotheek uw gegevens niet beschikbaar stellen.

• Een zorgverlener mag uw gegevens alleen opvragen als hij u behandelt. En alleen als het nodig is voor uw behandeling.

• Een zorgverlener vraagt uw gegevens op via een beveiligd netwerk. De zorgverlener logt in met een speciale pas en wachtwoord. Het LSP verstuurt de gegevens versleuteld.

• Er is streng toezicht op gebruik van het LSP. Het LSP legt nauwkeurig vast wie wanneer welke gegevens opvraagt. Zo is altijd te controleren of uw gegevens terecht zijn opgevraagd. En kan eventueel misbruik snel worden gesignaleerd. Het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) houden toezicht.

VZVZ is verantwoordelijk voor de uitwisseling van persoonsgegevens via het LSP:

• VZVZ zorgt dat het LSP goed werkt en beveiligd is. Bijvoorbeeld dat een waarnemend huisarts wel een samenvatting van uw dossier bij uw huisarts kan zien. Maar een apotheek niet.

• VZVZ houdt bij welke zorgverlener uw gegevens beschikbaar stelt via het LSP.

• VZVZ houdt bij welke zorgverlener uw gegevens opvraagt via het LSP. (…)”

Op 13 maart 2013 heeft VPH c.s. VZVZ gedagvaard voor de rechtbank Midden-Nederland, locatie Utrecht. De primaire vorderingen van VPH c.s. hielden in, kort samengevat, dat voor recht zou worden verklaard dat de door VZVZ ingevoerde infrastructuur voor elektronische uitwisseling van medische persoonsgegevens onrechtmatig is en dat VZVZ geboden zou worden de uitvoering daarvan te staken, op straffe van een dwangsom. Voorts zijn subsidiaire en meer subsidiaire vorderingen ingesteld.

VPH c.s. heeft aan haar vorderingen ten grondslag gelegd dat de wijze waarop medische gegevens door middel van de zorginfrastructuur worden uitgewisseld, onverenigbaar is met het recht op privacy van patiënten op grond van art. 8 EVRM, de bepalingen van de Wbp en het medisch beroepsgeheim van de huisartsen op grond van art. 7:457 BW, art. 88 van de Wet op de beroepen in de individuele gezondheidszorg (wet BIG) en art. 272 Sr, vanwege strijd met het in deze bepalingen neergelegde uitgangspunt dat de hulpverlener slechts medische informatie deelt met anderen voor zover dat noodzakelijk is in het kader van goede zorgverlening.

Bij vonnis van 23 juli 2014 heeft de rechtbank de vorderingen afgewezen en VPH c.s. veroordeeld in de proceskosten.

VPH c.s. heeft hoger beroep ingesteld bij het gerechtshof Arnhem-Leeuwarden, locatie Arnhem. Daar heeft zij haar vorderingen, na wijziging van eis, als volgt geformuleerd:

Primair:

1. te verklaren voor recht dat VZVZ onrechtmatig jegens hen handelt door als monopolist een zorginfrastructuur aan te bieden en in stand te houden waarvan zij weet of moet weten dat de opzet en/of toepassing ervan strijd oplevert met art. 8 EVRM, de Wbp, de bepalingen omtrent de geneeskundige

behandelingsovereenkomst in het BW en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgverleners, en/of

2. te bepalen dat VZVZ onrechtmatig handelt jegens hen en haar op grond daarvan te gebieden uitvoering van de Convenantafspraken en het Businessplan te staken, op straffe van een aangeduide dwangsom;

Subsidiair:

3. VZVZ op grond van onrechtmatige daad te veroordelen tot het onmiddellijk staken en gestaakt houden van alle handelingen gericht op het uitwisselen van patiëntgegevens via het LSP of enige andere ICT-toepassing die strijd oplevert met art. 8 EVRM, de Wbp, de Wgbo en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgverleners;

of als vordering sub 3 wordt afgewezen:

4. VZVZ op grond van onrechtmatige daad te gebieden de voorbereiding, invoering en uitvoering van de huidige zorginfrastructuur te staken en gestaakt te houden, totdat in plaats daarvan is voorzien in een systeem van uitwisseling van patiëntengegevens waarbij tenminste sprake is van uitdrukkelijke toestemming als bedoeld in art. 23 lid 1 onder a Wbp en art. 7:457 lid 1 BW en de zorgverlener uit wiens patiëntendossier gegevens kunnen worden opgevraagd:

- kan beoordelen of de gevraagde gegevens relevant en passend zijn voor het doel van de opvraging;

- kan bepalen welke zorgverleners geautoriseerd zijn;

- kan controleren of de opvraging authentiek is, plaatsvindt door een geautoriseerde partij en dat geen ander de opgevraagde gegevens kan inzien;

of als vordering sub 4 wordt afgewezen:

5. VZVZ op grond van onrechtmatige daad te gebieden de voorbereiding, invoering en uitvoering van de huidige zorginfrastructuur te staken en gestaakt te houden, totdat in plaats daarvan is voorzien in een systeem van uitwisseling van patiëntengegevens, waarbij de toegangscontrole tot gegevens behouden blijft voor de zorgverlener uit wiens dossier de gegevens gegenereerd worden;

of als vordering sub 5 wordt afgewezen:

6. te verklaren voor recht dat de toestemmingen van patiënten voor het uitwisselen van medische gegevens via het LSP onvoldoende grondslag vormen voor een rechtmatige gegevensuitwisseling en te bepalen dat die uitwisseling, binnen een door het hof te bepalen termijn, niet langer is toegestaan;

of als vordering sub 6 wordt afgewezen:

7. te bepalen dat VZVZ onrechtmatig handelt jegens hen en haar op grond daarvan te gebieden de zorginfrastructuur binnen uiterlijk een jaar na het wijzen van arrest zodanig aan te passen dat uitsluitend voor de actuele zorgbehoefte van de patiënt noodzakelijke medische persoonsgegevens uit het brondossier opvraagbaar kunnen worden gemaakt;

Meest subsidiair:

8. VZVZ op grond van onrechtmatige daad te gebieden binnen een jaar na het wijzen van arrest de afzonderlijke doelen van LSP welbepaald te definiëren, te onderzoeken wat voor elk doel het minst inbreukmakende middel is en de zorginfrastructuur hierop aan te passen en binnen dezelfde termijn een gemotiveerd rapport op te stellen (waarin staat voor welke doeleinden het LSP in aangepaste vorm toegepast kan worden) dat ter kennis wordt gebracht aan VPH c.s.;

Primair tot en met meest subsidiair:

9. VVZV te veroordelen in de proceskosten van beide instanties, waaronder de nakosten.

Bij arrest van 8 maart 2016 heeft het hof het vonnis van de rechtbank bekrachtigd en de vorderingen van VPH c.s. afgewezen.

Bij dagvaarding van 8 juni 2016 heeft VPH c.s. beroep in cassatie ingesteld tegen het arrest van 8 maart 2016. VZVZ heeft geconcludeerd tot verwerping van het cassatieberoep. Partijen hebben hun standpunt vervolgens schriftelijk doen toelichten door hun advocaten. Aan de schriftelijke toelichting van VPH c.s. is een amicus curiae-brief gehecht van de organisaties Stichting Privacy First en het Platform Bescherming Burgerrechten. VPH c.s. heeft gerepliceerd en VZVZ heeft gedupliceerd.

In cassatie betoogt VZVZ dat VPH c.s. geen belang heeft bij de onderhavige procedure.5.Zij voert in dat verband aan dat deelname aan de zorginfrastructuur zowel voor zorgverleners als voor patiënten geheel vrijwillig is en dat van eisers tot cassatie niemand is aangesloten bij de zorginfrastructuur. Zelfs als de zorginfrastructuur niet aan de eisen van de Wbp zou voldoen of als de zorginfrastructuur zou leiden tot een schending van het beroepsgeheim door de aangesloten huisartsen, zou dat VPH c.s. volgens VZVZ derhalve niet raken. VZVZ stelt dat algehele stillegging van de zorginfrastructuur de rechtspositie van VPH c.s. dan ook niet verandert. Voor zover de vorderingen van VPH c.s. ertoe strekken dat de zorginfrastructuur aan hun wensen wordt aangepast, ziet VPH c.s. volgens VZVZ over het hoofd dat het hier, anders dan bij het Elektronisch Patiëntendossier (EPD) het geval was, niet gaat om een wettelijk verplicht systeem van gegevensuitwisseling, maar om een zuiver privaat initiatief, en dat het zorgverleners en patiënten vrij staat al dan niet van de door VZVZ aangeboden private dienst gebruik te maken.

Volgens VZVZ wordt het gebrek aan belang van VPH c.s. onderstreept door de op 4 oktober 2016 door de Eerste Kamer aangenomen Wet cliëntenrechten bij elektronische verwerking van gegevens.6.De Wet cliëntenrechten regelt de randvoorwaarden waaronder veilige elektronische gegevensuitwisseling kan plaatsvinden en maakt duidelijk welke extra rechten en waarborgen voor patiënten van toepassing zijn bij elektronische gegevensuitwisseling en bij het beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem. Volgens VZVZ voldoet de zorginfrastructuur op één punt na aan de eisen die de Wet cliëntenrechten aan een systeem van elektronische gegevensuitwisseling stelt. Dat ene punt betreft het – hierna bij de behandeling van onderdeel 3 te bespreken – toekomstige vereiste dat de toestemming van de patiënt gespecificeerd moet zijn. VZVZ stelt dat de zorginfrastructuur voor het overige voldoet aan de vereisten uit de Wet cliëntenrechten en dat daarmee buiten kijf staat dat de zorginfrastructuur in ieder geval – voor zover dat thans nog niet zo zou zijn – op korte termijn als een rechtmatig elektronisch uitwisselingssysteem moet worden aangemerkt.

In de feitelijke instanties heeft VZVZ eveneens betoogd dat VPH c.s. geen belang heeft bij de door haar ingestelde vorderingen. De rechtbank heeft dit verweer verworpen (rov. 4.3-4.6); het hof is op het belang van VPH c.s. niet ingegaan (rov. 4.21). Volgens de rechtbank heeft VPH c.s. voldoende belang bij haar vorderingen, omdat, kort samengevat, zij voldoende heeft onderbouwd dat na invoering van de zorginfrastructuur, elektronische uitwisseling van medische persoonsgegevens via het LSP het enige reëel bestaande systeem zal zijn; dat ook de in het Businessplan neergelegde streefpercentages voor aansluiting daarop wijzen; dat het Businessplan vermeldt dat als de genoemde percentages worden gehaald, het mogelijk is om het thans bestaande systeem voor elektronische uitwisseling van medische persoonsgegevens (OZIS) te vervangen door het LSP; dat door het uit de lucht halen van OZIS geen sprake meer is van keuzevrijheid om al dan niet aan te sluiten bij het LSP; en dat dat laatste ook een belang geeft voor de patiënt die in beginsel toestemming wil geven voor gegevensuitwisseling.

De door de rechtbank gebezigde argumenten gelden onverkort in cassatie. Door het streven van VZVZ om de zorginfrastructuur en het LSP als enige systeem voor gegevensuitwisseling te gebruiken, zodat zowel huisartsen als patiënten op dat systeem zullen zijn aangewezen, hebben zij voldoende belang bij het door hen gevorderde oordeel over de rechtmatigheid van dit systeem. De recent aangenomen Wet cliëntenrechten bij elektronische verwerking van gegevens (waarover meer bij 8.17 en verder) maakt dit niet anders.

Voordat het cassatiemiddel zal worden besproken, zullen eerst de volgende onderwerpen worden besproken:

- de zorginfrastructuur en het LSP (4.2);- het huisartsenwaarneemdossier (HWD) en het elektronisch medicatiedossier (EMD) (4.3-4.4);- het niet ingevoerde elektronisch patiëntendossierEPD (4.5-4.8);

- het recht op privacy en gegevensbescherming (4.9);- art. 8 EVRM (4.10-4.12);

- art. 8 Handvest van de Grondrechten van de Europese Unie (4.13-4.14);

- de Privacyrichtlijn (4.15);

- de Algemene Verordening Gegevensbescherming (4.16-4.17);

- de Artikel 29-werkgroep (4.18)

- de Wet bescherming persoonsgegevens (Wbp) (4.19-4.22);- beginselen van proportionaliteit en subsidiariteit (4.23-4.27);

- verwerking van bijzondere (gevoelige) gegevens (4.28-4.30);

- geheimhoudingsplicht hulpverlener (4.31-4.34);

- geheimhoudingsplicht en Wbp (4.35-4.36);

- medisch dossier (4.37).

Zorginfrastructuur en LSP

De elektronische uitwisseling waarom het gaat in deze zaak wordt aangeduid als ‘de zorginfrastructuur’. Deze zorginfrastructuur is géén centrale opslag van medische gegevens (het gaat dus niet om ‘big data’).7.De gegevens blijven decentraal opgeslagen in de dossiers van huisartsen en apotheken (deze dossiers worden door VZVZ aangeduid als ‘zorginformatiesysteem’). Deze zorgaanbieders – huisartsen en apotheken – hebben de zeggenschap over de dossiervorming. Een zorginformatiesysteem dat voldoet aan bepaalde technische en organisatorische eisen, wordt een ‘Goed Beheerd Zorginformatiesysteem’ genoemd (GBZ) en kan worden aangesloten op het Landelijke Schakelpunt (LSP). Het LSP dient als infrastructuur voor de uitwisseling van patiëntgegevens bij dossierhoudende apotheken, huisartsen(posten) en ziekenhuizen enerzijds, en het systeem van de huisarts of apotheek dat de gegevens opvraagt anderzijds.

Huisartsenwaarneemdossier (HWD) en elektronisch medicatiedossier (EMD)

Het LSP kan worden gebruikt voor het uitwisselen van twee soorten dossiers: het huisartsenwaarneemdossier (HWD) en het elektronisch medicatiedossier (EMD).8.De uitwisseling van beide dossiers verloopt via een zogenoemd ‘pull-systeem’, dat wil zeggen dat degene die toegang tot bepaalde gegevens wenst via het LSP de gegevens kan opvragen. Dit in tegenstelling tot een ‘push-systeem’ of een ‘put-systeem’, waarin na een gerichte vraag van de ene hulpverlener, door een andere hulpverlener gegevensverstrekking plaatsvindt.9.Toegang tot het HWD hebben alleen andere huisartsen,10.mits zij zijn aangesloten bij de zorginfrastructuur. Medisch specialisten hebben dus geen toegang tot het HWD. Het HWD bevat een gestandaardiseerde gegevensset. Deze gegevensset bestaat uit een aantal persoonlijke gegevens en de zogenoemde ‘professionele samenvatting’. Wat er in de professionele samenvatting staat, is vastgesteld op grond van een richtlijn van de NHG.11.Toegang tot het EMD hebben (ziekenhuis) apothekers, medisch specialisten en spoedeisende hulp-artsen (SEH-artsen). Het EMD bevat, naast de persoonlijke gegevens van de patiënt, de zogenoemde ICA-gegevens (gegevens over intolerantie, contra-indicties en allergieën) alsmede de door de apotheek verstrekte medicijnen (zie onder 1.10). Ook de inhoud van het EMD wordt bepaald aan de hand van een richtlijn van de beroepsorganisaties.12.

De bezwaren van VHP c.s. richten zich niet tegen de opname van gegevens door apothekers in het EMD. De klachten zien alleen op de inzage door huisartsenwaarnemers van het HWD en op inzage door andere aangesloten zorgaanbieders van de (uit het huisartsdossier afkomstige) ICA-gegevens in het EMD (zie rov. 4.4 van ’s hofs arrest).

Het elektronisch patiëntendossier (EPD)

In 2008 is een wetgevingstraject begonnen voor de invoering van een landelijk uitwisselingssysteem van medische gegevens, het EPD.13.Ook hier ging het niet om een landelijk databestand met medische gegevens, maar om een informatiesysteem dat via een door het landelijk schakelpunt (LPS) beheerde ‘landelijke verwijsindex’ de uitwisseling van medische gegevens mogelijk maakte. Het doel was om alle zorgaanbieders toegang te bieden tot het LSP. Gegevens zouden kunnen worden opgevraagd door een beroepsbeoefenaar die de patiënt zorg verleent, dus een behandelrelatie met de patiënt heeft. Van meet af aan is er veel kritiek geuit op het wetsvoorstel-EPD. Zo zijn er kritische rapporten verschenen van de Raad van State,14.het College bescherming persoonsgegevens15.en de KNMG.16.Kern van de kritiek was dat de privacybescherming en de informatiebeveiliging in het wetsvoorstel niet voldoende zouden zijn gewaarborgd. De kritiek richtte zich bovendien op het voorgestelde ‘geen bezwaar-systeem’ (‘opt out’), waarin de gegevens van een patiënt in het systeem konden worden geraadpleegd, tenzij hij daartegen bezwaar maakte. Ook was er veel bezwaar tegen de keuze voor een landelijk systeem in plaats van een systeem waarin op regionaal niveau gegevens worden uitgewisseld.17.Uiteindelijk is het wetsvoorstel in 2011 in de Eerste Kamer gestrand.18.

Tijdens de parlementaire behandeling van het wetsvoorstel-EPD waren reeds veel investeringen gedaan voor de voorbereiding van de invoering van het EPD. Zo was er een ICT-architectuur gebouwd met één landelijk informatiedoorgiftepunt, het LSP. Mede naar aanleiding van de Motie-Mulder,19.waarin werd opgeroepen om het elektronisch patiëntendossier alsnog van de grond te laten komen, is door een aantal organisaties (LHV, VHN, KNMP, NVZ en NPCF)20.een doorstart gemaakt met de reeds gebouwde infrastructuur, inclusief LSP. Het systeem dat in de onderhavige procedure ter toetsing voorligt, is het resultaat van deze private doorstart van het wetsvoorstel-EPD.21.Essentiële elementen uit het wetsvoorstel-EPD, zoals het LSP, het GBZ en de UZI-pas zijn teruggekeerd in het onderhavige systeem.

Er zijn echter ook verschillen tussen de onderhavige zorginfrastructuur en de voorziene regeling van het EPD. Het wetsvoorstel voor het EPD voorzag als zodanig in een wettelijke grondslag voor het uitwisselen van medische gegevens als bedoeld in art. 23 lid 1, sub f, Wbp (een bij wet bepaalde ontheffing van het verbod tot gegevensverwerking, noodzakelijk met het oog op een zwaarwegend algemeen belang). De patiënt kreeg (slechts) het recht om géén toestemming te verlenen (‘opt out’).22.In het onderhavige geval is toestemming van de patiënt de grondslag voor de gegevensverstrekking. Toestemming is dus voorwaarde voor het delen van gegevens (‘opt in’).

Een ander verschil zou zijn - volgens VZVZ23.- dat de onderhavige zorginfrastructuur de uitwisseling van gegevens slechts mogelijk maakt op regionaal niveau, terwijl in het wetvoorstel voor het EPD informatie landelijk werd gedeeld. Op de website van VZVZ wordt melding gemaakt van het regionale karakter van de gegevensuitwisseling en is te lezen dat alle zorgaanbieders die zijn aangesloten op het LSP zijn opgedeeld in ongeveer veertig regio’s.24.Binnen zo’n regio wisselen zorgverleners gegevens met elkaar uit.25.Voor ziekenhuizen is met het oog op patiëntveiligheid een uitzondering gemaakt; omdat zij te maken hebben met patiënten uit meerdere regio’s kunnen zij met meerdere regio’s gegevens uitwisselen.26.VPH c.s. benadrukt echter dat de opzet van de onderhavige zorginfrastructuur, net als het EPD, nog steeds landelijk is en niet regionaal. Het gaat immers om een landelijk netwerk, met (hooguit) regionale schotten. De regionale indeling zal VZVZ volgens VPH c.s. met een beleidsbesluit eenvoudig kunnen wijzigen.27.Juist deze grootschalige en gecentraliseerde opzet van de zorginfrastructuur is een van de centrale bezwaren van VPH c.s. De kritiek van VPH c.s. richt zich daarbij met name op de potentiële mogelijkheden van een dergelijk grootschalig en gecentraliseerd systeem.28.

Recht op privacy

Het recht op privacy is te vinden in verschillende rechtsbronnen, zoals art. 12 van de Universele Verklaring voor de Rechten van de Mens, art. 17 IVBPR, art. 8 EVRM en art. 10 Grondwet. Art. 10 Grondwet erkent het recht op eerbiediging van de persoonlijke levenssfeer en schrijft voor dat inbreuken daarop bij of krachtens de wet in formele zin moeten zijn geregeld. Het tweede en derde lid verlangen van de wetgever nadere maatregelen over het omgaan met persoonsgegevens. De Wbp, die op 1 september 2001 in werking is getreden,29.bevat dergelijke nadere regels.

Art. 8 EVRM

Het in art. 8 EVRM gewaarborgde recht op bescherming van het privéleven omvat ook het recht op eerbiediging van gegevens die het privéleven raken.30.Binnen de beschermingssfeer van art 8 EVRM vallen onder meer informatie over contacten met anderen met inbegrip van contacten in zakelijke sfeer.31.Ook telefoongesprekken32.en videoregistratie worden beschermd door art. 8 EVRM.33.Verder kan het afnemen en bewaren van DNA-gegevens34.en vingerafdrukken35.onder het bereik van art. 8 EVRM vallen. Het verzamelen van persoonlijke gegevens door politiediensten of geheime diensten is eveneens beschermd door art. 8 EVRM.36.

Art. 8 EVRM beschermt ook medische gegevens.37.Bij de beoordeling van de vorderingen die in de onderhavige zaak zijn ingesteld zal dan ook rekening moeten worden gehouden met art. 8 EVRM.38.Wel is op te merken dat het EHRM nooit een algemeen recht op bescherming van privégegevens heeft erkend.39.

De toetsing aan art. 8 EVRM verloopt, net als bij de andere grondrechten, in drie stappen: valt de voorliggende situatie onder het bereik van bescherming van het privéleven; is er sprake van een inmenging in de uitoefening van het recht op privéleven; en zo ja, is deze inmenging gerechtvaardigd (bij wet voorzien en noodzakelijk in een democratische samenleving, om een legitiem doel te bereiken).40.Aangenomen mag worden dat het EHRM het met toestemming van betrokkene gebruiken van persoonlijke informatie als een legitiem doel erkent.41.De informatie moet dan wel gebruikt worden overeenkomstig de verleende toestemming.

Art. 8 Handvest van de Grondrechten van de Europese Unie

Van grote betekenis voor de bescherming van persoonsgegevens is art. 8 van het Handvest van de Grondrechten van de Europese Unie (Handvest). Het Handvest is op 1 december 2009 in werking getreden en heeft sindsdien bindende status. Art. 8 Handvest luidt als volgt:

“1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.

2. De gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan.

3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.”

Art. 8 Handvest bevat dus, anders dan art. 8 EVRM, een algemeen recht op bescherming van persoonsgegevens, inclusief een recht op rectificatie van persoonsgegevens.42.

De bepalingen uit het Handvest hebben rechtstreekse werking, voor zover de betreffende bepaling onvoorwaardelijk en voldoende nauwkeurig is geformuleerd.43.Nu het in de onderhavige zaak gaat om de uitleg van bepalingen van nationaal recht die zijn ingevoerd ter omzetting van een richtlijn van de Europese Unie (zie onder 4.15), valt de onderhavige zaak binnen het toepassingsbereik van het Handvest.44.Daardoor kan aan art. 8 Handvest ook (indirecte) horizontale werking toekomen in de privaatrechtelijke rechtsverhouding die in het onderhavige geval aan de orde is.45.

Privacyrichtlijn

Voor de Europese Unie zijn de regels over registratie en verwerking van persoonsgegevens neergelegd in de Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: de Privacyrichtlijn).46.Nederland heeft deze richtlijn geïmplementeerd in de Wbp, die de voormalige Wet persoonsregistraties uit 1989 heeft vervangen. De Wbp dient zoveel mogelijk richtlijnconform te worden uitgelegd.

Algemene Verordening Gegevensbescherming

Op 24 mei 2016 is de Verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Privacyrichtlijn in werking getreden (hierna: de Algemene Verordening Gegevensbescherming).47.Art. 99 lid 2 van de Algemene Verordening Gegevensbescherming bepaalt dat zij van toepassing is met ingang van 25 mei 2018. Het doel van de verordening is het verhogen van het niveau van bescherming van persoonsgegevens, door versterking van de rechten van de betrokkenen.48.Bovendien wordt beoogd om in alle lidstaten van de Unie een gelijkwaardig niveau van bescherming te bieden.

De Algemene Verordening Gegevensbescherming heeft rechtstreekse werking. Dat betekent dat zij niet hoeft te worden omgezet. Wel moet zij worden geïmplementeerd. Dat zal gebeuren door de vaststelling van een Uitvoeringswet Algemene Verordening Gegevensbescherming.49.In die wet zal de Wet bescherming persoonsgegevens worden ingetrokken.

Artikel 29-werkgroep

De Artikel 29-werkgroep is het onafhankelijke advies- en overlegorgaan van Europese privacy toezichthouders.50.De werkgroep speelt een belangrijke rol in de totstandkoming van Europees beleid voor de bescherming van persoonsgegevens. De Artikel 29-werkgroep bestaat uit de nationale privacytoezichthouders van de EU-lidstaten en de European Data Protection Supervisor (EDPS). De EDPS houdt toezicht op de verwerking van persoonsgegevens bij de instellingen en organen van de EU. De Artikel 29-werkgroep heeft een onafhankelijk en raadgevend karakter (art. 29 lid 1 Privacyrichtlijn) en haar belangrijkste taak is het bevorderen van een uniforme toepassing van de principes uit de Privacyrichtlijn (art. 30 lid 1, onderdeel a, Privacyrichtlijn). Bij de uitleg van de Wbp – waarin de Privacyrichtlijn is geïmplementeerd – zal dan ook acht moeten worden geslagen op de documenten van de Artikel 29-werkgroep.

Wet bescherming persoonsgegevens (Wbp)

Zoals gezegd bevat de Wbp de implementatie van de Privacyrichtlijn. De Wbp is niet alleen van toepassing op beleidsterreinen die vallen onder het toepassingsbereik van het voormalige EG-Verdrag, maar is in beginsel van toepassing op gegevensverwerking op alle maatschappelijke terreinen.51.Het ruime toepassingsbereik blijkt uit art. 2 Wbp, waarin staat dat de wet van toepassing is op ‘de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen’. Art. 1, aanhef en onder a, Wbp definieert een persoonsgegeven als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Verwerking van persoonsgegevens wordt onder b gedefinieerd als: “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”. Uit deze ruime omschrijving volgt dat van ‘verwerking van persoonsgegevens’ al snel sprake is. Voor de onderhavige zaak is van belang dat de Wbp ook van toepassing is op de verwerking van medische (persoons)gegevens.52.Voor medische persoonsgegevens geldt echter een aangescherpt regime (zie bij 4.28-4.30).

De regels die betrekking hebben op de toelaatbaarheid en de kwaliteit van de gegevensverwerking zijn te vinden in hoofdstuk 2 Wbp (art. 6-24 Wbp). Als algemeen uitgangspunt is in art. 6 Wbp bepaald dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze dienen te worden verwerkt. Art. 7 Wbp bepaalt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden dienen te worden verkregen. Dit houdt in dat geen gegevens mogen worden verzameld zonder een precieze doelomschrijving. De omschrijving van het doel zal hetzij blijken uit de melding van de verwerking die de verantwoordelijke uit hoofde van de wet verplicht is te verrichten (art. 27 Wbp), hetzij uit het Vrijstellingsbesluit Wbp.53.

Wat gerechtvaardigde doeleinden zijn, is uitgewerkt in art. 8 Wbp. In dit artikel zijn onder a tot en met f limitatief de rechtvaardigingsgrondslagen opgesomd voor de verwerking van persoonsgegevens.54.Dit betekent dat elke gegevensverwerking of categorie van gegevensverwerkingen herleidbaar dient te zijn tot ten minste één van de in art. 8 Wbp opgesomde gronden. Eén van die gronden is de ondubbelzinnige toestemming voor verwerking van de betrokkene (art. 8, aanhef en sub a, Wbp).

Indien eenmaal vaststaat dat de gegevensverwerking toelaatbaar is, gelden er vervolgens eisen met betrekking tot de wijze waarop de gegevens mogen worden gebruikt. Gegevens mogen niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen (art. 9 lid 1 Wbp). Tezamen met het voorschrift van art. 7 Wbp, dat persoonsgegevens slechts mogen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, vormen dit de twee aspecten van het beginsel van doelbinding: doelspecificatie en onverenigbaarheid van gebruik.55.Van belang voor de onderhavige zaak is lid 4 van art. 9 Wbp, dat bepaalt dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Zie daarover nader onder 4.31 en verder.

Beginselen van proportionaliteit en subsidiariteit

In het systeem van de Wbp nemen de beginselen van proportionaliteit en subsidiariteit een centrale rol in.56.Het beginsel van proportionaliteit houdt in dat niet méér persoonsgegevens mogen worden verwerkt dan nodig is voor het doel van de verwerking. Dit wordt ook wel aangeduid als het dataminimalisatieprincipe: de gegevensverzameling moet worden beperkt tot het minimum en de gegevens moeten worden verwijderd zodra ze niet meer nodig zijn. Volgens het subsidiariteitsbeginsel mogen geen persoonsgegevens worden verwerkt voor een doel dat ook op een andere, minder belastende wijze kan worden bereikt. De beginselen van proportionaliteit en subsidiariteit houden rechtstreeks verband met de in het kader van art. 8 EVRM uit te voeren toets of de inbreuk op het door deze bepaling beschermde grondrecht noodzakelijk is in een democratische samenleving (zie onder 4.12). Zie de memorie van toelichting:

“Bij de toepassing van de in grondrechtenbepalingen opgenomen beperkingsclausules spelen het proportionaliteits- en subsidiariteitsbeginsel een belangrijke rol. Het evenredigheids- of proportionaliteitsbeginsel geldt rechtstreeks op grond van artikel 8 van het EVRM. (...) In deze jurisprudentie neemt het proportionaliteitsbeginsel een zeer centrale positie in. De inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel. Deze toets speelt een rol wanneer het gaat om de toepassing van de uitoefening van een bevoegdheid tot het verkrijgen van persoonsgegevens, waarbij een inbreuk op een grondrecht aan de orde is. Zij vergt een belangenafweging aan de hand van de omstandigheden van het concrete geval. Er moet telkens sprake zijn van «a fair balance that has to be struck between the demands of the general interest and the interest of the individual». Het subsidiariteitsbeginsel maakt in deze jurisprudentie geen expliciet onderdeel uit van het noodzakelijkheidsvereiste, maar wordt door het Hof wel beschouwd als een factor die een rol speelt in het kader van de evenredigheidstoetsing. Het doel waarvoor de persoonsgegevens worden verwerkt dient in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze te kunnen worden verwerkelijkt. Op degene die persoonsgegevens verwerkt rust de plicht om binnen redelijke grenzen een inbreuk op de persoonlijke levenssfeer van anderen te vermijden dan wel zo beperkt mogelijk te houden. Deze plicht omvat een tweetal aspecten. Allereerst dient men af te zien van de verwerking van persoonsgegevens indien hetzelfde doel ook langs andere weg en met minder ingrijpende middelen kan worden gerealiseerd, bij voorbeeld door de vergaring van anonieme gegevens. Wordt desondanks tot gegevensverwerking overgegaan, dan is van belang dat degene die gegevens wil verwerken in redelijkheid alle eventuele bestaande mogelijkheden benut om de inbreuk op de persoonlijke levenssfeer van betrokkenen te beperken. Deze mede op de grondrechten gebaseerde beginselen nemen ook in het onderhavige wetsvoorstel een centrale positie in. Op veel plaatsen in het wetsvoorstel wordt de verwerking van gegevens gebonden aan het noodzakelijkheidscriterium. De norm behelst in die gevallen de noodzakelijkheidstoets in relatie tot een welbepaald, concreet aangeduid of nader aan te duiden doel.”

Het belang van de beginselen van proportionaliteit en subsidiariteit in de Wbp blijkt onder meer uit art. 11 Wbp, waarin staat dat persoonsgegevens slechts verwerkt worden voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld, toereikend, ter zake dienend en niet bovenmatig zijn.57.In hoeverre gegevens als ‘bovenmatig’ worden beschouwd, is mede afhankelijk van de stand van de techniek. In dit opzicht hangt art. 11 lid 1 nauw samen met art. 13 Wbp.58.

Ook art. 8 Wbp moet worden gezien in verband met de beginselen van proportionaliteit en subsidiariteit. Dat blijkt uit het noodzakelijkheidsvereiste, dat is opgenomen in de onder b tot en met f vermelde gronden voor de rechtvaardiging van gegevensverwerking. Zie de memorie van toelichting:

“Artikel 8 bevat een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen.Het artikel behelst bovendien dat bij elke verwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Ingevolge het subsidiariteitsbeginsel mag het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kunnen worden verwerkelijkt.”

Ook in andere Wbp-bepalingen geldt noodzakelijkheid van de gegevensverwerking als vereiste, bijvoorbeeld in de algemene uitzonderingsbepaling van art. 43 Wbp. De invulling van dit begrip zal steeds dienen plaats te vinden aan de hand van de beginselen van proportionaliteit en subsidiariteit.59.

Het noodzakelijkheidsvereiste is neergelegd in onder meer art. 7 Privacyrichtlijn, waarop art. 8 Wbp is gebaseerd. In de rechtspraak van het HvJ wordt getoetst of gegevensverwerkingen voldoen aan dit vereiste.60.De beginselen van proportionaliteit en subsidiariteit blijken ook uit art. 6 lid 1, aanhef en sub c, Privacyrichtlijn. Daarin staat dat de lidstaten bepalen dat de persoonsgegevens:

“toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt.”

Ook in de Algemene Verordening Gegevensbescherming zijn het proportionaliteits- en subsidiariteitsvereiste neergelegd, daaronder begrepen het uitgangspunt van dataminimalisatie. Zie art. 5, aanhef en sub c en sub e:

“1.Persoonsgegevens moeten:

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

(…)

e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; (…);

(…)”

Verder vermeldt Overweging 39 van de Algemene Verordening Gegevensbescherming het volgende over het proportionaliteits- en subsidiariteitsbeginsel:

“(...) De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. (...) Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerkelijking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt.”

De beginselen hebben bovendien hun weerslag in het ook in de Algemene Verordening Gegevensbescherming neergelegde noodzakelijkheidsvereiste, zie onder meer art. 6 lid 1, aanhef en sub b tot en met f, art. 9 lid 2, sub b, c, f tot en met j, art. 23 lid 1 en art. 25 lid 2 van de verordening.

Verwerking van bijzondere (gevoelige) gegevens

In art. 16 Wbp is bepaald dat de verwerking van de in de bepaling aangeduide ‘gevoelige gegevens’ verboden is, behoudens ‘het bepaalde in deze paragraaf’.61.Dat laatste wil zeggen: behoudens opheffing van het verbod op grond van de art. 17-22 Wbp. Onder meer gegevens betreffende iemands gezondheid vallen onder de werking van art. 16 Wbp. Indien het verbod van art. 16 Wbp om bijzondere gegevens te verwerken wordt opgeheven door een van de daarop volgende bepalingen, moet de gegevensverwerking vervolgens worden getoetst aan de algemene beginselen zoals vastgelegd in de art. 6-15 Wbp. Zie in deze zin de memorie van toelichting bij de Wbp:62.

“Artikel 16 is conform de richtlijn geformuleerd als een verbod. Dit impliceert dat als hoofdregel geldt dat verwerking van gevoelige gegevens niet is toegestaan. De daarop volgende bepalingen (artikel 17 tot en met 23) zijn in dezelfde sleutel geplaatst en geformuleerd als een ontheffing van het algemene verwerkingsverbod. Langs deze weg wordt ook tot uitdrukking gebracht dat artikel 17 e.v. niet zonder meer legitimeren tot gegevensverwerking: zij doorbreken slechts een verbod. Vervolgens zal aan de hand van de algemene beginselen van gegevensverwerking – zoals vastgelegd in artikel 6 tot en met 15 van het wetsvoorstel – moeten worden vastgesteld of de gegevensverwerking in het concrete geval rechtmatig is.”

En de nota naar aanleiding van het verslag:63.

“Het is in dit verband van belang te memoreren dat ook de gegevens die wel duidelijk openbaar zijn gemaakt op grond van het voorliggende wetsvoorstel niet zonder meer verwerkt mogen worden. De verwerking moet immers in de eerste plaats geschieden conform paragraaf 1 van hoofdstuk 2 van het voorliggende wetsvoorstel. Het openbaren van de politieke voorkeur door een persoon die verkiesbaar is voor de volksvertegenwoordiging, rechtvaardigt nog niet de verwerking van dat gegeven door bijvoorbeeld zijn werkgever in de personeelsadministratie. Artikel 23, eerste lid, onder b, beoogt slechts het verbod tot verwerking van het persoonsgegeven op te heffen, voor zover het de bijzondere, gevoelige aard van het gegeven betreft en verleent geen absolute rechtvaardiging voor de verwerking daarvan. Reeds eerder wezen wij op de gelaagdheid van de regelgeving, zoals ook het BW die kent.”

Behalve de specifieke vereisten voor de verwerking van bijzondere gegevens op grond van art. 17-22 Wbp, zijn daarop dus tevens van toepassing de algemene beginselen voor rechtmatige gegevensverwerking die zijn neergelegd in de art. 6-15 Wbp.

De art. 17-22 Wbp bevatten per categorie gevoelige gegevens een regeling van diverse situaties waarin een ontheffing geldt van het verbod als bedoeld in art. 16 Wbp. Specifiek wordt aangegeven wanneer en onder welke voorwaarden een ontheffing van het verbod geldt.

Art. 23 Wbp geeft aanvullende grondslagen voor gevallen waarin het verbod in art. 16 Wbp op het verwerken van bijzondere persoonsgegevens niet van toepassing is. Eén van die grondslagen voor het opheffen van het verbod op het verwerken van bijzondere persoonsgegevens is de uitdrukkelijke toestemming van de betrokkene voor verwerking (art. 23 lid 1, sub a Wbp). Waar art. 8 lid 1 Wbp spreekt over ‘ondubbelzinnige toestemming’ vereist art. 23 Wbp dus ‘uitdrukkelijke toestemming’. Art. 23 Wbp moet worden beschouwd als een algemene restbepaling, zo vermeldt de memorie van toelichting:64.

“Deze bepaling bevat voorschriften voor de gevallen dat het verwerken van gevoelige gegevens niet in de daaraan voorafgaande eerdere artikelen is geregeld. Dit artikel kan daarmee worden beschouwd als een algemene restbepaling waarin voor het verwerken van de betrokken gegevens een ontheffing van het verwerkingsverbod van artikel 16 kan gelden.”

Over de verhouding tussen enerzijds art. 23 Wbp en anderzijds de art. 17-22 Wbp is in de memorie van toelichting het volgende opgemerkt:65.

“De vraag is hoe de verhouding is tussen de specifieke artikelen 17 tot en met 22 enerzijds en de algemene bepaling van artikel 23 anderzijds. Met name kan de vraag rijzen in hoeverre een ontheffing van het verwerkingsverbod dat niet kan worden gebaseerd op een van de specifieke bepalingen, alsnog zijn grondslag kan vinden in artikel 23. Deze vraag kan niet voor alle gevallen gelijkluidend worden beantwoord. Met name dient inzake de strekking van de artikelen 17 tot en met 22 acht te worden geslagen op bepalingen die ten opzichte van artikel 23 uitputtend zijn bedoeld, dan wel een verbiedend karakter dragen. Dit laatste is afhankelijk van de terminologie die in de bepaling wordt gehanteerd. De eerste categorie wordt gevormd door de bepalingen met een uitputtend of verbiedend karakter. Dit wordt met name tot uitdrukking gebracht door de woorden «worden geen persoonsgegevens aan derden verstrekt», «is slechts niet van toepassing» of woorden met een dergelijke strekking. Het komt bijvoorbeeld voor in de artikelen 17, derde lid, 18, eerste en tweede lid, 19, tweede lid en 20, tweede lid. Het verbod, opgenomen in artikel 17, derde lid, impliceert bij voorbeeld het volgende. Indien een persoon geen toestemming geeft voor het verwerken van hem betreffende gegevens omtrent godsdienst met het oog op zijn geestelijke verzorging, zal het verstrekken van deze gegevens aan derden niet op artikel 23 kunnen worden gebaseerd. Het verbiedend karakter van artikel 17, derde lid, juncto eerste lid, onder c, staat er aan in de weg dat buiten dit voorschrift om gegevens worden verstrekt. Voor een hernieuwde afweging op grond van artikel 23 is dan, gegeven dit verbod, geen plaats meer. Artikel 21 is daarentegen niet uitputtend bedoeld. Dit artikel staat er niet aan in de weg dat een ontheffing van het verbod om gezondheidsgegevens te verwerken kan worden gebaseerd op artikel 23, bijvoorbeeld indien sprake is van uitdrukkelijke toestemming van de betrokkene. Aldus kan de verhouding tussen de diverse bepalingen als volgt worden samengevat. Het karakter van de specifieke voorschriften, bedoeld in de artikelen 17 tot en met 22 brengt met zich dat indien een ontheffing om gevoelige gegevens te verwerken kan worden gebaseerd op één van deze artikelen, ter zake niet meer getoetst hoeft te worden aan artikel 23. Indien een ontheffing daarentegen niet kan worden gebaseerd op de artikelen 17 tot en met 22, dient wel te worden bezien of deze wellicht wel op artikel 23 kan worden gebaseerd. Daarbij dient bij de toepassing van de artikelen 17 tot en met 22 per afzonderlijke bepaling te worden bezien of zij een uitputtend of verbiedend karakter dragen. Het een en ander is tot uitdrukking gebracht met het woord «onverminderd» in de aanhef van artikel 23, eerste lid. Dit brengt immers met zich dat zowel de uitputtende en verbiedende bepalingen alsook de overige bepalingen van de artikelen 17 tot en met 22 onverkort van toepassing zijn.”

Uit deze toelichting blijkt dat per afzonderlijke bepaling (art. 17-22) moet worden bezien of art. 23 Wbp een aanvullende grondslag voor verwerking van gegevens biedt. Voor wat betreft de verwerking van medische gegevens blijkt dat de ontheffingsgronden in art. 21 Wbp niet uitputtend zijn bedoeld en dat op grond van uitdrukkelijke toestemming op de voet van art. 23 lid 1 sub a Wbp (ook buiten de gronden genoemd in art. 21) het verbod van art. 21 Wbp kan worden opgeheven.

Geheimhoudingsplicht hulpverlener

Op de hulpverlener rust een geheimhoudingsplicht ten aanzien van hetgeen hij uit hoofde van de behandelingsgrondslag te weten is gekomen over de patiënt, behoudens toestemming van de patiënt, zo is bepaald in art. 7:457 BW (dat deel uitmaakt van de Wet inzake de geneeskundige behandelingsovereenkomst (Wgbo).66.Daarmee geeft deze bepaling een wettelijke grondslag voor het beroepsgeheim van de arts. Een andere wettelijke grondslag voor het beroepsgeheim van de arts is te vinden in art. 88 van de Wet op de beroepen in de individuele gezondheidszorg (wet BIG). Art. 272 Sr stelt het opzettelijk schenden van het beroepsgeheim strafbaar.

Het beroepsgeheim is niet alleen gegrond op het individuele belang van de patiënt op privacy. De grondslag van het beroepsgeheim is ook gelegen in het maatschappelijke belang dat een ieder zich vrijelijk tot een hulpverlener kan wenden, zonder bang te hoeven zijn voor openbaarmaking.67.Zie bijvoorbeeld het rapport Medisch beroepsgeheim in dubio:68.

“Daarmee staat het beroepsgeheim niet alleen voor een individueel, maar ook voor een maatschappelijk belang, dat erin bestaat de onbelemmerde toegang tot hulpverleners voorrang te verlenen boven andere maatschappelijke belangen. Het beroepsgeheim, kortom, is deel van de kern van de medische ethiek, en er is niet aan te ontkomen dat andere belangen, zoals het vrije verkeer van kennis, informatie en meningen, de persvrijheid en het belang van het publieke debat, de waarheidsvinding in het strafproces, soms een ondergeschikte plaats moeten innemen.”

Het beroepsgeheim kan daarom niet alleen in de sleutel van bescherming van de persoonlijke levenssfeer worden begrepen.69.

Aangezien art. 7:457 lid 1 BW de geheimhoudingsplicht laat gelden ‘behoudens toestemming van de patiënt’, is het – in beginsel – de patiënt die de zeggenschap heeft over zijn medische gegevens.70.De patiënt kan immers beslissen of hij toestemming geeft aan de hulpverlener om zijn medische gegevens aan anderen te verstrekken.

Er zijn verschillende uitzonderingen op de geheimhoudingsplicht van de medische hulpverlener. Een eerste uitzondering geldt indien de hulpverlener bij of krachtens de wet tot verstrekking van informatie aan derden is verplicht (art. 7:457 lid 1, laatste volzin).71.Een tweede uitzondering geldt voor degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst (art. 7:457 lid 2 BW). Voorwaarde daarbij is dat de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden.72.Deze uitzondering ziet onder meer op de verstrekking van inlichtingen over de patiënt aan waarnemers.73.Een derde uitzondering is het verstrekken van informatie aan de vertegenwoordigers van een patiënt die niet goed zelf zijn eigen belangen kan waarnemen (art. 7:457 lid 3 BW). Een vierde uitzondering is neergelegd in het slot van lid 3 van art. 7:448 BW: een hulpverlener die twijfelt of hij de gegevens aan de patiënt mag onthouden, moet eerst een andere hulpverlener consulteren en is op grond van die verplichting gerechtigd deze hulpverlener te informeren. Een vijfde uitzondering is de aanwezigheid van een noodtoestand, in de zin van een conflict van plichten.74.Ten slotte bestaat een zesde grond voor doorbreking van het beroepsgeheim in het geval van zwaarwegende belangen (in het strafrecht: ‘zeer uitzonderlijke omstandigheden’). Deze uitzondering is in de rechtspraak ontwikkeld.75.Verschillende richtlijnen en beroepscodes – en soms een wettelijke bepaling, zoals art. 53 Wet op de jeugdzorg – geven handvatten om te beoordelen of sprake is van een noodtoestand of zwaarwegende belangen.

Geheimhoudingsplicht en de Wbp

Art. 9 lid 4 Wbp bepaalt dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsverplichting uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. In de memorie van toelichting is deze bepaling als volgt toegelicht:76.

“Geheimhoudingsplicht Het vierde lid bevat een nadere precisering van de norm van de artikelen 8 en 9 aangebracht. Bepaald is dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Met deze bepaling wordt buiten twijfel gesteld dat een ambts- of beroepsgeheim dan wel een wettelijke verplichting tot geheimhouding niet kan worden terzijde geschoven door het bepaalde in artikel 8. De bepaling is ontleend aan het huidige artikel 11, derde lid, WPR met dien verstande dat haar bereik ruimer is: ze betreft iedere vorm van verwerking van persoonsgegevens. Het bestaande beschermingsniveau van de WPR wordt aldus verruimd tot iedere vorm van gegevensverwerking. Voor deze verruiming is – in navolging van het advies van de Registratiekamer – gekozen omdat niet uitgesloten kan worden geacht dat ook andere handelingen met persoonsgegevens dan het enkele verstrekken aan derden, een inbreuk kunnen opleveren met de geheimhoudingsverplichting. Indien het gaat om een omgeving waar de beveiliging van gegevens niet verzekerd kan worden, zouden ook de vastlegging en bewaring daaronder kunnen vallen. De bepaling dient in samenhang te worden bezien met artikel 61, vijfde lid. Op een geheimhoudingsverplichting kan geen beroep worden gedaan indien de Registratiekamer inlichtingen verlangt in verband met de betrokkenheid bij de verwerking van persoonsgegevens van degene op wie de geheimhoudingsverplichting rust.”

Uit de verwijzing naar art. 8 Wbp in deze passage blijkt dat gegevensverwerking die noodzakelijk is wegens een van de in art. 8 genoemde gronden, daarmee nog niet is toegestaan als een geheimhoudingsplicht aan de orde is.

De verhouding tussen de geheimhoudingsplicht uit de Wgbo en de Wbp is ook aan de orde gekomen bij de behandeling van de Wgbo. Zie de memorie van toelichting:77.

“De regeling in het wetsvoorstel inzake het aantekenen van medische gegevens omtrent de patiënt en het gebruik van de aangetekende gegevens en de regeling in de W.P.R. inzake de aanleg van een persoonsregistratie en het gebruik van de in een persoonsregistratie opgenomen gegevens vallen goeddeels samen of vullen elkaar aan. Op een enkel punt bevat het wetsvoorstel een verdergaande regeling dan de W.P.R.”

En in de memorie van antwoord:78.

"Van diverse zijden is de vraag aan de orde gesteld hoe de bepalingen in het wetsvoorstel die betrekking hebben op de bescherming van de persoonlijke levenssfeer in verband met de registratie van persoonsgegevens, zich verhouden tot de Wet persoonsregistraties (WPR). (…) In de memorie van toelichting hebben wij niet de indruk willen wekken dat de uitwerking van de bedoelde materie in het wetsvoorstel zonder meer het karakter zou hebben van een lex specialis ten opzichte van de WPR. Dat geldt zowel voor de relatie tussen specifieke bepalingen als voor de relatie tussen het wetsvoorstel en de WPR als geheel. Wij zijn in tegendeel uitgegaan van de gedachte, dat de WPR thans in beginsel geheel van toepassing is op gegevensbestanden in de gezondheidszorg en dit ook in de toekomst zal blijven. De verhouding tussen beide wetten hebben wij in paragraaf 2 van de toelichting dan ook als aanvullend, en alleen op een enkel punt als afwijkend, getypeerd. (…)”

De Wbp en de Wgbo vullen elkaar dus aan. Hooghiemstra en Nouwt merken op dat op grond van art. 9 lid 4 Wbp wettelijke bepalingen omtrent het medisch beroepsgeheim vooraf gaan aan de bepalingen van de Wbp.79.Daarmee zullen zij bedoelen dat eerst aan de hand van de Wgbo moet worden vastgesteld of sprake is van een beroepsgeheim, en dat daarna moet worden getoetst aan de Wbp.

Medisch dossier

Art. 7:454 lid 1 BW schrijft voor dat de hulpverlener een dossier inricht met betrekking tot de behandeling van de patiënt. In dat dossier moet aantekening worden gehouden van de gegevens omtrent de gezondheid van de patiënt en de te diens aanzien uitgevoerde verrichtingen. Andere stukken, bevattende zodanige gegevens, moeten in het dossier worden opgenomen voor zover dit voor een goede hulpverlening noodzakelijk is. Lid 3 van art. 454 BW schrijft een bewaarplicht van vijftien jaar voor. Op grond van art. 7:455 BW heeft de patiënt het recht om vernietiging van bepaalde bescheiden in het dossier te vragen. Verder heeft de patiënt het recht op inzage en afschrift van zijn dossier (art. 7:456 BW). Aangenomen moet worden dat het de behandelend arts is die zeggenschap heeft over het dossier.80.

De dossierplicht is een van de hoofdverplichtingen van de hulpverlener. Zij dient niet alleen om een goede behandeling van de patiënt mogelijk te maken, maar heeft ook belang voor de overdracht van de behandeling aan andere hulpverleners, en voor toekomstige behandelingen.81.Ook is het dossier van belang voor de beoordeling van de behandeling achteraf.82.

Onderdeel 1 van het cassatiemiddel bestaat uit subonderdelen 1.1 t/m 1.7. De onderdelen 1.1-1.3 bevatten een inleiding.

Onderdeel 1.4 klaagt dat het hof in de rov. 4.6-4.20 ten onrechte niet heeft onderzocht of de “betreffende verwerking van medische persoonsgegevens binnen de zorginfrastructuur” voldoet aan de voorwaarden voor de rechtmatigheid daarvan zoals bedoeld in hoofdstuk 2, par. 1 (art. 6 t/m 15) van de Wbp. Volgens het onderdeel heeft het hof miskend dat, indien het verbod om persoonsgegevens als bedoeld in art. 16 Wbp te verwerken niet van toepassing is op grond van art. 23 lid 1 onder a Wbp, dit niet impliceert dat de betreffende verwerking van persoonsgegevens daarmee ook voldoet aan de bedoelde voorwaarden voor rechtmatigheid. Althans is het arrest volgens onderdeel 1.5 ontoereikend gemotiveerd, omdat het hof niet kenbaar heeft onderzocht de stellingen van VPH c.s., dat de verwerking van persoonsgegevens binnen de zorginfrastructuur bovenmatig is als bedoeld in art. 11 Wbp, omdat binnen de zorginfrastructuur wordt toegestaan dat méér medische persoonsgegevens ter beschikking worden gesteld dan gerechtvaardigd is in verhouding tot het daarmee te dienen doel en noodzakelijk met het oog op de actuele zorgbehoefte van de patiënt in het concrete geval.83.

Zoals hiervoor is besproken (onder 4.28) is het juist dat opheffing van het verbod in art. 16 Wbp om bijzondere persoonsgegevens te verwerken – waaronder gegevens betreffende iemands gezondheid – niet betekent dat niet meer getoetst hoeft te worden aan de andere voorwaarden voor een rechtmatige verwerking van persoonsgegevens. Ook als op grond van art. 23 Wbp (dan wel op grond van een andere bepaling) opheffing van het verbod plaatsvindt, moet de rechtmatigheid van de gegevensverwerking worden getoetst aan de artikelen 6-15 Wbp. Dus ook in het geval dat uitdrukkelijke toestemming is gegeven voor gegevensverwerking, zal beoordeeld moeten worden of de gegevensverwerking voldoet aan de eisen van de artikelen 6-15 Wbp.

Dat die toetsing moet plaatsvinden, blijkt ook uit het arrest HR 9 september 2011, NJ 2011/595 (Santander).84.Overigens was in die zaak aan de orde toestemming op grond van art. 8 Wbp in plaats van art. 23 Wbp, omdat het niet ging om de verwerking van ‘bijzondere persoonsgegevens’. Door Santander, een kredietverstrekker, was ten aanzien van een persoon (betrokkene) ter registratie in het Centraal Krediet Registratiesysteem (CKI) van het Bureau Kredietregistratie (BKR) gemeld dat betrokkene niet voldeed aan de overeengekomen betalingsverplichtingen. Voorts was door Santander in het CKI ter registratie gemeld dat de (restant)vordering opeisbaar was geworden. Nadat betrokkene de vordering had voldaan, verzocht hij Santander de registratie van zijn gegevens in het CKI van BKR ongedaan te maken. Toen Santander niet voldeed aan dit verzoek, verzocht betrokkene de rechtbank om Santander te bevelen om zijn gegevens uit het CKI te verwijderen. De rechtbank heeft dit verzoek toegewezen en het hof heeft dit oordeel bekrachtigd. In cassatie klaagde Santander dat het hof had miskend dat bij een verwerking van persoonsgegevens die herleidbaar is tot respectievelijk art. 8, aanhef en onder a (toestemming betrokkene), b en c, Wbp geen belangenafweging vereist is, althans dat bij een dergelijke verwerking van persoonsgegevens steeds, of in beginsel, de uitkomst van de belangenafweging is dat verwerking van persoonsgegevens is gerechtvaardigd. De Hoge Raad overwoog als volgt:

“3.3 Bij de beoordeling van de middelen wordt het volgende tot uitgangspunt genomen.

(a) De Wbp moet worden uitgelegd in overeenstemming met het bepaalde in art. 8 EVRM. Uit de in de conclusie van de Advocaat-Generaal in 3.10 aangehaalde passage uit de memorie van toelichting blijkt dat naar de bedoeling van de wetgever bij elke gegevensverwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Dit een en ander brengt met zich dat de inbreuk op de belangen van betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel, en dat dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kan worden verwerkelijkt.

(b) Art. 7 Wbp bepaalt – overeenkomstig art. 6 van Richtlijn 95/46/EG – dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden dienen te worden verzameld. Gerechtvaardigd kunnen slechts de doeleinden zijn die worden nagestreefd met gegevensverwerking in een van de in – het mede op art. 7 van Richtlijn 95/46/EG gebaseerde – art. 8 Wbp limitatief opgesomde gevallen.

(c) Ook als de gegevensverwerking in beginsel is toegestaan op een van de in art. 8 Wbp limitatief opgesomde gronden, blijft de eis gelden dat de verwerking in het concrete geval noodzakelijk moet zijn met het oog op het omschreven doel van de verwerking. De aanwezigheid van een wettelijke rechtvaardigingsgrond maakt derhalve een belangenafweging aan de hand van de hiervoor onder (a) vermelde beginselen niet overbodig. Bij deze afweging moeten de omstandigheden van het geval in aanmerking worden genomen.

(d) In verband met de praktische hanteerbaarheid van de Wbp is van belang dat van de verwerker slechts een belangenafweging verlangd mag worden aan de hand van de beschikbare gegevens. Als de betrokkene nadere gegevens verschaft, kan dit tot een nieuwe en meer volledige afweging aanleiding geven.

(e) De door de betrokkene verleende toestemming als bedoeld in art. 8, aanhef en onder a, zal in het algemeen meebrengen dat gegevensverwerking mag plaatsvinden, doch deze ontslaat de verwerker niet zonder meer van de verplichting tot belangenafweging. Als de betrokkene erop wijst, zoals hier het geval is, dat bij een bepaalde verwerking van gegevens met zijn belangen onvoldoende rekening is gehouden, zal de verwerker de afweging alsnog moeten maken op basis van de dan bekende feiten en omstandigheden.”

De hoofdregel luidt dus, onder (c), dat ook als de gegevensverwerking in beginsel is toegestaan op grond van toestemming van de betrokkene, de eis blijft gelden dat de verwerking in het concrete geval noodzakelijk moet zijn met het oog op het omschreven doel van de verwerking.85.De aanwezigheid van een wettelijke rechtvaardigingsgrond, zoals toestemming van de betrokkene, maakt een belangenafweging aan de hand van de onder (a) genoemde beginselen van proportionaliteit en subsidiariteit dan ook niet overbodig. Onder (d) en (e) wordt de hoofdregel nader uitgewerkt en genuanceerd.

Het is niet aannemelijk dat het hof in de onderhavige zaak van een andere opvatting is uitgegaan. Anders dan het cassatiemiddel aanneemt, kan uit rov. 4.6 van het arrest niet worden afgeleid dat het hof de te beoordelen vraag versmalt tot de vraag of, kort gezegd, voldaan is aan de eisen van art. 23 Wbp. In rov. 4.6 zegt het hof immers dat onder meer moet worden beoordeeld of, voldaan is aan art. 23 Wbp. Dat is een juist uitgangspunt. Bovendien haalt het hof in rov. 4.7 expliciet de passage aan uit de memorie van toelichting, waarin is opgemerkt dat ook bij doorbreking van het verwerkingsverbod (onder andere door toestemming), onderzocht moet worden of de gegevensverwerking in het concrete geval rechtmatig is (zie onder 4.28). Daaruit blijkt dat het hof zich ervan bewust is geweest dat het voldaan zijn aan art. 23 Wbp niet voldoende is voor een rechtmatige gegevensverwerking. Ten slotte blijkt ook uit het vervolg van het arrest dat het hof wel degelijk heeft getoetst aan andere vereisten voor rechtmatige gegevensverwerking. Zo toetst het hof in rov. 4.17-4.19 of voldaan is aan het vereiste van een ‘passend beveiligingsniveau’ (art. 13 Wbp) en in rov. 4.20 aan de doeleinden van de gegevensverzameling (art. 7 Wbp). Deze toetsing zou niet nodig zijn geweest indien het hof ervan was uitgegaan dat alleen van belang is of voldaan is aan de eisen van art. 23 Wbp.

Het voorgaande betekent dat de rechtsklacht van onderdeel 1.4 faalt.

De motiveringsklacht van onderdeel 1.5 houdt in dat het hof niet kenbaar heeft onderzocht de stellingen van VPH c.s. dat de verwerking van persoonsgegevens binnen de zorginfrastructuur bovenmatig is als bedoeld in art. 11 Wbp. Voor deze klacht geldt het volgende.

Ook bij opheffing van het verbod van art. 16 Wbp om bijzondere persoonsgegevens te verwerken op grond van uitdrukkelijke toestemming van de betrokkene, moet getoetst worden aan de andere vereisten voor rechtmatige gegevensverwerking. Een van die vereisten volgt uit art. 11 lid 1 Wbp, namelijk dat persoonsgegevens slechts worden verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Besproken is dat in deze bepaling de beginselen van proportionaliteit en subsidiariteit van de gegevensverwerking tot uitdrukking komen, dat dit centrale beginselen in de Wbp zijn die voortvloeien uit de in het kader van art. 8 EVRM uit te voeren noodzakelijkheidstoets, en dat deze beginselen ook ten grondslag liggen aan de Privacyverordening en de Algemene Verordening Persoonsgegevens (zie 4.23-4.27).

Op zichzelf is het juist dat in het arrest van het hof niet expliciet wordt verwezen naar art. 11 Wbp dan wel naar de beginselen van proportionaliteit en subsidiariteit. Het zou beter zijn geweest wanneer het hof dat wel had gedaan, met name vanwege de belangrijke rol van de beginselen van proportionaliteit en subsidiariteit bij de toetsing van de rechtmatigheid van de verwerking van persoonsgegevens. Maar het enkele feit dat de beginselen niet expliciet zijn genoemd, hoeft niet te betekenen dat sprake is van een motiveringsgebrek. Het gaat erom of het hof onderzocht heeft of de onderhavige gegevensverwerking materieel voldoet aan de beginselen van proportionaliteit en subsidiariteit.

Hoe dat onderzoek eruit moet zien, blijkt uit het Santander-arrest: een belangenafweging aan de hand van de omstandigheden van het geval (zie 5.4). Van belang zijn met name de overwegingen onder rov. 3.3 sub (d) en sub (e). Uit (d) blijkt dat van de gegevensverwerker slechts een belangenafweging aan de hand van de beschikbare gegevens mag worden verlangd. Uit (e) volgt dat de door de betrokkene verleende toestemming als bedoeld in art. 8, aanhef en onder a, Wbp, in het algemeen zal meebrengen dat gegevensverwerking mag plaatsvinden, maar dat deze de verwerker niet zonder meer ontslaat van de verplichting tot belangenafweging. Als de betrokkene erop wijst dat bij een bepaalde verwerking van gegevens met zijn belangen onvoldoende rekening is gehouden, zal de verwerker de afweging alsnog moeten maken op basis van de dan bekende feiten en omstandigheden. De inhoud van de belangenafweging wordt dus in belangrijke mate bepaald door de argumenten – de belangen – die de betrokkene aanvoert.

In het onderdeel wordt niet vermeld welke argumenten of belangen van VPH c.s. het hof in dit verband precies nader had moeten onderzoeken. Uit de vindplaatsen waarnaar het onderdeel verwijst,86.leid ik af dat het VPH c.s. met name gaat om het betoog dat door de rechtbank in rov. 5.22-5.24 van het vonnis van 23 juli 2014 is verworpen, namelijk (i) dat in de professionele samenvatting meer gegevens ter beschikking worden gesteld dan nodig is (memorie van grieven punt 3.84, 86, 80), in samenhang met (ii) de gekozen ‘pull-systematiek’ (memorie van grieven punt 3.88).87.In de genoemde overwegingen oordeelt de rechtbank het volgende:

“Proportionaliteit

VPH c.s. betoogt dat de situatie waarin de behandelaar die zich aanmeldt in beginsel de volledige professionele samenvatting te zien krijgt, een schending inhoudt van het proportionaliteitsbeginsel, omdat niet voorkomen kan worden dat de opvrager meer gegevens worden verstrekt dan noodzakelijk is voor de actuele zorgvraag. Deze schending van het proportionaliteitsbeginsel kan volgens VPH c.s. slechts worden voorkomen door de huisarts te laten bepalen welke gegevens aan de opvragende zorgaanbieder ter beschikking worden gesteld.

VZVZ heeft toegelicht dat gegevensuitwisseling kan plaatsvinden op basis van “push-systematiek”, de verzender levert gegevens aan, of “pull-systematiek”, de opvrager haalt de gegevens op. Volgens VZVZ is gekozen voor de pullsystematiek, omdat de zorginfrastructuur voor een belangrijk deel is opgezet voor waarneemsituaties en noodgevallen, waarbij een actie aan de verzendzijde niet mogelijk is. Wat betreft de omvang van de ter beschikking staande gegevens heeft VZVZ naar voren gebracht dat de professionele samenvatting is gebaseerd op gegevens waarvan de professionele beroepsgroep heeft uitgemaakt dat deze belangrijk zijn in een waarneemsituatie.

Naar het oordeel van de rechtbank slaagt het beroep van VPH c.s. op schending van de proportionaliteitseis niet. De toestemming van de patiënt ziet op de specifieke situaties van waarneming en noodgevallen, waarin de eigen huisarts veelal niet beschikbaar is om de gegevens uit het medische dossier aan de andere behandelaar ter beschikking te stellen. Die omstandigheid vormt een voldoende rechtvaardiging voor de gekozen “pull-systematiek”, waarbij de eigen huisarts op het moment van opvragen geen bemoeienis (meer) heeft met de gegevens die ter beschikking worden gesteld. Ook het gebruik van een algemene professionele standaard is gelet op het doel van de gegevensuitwisseling gerechtvaardigd. Zoals VZVZ heeft toegelicht, worden deze standaardgegevens reeds vanaf 1998 door de beroepsgenoten gehanteerd in waarneemsituaties. Het gaat dus om een op de praktijkervaring van de huisartsen gebaseerde beoordeling welke gegevens in het algemeen voor een goede zorgverlening bij spoedeisende hulp of waarneming van belang zijn. Dat daarbij niet in elke situatie alle gegevens relevant zijn, is inherent aan het samenstellen van een algemene standaard. Daar komt nog bij dat de huisarts - eventueel in samenspraak met of op verzoek van de patiënt - bepaalde gegevens alsnog kan uitsluiten. Dat dit afschermen van bepaalde gegevens een extra overleg tussen patiënt en huisarts noodzakelijk maakt en een extra handeling van de huisarts vergt, leidt gelet op hetgeen hiervoor is overwogen over de specifieke toestemming en de inhoud van de professionele samenvatting, niet tot een situatie dat feitelijk sprake is van een opt-out systematiek, zoals VPH c.s. heeft aangevoerd. Naar het oordeel van de rechtbank kan de gegevensverstrekking door middel van de professionele standaard daarom ook wat betreft de omvang en de inhoudvan de verstrekte gegevens de proportionaliteitstoets doorstaan.”

Inderdaad ontbreekt in het arrest van het hof een duidelijke bespreking van de argumenten die de rechtbank in deze overwegingen behandelt. Gelet op het grote belang van het proportionaliteitsvereiste zou dit aanleiding kunnen zijn om het arrest te vernietigen en de zaak op dit punt terug te verwijzen, zodat het argument alsnog expliciet onder ogen wordt gezien en bij de uit te voeren belangenafweging wordt betrokken. Daar staat echter tegenover dat de uitwerking van deze argumenten door VPH c.s. in hoger beroep tamelijk mager is geweest. VPH c.s. heeft in hoger beroep niet (nader) geconcretiseerd dat en welke gegevens ten onrechte in het HWD zijn opgenomen. Ook heeft VPH c.s. niet (nader) uitgewerkt dat de professionele standaard die ten grondslag ligt aan de professionele samenvatting in het HWD en/of de sinds 1998 bestaande praktijk van gegevensuitwisseling, onjuist of onvolledig is dan wel in andere opzichten de toets der kritiek niet kan doorstaan. Zoals gezegd wordt dit in het cassatiemiddel ook niet geëxpliciteerd. Daarmee is niet heel duidelijk in welk opzicht de gegevensverwerking via de zorginfrastructuur niet voldoet aan het proportionaliteitsbeginsel. Ik lees dit ook niet in de in passages waarnaar het cassatiemiddel verwijst (met name memorie van grieven punten 2.18, 3.78-3.94), nu daar grotendeels bezwaren van algemene aard tegen de zorginfrastructuur worden genoemd.

Het meest concrete bezwaar dat daar is te lezen (memorie van grieven punt 3.86) is dat sprake is van strijd met het proportionaliteits- en subsidiariteitsbeginsel, omdat gegevens worden verstrekt waarvan niet vaststaat dat deze nodig zijn met het oog op de actuele zorgbehoefte van de patiënt en dat dit een ontwerpfout is (namelijk: de ‘pull-systematiek’). Dát argument heeft het hof echter wél bij zijn beoordeling betrokken. Overwogen is dat het moeilijk is om op voorhand te voorzien wanneer een waarneemsituatie zich zal voordoen en voor welke medische klachten dat dan zal zijn, zodat niet kan worden gevergd dat vooraf steeds specifieke toestemming is vereist (rov. 4.12). In dat oordeel – waarop nog nader zal worden ingegaan bij de bespreking van onderdeel 3 – ligt besloten dat, evenals de rechtbank heeft geoordeeld, een ‘pull-systematiek’ zoals VPH c.s. voorstaat, niet mogelijk is. Tenslotte is ook nog te wijzen op rov. 4.15, waarin het hof bij zijn afweging betrekt dat op verzoek van de patiënt bepaalde gegevens kunnen worden afgeschermd.

Gelet op het voorgaande neig ik ertoe om aan te nemen dat in ’s hofs oordeel besloten ligt dat het beroep van VPH c.s. op strijd met het beginsel van proportionaliteit en subsidiariteit (voor zover dat in de feitelijke instanties is geconcretiseerd) niet opgaat, op dezelfde gronden als de rechtbank heeft geoordeeld in rov. 5.22-5.24. Dit zou betekenen dat de motiveringsklacht niet slaagt.

In rov. 4.7 en 4.8 overweegt het hof het volgende:

“4.7 (…) Alhoewel in de MvT op pagina 101 ten aanzien van artikel 16 is opgenomen dat ingeval van doorbreking van een verwerkingsverbod op grond van artikel 17 tot en met 23 aan de hand van de algemene beginselen van gegevensverwerking - zoals vastgelegd in artikel 6 tot en met 15 van het wetsvoorstel - moet worden vastgesteld of de gegevensverwerking in het concrete geval rechtmatig is, komt naar het oordeel van het hof in het onderhavige kader, uitgaande van een expliciete wilsuiting van een patiënt om zijn medische gegevens (in dit geval ten behoeve van toekomstige behandelaars) te verwerken, waarbij de toestemming een vrije, specifieke en op informatie berustende wilsuiting moet zijn, geen betekenis meer toe aan artikel 9 lid 4 Wbp. Deze uitzondering op het normale stramien van de Wbp vindt naar het oordeel van het hof zijn rechtvaardiging in het feit dat (anders dan het geval is bij de overige in artikelen 17 tot en met 23 gegeven ontheffingsgronden) de rechtvaardigingsgrond voor de onderhavige ontheffing besloten ligt in het handelen of het gedrag van de betrokkene zelf, terwijl de ratio van de geheimhoudingsplicht grotendeels is gelegen in het belang van die betrokken patiënt. In geval een patiënt een expliciete en rechtsgeldige toestemming heeft verleend om zijn medische gegevens te verwerken, waarmee het in artikel 16 specifiek hierop gerichte verbod is doorbroken, moet de conclusie zijn dat een (in artikel 9 lid 4 bedoelde) geheimhoudingsplicht niet aan verwerking van die gegevens in de weg staat. (…)

(…) Niet kan dus worden aanvaard de stelling van VPH c.s. dat de consequentie van artikel 9 lid 4 is dat huisartsen ook bij een rechtsgeldige toestemming van patiënten om in de toekomst medische gegevens via de zorginfrastructuur te verzenden, slechts gegevens mogen verwerken waarvan voorafgaand aan elke concrete gegevensuitwisseling door de huisarts van de patiënt is vastgesteld dat die noodzakelijk zijn in verband met de actuele zorgbehoefte van de patiënt.

Het hof vindt steun voor voormelde uitleg van de Wbp in de zienswijze van het College Bescherming Persoonsgegevens (…), als toezichthouder op de verwerking van persoonsgegevens, over het doorstartmodel voor landelijke uitwisseling medische gegevens van 9 augustus 2011 en de daarop volgende brief van CBP aan VZVZ van 18 januari 2012. (…) Het CBP heeft in zijn zienswijze onder meer opgenomen:

“Nu uit de antwoorden op vraag 1 en 2 blijkt dat voor de gegevensverwerking door VZZ [hof: zo noemt het CBP VZVZ] geen beroep mogelijk is op artikel 21 eerste lid onder 1 Wbp en ook niet op artikel 7:457 tweede lid BW, blijft voor de gegevensverwerking door VZZ, vanwege het wegvallen van uitzicht op een specifieke wettelijke regeling, uitsluitend een beroep over op ‘uitdrukkelijke toestemming’ zoals bedoeld in artikel 23 eerste lid onder a Wbp”.

Vervolgens heeft VZVZ aan het CBP toegezonden het Doorstartmodel van 21 december 2011 van de Landelijke Huisartsen Vereniging, de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie, de Vereniging Huisartsenposten Nederland en de Nederlandse Vereniging van Ziekenhuizen (…). Dat model gaat (in tegenstelling tot het eerder voorgelegde model) wel uit van de uitdrukkelijke toestemming van de patiënt. In het Doorstartmodel van 21 december 2011 is dienaangaande opgenomen:

“Uitdrukkelijke toestemming patiënt grondslag voor rechtmatige verwerking (opt-in)

De zorgaanbieders zijn van mening dat primair de keuze van de patiënt bepalend is voor de gegevensuitwisseling. Dat betekent dat voor de aanmelding van de gegevens van de patiënt bij het systeem en het opnemen van gegevens in de verwijsindex uitgegaan wordt van de uitdrukkelijke toestemming van patiënten. Hiermee wordt aangesloten bij de zienswijze van het CBP, waarin het CBP heeft aangegeven dat deze grondslag vereist is voor een dergelijke elektronische gegevensuitwisseling. Dit nieuwe model wordt als volgt ingericht. Elke zorgaanbieder die gegevens uit het dossier van zijn patiënt voor raadpleging (pull) door andere zorgaanbieders (voorafgaand) beschikbaar wil stellen, vraagt daarvoor toestemming aan de patiënt. De zorgaanbieder registreert de toestemming of het onthouden van toestemming in zijn eigen zorginformatiesysteem. Wanneer een patiënt een eenmaal gegeven toestemming wil intrekken richt hij zich tot de zorgaanbieder of zorgaanbieders bij wie hij de toestemming wil intrekken. De zorgaanbieder registreert het bezwaar in zijn eigen systeem, verwijdert de aanmelding op de verwijsindex en stelt de patiëntgegevens die hij van de patiënt beheert niet langer beschikbaar. De zorgaanbieders zullen zorgdragen voor een goede procedure, begeleid door juiste, gerichte en voor geïnformeerde toestemming toereikende, informatie. De betrokkene heeft daarnaast het recht zich, voor het intrekken van zijn toestemming bij alle zorgaanbieders tegelijk, rechtstreeks tot de VVZ te wenden.”

Daarop heeft het CBP bij brief van 21 december 2011 onder meer geschreven:

“Het bijbehorend Doorstartmodel is op 21 december 2011 (…) van u ontvangen. De betreffende documentatie is inmiddels door het CBP bestudeerd. Hierbij heeft het CBP vooral de volgende aspecten betrokken:

- gaat het model uit van toestemming van de patiënt/burger voor de gegevensverwerking(en) conform de zienswijze van het CBP van 9 augustus 2011;

- is de verantwoordelijkheid voor de gegevensverwerking helder belegd;

- hoe kan de betrokkene straks zijn rechten ingevolge de Wet bescherming persoonsgegevens (Wbp) effectueren;

- wordt de juiste (normering van de) informatiebeveiliging gehanteerd;

- is helder geregeld wie toegang krijgen tot het landelijk EPD;

- wat is de duur van de zogeheten transitiefase.

De conclusie luidt dat het CBP op basis van het Doorstartmodel op dit moment geen bijzondere risico’s op overtreding van de Wbp onderkent in verband met de verwerkingen die vanaf 1 januari 2012 onder verantwoordelijkheid van de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VVZ) plaatsvinden.”

Uit voormelde documenten blijkt naar het oordeel van het hof afdoende dat het CBP het onderhavige systeem van verlenen van toestemming, waarbij de patiënt per (informatie verstrekkende) zorgaanbieder een eenmalige uitdrukkelijke toestemming verleent om zijn medische persoonsgegevens ten behoeve van toekomstige gegevensuitwisseling te verwerken, in overeenstemming acht met de systematiek van de Wbp en artikel 7:457 BW voor doorbreking van het verwerkingsverbod en het beroepsgeheim, en dat het in dat kader geen rol toekent aan artikel 9 lid 4 Wbp.”

Volgens onderdeel 1.6 is onjuist ’s hofs oordeel in rov. 4.7, dat een (in art. 9 lid 4 Wbp bedoelde) geheimhoudingsplicht niet in de weg kan staan aan verwerking van medische gegevens in geval een patiënt een expliciete en rechtsgeldige toestemming heeft verleend om die gegevens te verwerken. Het onderdeel betoogt dat die geheimhoudingsplicht daaraan wel in de weg kan staan en dat dit volgt uit de wetsgeschiedenis en het systeem van de Wbp. Volgens het onderdeel geldt dit temeer nu (i) ook de huisarts die van zijn patiënt toestemming heeft verkregen voor doorgifte van diens medische persoonsgegevens aan een ander, zelf een eigen afweging dient te maken of hij niet meer gegevens verstrekt dan in het betreffende geval noodzakelijk is,88.en (ii) de geheimhoudingsplicht van de arts niet alleen het belang van de patiënt dient, maar ook het algemeen of maatschappelijk belang.

Onderdeel 1.7 klaagt over de overweging in rov. 4.8 dat VPH c.s. onvoldoende heeft gemotiveerd waarom de geheimhoudingsplicht niet in de weg staat aan gegevensverwerking indien de ontheffingsgrond van art. 21 Wbp van toepassing is, maar wel indien de ontheffingsgrond van art. 23 Wbp van toepassing is. Volgens het onderdeel heeft het hof hiermee miskend dat het niet aan VPH c.s. is om daadwerkelijke of ogenschijnlijke tegenstrijdigheden in de Wbp te verklaren en dat daarbij komt dat in deze zaak juist vaststaat dat verwerking (ook) niet op basis van art. 21 Wbp kan plaatsvinden omdat VZVZ geen hulpverlener dan wel instelling of voorziening voor gezondheidszorg is. In die zin is de situatie die het hof beschrijft volgens het onderdeel niet aan de orde, zodat ook daarom niet begrijpelijk is waarom VPH c.s. daarvoor een verklaring had moeten geven.

Op grond van art. 7:457 lid 1 BW kan de geheimhoudingsverplichting van een hulpverlener worden doorbroken in het geval dat de patiënt daarvoor toestemming geeft. Voor de verwerking van persoonsgegevens is echter méér nodig dan de enkele toestemming van art. 7:457 lid 1 BW. Art. 23 lid 1, aanhef en onder a, Wbp vereist daarvoor immers uitdrukkelijke toestemming van de patiënt. Aangenomen dat die uitdrukkelijke toestemming gegeven is – zoals het hof in rov. 4.7 tot uitgangspunt neemt –, ligt het in de rede dat er geen betekenis meer toekomt aan het bepaalde in art. 9 lid 4 Wbp, dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat.

Daarvoor pleit ook de systematiek van de geheimhoudingsplicht die, zoals besproken (zie 4.33) geldt behoudens toestemming van de patiënt. Dit betekent dat áls de patiënt toestemming heeft gegeven, er geen ‘actuele’ geheimhoudingsplicht meer is in de zin van art. 9 lid 4 Wbp. Die bepaling kan dan ook niet in de weg staan aan een rechtmatige gegevensverwerking.89.Dat dit de volgorde van toetsing moet zijn – eerst nagaan of er sprake is van een geheimhoudingsplicht en vervolgens toetsen aan de Wbp –, is hiervoor besproken (zie 4.36). In een uitspraak van het CBP over de gegevensverwerking van MRSA-besmettingen is steun te vinden voor deze uitleg. In die uitspraak is geoordeeld dat de registratie van MRSA-besmettingen niet voldoet aan de wettelijke eisen, omdat er geen grondslag is om het medisch beroepsgeheim van art. 7:457 BW op te heffen, én dat noch art. 21 Wbp noch art. 23 lid 1, aanhef en sub e, Wbp een basis bieden om dit medisch beroepsgeheim te ‘overrulen’.90.Hieruit is af te leiden dat als er wel een grondslag zou zijn geweest om het medisch beroepsgeheim op te heffen, de gegevensverwerking wel zou zijn toegestaan als daarvoor een basis was te vinden in de Wbp.

In hun schriftelijke toelichting stelt VPH c.s. dat de Wbp gevallen kent waarin ondanks uitdrukkelijke toestemming van de betrokkene op de voet van art. 23 lid 1, aanhef en onder a, Wbp, verwerking van medische gegevens toch niet kan zijn toegestaan.91.VPH c.s. noemt in dat verband art. 21 lid 4 Wbp, dat betrekking heeft op de verwerking van persoonsgegevens betreffende erfelijke eigenschappen.92.Ook verwijst zij naar art. 5 van de Wet op de medische keuringen en de – per 1 januari 2004 vervallen – Wet stimulering arbeidsdeelname minderheden. Gezien deze uitzonderingen, zo stelt VPH c.s., is de volgens haar door het hof categorisch verworpen mogelijkheid dat art. 9 lid 4 Wbp in de weg kan staan aan gegevensverwerking bij ontheffing op grond van art. 23 lid 1, aanhef en onder a, Wbp, onjuist.

De gevallen die VPH c.s. noemt zijn inderdaad voorbeelden waarin expliciete toestemming van betrokkene niet voldoende is voor een rechtmatige gegevensverwerking. Deze gevallen zijn in de onderhavige zaak echter niet aan de orde. Voor wat betreft art. 21 Wbp kan evengoed betoogd worden dat de nadere beperking die in lid 4 is opgenomen voor de verwerking van persoonsgegevens met betrekking tot erfelijke eigenschappen, erop duidt dat als het niet gaat om dergelijke medische gegevens, expliciete toestemming op de voet van art. 23 Wbp lid 1 sub a wél voldoende is voor rechtmatige gegevensverwerking. Erfelijkheidsgegevens verschillen op een cruciaal punt van medische persoonsgegevens doordat ze per definitie niet alleen betrekking hebben op de betrokken persoon, maar ook op diens familieleden.93.Dit verklaart het verschillende rechtsregime voor deze gegevens. Ook het door VPH c.s. genoemde art. 5 van de Wet op de medische keuringen heeft betrekking op erfelijkheidsgegevens.94.Met betrekking tot de verhouding tussen art. 23 Wbp en de artt. 17-22 Wbp (waaronder het door VPH c.s. genoemde art. 21 Wbp) is reeds besproken dat per afzonderlijke bepaling moet worden bekeken of deze een uitputtend of een aanvullend karakter heeft (zie 4.30).

Ten slotte merk ik nog op dat ik in de bestreden overweging van het hof geen categorische verwerping lees van de mogelijkheid dat ondanks toestemming van betrokkene, art. 9 lid 4 Wbp in de weg staat aan rechtmatige gegevensverwerking. Het hof neemt slechts aan – terecht – dat in het onderhavige geval de uitdrukkelijke toestemming van de betrokkene meebrengt dat geen betekenis meer toekomt aan art. 9 lid 4 Wbp.

Het voorgaande betekent dat de onderdelen 1.6 en 1.7 falen.

Onderdeel 2 is gericht tegen het oordeel van het hof in rov. 4.11 met betrekking tot het in vrijheid geven van toestemming tot het verwerken van patiëntgegevens. In rov. 4.11 stelt het hof voorop dat nodig is dat die toestemming (i) uit vrije wil wordt verleend, (ii) voldoende specifiek is en (iii) gebaseerd is op voldoende informatie (informed consent). Met betrekking tot het eerste aspect, de vrije wil, neemt het hof over wat de rechtbank daarover heeft overwogen in de rov. 5.13 en 5.14 van haar vonnis van 23 juli 2014:

“5.13. De gekozen procedure waarbij de zorgaanbieder in het systeem registreert dat een patiënt toestemming heeft gegeven, biedt de zorgaanbieder de mogelijkheid om - indien hij daaraan twijfelt - na te gaan of dit werkelijk de wil is van de patiënt. VZVZ heeft in dit verband toegelicht dat de zorgaanbieder bij registratie van de toestemming aan dient te geven welke informatie is verstrekt, zodat er geen onduidelijkheid bestaat waarvoor de toestemming is gegeven. Het Toestemmingsformulier (…) en de Brochure (…) zijn middelen om enerzijds de patiënt te informeren over het doel en de gevolgen van de toestemmingverlening en anderzijds om vast te leggen voor welke verwerking van medische persoonsgegevens de patiënt toestemming heeft verleend. Van toestemming door invulling van een elektronisch formulier, zonder nadere check door de zorgaanbieder is dan ook geen sprake.

De tekst van de Brochure is in neutrale bewoordingen gesteld en geeft geen blijk van enige dwang om de patiënt er toe te bewegen zijn toestemming te verlenen. Het onthouden van toestemming heeft tot gevolg dat de gegevens niet door middel van de zorginfrastructuur met andere zorgaanbieders zullen worden gedeeld, maar heeft voor de patiënt geen financiële consequenties en heeft evenmin consequenties voor de aard of omvang van de te verlenen zorg. Het is weliswaar juist, zoals VPH c.s. naar voren heeft gebracht, dat VZVZ er belang bij heeft dat zo veel mogelijk patiënten worden aangesloten op de zorginfrastructuur omdat de verzekeraars hun financiering afhankelijk maken van het aantal aansluitingen en de mate van gebruik van de zorginfrastructuur, maar de rechtbank ziet daarin onvoldoende aanknopingspunten om te kunnen concluderen dat dit - gerechtvaardigde - belang heeft geleid tot het uitoefenen van ongeoorloofde druk op de individuele patiënt om zijn toestemming te geven.”

De onderdelen 2.1 en 2.2 bevatten geen klacht. Onderdeel 2.3 klaagt dat het bestreden oordeel blijk geeft van een onjuiste rechtsopvatting over art. 1 j° art. 1 onder i j° art. 23 Wbp en/of art. 7:457 BW indien het hof heeft miskend dat van in vrijheid gegeven toestemming geen sprake is, als deze is gegeven onder enige vorm van dwang, of die nu van maatschappelijke, financiële, psychologische of andere aard is, of onder dreiging van niet-behandeling of minder goede behandelingen in een medische situatie. Althans is het bestreden oordeel ontoereikend gemotiveerd, omdat het hof niet is ingegaan op de stellingen van VPH c.s. dat (i) VZVZ aanstuurt op het uitfaseren van bestaande regionale uitwisselingssystemen zoals OZIS en een ‘monopoliepositie’ nastreeft95.en (ii) de patiënt wordt geplaatst voor de keuze: of met ‘iedereen’ uitwisselen via het LSP binnen de kaders van de zorginfrastructuur (met alle beperkingen van dien96.) of met niemand. Volgens het onderdeel kan daarvan wel degelijk ‘enige vorm van dwang’ of ‘dreiging van niet-behandeling of een minder goede behandeling in een medische situatie’ uitgaan. Het onderdeel stelt dat het hof in rov. 4.16 weliswaar heeft geoordeeld dat VPH c.s. onvoldoende onderbouwd heeft gesteld dat de beslissing om OZIS op sommige plekken uit te faseren kan worden toegerekend aan VZVZ, maar dat dit onverlet laat, en juist bevestigt, het springende punt dat patiënten meer en meer aangewezen raken op uitwisseling via de zorginfrastructuur – ongeacht aan wie de bedoelde beslissing kan worden toegerekend.

Art. 1, aanhef en onder 1, Wbp definieert het begrip ‘toestemming van de betrokkene’ als: “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.” In de memorie van toelichting is met betrekking tot begrip ‘vrije wilsuiting’ het volgende opgemerkt:97.

“Allereerst geldt dat de betrokkene in vrijheid zijn wil met betrekking tot de betreffende gegevensverwerking moet kunnen uiten en dat deze wil ook daadwerkelijk geuit moet zijn. De artikelen 3:33 en 3:35 BW zijn in deze van overeenkomstige toepassing. Artikel 3:59 BW bepaalt immers dat deze bepalingen op een overeenkomstige wijze worden toegepast voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet. Er kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke, tot toestemming is overgegaan. Van de sollicitant die op verzoek van de aspirant werkgever gegevens over zijn strafrechtelijk verleden bekend maakt, kan bezwaarlijk gezegd worden dat hij in vrijheid deze gegevens heeft verstrekt. Hij handelde immers onder druk van de wens aangenomen te worden door de werkgever.”

Bij de uitleg van het begrip vrije wil is ook van belang de opvatting hierover van de Artikel 29-werkgroep (zie over deze werkgroep onder 4.18). In haar Werkdocument inzake de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers (WP 131) schrijft de Artikel 29-werkgroep het volgende met betrekking tot de ‘vrije wil’:98.

“aa) Toestemming moet uit vrije wil worden gegeven: “vrij” betekent dat de toestemming een wilsuiting moet zijn van een persoon die over al zijn verstandelijke

vermogens beschikt, geuit zonder enige vorm van dwang, of die nu van

maatschappelijke, financiële, psychologische of andere aard is. Toestemming die is gegeven onder dreiging van niet-behandeling of een minder goede behandeling in een medische situatie, kan niet als vrij worden beschouwd. Toestemming van een betrokkene die niet de gelegenheid heeft gehad een echte keuze te maken of die voor een voldongen feit is geplaatst, kan niet als geldig worden beschouwd.

De Groep Artikel 29 is de mening toegedaan dat, wanneer een zorgverlener als noodzakelijk en onvermijdbaar gevolg van de medische situatie persoonsgegevens in een EMD-systeem moet verwerken, het misleidend is indien hij deze verwerking door middel van toestemming tracht te wettigen. Zich baseren op toestemming moet worden beperkt tot gevallen waarin de betrokkene een echte vrije keuze heeft en nadien de mogelijkheid heeft om de toestemming zonder nadelige gevolgen in te trekken.”

In het latere Werkdocument over de definitie van ‘toestemming’ van 13 juli 2011 (WP 187) schrijft de Artikel 29-werkgroep het volgende:99.

“Een “toestemming” kan alleen rechtsgeldig zijn als de betrokkene een werkelijke keuze heeft en er geen sprake is van bedrog, intimidatie of dwang en de betrokkene ook niet het risico van aanzienlijke negatieve gevolgen loopt wanneer hij niet toestemt. Wanneer de gevolgen van toestemming de keuzevrijheid van de betrokkene beperken, kan er geen sprake zijn “vrije” toestemming. De richtlijn zelf voorziet in artikel 8, lid 2, onder a), dat in sommige gevallen, die worden bepaald door de lidstaten, het verbod op de verwerking van bijzondere categorieën van persoonsgegevens niet door toestemming van de betrokkene ongedaan kan worden gemaakt.

Het bovenstaande is bijvoorbeeld het geval wanneer de betrokkene onder de invloed van de voor de verwerking verantwoordelijke staat, zoals bij een arbeidsrelatie. De betrokkene verkeert dan door de aard van de relatie of door andere bijzondere omstandigheden in een afhankelijkheidsrelatie met de voor de verwerking verantwoordelijke en zou de vrees kunnen koesteren dat hij anders wordt behandeld als hij geen toestemming geeft voor de gegevensverwerking.

De Groep heeft in verscheidene adviezen verkenningen uitgevoerd naar de grenzen van “toestemming” in situaties waarin die niet in vrijheid kan worden gegeven. Zulke verkenningen zijn met name uitgevoerd in de adviezen betreffende respectievelijk elektronische medische dossiers (WP 131), de verwerking van persoonsgegevens in het kader van de arbeidsverhouding (WP 48) en de verwerking van persoonsgegevens door het Wereldantidopingagentschap (WADA) (WP 162).

In WP 131 schrijft de Groep dat “vrij[e toestemming] betekent dat de toestemming een wilsuiting moet zijn van een persoon die over al zijn verstandelijke vermogens beschikt, geuit zonder enige vorm van dwang, of die nu van maatschappelijke, financiële, psychologische of andere aard is. Toestemming die is gegeven onder dreiging van niet behandeling of een minder goede behandeling in een medische situatie, kan niet als vrij worden beschouwd. […] (W)anneer een zorgverlener als noodzakelijk en onvermijdbaar gevolg van de medische situatie persoonsgegevens in een EMD-systeem moet verwerken, [is] het misleidend […] indien hij deze verwerking door middel van toestemming tracht te wettigen. Zich baseren op toestemming moet worden beperkt tot gevallen waarin de betrokkene een echte vrije keuze heeft en nadien de mogelijkheid heeft om de toestemming zonder nadelige gevolgen in te trekken.”

Indien na de intrekking van een toestemming de gegevensverwerking wordt voortgezet op basis van een andere wettelijke grond, kunnen vraagtekens worden gezet bij het eerdere gebruik van toestemming als grond: als de verwerking van begin af aan had kunnen plaatsvinden op basis van die andere grond, dan is het misleidend of zelfs inherent oneerlijk om de betrokkene om toestemming voor de verwerking te vragen. Het is anders als de eerste grond niet meer voldoet omdat de omstandigheden zijn veranderd, bijvoorbeeld omdat in de loop van de verwerking een nieuwe wet voor de betrokken databank van toepassing is geworden. Wanneer de nieuwe grond dan op rechtsgeldige wijze op de gegevensverwerking kan worden toegepast, kan de verwerking doorgaan. Maar dergelijke omstandigheden doen zich in de praktijk maar zelden voor. In beginsel is een toestemming nietig als zij feitelijk niet kan worden ingetrokken.

De Groep heeft met betrekking tot de interpretatie van “vrije toestemming” in het kader van een arbeidsverhouding een overeenkomstig standpunt ingenomen: (…)

Toestemming in het kader van een arbeidsverhouding vereist een specifieke discussie. De culturele en sociale aspecten van de arbeidsverhouding spelen een belangrijke rol, net als de interactie van de beginselen van gegevensbescherming met arbeidswetgeving.. (…)

Hoewel er misschien een sterke presumptie is dat “toestemming” in het kader van een arbeidsverhouding een zwakke rechtmatigheidsgrond is, sluit het bestaan van een arbeidsrelatie het gebruik van deze grond niet helemaal uit, mits er voldoende waarborgen zijn dat de toestemming werkelijk in vrijheid is gegeven.

Ofschoon een situatie van ondergeschiktheid vaak de belangrijkste reden is waarom een toestemming niet kan worden geacht in vrijheid te zijn verleend, kunnen ook andere contextuele elementen het besluit van de betrokkene beïnvloeden. Aan een besluit kunnen bijvoorbeeld financiële, emotionele of praktische aspecten zijn verbonden. Het feit dat het verzamelen van gegevens gebeurt door een overheidsinstantie kan de betrokkene eveneens beïnvloeden in zijn besluitvorming. Het is echter moeilijk om duidelijk onderscheid te maken tussen een eenvoudige prikkel en iets wat werkelijk de keuzevrijheid aantast. Onderstaande voorbeelden geven een beeld van de factoren (met name kosten en inspanningen) die de besluitvorming van betrokkenen kunnen beïnvloeden.”

De Werkgroep gaat vervolgens in op het voorbeeld van de elektronische patiëntendossiers:100.

“In veel lidstaten is er een ontwikkeling gaande in de richting van elektronische patiëntendossiers. Dit biedt zorgverleners toegang tot sleutelinformatie op elke plaats waar de patiënt behandeling nodig heeft.

- In het eerste scenario is het aanleggen van een patiëntendossier volstrekt vrijwillig en wordt de patiënt hoe dan ook behandeld, of hij nu wel of niet heeft ingestemd met het aanleggen van een patiëntendossier. In dit scenario kan ervan worden uitgegaan dat een patiënt die toestemming heeft verleend voor het aanleggen van een patiëntendossier dat in vrijheid heeft gedaan, omdat hij geen nadelige gevolgen zou hebben ondervonden als hij had geweigerd om toestemming te geven.

- In het tweede scenario is er een bescheiden financiële prikkel voor mensen die toestemming geven voor het aanleggen van een elektronisch patiëntendossier. Patiënten die dit weigeren, ondervinden daar geen nadelige gevolgen van, in de zin dat de kosten van de zorg gelijk blijven. Ook in dit scenario kan ervan worden uitgegaan dat een eventuele toestemming in vrijheid is verleend.

- In het derde scenario moeten patiënten die weigeren om aan het e-gezondheidssysteem deel te nemen, aanzienlijk hogere tarieven betalen en duurt de verwerking van hun dossiers aanzienlijk langer. Dat betekent dus dat aan een weigering duidelijke nadelen zijn verbonden. (Het doel is natuurlijk om binnen een bepaalde termijn de toestemming van alle burgers te verkrijgen om hun medische gegevens in het systeem op te nemen.) Een toestemming wordt dan niet in volledige vrijheid gegeven. Vandaar dat ook naar andere wettige gronden voor het verwerken van persoonlijke medische gegevens zou moeten worden gezocht, en wellicht is artikel 8, lid 3, van Richtlijn 95/46/EG van toepassing.”

In overweging 43 van de Algemene Verordening Gegevensbescherming (zie onder 4.16-4.17) staat het volgende:

“Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.”

In de bestreden overweging 4.11 verwijst het hof naar de rov. 5.13 en 5.14 van het vonnis van de rechtbank en neemt het over wat de rechtbank daar overweegt. De rov. 5.13 en 5.14 vormen samen met de overwegingen die betrekking hebben op de ‘specifieke toestemming’ (rov. 5.15 en 5.16) en ‘informed consent’ (rov. 5.17-5.21) een uitwerking van het toetsingskader dat de rechtbank heeft geschetst in de rov. 5.1-5.7. In rov. 5.4 citeert de rechtbank de hiervoor weergegeven passage van Werkdocument WP 131 (zie onder 7.4). Uit het aanhalen van die passage blijkt dat de rechtbank – en dus ook het hof – tot uitgangspunt heeft genomen dat de toestemming een wilsuiting moet zijn die is gegeven zonder enige vorm van dwang, of die nu van maatschappelijke, financiële, psychologische of andere aard is (WP 131, sub aa). Dit is dezelfde maatstaf die het middelonderdeel bepleit. Daarmee faalt de rechtsklacht.

In de schriftelijke toelichting gaat VPH c.s. nog nader in op de ‘vrije wil in medische situaties’. Volgens VPH c.s. kan een patiënt in een medische situatie de dreiging voelen dat hij niet of minder goed behandeld zal worden, als hij geen toestemming geeft. Daardoor kan niet worden gezegd dat de toestemming een vrije keus is. Volgens VPH c.s. is ook niet komen vast te staan welke waarborgen VZVZ heeft getroffen om de ongelijkheid van de arts/patiënt-verhouding en de daaruit voortvloeiende dwang te compenseren.101.

VPH c.s. heeft in hoger beroep een dergelijke stelling niet ingenomen, in ieder geval niet in de toelichting op de grieven VI, VII, VIII en IX, die gericht zijn tegen het oordeel van de rechtbank in rov. 5.14-5.20, over ‘vrije wil’ en ‘toestemming’. Niet is aangevoerd dat het oordeel van de rechtbank in rov. 5.14, dat geen sprake is van ongeoorloofde druk op of dwang jegens de patiënt voor het geven van toestemming, onjuist is. Er was dan ook geen aanleiding voor het hof om daarop nader in te gaan.

Overigens zie ik ook onvoldoende aanknopingspunten voor de aanname dat de omstandigheid dat de patiënt in een afhankelijke positie van de arts verkeert, meebrengt dat sprake is van ongeoorloofde dwang en de patiënt niet zijn vrije wil zou kunnen bepalen bij het al dan niet toestemming geven voor het delen van zijn medische gegevens. Een belangrijk gezichtspunt bij de beantwoording van de vraag of sprake is van toestemming die berust op ‘vrije wil’ van de betrokkene, is dat betrokkene een valide alternatief heeft.102.Het weigeren van toestemming mag dus niet zo nadelig zijn dat de toestemming wel gegeven moet worden. In de onderhavige zaak is dan van belang – en dat volgt ook uit de stellingen van VZVZ103.– dat wanneer betrokkene toestemming weigert, de arts nog andere methodes heeft om medische gegevens uit te wisselen. Dat het weigeren van toestemming niet betekent dat helemaal geen gegevens meer kunnen worden uitgewisseld is ook vermeld in de Brochure (onder 7).104.In dat licht kan m.i. niet worden gezegd dat er voor een betrokkene geen valide alternatief is voor de uitwisseling van medische gegevens dan via de zorginfrastructuur.

Op te merken is dat de scenario’s die de Artikel 29-werkgroep in haar werkdocument WP187 schetst over ‘toestemming’ in verband met elektronische patiëntendossiers (zie onder 7.6), laten zien dat er méér nodig is om aan te nemen dat toestemming niet in volledige vrijheid wordt gegeven, dan dwang die mogelijk voortvloeit uit de afhankelijke relatie van de patiënt van de arts. Zo wordt in het tweede scenario ‘een bescheiden financiële prikkel’ voor de patiënt om toestemming te geven, aanvaardbaar geacht. De omslag ligt voor de Artikel 29-werkgroep pas bij het derde scenario, waarin patiënten die weigeren deel te nemen aan het elektronisch dossier, aanzienlijk hogere tarieven moeten worden betalen en aan een weigering dus duidelijke nadelen zijn verbonden. In dat geval moet volgens de Artikel 29-werkgroep worden aangenomen dat de toestemming van de patiënt niet in volledige vrijheid wordt gegeven. In de onderhavige situatie kan echter niet worden gezegd dat aan weigering van de patiënt een duidelijk nadeel wordt verbonden, zeker nu het weigeren van toestemming niet betekent dat er in het geheel geen gegevens meer worden uitgewisseld.

Voor de motiveringsklacht van onderdeel 2.3 geldt het volgende. De stelling onder (i), dat VZVZ aanstuurt op het uitfaseren van bestaande regionale uitwisselingssystemen zoals OZIS en een monopoliepositie nastreeft, bespreekt het hof niet in rov. 4.11, maar in rov. 4.16. Daar overweegt het hof, samengevat, dat andere systemen dan de zorginfrastructuur nog steeds gebruikt kunnen worden en feitelijk ook nog steeds worden gebruikt. Ook is het nog steeds mogelijk om dossiers via de e-mail of fax te versturen, aan welke methode sommige huisartsen de voorkeur geven. Om die reden heeft VPH c.s. volgens het hof onvoldoende onderbouwd dat door VZVA een monopoliepositie wordt nagestreefd. Het hof heeft derhalve de stelling van VPH c.s. in zijn beoordeling betrokken, zij het niet bij de bespreking van de vrije wil in rov. 4.11. Dat is begrijpelijk, nu de betreffende stelling door VPH c.s. niet was ingenomen in het kader van grieven tegen rov. 5.15 en 5.16 van het vonnis (waar de ‘vrije wil’ werd besproken), maar in hoofdstuk 2 van de memorie van grieven, onder 2.31-2.39. Overigens staat hetgeen VPH c.s. daar betoogt over monopoliseren, in de sleutel van de belangen van de huisartsen en niet van die van de patiënten.

De stelling onder (ii), dat de patiënt wordt geplaatst voor de keuze dat hij of met ‘iedereen’ gegevens uitwisselt of met niemand, is in het onderdeel niet voorzien van vindplaatsen. Daarmee voldoet de motiveringsklacht niet aan de daaraan te stellen eisen. In de memorie van grieven lees ik ook niet dat in het kader van het ontbreken van ‘vrije wil’ dit argument naar voren is gebracht. De bezwaren richtten zich daar met name tegen de inhoud van de Brochure, die volgens VPH c.s. onvolledig dan wel onjuist zou zijn.105.Een inhoudelijke bespreking van stelling (ii) volgt hierna, in het kader van de eis dat specifieke toestemming moet worden gegeven.

Het voorgaande betekent dat ook de motiveringsklacht van onderdeel 2 faalt.

Het onderdeel is gericht tegen rov. 4.12, waarin het hof ingaat op het tweede aspect van toestemming, te weten dat de toestemming voldoende specifiek is. Het hof neemt eerst over wat de rechtbank daarover heeft overwogen in de rov. 5.15 en 5.16 van haar vonnis van 23 juli 2014:

“5.15. De tekst in het Toestemmingformulier verwijst uitdrukkelijk naar de Brochure. Daardoor is duidelijk dat aankruising van het vakje “ja” in het formulier betekent dat de door de patiënt verleende toestemming ziet op de verwerking van zijn persoonsgegevens zoals in de Brochure vermeld. De Brochure vermeldt dat toestemmingverlening inhoudt dat de huisarts (en apotheek) de “belangrijkste medische gegevens” beschikbaar mogen stellen aan andere zorgaanbieders. De Brochure maakt duidelijk dat het bij die “andere zorgaanbieders” gaat om een waarnemend huisarts van de huisartsenpost, een apotheek of een medisch specialist en dat deze andere zorgaanbieders de gegevens van de patiënt langs elektronische weg kunnen raadplegen. De Brochure beschrijft welke gegevens in het patiëntendossier worden opgenomen, dat de andere zorgaanbieders de persoonlijke gegevens en het overzicht van de medicijnen kunnen raadplegen en dat de waarnemend huisarts ook een samenvatting van het huisartsdossier kan opvragen.

Naar aanleiding van het bezwaar van VPH c.s. dat de patiënt op het moment van het verlenen van de toestemming nog niet bekend kan zijn met zijn toekomstige gegevens, overweegt de rechtbank dat in de Brochure duidelijk is beschreven voor welke situatie de toestemming wordt verleend. Daarmee is voldaan aan de door De Artikel 29 Groep gestelde voorwaarde dat de toestemming betrekking moet hebben op “een welbepaalde concrete situatie waarin het voornemen bestaat medische gegevens te verwerken”. De eis dat degene die toestemming verleent op het moment van toestemmingverlening reeds bekend is met de inhoud van de gegevens, wordt niet gesteld. Het is inherent aan het doel (spoed- en waarneemsituaties) dat de toestemming wordt verleend voor verwerken van gegevens in de toekomstige situatie dat de eigen huisarts of apotheek niet beschikbaar is. Gelet op het feit dat de Brochure een concrete beschrijving geeft van de omstandigheden waarvoor de toestemming geldt en de aard van de in die omstandigheden te raadplegen gegevens, is geen sprake van een algemeen akkoord voor het verzamelen van medische gegevens in verleden en toekomst, zoals VPH c.s. stelt.”

In aanvulling daarop overweegt het hof het volgende (rov. 4.12):

“(…) Met de rechtbank is het hof van oordeel dat voor een voldoende specifieke wilsuiting niet nodig is dat degene die toestemming verleent op dat moment reeds bekend is met de inhoud van de gegevens die zullen worden uitgewisseld. Zeker wanneer het doel van de gegevensuitwisseling op grond van het HWD (waar de voornaamste bezwaren tegen worden geuit) in ogenschouw wordt genomen, geldt immers dat het op voorhand moeilijk is om te voorzien wanneer een waarneemsituatie zich zal voordoen en welke medische klacht(en) die waarneming zal betreffen. Zolang degene die toestemming verleent weet welke gegevensset in welke situatie voor welk type zorgverleners inzichtelijk is, dient de toestemming als voldoende specifiek te worden beschouwd. Of dat laatste het geval is, komt hierna aan de orde bij de bespreking van de “informed consent”.

Wel merkt het hof in dit verband nog op dat op dit moment de patiënt nog beperkt is in zijn keuzemogelijkheid ten aanzien van de (type) zorgaanbieders die gegevens mogen inzien. Vooralsnog kan de patiënt niet aangeven dat hij wel instemt met uitwisseling van het HWD ten behoeve van waarnemingen, maar niet met de uitwisseling van ICA-gegevens in het EMD ten behoeve van bijvoorbeeld medisch specialisten (waarbij meestal geen sprake zal zijn van een spoedeisende situatie; ter zitting is immers komen vast te staan dat SEH-artsen niet tot de medisch specialisten behoren). VZVZ stelt bezig te zijn met de ontwikkeling van patiënt-toestemmingsprofielen, waarbij de patiënt (bepaalde categorieën) zorgaanbieders van de toestemming kan uitsluiten en hij aldus meer regie heeft over de gegevensuitwisseling. Het is haar bedoeling om die mogelijkheid vanaf eind 2016 te kunnen aanbieden. Het hof merkt hierover op dat die mogelijkheid maakt dat de patiënt gerichter, en dus specifieker, kan bepalen welke zorgaanbieder hij toestemming verleent om zijn gegevens in te zien. Naar het oordeel van het hof behoort het tot de verantwoordelijkheid van VZVZ om zoveel mogelijk beslisvrijheid te bieden aan mensen die aan de zorginfrastructuur (willen) deelnemen en deelnemers op die manier zoveel mogelijk regie te geven over het systeem en aldus maatwerk aan te bieden. Het hof overweegt in dat kader nu reeds dat van VZVZ verwacht mag worden dat, zodra het technisch mogelijk en uitvoerbaar is om de onderhavige ‘iedereen-of-niemand-toestemming’ te vervangen door een systeem waarbij bepaalde (categorieën) zorgaanbieders kunnen worden uitgesloten van de toestemming, zij het ertoe leidt dat het systeem ook daadwerkelijk in die zin zal worden gewijzigd.”

De onderdelen 3.1-3.3 bevatten uitsluitend een inleiding. Onderdeel 3.4 klaagt dat het hof heeft miskend dat het vereiste van specifieke toestemming meebrengt dat deze gericht – dat wil zeggen: op een bepaalde en/of gespecificeerde gegevensverwerking – moet worden verleend. Volgens het onderdeel impliceert dit dat de betrokkene, indien sprake is van uiteenlopende verwerkingen van medische persoonsgegevens, daartussen onderscheid moet kunnen maken: “hij dient zijn toestemming te kunnen onthouden voor hem onwelgevallige verwerkingen en deze te kunnen verlenen voor wel gewenste gegevensverwerkingen”. Het onderdeel stelt dat “een zeer brede en onbepaalde machtiging om gegevens te verwerken” hieraan niet voldoet. Althans heeft het hof volgens het onderdeel miskend dat voor de toestemming die met betrekking tot de verschillende elementen van een verwerking van medische persoonsgegevens wordt verleend, het vereiste van gedifferentieerdheid bestaat: “de toestemming kan niet worden geacht betrekking te hebben op ‘alle gerechtvaardigde doeleinden’ van de voor de verwerking verantwoordelijke”. Het onderdeel betoogt dat een (eenmalig gegeven) toestemming voor uiteenlopende verwerkingen van medische persoonsgegevens die niet gedifferentieerd of ‘granulair’ kan worden gegeven, niet voldoende specifiek is.

Althans is het bestreden oordeel volgens onderdeel 3.5 onvoldoende (begrijpelijk) gemotiveerd. Het onderdeel stelt ter toelichting dat vaststaat dat de patiënt via het Toestemmingsformulier uitsluitend toestemming kan verlenen of onthouden om zijn gegevens beschikbaar te stellen zoals aangegeven in de brochure “Uw medische gegevens elektronisch delen?”. De patiënt kan alleen “ja” of “nee” aankruisen. Het hof heeft in rov. 4.12 onderkend dat de patiënt niet kan aangeven dat hij wel instemt met uitwisseling van het HWD ten behoeve van waarnemingen, maar niet met de uitwisseling van ICA-gegevens in het EMD ten behoeve van bijvoorbeeld medisch specialisten. Van gerichte of gedifferentieerde toestemming is volgens het onderdeel derhalve geen sprake. Het onderdeel wijst er verder op dat volgens het hof van VZVZ verwacht mag worden dat zij, zodra dit technisch mogelijk en uitvoerbaar is, de ‘iedereen-of-niemand-toestemming’ vervangt door een systeem waarbij bepaalde (categorieën) zorgaanbieders kunnen worden uitgesloten van de toestemming. Dat een dergelijk systeem op dit moment nog niet technisch mogelijk en uitvoerbaar is, impliceert volgens het onderdeel echter niet dat de ongedifferentieerde ‘iedereen-of- niemand-toestemming’ desalniettemin voldoende specifiek zou zijn. Althans heeft het hof volgens het onderdeel niet gemotiveerd waarom dat zo zou zijn.

In de toelichting op het onderdeel stelt VPH c.s. dat een betrokkene toestemming moet kunnen geven die gericht is op een specifieke voorgenomen bewerking. De toestemming moet zo gedifferentieerd worden gegeven, dat deze (slechts) ziet op een duidelijk omschreven, concrete situatie. Het primaire standpunt van VPH c.s. is dat het vereiste van specifieke toestemming inhoudt dat de betrokkene toestemming moet kunnen geven die specifiek is gericht, op een concrete gegevensuitwisseling tussen bepaalde zorgaanbieders voor een actuele behandelrelatie. Subsidiair stelt VPH c.s. dat in ieder geval is vereist dat betrokkene gespecificeerd onderscheid moet kunnen maken tussen door hem wel gewenste gegevensverwerkingen en ongewenste verwerkingen. In het huidige systeem kan dat niet, zoals ook het hof onderkent. In de toelichting beroept VPH c.s. zich voorts op de reeds aangenomen Wet cliëntenrechten bij elektronische verwerking van gegevens, die op een nog te bepalen moment in werking zal treden. In deze wet is bepaald dat de patiënt gespecificeerde toestemming moet kunnen geven “voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieders of categorieën van zorgaanbieders.”

VPH c.s. verwijst ter nadere onderbouwing naar de amicus curiae-brief die bij haar schriftelijke toelichting is gevoegd van de organisaties Privacy First en Platform Bescherming Burgerrechten. In deze brief van 30 november 2016 wordt benadrukt dat iedere vorm van ‘generieke toestemming’ onrechtmatig is, en dat de toestemming die van patiënten wordt gevraagd voor uitwisseling via de zorginfrastructuur en het LSP ‘een vrijwel ongelimiteerde carte blanche’ vormt. In de context van medische gegevens moet de eis van specifieke toestemming volgens de organisaties zo worden opgevat, dat de toestemming altijd zo specifiek mogelijk dient te (kunnen) zijn. De organisaties leiden dit onder meer af uit Werkdocument 131 van de Artikel 29-werkgroep. Volgens de organisaties voldoet de toestemming van de patiënt niet daaraan, alleen al omdat de zorginfrastructuur en het LSP is ontworpen voor generieke in plaats van specifieke toestemming. Dit is een ontwerpfout in het systeem (gebrek aan privacy by design). Nu art. 25 van de Algemene Verordening Gegevensbescherming privacy by design als harde eis stelt, is reeds daarom de gegevensuitwisseling via zorginfrastructuur en LSP onrechtmatig. Tenslotte merken de organisaties nog op dat de Autoriteit Persoonsgegevens nooit feitelijk en juridisch heeft getoetst of de ten behoeve van de zorginfrastructuur en het LSP te verlenen toestemming van de patiënt, voldoet aan het vereiste van ‘specifieke toestemming’.

Art. 1, aanhef en onder i, Wbp, definieert ‘toestemming van de betrokken’ als “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem, betreffende persoonsgegevens worden verwerkt”. Ingevolge art. 23 lid 1, aanhef en onder a j° art. 1, aanhef en onder i, Wbp moet de door de patiënt gegeven toestemming voor de verwerking van zijn persoonsgegevens derhalve voldoende specifiek zijn. Er zijn meerdere bronnen die inzicht geven in hoe het begrip ‘specifieke instemming’ moet worden ingevuld: (i) de wetsgeschiedenis bij art. 23 lid 1, aanhef en onder a j° art. 1, aanhef en onder i, Wbp, (ii) de Privacyrichtlijn met toelichting en (iii) de Werkdocumenten van de Artikel 29-werkgroep. Daarnaast is van belang (iv) de nog in werking te treden Algemene Verordening Gegevensbescherming met toelichting, en de per 1 juli 2017 in werking te treden (v) Wet Cliëntenrechten bij elektronische verwerking van gegevens.

ad (i) Wetsgeschiedenis Wet bescherming persoonsgegevens

De memorie van toelichting bij art. 1, aanhef en onder i, Wbp vermeldt het volgende met betrekking tot dit vereiste:106.

“Als tweede voorwaarde geldt dat de wilsuiting van de betrokkene betrekking moet hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. In aansluiting op artikel 12 WPR betekent dit dat een zeer brede en onbepaalde machtiging tot het verwerken van gegevens niet als zodanig kan worden aangemerkt. De ondertekening door de betrokkene van een formulier voldoet niet aan dit criterium, als in het formulier een algemeen geformuleerde machtiging voor de verantwoordelijke is opgenomen, om de persoonsgegevens van de betrokkene te verwerken zonder nadere specificatie van bijvoorbeeld de categorieën van derden aan wie de verantwoordelijke de gegevens voornemens is te verstrekken en de soorten van gegevens die aan deze personen zullen worden verstrekt. Zo is ook de zinsnede in een contract met een reisagentschap, waarin de betrokkene toestemming geeft voor de verstrekking van persoonsgegevens aan een willekeurige derde voor de toezending van reclame, onvoldoende specifiek. De betrokkene moet weten om welke gegevensverwerking het gaat en hiervoor gerichte toestemming geven. Er kan evenmin van een rechtsgeldige toestemming worden gesproken wanneer de betrokkene geconfronteerd wordt met een geheel andere gegevensverwerking dan waarvoor hij toestemming had verleend.”

Blijkens deze passage geldt een toestemming als ‘voldoende specifiek’ wanneer duidelijk is (i) welke verwerking, (ii) van welke gegevens, (iii) voor welk doel zal plaatsvinden, en (iv) als het gaat om een verstrekking aan derden, ook aan welke derden. In de passage staat dat een zeer brede en onbepaalde machtiging tot het verwerken van gegevens niet als zodanig kan worden aangemerkt, maar het gegeven voorbeeld van het tekenen van een formulier maakt duidelijk dat voldoende kan zijn dat (a) de categorieën van derden aan wie de verantwoordelijke de gegevens voornemens is te verstrekken en (b) de soorten van gegevens die aan deze personen zullen worden verstrekt, worden gespecificeerd. Om te voldoen aan het vereiste van ‘voldoende specifieke toestemming’ is het dus niet noodzakelijk dat voor elke afzonderlijke gegevensverwerking c.q. voor elke afzonderlijke verstrekking aan een derde specifieke toestemming hoeft te worden gegeven. De wilsuiting kan ook betrekking kan hebben op een ‘categorie van derden’ of ‘soorten van gegevens’. Dit is een belangrijke nuancering ten opzichte van het door VPH c.s. (en de organisaties) verdedigde standpunt.

Ad (ii) Privacyrichtlijn

De in art. 1, aanhef en onder i, Wbp gegeven definitie is vrijwel letterlijk overgenomen uit art. 2, aanhef en sub h, van de Privacyrichtlijn:

““toestemming van de betrokkene”, elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.”

De considerans bevat geen nadere toelichting op het toestemmingsbegrip. Ook heb ik geen rechtspraak van het HvJ over het toestemmingsbegrip uit de Privacyrichtlijn kunnen vinden. Wel is (van zijdelings belang) nog te noemen het arrest Deutsche Telekom van het HvJ over het toestemmingsvereiste in art. 12 van de Richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG).107.Naar deze uitspraak wordt ook verwezen in het hierna te bespreken Werkdocument 187 van de Artikel 29-werkgroep. In dit arrest oordeelde het Hof dat de onderneming die telefoonnummers toekent niet gehouden is de abonnee later opnieuw om toestemming te vragen voor publicatie van zijn gegevens in een vergelijkbare telefoongids. Die analyse was gebaseerd op het feit dat de toestemming van de abonnee betrekking heeft op het doel van de publicatie van de persoonsgegevens en niet de identiteit van de aanbieder.108.Daarmee is de uitleg verworpen dat de abonnee een selectief beslissingsrecht heeft.109.Dat het doel van de eerste publicatie van gegevens beslissend is voor de reikwijdte van de toestemming, is herhaald in het arrest Tele2/ACM.110.Uit deze arresten (die dus gewezen zijn in het kader van een andere Richtlijn) is af te leiden – en dat kan wellicht worden doorgetrokken naar de onderhavige zaak – dat het er met name om gaat dat voorafgaand aan het verlenen van toestemming voldoende duidelijk is gemaakt voor welke doeleinden de gegevens worden gebruikt en dat de toestemming ook betrekking heeft op díe doeleinden.

Ad (iii) Werkdocumenten Artikel 29-werkgroep

De Artikel 29-werkgroep schrijft in haar Werkdocument 187 over de definitie van ‘toestemming’ het volgende met betrekking tot de specificatie-eis (onderstreping mijnerzijds, A-G):111.

“Wil een toestemming rechtsgeldig zijn, dan moet ze “specifiek” zijn. Met andere woorden: een algemene toestemming zonder dat duidelijk is aangegeven wat precies het doel van de verwerking is, is niet aanvaardbaar.

Wil een toestemming specifiek zijn, dan moet zij om te beginnen begrijpelijk zijn: uit de formulering van de toestemming moet duidelijk zijn dat de betrokkene precies op de hoogte is van de reikwijdte en de gevolgen van de gegevensverwerking waarvoor hij zijn toestemming geeft. De toestemming kan niet betrekking hebben op een open reeks van verwerkingactiviteiten. Met andere woorden: een toestemming is maar in een beperkte context geldig. De verschillende elementen van de verwerking moeten duidelijk worden omschreven en voor elk element is toestemming vereist. De toestemming heeft met name betrekking op de gegevens die worden verwerkt en de doeleinden waarvoor dat gebeurt. Het begrip hiervan moet zijn gebaseerd op de redelijke verwachtingen van de partijen. Het is dan ook inherent aan een “specifieke toestemming” dat deze op informatie berust (informed consent). Voor de toestemming die met betrekking tot de verschillende elementen van een verwerking wordt verleend, bestaat het vereiste van gedifferentieerdheid: de toestemming kan niet worden geacht betrekking te hebben op “alle gerechtvaardigde doeleinden” van de voor de verwerking verantwoordelijke. Verder kan zij […] alleen betrekking hebben op verwerkingen die gezien het doeleinde ervan redelijk en noodzakelijk zijn.

In beginsel zou het mogelijk moeten zijn dat voor gegevensverwerking verantwoordelijken voor verschillende verwerkingen slechts éénmaal toestemming verkrijgen, als de betrokkene die verwerkingen redelijkerwijs had mogen verwachten.

Het Europees Hof van Justitie heeft onlangs een prejudiciële beslissing inzake artikel 12, lid 2, van de e-privacyrichtlijn gegeven, betreffende de noodzaak van een nieuwe toestemming van abonnees die al hadden ingestemd met de publicatie van hun persoonsgegevens in een enkele telefoongids, voor het doorgeven van die gegevens voor publicatie door andere telefoongidsdiensten.112. Het Hof oordeelde dat wanneer de abonnee naar behoren is geïnformeerd over de mogelijkheid van doorgifte van zijn persoonsgegevens aan derde ondernemingen en hij al heeft ingestemd met de publicatie van die gegevens in een openbare telefoongids, geen nieuwe toestemming van de abonnee nodig is voor de doorgifte van dezelfde gegevens, “indien wordt gewaarborgd dat de betrokken gegevens niet voor andere doeleinden zullen worden gebruikt dan die waarvoor zij met het oog op de eerste publicatie ervan zijn verzameld” (punt 65).

Toch kan een afzonderlijke toestemming nodig zijn als de voor de verwerking verantwoordelijke voornemens is de gegevens voor verschillende doeleinden te verwerken. Toestemming voor het toesturen van informatie over nieuwe producten zou ook toestemming voor het toezenden van informatie over specifieke promotieacties kunnen omvatten, omdat de betrokkene dit redelijkerwijs had kunnen verwachten. Maar voor het doorgeven van gegevens van de betrokkene aan derden zou een afzonderlijke toestemming moeten worden verkregen. De noodzaak van gedifferentieerdheid bij het verkrijgen van toestemming moet van geval tot geval worden bepaald, afhankelijk van het doel/de doeleinden of de ontvangers van de gegevens.

Wij roepen in herinnering dat voor een gegevensverwerking verschillende wettelijke gronden kunnen bestaan. Sommige gegevens worden bijvoorbeeld verwerkt omdat ze noodzakelijk zijn voor de uitvoering van een contract met de betrokkene (bijv. voor product fulfilment of service management). Voor verwerkingen die verder gaan dan voor de uitvoering van het contract nodig is (bijv. het beoordelen van de kredietwaardigheid van de betrokkene (credit scoring)), is mogelijk een afzonderlijke toestemming nodig.

De Groep heeft over dit element van toestemming duidelijkheid verschaft in WP 131, een advies over elektronische medische dossiers: om “specifiek” te zijn, moet een toestemming betrekking hebben op een duidelijk omschreven, concrete situatie waarin de verwerking van medische gegevens is voorzien. Vandaar dat een “algemene instemming” van de betrokkene − bijv. met de verzameling van zijn medische gegevens voor een elektronisch patiëntendossier en een eventuele doorgifte van deze gegevens aan zorgverleners − geen toestemming in de zin van artikel 2, onder h), van de richtlijn zou vormen.

Dezelfde redenering wordt gevolgd in WP 115, een advies over het gebruik van locatiegegevens voor het verstrekken van diensten met toegevoegde waarde: “(De) definitie sluit uitdrukkelijk uit dat het geven van toestemming deel zou uitmaken van het aanvaarden van de algemene voorwaarden van de aangeboden elektronische communicatiedienst. […] Afhankelijk van welke dienst wordt aangeboden, kan de toestemming op een specifieke verrichting slaan of een akkoord behelzen om continu gelokaliseerd te worden.”

In het arrest van het Europees Hof van Justitie waarnaar in hoofdstuk II (onder “Belang van toestemming: rechtmatigheidsgrond”) werd verwezen, wordt het woord “specifiek” weliswaar niet gebruikt, maar ook het Hof wijst er in zijn motivering met nadruk op dat een toestemming specifiek moet zijn, zij het met andere woorden: “[het] volstaat […] niet dat de arbeidsovereenkomst van de belanghebbende verwijst naar een collectieve arbeidsovereenkomst die een dergelijke overschrijding toestaat”.

In het Advies van de Artikel 29-werkgroep staat dat de verschillende elementen van de verwerking duidelijk moeten worden omschreven en dat voor elk element toestemming is vereist. Dit biedt op zich steun voor het standpunt van VPH c.s. dat de betrokkene, indien sprake is van uiteenlopende verwerkingen, hiervoor afzonderlijk toestemming moet kunnen geven, in die zin dat hij onderscheid moet kunnen maken tussen gewenste en ongewenste gegevensverwerkingen. Maar het Advies vermeldt ook dat de toestemming met name betrekking heeft op de gegevens die worden verwerkt en de doeleinden waarvoor dat gebeurt. Het begrip hiervan moet zijn gebaseerd op “de redelijke verwachtingen van de partijen”. De Werkgroep schrijft verder dat het in beginsel mogelijk zou moeten zijn dat slechts éénmaal toestemming wordt verkregen voor verschillende verwerkingen, als betrokkene die verwerkingen “redelijkerwijs had mogen verwachten”. Van belang is verder dat uit het Advies blijkt dat het vereiste van specifieke toestemming nauw samenhangt met het doel van de gegevensverwerking; “de noodzaak van gedifferentieerdheid bij het verkrijgen van toestemming moet van geval tot geval worden bepaald, afhankelijk van het doel/de doeleinden of de ontvangers van de gegevens”. Het hangt dus uiteindelijk van de omstandigheden van het geval af of verkregen toestemming voldoende specifiek is. Dit betekent dat níet in zijn algemeenheid kan worden gezegd dat het vereiste van specifieke toestemming meebrengt dat altijd afzonderlijke toestemming wordt verkregen voor elke gegevensverwerking of voor elke verstrekking aan een derde.

De passage die overgenomen is uit Werkdocument 131 heeft specifiek betrekking op de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers. Daarin staat dat om ‘specifiek’ te zijn, een toestemming betrekking moet hebben op een duidelijk omschreven, concrete situatie waarin de verwerking van medische gegevens is voorzien. Een ‘algemene instemming’ van de betrokkene − bijvoorbeeld ten behoeve van de verzameling van zijn medische gegevens voor een elektronisch patiëntendossier en een eventuele doorgifte van deze gegevens aan zorgverleners – is volgens het Werkdocument geen toestemming in de zin van art. 2, onder h, van de Privacyrichtlijn. In dit voorbeeld is dus zowel niet nader omlijnd welke medische gegevens worden opgenomen, aan wie de gegevens worden verstrekt, en voor welk doel verwerking plaatsvindt.

In het onderhavige geval kan niet gezegd worden dat sprake is van een brede, ‘algemene instemming’ voor gegevensverwerking. De met het Toestemmingsformulier te verlenen toestemming heeft blijkens de Brochure betrekking op bepaalde medische gegevens (namelijk de gegevens genoemd onder 1.9), op verstrekking aan bepaalde zorgaanbieders (HWD: aan waarnemend huisartsen en huisartsenposten; EMD: aan waarnemend huisartsen, huisartsenposten, apotheken en medisch specialisten) en op verstrekking voor een bepaald doel, namelijk het raadplegen van de gegevens als dat nodig is voor de behandeling. Dat de te verlenen toestemming hierop betrekking heeft, blijkt uit het Toestemmingsformulier, waarin de toestemming verleend wordt zoals in de Brochure is aangegeven (zie onder 1.12).

Erkend kan worden dat de toestemming in zekere mate een generiek karakter heeft en dat het denkbaar is dat een meer specifieke toestemming voor gegevensverwerking wordt gevraagd. Gedifferentieerd zou kunnen worden tussen zorgaanbieders aan wie wel en aan wie geen toestemming wordt verleend (bijvoorbeeld wél het HWD aan waarnemend huisartsen maar níet het EMD aan specialisten); gedifferentieerd zou kunnen worden naar gegevensverstrekking voor bepaalde behandelingen of voor bepaalde situaties en ook zou een verdere differentiatie van de te verstrekken gegevens kunnen worden gegeven (bijvoorbeeld: níet de ICA-gegevens in het EMD). Bij dit laatste merk ik op dat het weliswaar mogelijk is om op verzoek bepaalde gegevens uit te sluiten, zoals VZVZ steeds heeft benadrukt, maar dat daarbij niet kan worden onderscheiden tussen verschillende zorgaanbieders en/of verschillende behandelingen, voor wie wel of niet bepaalde gegevens worden uitgesloten.

De vraag is echter of naar de huidige stand van het recht zo’n verdere differentiatie rechtens noodzakelijk is als vereiste voor een rechtmatige gegevensverwerking. Ik denk dat dat niet het geval is. Daarvoor pleit niet alleen dat het blijkens de wetsgeschiedenis van de Wbp mogelijk is om toestemming te verlenen voor categorieën of soorten gegevens (zie onder 8-6-8.7). Ook de standpunten van de Artikel 29-werkgroep wijzen daarop. Uit Werkdocument 187 blijkt dat de eis van specifiekheid van de toestemming contextafhankelijk is, te beoordelen mede aan de hand van de doelomschrijving van de gegevensverwerking en van hetgeen degene die toestemming geeft redelijkerwijs mag verwachten. Nu voor het HWD omschreven is welke gegevens daarin zijn opgenomen (‘categorieën van gegevens’) én de toestemming alleen geldt voor waarnemend huisartsen en dus voor een situatie van waarneming, denk ik dat de toestemming van de patiënt voldoende specifiek is en dat voldaan is aan het criterium dat het gebruik van de gegevens voldoet aan wat de patiënt redelijkerwijs mag verwachten. Voor wat betreft het EMD heeft VPH c.s. geen daarop toegespitste argumenten aangevoerd.

De vraag of het gekozen systeem ook in overeenstemming is met het toekomstige recht, met name de Algemene Verordening Gegevensbescherming, die geldt vanaf 25 mei 2018 en de per 1 juli 2017 in werking tredende Wet cliëntenrechten bij elektronische verwerking van gegevens. Daarover is het volgende op te merken.

Ad (iv) Algemene Verordening Gegevensbescherming

Art. 4, aanhef en sub 11, van de Algemene Verordening Gegevensbescherming omschrijft ‘toestemming van de betrokkene’ als: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.” In de toelichting is hierover in par. 32 het volgende vermeld:

“Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.”

Uit deze toelichting blijkt dat het niet noodzakelijk is dat toestemming wordt gegeven voor elke afzonderlijke verwerkingsactiviteit, maar dat de toestemming ook kan worden gegeven voor ‘alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden’ dienen. Dit sluit aan bij de toestemming voor een categorie verwerkingsactiviteiten, zoals aangeduid in de wetsgeschiedenis bij de Wbp. Het sluit ook aan bij het uitgangspunt in Werkdocument WP 187 van de Artikel 29-werkgroep, dat toestemming in een beperkte context geldig is, mede gebaseerd op de redelijke verwachtingen van partijen, en dat toestemming niet geacht kan worden betrekking te hebben op ‘alle gerechtvaardigde verwerkingen’. Ik lees in de toelichting geen aangescherpte eis voor wat betreft de specifiekheid van de toestemming.

Ad (v) Wet cliëntenrechten bij elektronische verwerking van gegevens

De Wet cliëntenrechten bij elektronische verwerking van gegevens heeft als belangrijkste doel om een aangescherpt juridisch kader te bieden voor de elektronische verwerking van medische gegevens.113.Op grond van art. II van deze wet, die per 1 juli 2017 in werking zal treden, worden in de Wet gebruik burgerservicenummer in de zorg de artikelen 15a tot en met 15i toegevoegd in hoofdstuk 3A, “Elektronische verwerking van gegevens”. De nieuwe artikelen 15a en 15b luiden als volgt:

“Artikel 15a

1. De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven.

2. De in het eerste lid bedoelde toestemming betreft gespecificeerde toestemming voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieders of categorieën van zorgaanbieders.

3. De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover bij het raadplegen van die gegevens door een andere zorgaanbieder, de persoonlijke levenssfeer van een ander dan de cliënt niet wordt geschaad.

Artikel 15b

1. Het raadplegen van gegevens die beschikbaar zijn gesteld via een elektronisch uitwisselingssysteem, of een afschrift maken van die gegevens is alleen toegestaan indien de cliënt binnen die behandelrelatie daartoe uitdrukkelijke toestemming heeft gegeven.

2. De in het eerste lid bedoelde toestemming, geldt voor alle personen binnen de behandelrelatie voor zover raadpleging noodzakelijk is voor een goede uitvoering van de behandelrelatie.

3. Een zorgverlener die ten aanzien van de cliënt direct moet handelen om ernstig nadeel te voorkomen terwijl het vragen van toestemming op dat moment niet mogelijk is, is in afwijking van het eerste lid bevoegd de gegevens van de desbetreffende cliënt die via een elektronisch uitwisselingssysteem beschikbaar zijn, te raadplegen, voor zover de raadpleging noodzakelijk is voor de door hem in die situatie ten aanzien van de cliënt te verrichten handelingen.”

De Wet cliëntenrechten schrijft hiermee voor alle systemen waarin elektronische uitwisseling van medische gegevens plaatsvindt, een ‘opt in’ systeem voor. In alle gevallen is dus vereist dat de cliënt uitdrukkelijke toestemming geeft voor het delen van zijn medische gegevens. Bovendien schrijft de wet voor dat de toestemming gespecificeerd moet zijn. Dat betekent dat de cliënt zijn toestemming kan differentiëren door voor bepaalde gegevens wél, en voor andere géén toestemming te verlenen. Voorts krijgen cliënten het recht om bepaalde of bepaalde categorieën zorgaanbieders uit te sluiten van toegang tot de gegevens die beschikbaar zijn via het elektronisch uitwisselingssysteem.

Over het nieuwe systeem van toestemming in de artikelen 15a en 15b van de Wet cliëntenrechten heeft de minister het volgende opgemerkt:114.

“Met de voorgestelde wijzigingen van artikel 15a en 15b wordt beoogd duidelijkheid te geven over de vraag wanneer toestemming aan een cliënt moet worden gevraagd, en wat de reikwijdte is van die toestemming.

Artikel 15a regelt de zogenaamde «opt-in» vraag. Allereerst wordt aan artikel 15a, eerste lid, toegevoegd dat het om uitdrukkelijke toestemming moet gaan. Zoals betoogd in het nader rapport volgt het feit dat het om uitdrukkelijke toestemming moet gaan al uit artikel 23, eerste lid, onderdeel a, Wbp en is er in lijn met het wetsvoorstel Wet cliëntenrechten zorg, voor gekozen alleen de term «toestemming» te gebruiken. Nu de Wcz komt te vervallen en het wenselijk is dat er geen enkele twijfel bestaat over de aard van de vereiste toestemming, wordt het woord «uitdrukkelijke» alsnog toegevoegd.

De reikwijdte van de «opt-in»-vraag en de mogelijkheid om (categorieën van) zorgaanbieders uit te sluiten, riep blijkens het verslag van de Tweede Kamer de nodige vragen op. In de voorgestelde aanpassing van artikel 15a, tweede lid, wordt nu duidelijk onderscheid gemaakt in het geven van generieke toestemming en het geven van beperkte (gespecificeerde) toestemming. De gespecificeerde toestemming houdt in dat de cliënt benoemt voor welke zorgaanbieders of categorieën van zorgaanbieders zijn gegevens raadpleegbaar kunnen worden gemaakt en daarnaast kan de cliënt bepalen dat slechts bepaalde gegevens beschikbaar worden gesteld. Door gebruik te maken van gespecificeerde toestemming zijn automatisch alle zorgaanbieders die hij niet heeft benoemt uitgesloten om zijn gegevens te raadplegen. Het geven van gespecificeerde toestemming, vereist van de cliënt dat hij goed nadenkt binnen welke kring hij uitwisseling wenselijk acht.”

Tijdens de behandeling van het wetsvoorstel in de Eerste Kamer is uitvoerig stilgestaan bij de betekenis van het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens en, meer specifiek, de voorgestelde art. 15a en 15b van de Wet gebruik servicenummer in de zorg. Minister Schippers heeft hierover in de Nadere memorie van antwoord het volgende geschreven (onderstreping mijnerzijds):115.

“In het parlement wordt het belang van zorgvuldigheid bij elektronische uitwisseling van medische gegevens onderschreven. Voorliggend wetsvoorstel komt tegemoet aan wensen en moties vanuit zowel uw Kamer als de Tweede Kamer (…). Een aantal randvoorwaarden is niet nieuw maar vormt een nadere invulling op de bestaande wet- en regelgeving. Ook nu al moeten zorgaanbieders bij uitwisseling van gegevens voldoen aan de eisen uit de Wet bescherming persoonsgegevens (Wbp) en de Wet geneeskundige behandelingsovereenkomst (WGBO).

Vanwege het vertrouwelijke karakter van medische gegevens is het van belang dat aan de patiënt uitdrukkelijke toestemming wordt gevraagd om medische gegevens elektronisch beschikbaar te stellen voor raadpleging door andere zorgverleners die zijn aangesloten op het elektronisch uitwisselingssysteem. Toestemming vragen voor het beschikbaar stellen van deze gegevens is ook nu al verplicht op grond van de WGBO en de Wbp. Het oorspronkelijke wetsvoorstel vulde dit aan met het recht om bepaalde zorgaanbieders of bepaalde gegevens van de gegevensuitwisseling uit te sluiten. In de Tweede Kamer is deze bepaling aangescherpt met het amendement Bruins Slot (33 509, nr. 13). De cliënt heeft daardoor het recht bepaalde of alle gegevens voor inzage ter beschikking te stellen aan bepaalde (categorieën van) zorgaanbieders. De mogelijkheid voor zorgaanbieders om toestemming te vragen met een vraag die met eenvoudig «ja» of «nee» kan worden beantwoord is hiermee vervallen. Het staat de patiënt wel vrij om voor alle aangesloten zorgaanbieders toestemming te verlenen of te onthouden, bijvoorbeeld door op een (digitaal) toestemmingsformulier te kiezen voor de optie «ja, ik geef toestemming voor alle genoemde (categorieën) zorgaanbieders», of te kiezen voor de optie: «ik geef geen toestemming». In die zin kan het antwoord wel een generiek karakter hebben.

De zorgaanbieder dient de verleende toestemming te registreren en te zorgen dat gegevens conform de toestemming van de patiënt worden uitgewisseld. (…)

Een patiënt dient een goede afweging te kunnen maken bij het verlenen van toestemming. Hiervoor dient hij goed geïnformeerd te worden welke gegevens, met welk doel, aan wie, en op welke manier beschikbaar worden gesteld. De zorgaanbieder die de toestemming vraagt is degene die op grond van dit wetsvoorstel verplicht is de patiënt de benodigde informatie te verschaffen. De informatieplicht voor het verwerken van persoonsgegevens is reeds in de Wbp vastgelegd en wordt in dit wetsvoorstel nader uitgewerkt voor elektronische uitwisseling van gegevens.

Het is vanzelfsprekend dat de patiënt recht heeft op elektronische inzage en een elektronisch afschrift van zijn eigen medische gegevens. Voor papieren dossiers is dit in de WGBO vastgelegd.

Het wetsvoorstel vereist dat wordt vastgelegd wie gegevens heeft ingezien of heeft toegevoegd en op welke datum (logging). Hiermee vult het wetsvoorstel de eisen die de Wbp stelt aan logging aan en de gedragscode van de beroepsorganisaties in de zorg (EGIZ 2014) aan.

(...)

Zorgen over uitvoerbaarheid van gespecificeerde toestemming

Tijdens de bijeenkomst met deskundigen in uw Kamer is mij gebleken dat met name de bepaling rond gespecificeerde toestemming in het wetsvoorstel (artikel 15a, lid 2) verschillend wordt geïnterpreteerd en op zorgen rond uitvoerbaarheid stuit. Dit was voor mij aanleiding om na die bijeenkomst op 13 april jongstleden het overleg met de KNMG, de KNMP, de LHV, de NPCF en Nictiz voort te zetten. Het doel van het overleg was te komen tot een eensluidende interpretatie van het artikel en een aanpak die werkbaar is voor zowel de cliënt als de zorgaanbieder. Voor de cliënt is het belangrijk dat hij overzicht houdt aan wie hij welke toestemming heeft verleend voor het beschikbaar stellen van gegevens. Voor de zorgaanbieders is het van belang dat het vragen van toestemming en de registratie ervan in de dagelijkse zorgpraktijk uitvoerbaar is en vermijdbare toename van administratieve lasten wordt voorkomen. In dit verband verwijst u (…) terecht naar mijn toezegging over het reduceren van de regeldruk. Het is geenszins mijn intentie de regeldruk voor zorgaanbieders te verhogen.

In het overleg is gebleken dat gespecificeerde toestemming niet alleen gevolgen heeft voor de wijze waarop de toestemmingsvraag aan patiënten dient te worden gesteld, maar ook voor de wijze waarop de verleende toestemming wordt geregistreerd. Dit vergt organisatorische en technische aanpassingen aan de werkwijze en de uitwisselingsystemen van zorgaanbieders. Daarnaast moeten systemen van zorgaanbieders worden aangepast om te zorgen dat alleen gegevens worden uitgewisseld met andere zorgaanbieders conform de verleende gespecificeerde toestemming. Vanwege de grote diversiteit in landelijke, regionale en lokale systemen bij aanbieders en verschillen in uitwisselingsnetwerken hebben zorgaanbieders tijd nodig om gespecificeerde toestemming in de praktijk te implementeren.

Oplossingsrichting: groeimodel

De KNMG, KNMP, LHV en NPCF hebben nadrukkelijk blijk gegeven van een gedeelde visie op een veilige en verantwoorde elektronische uitwisseling van gegevens. In het perspectief dat partijen voor ogen hebben, zal de patiënt zelf zijn toestemmingsprofiel kunnen vastleggen, inzien en aanpassen, bijvoorbeeld met behulp van een te ontwikkelen patiëntenportaal. Juist door het beheer van het toestemmingprofiel bij de patiënt zelf te leggen is hij in staat om goed te overzien waarvoor hij toestemming geeft en hier regie op te voeren. Ik deel deze visie die aansluit bij de doelstelling van het amendement Bruins Slot en bij de ontwikkelingen in de zorg, waarbij de patiënt steeds meer regie houdt op, en verantwoordelijkheid neemt voor zijn eigen zorg. Door de regie over het toestemmingsprofiel bij patiënten te leggen worden onnodige administratieve lasten bij zorgaanbieders voorkomen.

De zorgpartijen stellen, gefaciliteerd door VWS en Nictiz, een gezamenlijk plan op, waarin ze enerzijds toewerken naar het geschetste eindperspectief en tegelijkertijd concrete stappen zetten om de noodzakelijke veranderingen ten opzichte van de huidige situatie in kaart te brengen, de impact van deze veranderingen voor zorgaanbieders in beeld te brengen en van oplossingen te voorzien.

Om de zorgpraktijk in de gelegenheid te stellen zich aan te passen aan de eisen van dit wetsvoorstel en de beroeps- en cliëntenorganisaties de mogelijkheid te bieden toe te werken naar het geschetste eindperspectief zal ik gebruikmaken van de mogelijkheid die het wetsvoorstel mij biedt om de bepalingen ten aanzien van gespecificeerde toestemming (art. 15a, tweede lid) en het bijhouden van de registratie van gespecificeerde toestemming (art. 15c, tweede lid) drie jaar na inwerkingtreding van dit wetsvoorstel in werking te laten treden.

Bij het toetsen van het wetsvoorstel aan de zorgpraktijk zijn nog twee uitvoeringskwesties aan het licht gekomen. Zo is gebleken dat de verplichting om toestemming te vragen de gegevens te mogen raadplegen (art.15b) die met toestemming van de cliënt elektronisch beschikbaar zijn gesteld, in veel gevallen niet uitvoerbaar is. In de praktijk is er niet altijd sprake van direct contact met de cliënt op het moment dat het dossier geraadpleegd wordt. Illustratief is de situatie waarin een zieke cliënt een familielid vraagt met een recept naar de apotheek te gaan voor het afhalen van zijn medicatie. Ook stuurt een groot aantal huisartsen recepten direct naar de apotheek waar de medicatie al klaar staat op het moment dat de cliënt verschijnt. Op basis van deze concrete signalen uit de zorgpraktijk ben ik voornemens deze bepaling niet in werking te laten treden. In deze afweging heb ik meegewogen dat de cliënt door het amendement Bruins Slot gespecificeerd toestemming zal geven om gegevens beschikbaar te stellen aan bepaalde (categorieën) zorgaanbieders. Opnieuw toestemming vragen door deze zorgaanbieders om de gegevens te raadplegen zal door veel cliënten dan ook als herhaling worden ervaren.

Ten tweede is gebleken dat veel zorgaanbieders op dit moment nog geen adequate en veilige invulling kunnen geven aan het recht op elektronische inzage en elektronisch afschrift. Wenkend perspectief is dat de burger beschikt over veilige authenticatiemiddelen op voldoende hoog betrouwbaarheidsniveau waarmee hij toegang kan krijgen tot zijn gegevens. Helaas verloopt de ontwikkeling van een veilig authenticatiemiddel minder snel dan verwacht. Daarom laat ik ook de bepalingen ten aanzien van elektronische inzage en elektronisch afschrift niet eerder in werking treden dan drie jaar na inwerkingtreding van het wetsvoorstel. Ik ga ervan uit dat op dat moment een authenticatiemiddel op hoog niveau beschikbaar is voor veilige elektronische inzage en afschrift.

Resumerend stel ik voor de volgende bepalingen later in werking te laten treden:

•Artikel 15a, tweede lid, gespecificeerde toestemming

•Artikel 15c, tweede lid, registratie van de gespecificeerde toestemming

•Artikel 15d, elektronische inzage en afschrift

•Artikel 15e, elektronisch afschrift van de logging.

Daarnaast stel ik voor artikel 15b, de verplichting om toestemming te vragen voor het raadplegen van gegevens, niet in werking te laten treden. Ten slotte (…) verzocht u door middel van een cijfermatige beoordeling inzichtelijk te maken welke gevolgen het geamendeerde wetsvoorstel heeft op de regeldruk, c.q. aan te geven in hoeverre die gevolgen afwijken van de oorspronkelijk ingeschatte regeldrukeffecten. Uw bezorgdheid richt zich met name op de effecten van de door het amendement Bruins Slot (33 509, nr. 13) ingebrachte «gespecificeerde toestemming». De bevindingen uit het geschetste traject dat partijen met steun van VWS en Nictiz starten zijn randvoorwaardelijk voor een antwoord op uw brief van 20 april jongstleden en de in het nader verslag gestelde vragen door de leden van meerdere fracties (VVD, CDA (…) en D66) over regeldruk en administratieve lasten voor zorgaanbieders. Immers, zolang niet duidelijk is hoe gespecificeerde toestemming wordt geïmplementeerd is het niet mogelijk aan te geven wat dit betekent voor de regeldruk. Ik verwacht dat in het eindperspectief, waarin de cliënt zelf zijn toestemmingsprofiel beheert, de toename van administratieve lasten voor de zorgpraktijk beperkt kan blijven.

Reactie op de vragen in het nader verslag

(…)

De leden van de VVD-fractie geven aan dat de introductie van de term gespecificeerde toestemming verwarring wekt en opheldering behoeft. Ook de leden van de fractie van GroenLinks vragen om een nadere duiding van de term en vragen naar het verschil met specifieke toestemming. De leden van de fractie van GroenLinks stellen dat in de praktijk «gespecificeerd» meer op generiek dan op specifiek lijkt.

In het overleg met de beroepsorganisaties is gewerkt aan een gezamenlijke interpretatie van het begrip gespecificeerde toestemming. De Wet bescherming persoonsgegevens (Wbp) stelt dat toestemming (onder andere) specifiek moet zijn. Dat wil zeggen dat duidelijk moet zijn voor welke verwerking, van welke gegevens, voor welk doel de zorgaanbieder toestemming vraagt. Op basis van die specifieke informatie geeft de cliënt uitdrukkelijke toestemming door de toestemmingsvraag met een eenvoudig «ja» of «nee» te beantwoorden. Ook op grond van dit wetsvoorstel mag een zorgaanbieder alleen gegevens beschikbaar stellen via een elektronisch uitwisselingssysteem, als de cliënt uitdrukkelijk toestemming heeft gegeven. Toestemming mag niet worden verondersteld. Echter, bij gespecificeerde toestemming op grond van dit wetsvoorstel moet de patiënt bovendien de mogelijkheid krijgen nader te specificeren of deze zorgaanbieder alle of bepaalde gegevens beschikbaar mag stellen en aan welke zorgaanbieders of categorieën van zorgaanbieders hij die gegevens beschikbaar mag stellen. Met het amendement Bruins Slot is het stellen van een toestemmingsvraag die alleen met «ja» of «nee» kan worden beantwoord niet meer mogelijk. Zoals ik in mijn inleiding al aan heb gegeven kan de patiënt wel kiezen om toestemming te geven om alle gegevens beschikbaar te stellen aan alle zorgaanbieders of in het geheel geen toestemming te verlenen voor uitwisseling van zijn gegevens. In die zin kan het antwoord van de patiënt wel een generiek karakter hebben.

Om te zorgen dat de patiënt met deze bepaling ook daadwerkelijk het overzicht houdt is het van belang dat de toestemmingsvraag voldoende helder is voor de patiënt. Indien de toestemmingsvraag op een te hoog detailniveau is gespecificeerd verliest de patiënt het overzicht en schiet de wetgever zijn doel voorbij. Zorgaanbieders maken afspraken welke gegevens moeten worden uitgewisseld voor een bepaalde zorginhoudelijke doelstelling, bijvoorbeeld veilig medicijngebruik. Het ligt in de rede dat in de toestemmingsvraag wordt aangesloten bij deze afspraken. Dit is transparant en overzichtelijk voor de patiënt.

Om te voldoen aan de eisen ten aanzien van gespecificeerde toestemming is het niet noodzakelijk dat de patiënt per zorgaanbieder toestemming kan geven. Indien die optie niet beschikbaar is in het elektronisch uitwisselingssysteem dat de zorgaanbieder gebruikt, heeft de patiënt de keuze tussen categorieën zorgaanbieders. (…)

In de praktijk kan de situatie ontstaan – en ik verwijs naar het door de leden van de fractie van D66 aangehaalde voorbeeld in mijn Memorie van Antwoord van 26 maart 2015 – waarbij «apotheek X in plaats Y tegelijk voor alle apotheken in plaats Y toestemming vraagt om de medicatiegegevens beschikbaar te stellen». Een cliënt kan immers besluiten om alle of bepaalde gegevens aan bepaalde zorgaanbieders dan wel categorieën van zorgaanbieders beschikbaar te laten stellen. In het geval van het voorbeeld wordt er toestemming gegeven aan de apothekers in plaats Y, zijnde een categorie van zorgaanbieders.

De leden van de fractie van GroenLinks vragen in dit verband of het niet zuiverder is om in plaats van categorieën zorgverleners toestemming te geven, de specificatie te doen slaan op een specifieke zorgverlener. Zoals uit het bovenstaande duidelijk wordt, is het allebei mogelijk, al naar gelang de behoefte van de cliënt en de mogelijkheden van het gebruikte systeem. De Patiëntenfederatie NPCF heeft in haar bijdrage aan de deskundigenbijeenkomst benadrukt dat aan de diverse behoeften van cliënten tegemoet moet worden gekomen en dat de cliënt zelf wil bepalen aan wie hij of zij de eigen medische gegevens toevertrouwt. In het perspectief dat partijen voor ogen hebben, zal de patiënt zelf zijn toestemmingsprofiel kunnen vastleggen, inzien en aanpassen, bijvoorbeeld met behulp van een te ontwikkelen patiëntenportaal. Dit biedt mogelijkheden voor patiënten om op het niveau van individuele zorgverleners toestemming te verlenen. Indien deze optie niet beschikbaar is in het systeem van de zorgaanbieder heeft de patiënt de keuze tussen categorieën zorgaanbieders. In het verlengde daarvan en tevens in antwoord op de vraag van de leden van de fractie van D66, mag een cliënt alle categorieën, geen enkele categorie of bepaalde categorieën van zorgaanbieders aanwijzen. De leden van de fractie van D66 vragen hoe en door wie deze categorieën worden bepaald.

De leden van de fractie van SP veronderstellen dat zo lang er geen categorieën zijn vastgesteld, het voor zowel de zorgaanbieder als de cliënt onduidelijk is waarvoor toestemming is gegeven. De uitwerking en vaststelling van de categorieën zorgaanbieders wordt opgepakt door de betrokken partijen bij de verdere uitwerking. Overigens, het is niet zo dat er in het geheel geen categorieën te benoemen zijn waarvan voor iedereen de reikwijdte helder is. Voor zowel patiënt als zorgaanbieder zijn zorginstellingen als ziekenhuizen, apotheken of huisartspraktijken heldere categorieën.

Het antwoord op de vraag van de leden van de fractie van SP waarom ik vasthoud aan het vereiste van gespecificeerde toestemming is dat ik recht wil doen aan het amendement Bruins Slot.

(…)

In mijn inleiding heb ik toegelicht hoe ik tegemoet kom aan de zorgen over de uitvoerbaarheid van dit wetsvoorstel en hoe partijen samen toe gaan werken naar een eindperspectief waarin de patiënt zelf regie voert over zijn toestemmingsprofiel. (…)

(...)

De leden van de SP-fractie vragen uiteen te zetten wat het verschil is tussen opt-in, specifieke toestemming en gespecificeerde toestemming.

De opt-in systematiek houdt in dat voorafgaand aan het beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem, toestemming van de cliënt vereist is. Op deze wijze kan de cliënt actief bepalen al dan niet deel te willen nemen aan de uitwisseling van zijn medische gegevens. Opt-outsystemen zijn niet toegestaan. In art. 1, sub i, van de Wbp staat als definitie van toestemming van betrokkene: «elke vrije, specifieke en op informatie berustende wilsuiting», waarbij «specifiek» betekent dat duidelijk is welke verwerking van welke gegevens, voor welk doel en aan wie kunnen worden verstrekt. Dit heeft betrekking op uitwisseling van gegevens in het algemeen en ziet niet specifiek op medische gegevens. Specifieke toestemming vragen op grond van de Wbp is mogelijk met een vraag waarop de cliënt met een eenvoudig «ja» of «nee» kan antwoorden, mits de vraag voldoende specifiek is gemaakt.

Gespecificeerde toestemming op grond van dit wetsvoorstel houdt in dat de cliënt bij het geven van toestemming aangeeft welke gegevens hij beschikbaar wil laten stellen en aan welke zorgaanbieders of categorieën van zorgaanbieders hij die gegevens beschikbaar wil stellen. Dit is een vraag die niet met een eenvoudig «ja» of «nee» kan worden beantwoord. Alle (categorieën van) zorgaanbieders die hij niet heeft benoemd zijn automatisch uitgesloten om zijn gegevens die beschikbaar zijn in een elektronisch uitwisselingssysteem te raadplegen. De doelstelling van gespecificeerde toestemming is om de cliënt bewust keuzes te laten maken ten aanzien van het geven van toestemming.

Tevens vragen de leden van de SP-fractie of na het geven van eerdere generieke toestemming (men spreekt van generiek opt-in) er altijd gespecificeerde toestemming (men spreekt van opt-out) moet volgen. De leden van de fractie van D66 stellen een nagenoeg gelijke vraag: is het juist dat na inwerkingtreding van het onderhavige wetsvoorstel een eerder gegeven toestemming ongeldig wordt en opnieuw om toestemming moet worden gevraagd.

Als eerder gegeven toestemming niet uitdrukkelijk is geweest, zal alsnog uitdrukkelijke en gespecificeerde toestemming moeten worden gevraagd. Als wel uitdrukkelijke toestemming is gegeven, kan worden volstaan met het goed informeren van de cliënten over de wetswijziging en hen erop te attenderen dat zij het recht hebben de toestemming nader te specificeren tot bepaalde gegevens of bepaalde categorieën van zorgaanbieders. (…)”

Uit deze uiteenzetting blijkt dat de Wet cliëntenrechten, naast het al bekende begrip “specifieke toestemming” een nieuw begrip introduceert (althans: het begrip ‘specifieke toestemming’ nader invult), namelijk “gespecificeerde toestemming”. Gespecificeerde toestemming houdt in dat de cliënt (patiënt) bij het geven van toestemming aangeeft welke gegevens hij beschikbaar wil laten stellen en aan welke zorgaanbieders of categorieën van zorgaanbieders hij die gegevens beschikbaar wil stellen. Met gespecificeerde toestemming wordt derhalve nader gedifferentieerd voor welke gegevens, voor welke zorgaanbieders of categorieën daarvan, toestemming wordt verleend. Ik ga ervan uit dat een dergelijke, gespecificeerde toestemming, de toestemming is die VPH c.s. voor ogen staat. Ik weet dat echter niet zeker, omdat ook in het nieuwe systeem gewerkt gaat of kan worden met ‘categorieën van zorgaanbieders’.

Uit de nadere memorie van antwoord blijkt echter ook dat de eis dat toestemming gespecificeerd moet zijn, zoals in de nieuwe wet bedoeld, naar huidig recht nog niet geldt. De minister onderkent dat het op dit moment technisch en organisatorisch nog niet mogelijk is een systeem te ontwerpen waarin wordt uitgegaan van gespecificeerde toestemming. Om die reden heeft de regering, na overleg met beroeps- en cliëntenorganisaties, toegezegd de bedoelde eis niet tegelijkertijd met de rest van de Wet cliëntenrechten in werking te laten treden (1 juli 2017), maar pas drie jaar later.116.In de Nota naar aanleiding van Verslag heeft de minister dit herhaald.117.Bij wet van 5 oktober 2016 is de Wet gebruik servicenummer in de zorg gewijzigd in die zin dat de art. 15a en 15b, hiervoor weergegeven, zijn opgenomen.118.Art. IX van de wet van 5 oktober 2016 bepaalt dat de Wet cliëntenrechten bij elektronische verwerking van gegevens op een bij koninklijk besluit te bepalen tijdstip in werking treedt en dat die datum voor de verschillende artikelen en onderdelen verschillend kan worden vastgesteld. Het feit dat art. 15b (de verplichting om toestemming te vragen voor het raadplegen van gegevens), waarover de minister eerder had gezegd dat ze het voornemen heeft om het niet in werking te laten treden,119.toch is opgenomen in de nieuwe wet, betekent dat de mogelijkheid wordt opengelaten dat deze bepaling te zijner tijd toch in werking treedt.

Uit het voorgaande kan worden afgeleid dat na inwerkingtreding van de eis van gespecificeerde toestemming, zoals neergelegd in het te wijzigen art. 15a van de Wet gebruik servicenummer in de zorg, het systeem zoals dat in de onderhavige procedure ter beoordeling voorligt, niet meer rechtmatig is. Nu duidelijk blijkt dat sprake is van een aanscherping van de huidige eisen en het in de bedoeling ligt dat de thans fungerende uitwisselingssystemen daarop zullen worden aangepast, is er geen reden om uit de nieuwe eis consequenties te trekken voor de wijze waarop naar huidig recht beoordeeld moet worden of voldaan is aan het vereiste van ‘specifieke toestemming’.

In het licht van het bovenstaande heeft het hof niet blijk gegeven van een onjuiste rechtsopvatting door het vereiste van een ‘specifieke toestemming’ uit te leggen zoals het heeft gedaan. Daarmee faalt de rechtsklacht van onderdeel 3.4.

Voor de motiveringsklacht van onderdeel 3.5 geldt het volgende. Ook het hof heeft onder ogen gezien dat een verdere mate van gespecificeerdheid van de te verlenen toestemming denkbaar (en wenselijk) is. In dat verband heeft het hof overwogen dat van VZVZ mag worden verwacht dat zij, zodra dit technisch mogelijk en uitvoerbaar is, het systeem ook zodanig aanpast. Zoals hiervoor is besproken, is die aanpassing binnen enkele jaren ook juridisch vereist. Nu naar de huidige stand van het recht de toestemming naar mijn mening voldoet aan de eis van ‘specifieke toestemming’, hoefde het hof aan zijn overweging geen verdere gevolgen te verbinden en zijn oordeel ook niet nader te motiveren. Ook de motiveringsklacht faalt hiermee.

Onderdeel 4 is gericht tegen de volgende overweging in rov. 4.15:

“Wat betreft de eis dat de toestemming op informatie moet berusten, overweegt het hof dat een huisarts die vreest zijn beroepsgeheim te schenden omdat zijn patiënt onvoldoende geïnformeerd toestemming verleent (…) nadere informatie over de zorginfrastructuur kan verschaffen dan wel de patiënt kan verwijzen naar VZVZ voor nadere informatie. Doordat de huisarts kan nagaan of zijn patiënt voldoende heeft begrepen waar zijn toestemming op ziet en ervoor kan zorgen dat de patiënt alsnog voldoende geïnformeerd raakt, kan niet worden geoordeeld dat de huisartsen door VZVZ (dan wel de inrichting van de zorginfrastructuur) worden gedwongen op basis van een onvolkomen toestemming hun geheimhoudingsplicht te schenden. Zoals reeds overwogen onder 4.11 volgt het hof VPH c.s. niet in hun stelling dat van een huisarts niet gevergd kan worden dat hij over de uitwisseling van medische gegevens met zijn patiënt in gesprek gaat. Dit kan immers uitdrukkelijk de wens zijn van die patiënt en ook mogelijk in diens belang met het oog op een goede behandeling in (onder meer) waarneemsituaties.”

Onderdeel 4.1 bevat geen klacht. Onderdeel 4.2 klaagt dat het hof met zijn oordeel over wat tot de taak van een huisarts behoort, blijk geeft van een onjuiste rechtsopvatting, nu een regel zoals weergegeven in de bestreden rechtsoverweging in zijn algemeenheid geen steun vindt in het recht. Het onderdeel stelt dat waartoe een redelijk bekwaam en redelijk handelend huisarts jegens zijn patiënt is gehouden, afhangt van de omstandigheden van het geval.

In de bestreden overweging in rov. 4.15 respondeert het hof op de stelling van VPH c.s. dat VZVZ onrechtmatig zouden handelen jegens de huisartsen omdat zij gedwongen worden hun beroepsgeheim te schenden, door gegevensuitwisseling te laten plaatsvinden op grond van gebrekkige toestemming van de patiënt.120.In die overweging lees ik niet dat het hof van oordeel zou zijn dat de regel geldt dat op de huisarts altijd de verplichting rust om te onderzoeken of de patiënt voldoende geïnformeerd is over het LSP. Daarmee faalt onderdeel 4.2.

Onderdeel 4.3 klaagt dat het hof in de bestreden overweging heeft miskend dat niet de huisarts maar VZVZ, als verantwoordelijke voor de gegevensverwerking, ervoor moet zorgen dat toestemming op voldoende informatie berust. Volgens het onderdeel wordt VZVZ van deze verantwoordelijkheid niet gekweten doordat de huisarts, wanneer dit in het belang van de patiënt is, deze voorlicht over de uitwisseling van medische gegevens via de zorginfrastructuur.

In rov. 4.1 stelt het hof vast dat VZVZ verantwoordelijke is in de zin van art. 1, aanhef en onder d, Wbp. Deze vaststelling is juist, aangezien het VZVZ is die het doel van en de middelen voor de verwerking van de medische persoonsgegevens vaststelt. Dat VZVZ verantwoordelijke is in de zin van de Wbp, is ook niet bestreden in cassatie. Dit laat echter onverlet dat het de eigen huisarts is die verantwoordelijk is voor de inhoud van de gegevens die in het HWD worden opgenomen. Het is immers de huisarts die uit hoofde van de dossierplicht van art. 7:454 BW gehouden is aantekening te houden van de medische gegevens van de patiënt en deze te bewaren (zie onder 4.37). Zoals het hof in rov. 4.1 heeft overwogen, blijft de in het dossier opgenomen informatie decentraal opgeslagen in de eigen systemen van de huisarts of de apotheek van de patiënt. In dit systeem blijft de huisarts inhoudelijk verantwoordelijk voor het dossier van de betrokken patiënt. Hiervan wordt ook uitgegaan in Werkdocument 131 van de Artikel 29-werkgroep inzake de verwerking van persoonsgegevens in elektronische medische dossiers (EMD). In dit Werkdocument worden drie organisatiemogelijkheden voor een elektronisch medisch dossier onderscheiden. Eén van die mogelijkheden is de decentrale opslag zoals in het onderhavige geval aan de orde is. Hierover wordt het volgende opgemerkt:121.

“Bij decentrale opslag, een model dat slechts door de toevoeging van zoekpaden een “systeem” wordt, blijft de bestaande documentatiestructuur van de gezondheidsgegevens bij de verschillende zorgverleners ongewijzigd. (...).

In dit organisatiemodel blijft de zorgverlener/zorginstelling “verantwoordelijk” voor het dossier (meer bepaald het gedeelte van het EMD dat door hem/haar is aangemaakt). (...)”

De verantwoordelijkheid van de huisarts voor de in het HWD opgenomen gegevens van de patiënt maakt dat, naast VZVZ, óók de huisarts verantwoordelijk is in de zin van de Wbp, namelijk voor wat betreft de door hem ter beschikking gestelde gegevens. In het systeem van de Wbp kunnen namelijk meerdere organen of personen als verantwoordelijke worden aangemerkt, zoals reeds volgt uit de in art. 1, aanhef en onder d, Wbp gebruikte woorden ‘alleen of samen met anderen’.122.Zie over de mogelijkheid van meerdere verantwoordelijken voor gegevensverwerking de memorie van toelichting bij art. 1, aanhef en sub d, Wbp:123.

“Een belangrijke nuancering is voorts dat in bepaalde situaties ook sprake kan zijn van gezamenlijke of gedeelde verantwoordelijkheid. De richtlijn houdt hier rekening mee. Het Europees Parlement heeft door een amendement in de definitie van «voor de verwerking verantwoordelijke» door de toevoeging daarin van de zinsnede «alleen of te zamen met anderen» de mogelijkheid van een regeling voor samenwerkende verantwoordelijken getroffen. Deze clausule is overgenomen in het wetsvoorstel. Ten aanzien van een geheel van gegevensverwerkingen is het mogelijk dat meerdere personen of instanties, dus een pluraliteit van verantwoordelijken, als zodanig worden aangemerkt. Daarbij kunnen drie vormen van verantwoordelijkheid onderscheiden worden.

1. Aan de verwerkingen nemen verschillende organisaties deel, er is echter één gemeenschappelijke verantwoordelijke. Deze is aansprakelijk voor de verwerkingen als geheel. Daarnaast zijn de deelnemende organisaties aansprakelijk voor de aangeleverde gegevens. De verantwoordelijke is voor de inhoud daarvan slechts verantwoordelijk naar de mate waarop hij daarover juridische zeggenschap heeft. Te denken valt aan de gegevensverwerking van een ziekenhuis, waarbij de leiding van het ziekenhuis als verantwoordelijke wordt aangemerkt, terwijl de deelnemende medici verantwoordelijk zijn voor de juistheid van de opgenomen gegevens.

(...)”

Gelet op de verantwoordelijkheid van de huisarts voor de inhoud en opname van medische gegevens van de patiënt in het dossier, ligt het in de rede dat op de huisarts de verplichting rust om ervoor te zorgen dat de patiënt die toestemming verleent tot het verstrekken van inlichtingen aan derden, over voldoende informatie beschikt om die toestemming goed geïnformeerd te verlenen. Nu voor opname van de patiëntgegevens in de zorginfrastructuur en het LSP de patiënt aan de huisarts toestemming moet geven voor opheffing van zijn beroepsgeheim, is het noodzakelijk dat de huisarts verifieert of deze toestemming berust op ‘informed consent’. Ook dat brengt mee dat op de huisarts – en niet VZVH – de taak rust om over de uitwisseling van de gegevens in gesprek te gaan met de patiënt. Het is ook (alleen) de huisarts die met de patiënt kan bespreken of bepaalde gegevens wellicht níet in het HWD moeten worden opgenomen. Dat deze taak op de huisarts rust, wordt ook aangenomen in de Richtlijn Omgaan met medische gegevens van de KNMG (mijn onderstreping):124.

“Vanwege het beroepsgeheim verstrekt de arts in beginsel geen medische informatie aan derden. Op deze hoofdregel bestaan verschillende uitzonderingen (…). Een van die uitzonderingen treedt op, wanneer de patiënt expliciet toestemming geeft voor het verstrekken van informatie op verzoek van een derde. Hiervoor moet de patiënt weten met welk doel de gegevens worden opgevraagd en/of verstrekt, wat de inhoud is van de informatie en wat de mogelijke consequenties van de gegevensverstrekking zijn. De arts moet zich ervan vergewissen dat de patiënt hiervan op de hoogte is. In de wet is niet voorgeschreven dat de patiënt de toestemming schriftelijk geeft, maar dit verdient wel de voorkeur. De arts mag van de patiënt verlangen dat hij schriftelijk toestemming geeft, maar hij mag ook besluiten de mondelinge toestemming zelf in het dossier aan te tekenen.”

Het voorgaande leidt tot de conclusie dat ook onderdeel 4.3 faalt.

Onderdeel 5 is gericht tegen rov. 4.20. Daarin overweegt het hof het volgende:

“4.20 Ook de overige door VPH c.s. genoemde klachten kunnen in het licht van het hiervoor overwogene niet leiden tot het oordeel dat VZVZ jegens hen onrechtmatig handelt. Wat betreft de stelling van VPH c.s. dat de doelomschrijving van VZVZ voor deze zorginfrastructuur niet voldoet aan de eis van artikel 7 Wbp, overweegt het hof ten overvloede nog dat onder meer uit de preambule van het Convenant Gebruik Landelijke Zorginfrastructuur 2013-2016 blijkt dat de brancheorganisaties van zorgaanbieders, de Nederlandse Patiënten/Consumenten Federatie, de brancheorganisatie Zorgverzekeraars Nederland en Nictiz hebben afspraken gemaakt over de ontwikkeling en het gebruik van de zorginfrastructuur (aangehaald in 2.6 van het bestreden vonnis) dat de medische persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Het hof verwijst naar hetgeen de rechtbank onder 5.9 van het bestreden vonnis heeft overwogen.”

In rov. 5.9 van het vonnis heeft de rechtbank het volgende overwogen:

“5.9. In de preambule van het Convenant hebben de bij het Convenant betrokken partijen doeleinden geformuleerd (…). De beschreven doeleinden “betere en veiliger zorg”, “het bevorderen van doelmatigheid in de zorg” en “meer betrokkenheid van patiënten bij hun eigen gezondheid” hebben betrekking op de registratie en verwerking van medische persoonsgegeven en vormen naar het oordeel van de rechtbank daarvoor een voldoende rechtvaardiging. Daarbij is in aanmerking genomen dat de noodzaak voor registratie en uitwisseling van medische persoonsgegevens voor een goede en veilige gezondheidszorg algemeen is aanvaard. Dat thans eveneens algemeen is aanvaard dat registratie en uitwisseling plaatsvinden langs elektronische weg blijkt onder meer uit het (…) advies en werkdocument van De Artikel 29 Groep en het advies van het Cbp van 18 januari 2012. In deze documenten wordt niet in twijfel getrokken dat is voldaan aan het vereiste dat het leveren van een betere gezondheidszorg een gerechtvaardigd doel vormt voor de registratie en verwerking van medische persoonsgegevens langs elektronische weg. VPH c.s. erkent dit zelf ook. De omschrijving van de doeleinden in een convenant is naar haar aard in algemene bewoordingen gesteld en zal pas bij de uitwerking daarvan concreter kunnen zijn. De rechtbank acht de in het Convenant gegeven doeleindenomschrijving, anders dan VPH c.s. heeft gesteld, voldoende concreet.”

De onderdelen 5.1 en 5.2 bevatten geen klacht. Onderdeel 5.3 klaagt dat het hof, door zijn oordeel te baseren op de preambule van het Convenant, de feitelijke grondslag heeft aangevuld en art. 24 Rv heeft geschonden. Het onderdeel voert in dat verband aan dat VZVZ het standpunt heeft ingenomen dat VPH c.s. ten onrechte uitsluitend kijkt naar de omschrijving in het Convenant, want: “de doelstellingen die daarin staan vermeld zijn niet gericht aan de betrokkene, uitsluitend van beleidsmatige aard en niet opgesteld met als doel het verwerkingsdoeleinde te bepalen.”125.Volgens het onderdeel volgt hieruit dat ook VZVZ van opvatting is dat de in het Convenant omschreven doeleinden niet voldoen als welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden als bedoeld in art. 7 Wbp. Onderdeel 5.4 neemt tot uitgangspunt dat het hof, net als de rechtbank, aan zijn oordeel ten grondslag heeft gelegd dat ‘de omschrijving van de doeleinden in een convenant naar haar aard in algemene bewoordingen is gesteld en pas bij de uitwerking daarvan concreter kunnen zijn’. Het klaagt dat het hof in dat geval is uitgegaan van een onjuiste rechtsopvatting omtrent art. 7 Wbp, omdat het dan heeft miskend dat dit artikel (althans het element ‘welbepaald’ daarin) eist dat het doel van de verwerking voorafgaand aan die verwerking geformuleerd is, opdat dit een kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet.

Art. 7 Wbp bepaalt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Het woord ‘welbepaald’ houdt volgens de wetsgeschiedenis in dat de doelomschrijving duidelijk moet zijn, niet

zo vaag of ruim bijvoorbeeld dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden over de gegevens nodig zijn voor dat doel of niet. Zie de memorie van toelichting:126.

“Persoonsgegevens mogen enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen. «Welbepaald en uitdrukkelijk omschreven» houdt in dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat. «Welbepaald» houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim bij voorbeeld dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden over de gegevens nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden.”

VZVZ heeft in de passage in de memorie van antwoord waarnaar onderdeel 5.3 verwijst (par. 4.12), aangevoerd dat VPH c.s. in de memorie van grieven, par. 3.6 en 3.9, ten onrechte uitsluitend kijken naar de omschrijving in het Convenant. In deze stelling ligt besloten de opvatting dat de doelstellingen van de zorginfrastructuur ook in andere bronnen (documenten) uiteen worden gezet. De vervolgopmerking van VZVZ dat de in het Convenant vermelde doelstellingen niet gericht zijn aan de betrokkene, uitsluitend van beleidsmatige aard zijn en niet zijn opgesteld met als doel het verwerkingsdoeleinde te bepalen, impliceert niet dat VZVZ van mening zelf van mening zou zijn dat de in het Convenant genoemde doelstellingen niet “welbepaald, uitdrukkelijk omschreven en gerechtvaardigd” zijn. Van een aanvulling van de feitelijke grondslag is geen sprake, nu VPH c.s. zelf de in het Convenant vermelde doelstellingen heeft betrokken in de discussie over de doelomschrijving van de gegevensverwerking.127.Onderdeel 5.3 faalt derhalve.

Het hof verwijst ter onderbouwing van zijn oordeel dat de doelomschrijving van VZVZ voor de zorginfrastructuur aan de eis van art. 7 Wbp voldoet, naar rov. 5.9 van het vonnis van de rechtbank. Deze overweging kan niet anders worden begrepen dan dat de doelomschrijving uit het Convenant naar het oordeel van de rechtbank weliswaar in algemene bewoordingen is gesteld, maar dat die wel als “voldoende concreet” moet worden aangemerkt, dus ook zonder nadere, meer concrete uitwerking. Dit blijkt ook uit de slotzin van rov. 5.9. Hieruit volgt dat de doelomschrijving uit het Convenant, ook zonder nadere uitwerking, naar oordeel van rechtbank en hof voldoet aan de eisen van art. 7 Wbp. Het hof betrekt hierbij blijkens rov. 5.9 ook dat de noodzaak voor registratie en uitwisseling van medische persoonsgegevens voor een goede en veilige gezondheidszorg algemeen is aanvaard. Het voorgaande betekent dat het hof er níet vanuit is gegaan dat de doeleinden van gegevensverwerking niet voorafgaand aan die verwerking is geformuleerd, zoals het onderdeel veronderstelt.

Dit betekent dat ook onderdeel 5.4 niet kan slagen.

De conclusie strekt tot verwerping van het cassatieberoep.

De Procureur-Generaal bij de

Hoge Raad der Nederlanden

A-G