Hof Arnhem-Leeuwarden, 08-03-2016, nr. 200.158.973

Voor het geding in eerste aanleg verwijst het hof naar de inhoud van het vonnis van 23 juli 2014 dat de rechtbank Midden-Nederland heeft gewezen en dat is gepubliceerd onder ECLI:NL:RBMNE:2014:3097.

Het verloop van de procedure blijkt uit:

- de dagvaarding in hoger beroep d.d. 15 oktober 2014,

- de memorie van grieven tevens houdende akte wijziging eis (met producties),

- de memorie van antwoord (met producties),

- de pleidooien overeenkomstig de pleitnotities. Hierbij is akte verleend van de stukken die bij bericht van 24 november 2015 namens VPH c.s. zijn ingebracht.

Na afloop van de pleidooien heeft het hof arrest bepaald.

Het hof gaat in hoger beroep uit van de feiten zoals beschreven in rechtsoverwegingen 2.1 tot en met 2.11 van het vonnis van 23 juli 2014, met dien verstande dat de onder 2.11 genoemde brochure “Uw medische gegevens elektronisch delen?” is vernieuwd en daarin thans is vermeld:

“Betere zorg met de juiste informatie

Artsen en apotheken kunnen uw medische gegevens delen via het LSP (Landelijk Schakelpunt). Zodat u de juiste zorg krijgt. Deze brochure legt uit hoe het LSP werkt. Ook leest u hoe u hier toestemming voor geeft. En u krijgt antwoord op vragen over het LSP.

Komt u ’s avonds of in het weekend bij de waarnemend huisarts op de huisartsenpost of bij een andere apotheek? Ook dan wilt u de juiste zorg krijgen. Daarvoor heeft die andere arts of apotheek de juiste informatie nodig. Dit kan met het LSP. Het LSP is een beveiligd netwerk. Artsen en apotheken kunnen hun computersysteem hierop aansluiten. Via dit netwerk kunnen zij de belangrijkste gegevens in uw dossiers bij uw eigen huisarts en apotheek opvragen. Uw medische gegevens zijn dan altijd beschikbaar. Ook ’s avonds en in het weekend. Maar alleen als uw huisarts en uw apotheek die gegevens hebben aangemeld bij het LSP. Daar hebben zij uw toestemming voor nodig!

(…)

Zijn uw huisarts en apotheek aangesloten op het LSP? Dan vragen zij u om toestemming. Als u toestemming geeft, meldt uw huisarts of apotheek de belangrijkste gegevens uit uw dossier aan bij het LSP. Waarnemend huisartsen op de huisartsenpost kunnen die medische gegevens dan inzien. Andere apotheken en medisch specialisten in het ziekenhuis kunnen alleen uw medicatiegegevens inzien. Uw gegevens blijven in het computersysteem van uw eigen huisarts of apotheek staan.

Stel, u wordt ’s avonds of in het weekend onverwachts ziek

Of u krijgt een ongeluk. Dan komt u op de huisartsenpost of in het ziekenhuis. Daar helpt een andere arts u.

De andere arts vraagt uw belangrijkste medische gegevens op

Dit doet hij alleen als het nodig is voor uw behandeling. Met uw burgerservicenummer (BSN) kan hij uw belangrijkste medische gegevens inzien. Zo weet hij waar hij rekening mee moet houden. Bijvoorbeeld met andere klachten die u heeft of medicijnen die u gebruikt.

U haalt misschien ook medicijnen bij een andere apotheek

Omdat uw eigen apotheek gesloten is. Die andere apotheek kan via het LSP zien welke medicijnen u van uw eigen apotheek krijgt. Zo weet hij of de medicijnen die u krijgt goed samengaan met andere medicijnen. En of u allergisch bent voor bepaalde medicijnen.

(…)

Goed om te weten

U kunt een deel van uw medische gegevens afschermen

Wilt u niet dat al uw gegevens zichtbaar zijn via het LSP? U heeft het recht bepaalde gegevens te laten afschermen. Overleg dit met uw huisarts en/of uw apotheek. Andere artsen en apotheken kunnen deze gegevens dan niet zien als ze uw gegevens opvragen via het LSP. Ze zien ook niet dat u bepaalde gegevens afschermt. Ook niet in spoedsituaties.

Goed om te weten

U kunt uw toestemming altijd weer intrekken

Dat kunt u tegen uw huisarts en apotheek zeggen. Of u geeft het online door via www.vzvz.nl. Trekt u uw toestemming in? Dan kunnen andere artsen en apotheken uw medische gegevens niet meer opvragen via het LSP.

Vraag & Antwoord

(…)

4. Stel, ik geef toestemming. Welke zorgverleners kunnen dan mijn gegevens opvragen?

Zorgverleners in uw regio die zijn aangesloten op het LSP. Dat gaat om:

 huisartsen

 huisartsenposten (waarnemend huisartsen)

 (dienst)apotheken

 ziekenhuisapotheken

 medisch specialisten (ook buiten uw regio)

(…)

5. Welke gegevens kunnen zorgverleners inzien via het LSP?

1. Aangesloten zorgverleners kunnen de volgende gegevens van u zien:

 Uw persoonlijke gegevens: naam, adres, geboortedatum, leeftijd, geslacht en burgerservicenummer (BSN).

 Een overzicht van de medicijnen die u heeft gekregen van uw apotheek.

2. Vraagt een waarnemend huisarts, bijvoorbeeld op de huisartsenpost, uw gegevens op via het LSP? Dan ziet hij naast uw persoonlijke en medicatiegegevens ook een samenvatting van uw dossier bij uw huisarts. In deze samenvatting staan:

 de problemen die u met uw gezondheid heeft.

 de medicijnen die de huisarts u heeft voorgeschreven.

 de allergieën die u heeft.

 informatie over de contacten met u in de afgelopen 4 maanden (of over de laatste 5 contacten).

 andere informatie die belangrijk die voor een waarnemend huisarts.

(…)

8. Hoe veilig is het LSP?

Het LSP voldoet aan de Wet bescherming persoonsgegevens (Wbp) en de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Deze wetten beschermen het gebruik van uw persoonlijke en medische gegevens. Het LSP beschermt uw privacy op verschillende manieren:

 Een zorgverlener kan niet zomaar aansluiten op het LSP. Zijn computersysteem moet bijvoorbeeld voldoen aan strenge beveiligingseisen.

 U moet eerst toestemming geven. Zonder uw toestemming kunnen uw huisarts en apotheek uw gegevens niet beschikbaar stellen.

 Een zorgverlener mag uw gegevens alleen opvragen als hij u behandelt. En alleen als het nodig is voor uw behandeling.

 Een zorgverlener vraagt uw gegevens op via een beveiligd netwerk. De zorgverlener logt in met een speciale pas en wachtwoord. Het LSP verstuurt de gegevens versleuteld.

 Er is streng toezicht op gebruik van het LSP. Het LSP legt nauwkeurig vast wie wanneer welke gegevens opvraagt. Zo is altijd te controleren of uw gegevens terecht zijn opgevraagd. En kan eventueel misbruik snel worden gesignaleerd. Het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) houden toezicht.

9. Waar is VZVZ verantwoordelijk voor?

VZVZ is verantwoordelijk voor de uitwisseling van persoonsgegevens via het LSP:

 VZVZ zorgt dat het LSP goed werkt en beveiligd is. Bijvoorbeeld dat een waarnemend huisarts wel een samenvatting van uw dossier bij uw huisarts kan zien. Maar een apotheek niet.

 VZVZ houdt bij welke zorgverlener uw gegevens beschikbaar stelt via het LSP.

 VZVZ houdt bij welke zorgverlener uw gegevens opvraagt via het LSP.

(…)”.

De onderhavige zaak heeft betrekking op de in 2012 ingevoerde landelijke infrastructuur voor elektronische gegevensuitwisseling in de zorg (hierna: de zorginfrastructuur).

VZVZ is verantwoordelijke in de zin van artikel 1 aanhef en onder d Wet bescherming persoonsgegevens (Wbp). VPH is een vereniging van huisartsen, [appellant 2], [appellant 3] en [appellant 4] zijn huisartsen en [appellant 5] is een patiënt/consument.

VPH c.s. hebben bezwaren tegen de inrichting en het gebruik van de zorginfrastructuur. Centraal in de zorginfrastructuur staat de centrale verwijsindex (de index die aangeeft bij welke zorgverleners – huisartsen en apothekers – zich patiëntgegevens bevinden; ook wel het Landelijk Schakelpunt (LSP) genoemd). De informatie blijft decentraal opgeslagen in de eigen systemen van de huisarts of de apotheek van de betrokken patiënt, maar op basis van een (bij die zorgverlener in het systeem geregistreerde) schriftelijke toestemming kunnen aangesloten zorgaanbieders die een behandelrelatie hebben met de patiënt (althans die dat in het systeem aangeven), via het LSP (met behulp van een unieke UZI-pas met pincode) toegang krijgen tot bepaalde onderdelen uit de dossiers van aangesloten huisartsen en apothekers. VZVZ neemt, op basis van voornoemde toestemming, een verwijzing naar een specifiek dossier bij een zorgverlener op in de verwijsindex en faciliteert de gegevensuitwisseling.

De twee belangrijkste bezwaren van appellanten sub 1 tot en met 4 zijn:

- dat de zorginfrastructuur niet zodanig is ingericht dat zij – in lijn met het medisch beroepsgeheim – kunnen aangeven welke informatie voor een specifiek gekend doel mag worden verstrekt aan een gekende derde;

- dat de door VZVZ gevraagde toestemming van de patiënt juridisch gebrekkig is en onvoldoende grondslag vormt voor het doorbreken van het beroepsgeheim.

Het bezwaar van [appellant 5] ziet op de haars inziens onnodige schending door VZVZ van haar recht op bescherming van haar persoonlijke levenssfeer, waar het gaat om het behoud van de vertrouwelijkheid bij de behandeling en de bescherming van haar medische persoonsgegevens in de zin van artikel 16 Wbp.

De op onrechtmatige daad gestoelde vorderingen van VPH c.s. zijn door de rechtbank afgewezen. De daartegen gerichte grieven leggen het geschil in volle omvang ter beoordeling aan het hof voor en lenen zich voor gezamenlijke behandeling.

In hoger beroep vorderen VPH c.s., na wijziging van eis, samengevat weergegeven:

Primair:

Subsidiair:

3. VZVZ op grond van onrechtmatige daad jegens appellanten te veroordelen tot het onmiddellijk staken en gestaakt houden van alle handelingen gericht op het uitwisselen van patiëntgegevens via het LSP of enige andere ICT-toepassing die strijd oplevert met artikel 8 EVRM, de Wbp, de Wgbo en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgverleners;

of als vordering sub 3 wordt afgewezen:

4. VZVZ op grond van onrechtmatige daad jegens appellanten te gebieden de voorbereiding, invoering en uitvoering van de huidige zorginfrastructuur te staken en gestaakt te houden, totdat in plaats daarvan is voorzien in een systeem van uitwisseling van patiëntengegevens waarbij tenminste sprake is van uitdrukkelijke toestemming als bedoeld in artikel 23 lid 1 onder a Wbp en 7:457 lid 1 BW en de zorgverlener uit wiens patiëntendossier gegevens kunnen worden opgevraagd:

- kan beoordelen of de gevraagde gegevens relevant en passend zijn voor het doel van de opvraging;

- kan bepalen welke zorgverleners geautoriseerd zijn;

- kan controleren of de opvraging authentiek is, plaatsvindt door een geautoriseerde partij en dat geen ander de opgevraagde gegevens kan inzien;

of als vordering sub 4 wordt afgewezen:

5. VZVZ op grond van onrechtmatige daad jegens appellanten te gebieden de voorbereiding, invoering en uitvoering van de huidige zorginfrastructuur te staken en gestaakt te houden, totdat in plaats daarvan is voorzien in een systeem van uitwisseling van patiëntengegevens, waarbij de toegangscontrole tot gegevens behouden blijft voor de zorgverlener uit wiens dossier de gegevens gegenereerd worden;

of als vordering sub 5 wordt afgewezen:

6. te verklaren voor recht dat de toestemmingen van patiënten voor het uitwisselen van medische gegevens via het LSP onvoldoende grondslag vormen voor een rechtmatige gegevensuitwisseling en te bepalen dat die uitwisseling, binnen een door het hof te bepalen termijn, niet langer is toegestaan;

of als vordering sub 6 wordt afgewezen:

7. te bepalen dat VZVZ onrechtmatig handelt jegens appellanten en haar op grond daarvan te gebieden de zorginfrastructuur binnen uiterlijk een jaar na het wijzen van arrest zodanig aan te passen dat uitsluitend voor de actuele zorgbehoefte van de patiënt noodzakelijke medische persoonsgegevens uit het brondossier opvraagbaar kunnen worden gemaakt;

Meest subsidiair:

8. VZVZ op grond van onrechtmatige daad jegens appellanten te gebieden binnen een jaar na het wijzen van arrest de afzonderlijke doelen van LSP welbepaald te definiëren, te onderzoeken wat voor elk doel het minst inbreukmakende middel is en de zorginfrastructuur hierop aan te passen en binnen dezelfde termijn een gemotiveerd rapport op te stellen (waarin staat voor welke doeleinden het LSP in aangepaste vorm toegepast kan worden) dat ter kennis wordt gebracht aan appellanten;

Primair t/m meest subsidiair:

9. VZVZ te veroordelen in de proceskosten van beide instanties, waaronder de nakosten.

Het hof merkt allereerst op dat tijdens de pleidooien in hoger beroep is komen vast te staan dat slechts de bij de zorginfrastructuur aangesloten waarnemend huisartsen via het LSP toegang kunnen krijgen tot een huisartsenwaarneemdossier (HWD) van een aangesloten huisarts, waarin naast persoonlijke gegevens (naam, adres, geboortedatum, leeftijd, geslacht en burgerservicenummer) en een overzicht van de door de apotheek verstrekte medicijnen, ook een uit het dossier van de huisarts gegenereerde professionele samenvatting is opgenomen, blijkens de door VPH c.s. bij inleidende dagvaarding overgelegde productie 11 bevattende:

- episodes: alle open episodes (naam, datum laatste contact en ICPC);

- journaal: alle contacten van de laatste vier maanden en tenminste de laatste vijf contacten;

- medicatie: alle voorgeschreven medicatie van de laatste vier maanden;

- metingen: alle metingen en uitslagen (NHG codetabel 45, diagnostische bepalingen) binnen de periode van het opgeleverde journaal;

- contra-indicaties: alle relevante informatie over comorbiditeit, geneesmiddelenintoleranties en -allergieën;

- overdrachtgegevens: gegevens over de actuele toestand van de patiënt die de huisarts van belang acht voor de waarnemer;

- huisarts: identiteitsgegevens van de huisarts en de praktijk.

Tussen partijen is komen vast te staan dat alle overige aangesloten zorgaanbieders (tot nu toe slechts (ziekenhuis)apothekers, medisch specialisten en spoedeisende hulp-artsen (SEH-artsen)) via het LSP alleen toegang kunnen krijgen tot een elektronisch medicatiedossier (EMD), waarin naast voormelde persoonlijke gegevens en een – voor zover de patiënt de apotheek daartoe toestemming heeft gegeven – overzicht van de door de apotheek verstrekte medicijnen, slechts zijn opgenomen de uit het huisartsendossier van aangesloten huisartsen afkomstige ICA-gegevens (gegevens over intoleranties, contra-indicaties en allergieën).

Vaststaat ook dat de huisarts (in overleg met de patiënt) informatie door middel van afscherming kan uitsluiten van opname in het HWD of EMD en daarmee van gegevensuitwisseling aan informatie opvragende zorgverleners.

Het hof stelt voorop dat VHP c.s. geen klachten hebben aangevoerd over opname door apothekers van gegevens in het EMD. Onder appellanten bevinden zich ook geen apothekers. De klachten zien klaarblijkelijk enkel op de inzage door huisartsenwaarnemers van het HWD en op inzage door andere aangesloten zorgaanbieders van de (uit de huisartsdossiers afkomstige) ICA-gegevens in het EMD. In het navolgende zal het hof dan ook slechts ingaan op de vraag of de verwerking van die uit de huisartsendossiers afkomstige medische gegevens op de in de zorginfrastructuur voorziene wijze onrechtmatig is.

De rechtbank heeft in de r.o. 5.1 tot en met 5.6 het – onbestreden – toetsingskader weergegeven. Voor de overzichtelijkheid haalt het hof hier nog kort een aantal bepalingen uit de Wbp aan.

In artikel 9 lid 4 Wbp, opgenomen in paragraaf 1 van hoofdstuk 2 “De verwerking van persoonsgegevens in het algemeen” is bepaald dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat.

Artikel 16 Wbp, opgenomen in paragraaf 2 van hoofdstuk 2 “De verwerking van bijzondere persoonsgegevens”, bepaalt dat de verwerking van persoonsgegevens betreffende onder meer iemands gezondheid verboden is behoudens het bepaalde in deze paragraaf.

Artikel 21 lid 1 en onder a Wbp, opgenomen in dezelfde paragraaf, bepaalt dat het verbod van artikel 16 kan worden doorbroken indien de verwerking geschiedt door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is.

In artikel 23 lid 1 en onder a Wbp, eveneens opgenomen in dezelfde paragraaf, is bepaald dat (onverminderd de artikelen 17 tot en met 22) het verbod om persoonsgegevens als bedoeld in artikel 16 te verwerken niet van toepassing is voor zover dit geschiedt met uitdrukkelijke toestemming van de betrokkene.

Toestemming is in artikel 1, aanhef en onder i Wbp gedefinieerd als: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.

Omdat VPH c.s. de gestelde onrechtmatigheid baseren op de stellingen dat artsen (gezien de inrichting van de zorginfrastructuur en de gebreken aan de toestemming) de facto gedwongen worden ongerechtvaardigd inbreuk op hun beroepsgeheim te maken en dat wat betreft [appellant 5] onnodig inbreuk wordt gemaakt op bescherming van haar persoonlijke levenssfeer (meer in het bijzonder haar medische persoonsgegevens), heeft het hof, in het licht van artikel 16 Wbp, onder meer te beoordelen of met de wijze waarop de procedure tot het verlenen van toestemming voor de verwerking van persoonsgegevens is vormgegeven, voldoende is gewaarborgd dat wordt voldaan aan de in artikel 23 Wbp en artikel 7:457 BW gestelde eis dat de betrokkene uitdrukkelijk (vrijwillig gegeven, voldoende specifieke en op informatie berustende) toestemming heeft verleend voor de verwerking van medische persoonsgegevens. Daarbij zal worden ingegaan op de vraag of, wanneer sprake is van rechtsgeldige toestemming, nog betekenis toekomt aan artikel 9 lid 4 Wbp en dus (zoals VPH c.s. betogen en VZVZ betwist) ook in dat geval verwerking van persoonsgegevens die niet noodzakelijk zijn in verband met de actuele zorgbehoefte van de patiënt achterwege dient te blijven omdat wettelijke geheimhoudingsplichten (voortvloeiend uit artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg, hierna wet BIG, artikel 7:457 BW en artikel 272 WvS) daaraan in de weg staan.

Uit voormelde formulering van artikel 23 lid 1 en onder a Wbp blijkt dat het verbod om medische persoonsgegevens te verwerken niet geldt wanneer de patiënt daartoe uitdrukkelijk toestemming geeft. In de Memorie van Toelichting (MvT) is bij artikel 23 Wbp opgenomen dat de bepaling voorschriften bevat voor de gevallen dat het verwerken van gevoelige gegevens niet in de daaraan voorafgaande eerdere artikelen is geregeld, waarmee het artikel kan worden beschouwd als een algemene restbepaling waarin voor het verwerken van de betrokken gegevens een ontheffing van het verwerkingsverbod van artikel 16 kan gelden. Verder is daar nog toegelicht dat de betrokkene expliciet zijn wil omtrent de verwerking dient te hebben geuit; een stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking.

Alhoewel in de MvT op pagina 101 ten aanzien van artikel 16 is opgenomen dat ingeval van doorbreking van een verwerkingsverbod op grond van artikel 17 tot en met 23 aan de hand van de algemene beginselen van gegevensverwerking – zoals vastgelegd in artikel 6 tot en met 15 van het wetsvoorstel – moet worden vastgesteld of de gegevensverwerking in het concrete geval rechtmatig is, komt naar het oordeel van het hof in het onderhavige kader, uitgaande van een expliciete wilsuiting van een patiënt om zijn medische gegevens (in dit geval ten behoeve van toekomstige behandelaars) te verwerken, waarbij de toestemming een vrije, specifieke en op informatie berustende wilsuiting moet zijn, geen betekenis meer toe aan artikel 9 lid 4 Wbp. Deze uitzondering op het normale stramien van de Wbp vindt naar het oordeel van het hof zijn rechtvaardiging in het feit dat (anders dan het geval is bij de overige in artikelen 17 tot en met 23 gegeven ontheffingsgronden) de rechtvaardigingsgrond voor de onderhavige ontheffing besloten ligt in het handelen of het gedrag van de betrokkene zelf, terwijl de ratio van de geheimhoudingsplicht grotendeels is gelegen in het belang van die betrokken patiënt. In geval een patiënt een expliciete en rechtsgeldige toestemming heeft verleend om zijn medische gegevens te verwerken, waarmee het in artikel 16 specifiek hierop gerichte verbod is doorbroken, moet de conclusie zijn dat een (in artikel 9 lid 4 bedoelde) geheimhoudingsplicht niet aan verwerking van die gegevens in de weg staat. Met de in artikel 23 lid 1 onder a gegeven mogelijkheid om op basis van de uitdrukkelijk uitgesproken wens van de betrokken patiënt het verbod van artikel 16 te doorbreken, valt immers niet te rijmen dat artikel 9 lid 4 de arts een categorisch verbod zou opleggen om medische gegevens, waarvoor ingevolge artikel 88 wet BIG altijd een geheimhoudingsplicht geldt, te verwerken. VPH c.s. hebben onvoldoende gemotiveerd, en ook overigens valt niet in te zien, waarom artikel 9 lid 4 zodanig gelezen moet worden dat de ontheffingsgrond van artikel 21 lid 1 onder a (verwerking is noodzakelijk voor een goede behandeling of verzorging van de betrokkene dan wel voor het beheer van de gezondheidsinstelling of beroepspraktijk) niet en de ontheffingsgrond van artikel 23 lid 1 onder a (de uitdrukkelijke toestemming van de betrokkene) wel zou maken dat de geheimhoudingsplicht van de arts aan verwerking van medische gegevens in de weg staat. Niet kan dus worden aanvaard de stelling van VPH c.s. dat de consequentie van artikel 9 lid 4 is dat huisartsen ook bij een rechtsgeldige toestemming van patiënten om in de toekomst medische gegevens via de zorginfrastructuur te verzenden, slechts gegevens mogen verwerken waarvan voorafgaand aan elke concrete gegevensuitwisseling door de huisarts van de patiënt is vastgesteld dat die noodzakelijk zijn in verband met de actuele zorgbehoefte van de patiënt.

Het hof vindt steun voor voormelde uitleg van de Wbp in de zienswijze van het College Bescherming Persoonsgegevens (CBP, thans geheten Autoriteit Persoonsgegevens), als toezichthouder op de verwerking van persoonsgegevens, over het doorstartmodel voor landelijke uitwisseling medische gegevens van 9 augustus 2011 en de daarop volgende brief van CBP aan VZVZ van 18 januari 2012. Op verzoek van het Nederlands Instituut voor ICT in de zorg (Nictiz) heeft het CBP voormelde zienswijze uitgebracht over een aantal rechtsvragen die betrekking hebben op de juridische toelaatbaarheid van het doorstartmodel (de private voortzetting van de in het kader van het Elektronisch patiëntendossier (EPD) ontwikkelde zorginfrastructuur). De vragen die Nictiz aan het CBP heeft voorgelegd hadden betrekking op de vraag of VZVZ medische persoonsgegevens zou mogen verwerken zonder uitdrukkelijke toestemming van de patiënt. Daarbij heeft het CBP nadrukkelijk aandacht besteed aan de achtergrond en systematiek van de Wbp – als uitwerking van de Richtlijn nr. 95/46/EG van 23 november 1995, de Richtlijn gegevensbescherming –, meer in het bijzonder aan het medisch beroepsgeheim en artikel 9 lid 4 Wbp, en aan de Wgbo. Het CBP heeft in zijn zienswijze onder meer opgenomen:

“Nu uit de antwoorden op vraag 1 en 2 blijkt dat voor de gegevensverwerking door VZZ [hof: zo noemt het CBP VZVZ] geen beroep mogelijk is op artikel 21 eerste lid onder 1 Wbp en ook niet op artikel 7:457 tweede lid BW, blijft voor de gegevensverwerking door VZZ, vanwege het wegvallen van uitzicht op een specifieke wettelijke regeling, uitsluitend een beroep over op ‘uitdrukkelijke toestemming’ zoals bedoeld in artikel 23 eerste lid onder a Wbp”.

Vervolgens heeft VZVZ aan het CBP toegezonden het Doorstartmodel van 21 december 2011 van de Landelijke Huisartsen Vereniging, de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie, de Vereniging Huisartsenposten Nederland en de Nederlandse Vereniging van Ziekenhuizen (welk model ten grondslag ligt aan de vanaf 2012 ingevoerde zorginfrastructuur). Dat model gaat (in tegenstelling tot het eerder voorgelegde model) wel uit van de uitdrukkelijke toestemming van de patiënt. In het Doorstartmodel van 21 december 2011 is dienaangaande opgenomen:

“Uitdrukkelijke toestemming patiënt grondslag voor rechtmatige verwerking (opt-in)

De zorgaanbieders zijn van mening dat primair de keuze van de patiënt bepalend is voor de gegevensuitwisseling. Dat betekent dat voor de aanmelding van de gegevens van de patiënt bij het systeem en het opnemen van gegevens in de verwijsindex uitgegaan wordt van de uitdrukkelijke toestemming van patiënten. Hiermee wordt aangesloten bij de zienswijze van het CBP, waarin het CBP heeft aangegeven dat deze grondslag vereist is voor een dergelijke elektronische gegevensuitwisseling. Dit nieuwe model wordt als volgt ingericht. Elke zorgaanbieder die gegevens uit het dossier van zijn patiënt voor raadpleging (pull) door andere zorgaanbieders (voorafgaand) beschikbaar wil stellen, vraagt daarvoor toestemming aan de patiënt. De zorgaanbieder registreert de toestemming of het onthouden van toestemming in zijn eigen zorginformatiesysteem. Wanneer een patiënt een eenmaal gegeven toestemming wil intrekken richt hij zich tot de zorgaanbieder of zorgaanbieders bij wie hij de toestemming wil intrekken. De zorgaanbieder registreert het bezwaar in zijn eigen systeem, verwijdert de aanmelding op de verwijsindex en stelt de patiëntgegevens die hij van de patiënt beheert niet langer beschikbaar. De zorgaanbieders zullen zorgdragen voor een goede procedure, begeleid door juiste, gerichte en voor geïnformeerde toestemming toereikende, informatie. De betrokkene heeft daarnaast het recht zich, voor het intrekken van zijn toestemming bij alle zorgaanbieders tegelijk, rechtstreeks tot de VVZ te wenden.”

Daarop heeft het CBP bij brief van 21 december 2011 onder meer geschreven:

“Het bijbehorend Doorstartmodel is op 21 december 2011 (…) van u ontvangen. De betreffende documentatie is inmiddels door het CBP bestudeerd. Hierbij heeft het CBP vooral de volgende aspecten betrokken:

- gaat het model uit van toestemming van de patiënt/burger voor de gegevensverwerking(en) conform de zienswijze van het CBP van 9 augustus 2011;

- is de verantwoordelijkheid voor de gegevensverwerking helder belegd;

- hoe kan de betrokkene straks zijn rechten ingevolge de Wet bescherming persoonsgegevens (Wbp) effectueren;

- wordt de juiste (normering van de) informatiebeveiliging gehanteerd;

- is helder geregeld wie toegang krijgen tot het landelijk EPD;

- wat is de duur van de zogeheten transitiefase.

De conclusie luidt dat het CBP op basis van het Doorstartmodel op dit moment geen bijzondere risico’s op overtreding van de Wbp onderkent in verband met de verwerkingen die vanaf 1 januari 2012 onder verantwoordelijkheid van de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VVZ) plaatsvinden.”

Uit voormelde documenten blijkt naar het oordeel van het hof afdoende dat het CBP het onderhavige systeem van verlenen van toestemming, waarbij de patiënt per (informatie verstrekkende) zorgaanbieder een eenmalige uitdrukkelijke toestemming verleent om zijn medische persoonsgegevens ten behoeve van toekomstige gegevensuitwisseling te verwerken, in overeenstemming acht met de systematiek van de Wbp en artikel 7:457 BW voor doorbreking van het verwerkingsverbod en het beroepsgeheim, en dat het in dat kader geen rol toekent aan artikel 9 lid 4 Wbp.

Het voorgaande leidt ertoe dat het hof met het CBP van oordeel is dat het inrichten en gebruiken van een zorginfrastructuur waarbij gegevens worden verwerkt op grond van een eenmalige op voorhand gegeven toestemming door de patiënt nog niet betekent dat een ongerechtvaardigde inbreuk op de persoonlijke levenssfeer van de patiënt wordt gemaakt. Het hof volgt VPH c.s. gelet op het voorgaande ook niet in hun stelling dat een dergelijke toestemming geen gerechtvaardigde doorbreking van de geheimhoudingsverplichting van de (informatie verstrekkende) zorgverlener kan opleveren. In dat kader acht het hof nog van belang dat de mogelijkheid bestaat, en dat patiënten daar in de informatiebrochure ook op worden gewezen (terwijl de huisarts hen er ook nog op kan wijzen), om informatie af te schermen. Alle informatie die de patiënt niet wenst te delen met toekomstige behandelaars, kan aldus worden uitgesloten van de gegevensuitwisseling.

Bovendien merkt het hof nog op dat de professionele samenvatting (waar de door VPH c.s. geuite bezwaren met name op zien) slechts wordt opgenomen in het HWD, waarmee die gegevens slechts inzichtelijk zijn voor waarnemend huisartsen (zie 4.3). Voor deze waarnemers geldt ook in de Wgbo een ander regime dan voor andere zorgverleners. In artikel 7:457 lid 2 BW is immers bepaald dat het in het eerste lid van dat artikel neergelegde verbod tot verstrekking van medische gegevens van een patiënt aan een derde, niet geldt ten opzichte van degene die optreedt als vervanger van de hulpverlener. Zeker waar het betreft de situatie waar de patiënt medische hulp behoeft terwijl de eigen huisarts afwezig is, valt niet in te zien hoe tegemoet gekomen kan worden aan de wens van VPH c.s. dat de eigen huisarts altijd voorafgaand aan gegevensuitwisseling moet kunnen toetsen welke informatie relevant is voor het doel van de uitwisseling.

Zoals uit het hiervoor overwogene reeds blijkt, is wel nodig dat de toestemming uit vrije wil wordt verleend, voldoende specifiek is en gebaseerd is op voldoende informatie (informed consent).

Met betrekking tot het eerste aspect (de vrije wil) verwijst het hof naar, en neemt over, hetgeen de rechtbank hieromtrent onder 5.13 en 5.14 van het bestreden vonnis heeft overwogen. Daarbij merkt het hof nog op dat het VPH c.s. niet volgt in hun stelling dat van de huisarts niet kan worden gevergd om te toetsen of de patiënt daadwerkelijk wil dat zijn medische gegevens in het HWD en/of EMD terecht komen. Niet valt in te zien waarom het niet tot de taak van een huisarts zou behoren om met zijn patiënt te bespreken of hij wenst dat een waarnemend huisarts het HWD kan raadplegen en dat de overige aangesloten zorgaanbieders (zie 4.3) voorafgaand aan een behandeling de ICA-gegevens kunnen inzien. Dat kan immers van belang zijn voor een toekomstige behandeling van de patiënt. Bovendien staat vast dat, op basis van het in artikel 7:457 lid 2 BW bepaalde, buiten deze zorginfrastructuur ook medische gegevens aan waarnemers worden doorgegeven, zonder dat daarbij toestemming aan de patiënt is gevraagd. VPH c.s. heeft immers niet betwist dat OZIS, het systeem dat voorafgaand aan de huidige zorginfrastructuur en op sommige plaatsen ook nu nog regelmatig gebruikt werd/wordt voor gegevensuitwisseling tussen huisartsen en hun waarnemers (en dat volgens VPH c.s. de voorkeur verdient boven de onderhavige zorginfrastructuur en dat net als deze zorginfrastructuur inzage geeft in vooraf gedefinieerde gegevenssets), in het geheel niet voorziet in het vragen van toestemming aan patiënten, terwijl in andere huisartsenwaarneemsystemen zelfs het gehele dossier inzichtelijk is. In zoverre betekent het huidige systeem waarin de patiënt toestemming wordt gevraagd voor het delen van zijn gegevens in het HWD een verbetering van de privacy-rechten van de patiënt.

Met betrekking tot het tweede aspect (de specifieke toestemming) verwijst het hof naar, en neemt over, hetgeen de rechtbank hieromtrent onder 5.15 en 5.16 in het bestreden vonnis heeft overwogen. Met de rechtbank is het hof van oordeel dat voor een voldoende specifieke wilsuiting niet nodig is dat degene die toestemming verleent op dat moment reeds bekend is met de inhoud van de gegevens die zullen worden uitgewisseld. Zeker wanneer het doel van de gegevensuitwisseling op grond van het HWD (waar de voornaamste bezwaren tegen worden geuit) in ogenschouw wordt genomen, geldt immers dat het op voorhand moeilijk is om te voorzien wanneer een waarneemsituatie zich zal voordoen en welke medische klacht(en) die waarneming zal betreffen. Zolang degene die toestemming verleent weet welke gegevensset in welke situatie voor welk type zorgverleners inzichtelijk is, dient de toestemming als voldoende specifiek te worden beschouwd. Of dat laatste het geval is, komt hierna aan de orde bij de bespreking van de ‘informed consent’.

Wel merkt het hof in dit verband nog op dat op dit moment de patiënt nog beperkt is in zijn keuzemogelijkheid ten aanzien van de (type) zorgaanbieders die gegevens mogen inzien. Vooralsnog kan de patiënt niet aangeven dat hij wel instemt met uitwisseling van het HWD ten behoeve van waarnemingen, maar niet met de uitwisseling van ICA-gegevens in het EMD ten behoeve van bijvoorbeeld medisch specialisten (waarbij meestal geen sprake zal zijn van een spoedeisende situatie; ter zitting is immers komen vast te staan dat SEH-artsen niet tot de medisch specialisten behoren). VZVZ stelt bezig te zijn met de ontwikkeling van patiënt-toestemmingsprofielen, waarbij de patiënt (bepaalde categorieën) zorgaanbieders van de toestemming kan uitsluiten en hij aldus meer regie heeft over de gegevensuitwisseling. Het is haar bedoeling om die mogelijkheid vanaf eind 2016 te kunnen aanbieden. Het hof merkt hierover op dat die mogelijkheid maakt dat de patiënt gerichter, en dus specifieker, kan bepalen welke zorgaanbieder hij toestemming verleent om zijn gegevens in te zien. Naar het oordeel van het hof behoort het tot de verantwoordelijkheid van VZVZ om zoveel mogelijk beslisvrijheid te bieden aan mensen die aan de zorginfrastructuur (willen) deelnemen en deelnemers op die manier zoveel mogelijk regie te geven over het systeem en aldus maatwerk aan te bieden. Het hof overweegt in dat kader nu reeds dat van VZVZ verwacht mag worden dat, zodra het technisch mogelijk en uitvoerbaar is om de onderhavige ‘iedereen-of-niemand-toestemming’ te vervangen door een systeem waarbij bepaalde (categorieën) zorgaanbieders kunnen worden uitgesloten van de toestemming, zij het ertoe leidt dat het systeem ook daadwerkelijk in die zin zal worden gewijzigd.

Met betrekking tot het derde aspect (informed consent) overweegt het hof als volgt. De patiënt dient voldoende geïnformeerd te zijn over welke medische gegevens in welk geval voor welke zorgaanbieder inzichtelijk zal zijn. Hij moet immers weten waar de toestemming die hij verleent precies op ziet. Daarbij is de brochure van groot belang. In de toestemmingsformulieren die de patiënt dient te ondertekenen, wordt immers verwezen naar de brochure (“Ik geef toestemming aan onderstaande zorgverlener om mijn gegevens beschikbaar te stellen voor raadpleging door andere zorgverleners zoals in de brochure ‘Uw medische gegevens elektronisch delen?’ is aangegeven.”).

Wat betreft de toestemmingsprocedure op zich merkt het hof op dat vaststaat dat het CBP in 2014 een onderzoek heeft gedaan naar onder meer de waarborgen die door VZVZ getroffen zijn opdat die toestemming is verkregen overeenkomstig de vereisten die daarvoor gelden op grond van de Wbp. De reikwijdte van het onderzoek was “beperkt tot controleren van de – althans in dit verband – meest essentiële elementen ‘op informatie berustend’ en ‘aantoonbaar’”.

Het CBP heeft in zijn rapport van 1 september 2014 onder meer opgenomen:

“De betrokkene moet voldoende worden geïnformeerd. Het CBP acht de aan de patiënt verstrekte informatie voldoende wanneer het ten minste de volgende vragen beantwoordt:

(1) Om welke verwerking gaat het?

(2) Welke gegevens worden verwerkt?

(3) Welk doel dient de verwerking?

(4) Aan welke derden worden gegevens verstrekt?

(5) Wie is de verantwoordelijke?

Indien in het verstrekte informatiemateriaal wordt verwezen naar de website van VZVZ acht het CBP de verstrekte informatie ook voldoende als deze minimaal drie van de bovengenoemde elementen omvat. De website van VZVZ beantwoordt namelijk alle bovengenoemde vragen.”

Het CBP concludeert zijn rapport met de vaststelling dat VZVZ voldoende technische en organisatorische waarborgen (bestaande uit waarborgen ten aanzien van de software, afspraken met de zorgverlener over de wijze waarop de patiënt om toestemming wordt gevraagd, en het door VZVZ ontwikkelde informatiemateriaal) heeft getroffen om te bewerkstelligen dat alleen persoonsgegevens worden verwerkt van patiënten die daarvoor toestemming hebben verleend.

Meer in het bijzonder merkt het hof over de informatie in de brochure (hiervoor geciteerd onder rechtsoverweging 3) op dat bij het antwoord op vraag 5 wordt uitgelegd dat waarnemend artsen, bijvoorbeeld op de huisartsenposten, naast persoonlijke en medicatiegegevens ook een samenvatting van het dossier bij de huisarts van de patiënt kunnen inzien (met daarin: de gezondheidsproblemen, de voorgeschreven medicijnen, de allergieën, informatie over de contacten met de patiënt in de laatste 4 maanden of de laatste 5 contacten en andere informatie die belangrijk is voor een waarnemend huisarts). VPH c.s. hebben, mede gezien hetgeen ten pleidooie in hoger beroep is vastgesteld (zie 4.3), onvoldoende gemotiveerd betwist dat deze weergave juist is. Ook is komen vast te staan dat bij de antwoorden op vraag 4 en 5 in de brochure goed is uitgelegd wie de overige zorgverleners zijn die gegevens kunnen opvragen (huisartsen(posten), (dienst)apotheken en ziekenhuisapotheken van binnen de regio van de patiënt, en medisch specialisten, ook van buiten die regio), behoudens dat hierbij de SEH-artsen niet zijn genoemd, waarover hieronder meer, en dat voorts terecht is opgemerkt dat voormelde zorgverleners niet de samenvatting van het dossier bij de huisarts te zien krijgen.

Wel is bij de opsomming van wat de apothekers en medisch specialisten te zien krijgen (persoonlijke gegevens en een overzicht van de van de apotheek verkregen medicijnen) weggelaten dat ook de ICA-gegevens van de huisarts kunnen worden ingezien. Ten pleidooie in hoger beroep heeft VZVZ aangevoerd dat dit een eis is van de Inspectie voor de Gezondheidszorg. Dat neemt echter niet weg dat de informatie in de brochure wel volledig moet zijn, opdat patiënten weten welke bij de huisarts bekende informatie inzichtelijk kan zijn voor andere zorgverleners. Bovendien moet de patiënt om gebruik te kunnen maken van de afschermmogelijkheid die hij (naar VZVZ ten pleidooie in hoger beroep heeft gesteld) ook ten aanzien van deze ICA-gegevens heeft, wel op de hoogte worden gebracht van het feit dat die gegevens, indien ze niet door afscherming worden uitgesloten van gegevensuitwisseling, tot het EMD behoren.

Naar het oordeel van het hof maakt de brochure ook niet goed duidelijk dat alle behandelend medisch specialisten het EMD kunnen opvragen en niet alleen de medisch specialisten die bij spoed worden ingeschakeld. Een lezer van de brochure kan, alhoewel in het antwoord op vraag 4 in de brochure de groep van medisch specialisten die gegevens kan opvragen niet beperkt wordt, op het verkeerde been worden gezet doordat in het eerste deel van de brochure de nadruk wordt gelegd op medische hulp die ’s avonds of in het weekend moet worden verleend. Ook met betrekking tot de SEH-artsen, die niet met zoveel woorden in de brochure zijn genoemd, zou de brochure aan duidelijkheid kunnen winnen, alhoewel het hof op dit punt wel met VZVZ van oordeel is dat de gemiddelde lezer van de brochure, juist op grond van het accent dat daarin wordt gelegd op spoedeisende hulp en op grond van de veronderstelling dat een SEH-arts ook een medisch specialist is, ervan zal uitgaan dat het EMD ook voor aangesloten SEH-artsen inzichtelijk zal zijn.

Voormelde onduidelijkheden in de brochure (of in vorige versies van de brochure) betekenen echter nog niet dat VZVZ jegens VPH c.s. onrechtmatig handelt. Naast het feit dat het hof VPH c.s. niet volgt in hun (door VZVZ gemotiveerd betwiste) stelling dat zij de facto gedwongen worden zich aan te sluiten bij de zorginfrastructuur en mee te werken aan gegevensuitwisseling via het LSP, waarop hierna zal worden ingegaan, geldt wat betreft appellanten 1 tot en met 4 dat, zoals hiervoor in 4.7 reeds is overwogen, een rechtvaardiging voor doorbreking van het beroepsgeheim kan worden gevonden in de (vrije, specifieke en op informatie berustende) toestemming van de patiënt om zijn medische gegevens ten behoeve van toekomstige behandelaars te verwerken. Vastgesteld is al dat, behoudens in bijzondere gevallen waar de klachten van VPH c.s. niet op zien, aangenomen kan worden dat de toestemming op vrije wil is gebaseerd en ook voldoende specifiek is. Wat betreft de eis dat de toestemming op informatie moet berusten, overweegt het hof dat een huisarts die vreest zijn beroepsgeheim te schenden omdat zijn patiënt onvoldoende geïnformeerd toestemming verleent (bijvoorbeeld omdat hij de brochure niet goed heeft gelezen of omdat daarin een aantal voor de patiënt van belang zijnde zaken onvoldoende zijn belicht), nadere informatie over de zorginfrastructuur kan verschaffen dan wel de patiënt kan verwijzen naar VZVZ voor nadere informatie. Doordat de huisarts kan nagaan of zijn patiënt voldoende heeft begrepen waar zijn toestemming op ziet en ervoor kan zorgen dat de patiënt alsnog voldoende geïnformeerd raakt, kan niet worden geoordeeld dat de huisartsen door VZVZ (dan wel de inrichting van de zorginfrastructuur) worden gedwongen op basis van een onvolkomen toestemming hun geheimhoudingsplicht te schenden. Zoals reeds overwogen onder 4.11 volgt het hof VPH c.s. niet in hun stelling dat van een huisarts niet gevergd kan worden dat hij over de uitwisseling van medische gegevens met zijn patiënt in gesprek gaat. Dit kan immers uitdrukkelijk de wens zijn van die patiënt en ook mogelijk in diens belang met het oog op een goede behandeling in (onder meer) waarneemsituaties. De huisarts dient, teneinde registratie van de toestemming van een patiënt mogelijk te maken, in het systeem ook altijd de versie van de informatiebrochure die hij de patiënt heeft verstrekt te noteren.

Ten overvloede merkt het hof hierbij nog op dat, zoals hiervoor al is vermeld, de huisarts bepaalde gevoelige informatie kan afschermen en ervoor kan zorgen dat die geen deel uitmaakt van de gegevensuitwisseling. Patiënten worden van deze mogelijkheid in de brochure op de hoogte gesteld, terwijl de huisarts de patiënt ook op deze mogelijkheid kan wijzen, vooral ook als het gevoelige informatie betreft.

Wat betreft appellante 5, [appellant 5], geldt dat, nu zij geen toestemming heeft verleend voor gegevensuitwisseling via het LSP, geen (onrechtmatige) inbreuk wordt gemaakt op haar persoonlijke levenssfeer.

Ten aanzien van alle appellanten overweegt het hof dat VZVZ gemotiveerd uiteen heeft gezet dat zij niet, ook niet de facto, worden gedwongen om zich aan te sluiten bij de onderhavige zorginfrastructuur. VZVZ heeft in dat verband onbetwist gesteld dat Zorgdomein (veelal gebruikt voor het verwijzen van huisartspatiënten naar ziekenhuizen) en Zorgmail (gebruikt voor het versturen en ontvangen van recepten, ontslagbrieven en labresultaten) nog steeds in volle omvang worden gebruikt en dat er verschillende (regionale) oplossingen voor communicatie met waarnemers bestaan. Ook kan gekozen worden voor de door VPH c.s. zelf genoemde alternatieven, zoals Whitebox of Ozis (met betrekking tot laatstgenoemd systeem hebben VPH c.s. onvoldoende onderbouwd gesteld dat de beslissing om Ozis op sommige plekken uit te faseren kan worden toegerekend aan VZVZ). Bovendien bestaat, blijkens de toelichting van VPH c.s. ten pleidooie in hoger beroep, nog steeds de mogelijkheid om dossiers via de e-mail of fax te versturen, hetgeen sommige huisartsen als methode verkiezen. Vaststaat dat [appellant 2], [appellant 3] en [appellant 4] niet zijn aangesloten bij het LSP. Volgens VPH is een aantal van haar leden wel en een aantal niet aangesloten bij het LSP. Gelet op het hiervoor overwogene hebben VPH c.s. onvoldoende onderbouwd gesteld dat zij door VZVZ de facto gedwongen worden zich aan te sluiten bij het LSP. Ook dat staat aan het gestelde onrechtmatige handelen door VZVZ in de weg.

Wat betreft de aangesloten leden van VPH overweegt het hof nog dat de gestelde onrechtmatigheid ook niet kan worden gevonden in het feit dat de zorginfrastructuur onvoldoende veilig is ingericht. Het hof overweegt daartoe als volgt.

In artikel 13 Wbp is bepaald:

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”

Ook naar de mening van VPH c.s. is dit de maatstaf waaraan de rechter heeft te toetsen.

Anders dan VPH c.s. betogen volgt uit die maatstaf noch uit de Parlementaire Geschiedenis ten aanzien van dat artikel dat VZVZ in casu dient te streven naar de hoogst mogelijke beveiliging. Naar in de MvT met zoveel woorden is bepaald, is er geen verplichting om steeds de allerzwaarste beveiliging te nemen. Met de rechtbank is het hof dan ook van oordeel dat het feit dat een ander beveiligingsniveau mogelijk is en/of door VPH c.s. wenselijk wordt geacht nog niet maakt dat VZVZ onrechtmatig handelt.

Partijen zijn het erover eens dat de wettelijke norm nader wordt ingekleurd door de normen van het Nederlands Normalisatie-instituut (NEN) en in dit geval meer in het bijzonder NEN7512. Vaststaat dat de nieuwste versie 7512:2015 betreft. Als niet weersproken staat voorts vast dat in de nieuwste versie rekening wordt gehouden met gegevensuitwisseling via een centraal punt (zoals in het onderhavige geval het LSP). Naast het feit dat de rechtbank onder 5.32 en 5.33 van het bestreden vonnis op goede gronden – waar het hof zich bij aansluit – heeft overwogen waarom niet kan worden aangenomen dat de vorige versie van de NEN-norm (7512:2005) de eis stelde van end-to-end versleuteling en van end-to-end autorisatie en authenticatie, geldt dat VPH c.s. onvoldoende hebben ingebracht tegen de stelling van VZVZ dat zij voldoet aan de uit NEN7512:2015 voortvloeiende eis om over de totale communicatieketen (van end-to-end) voor passende technische en organisatorische beveiligingsmaatregelen te zorgen en dat meer specifieke beveiligingsmaatregelen zoals VPH c.s. die voorstaan, niet worden opgelegd door die NEN-norm; het in een conceptversie van de vernieuwde norm opgenomen vereiste voor end-to-end encryptie voor bilaterale gegevensuitwisseling is komen te vervallen in de definitieve versie van NEN7512:2015, zelfs voor de (hier niet aan de orde zijnde) bilaterale gegevensuitwisseling. VPH c.s. hebben ook, in het licht van de gemotiveerde betwisting van VZVZ, onvoldoende gemotiveerd gesteld dat het enkele feit dat de medische gegevens (na het transport van de zorgverlener naar het LSP) in het LSP worden ontsleuteld om gegevensbestanden te kunnen samenvoegen (om vervolgens weer versleuteld te kunnen worden doorgestuurd naar de opvragende zorgverlener), maakt dat de beveiliging in de gehele keten onvoldoende is. Wat betreft de bepaling in 6.3.4 van NEN7512:2015 dat zender en ontvanger elkaars identiteit met voldoende zekerheid moeten kunnen vaststellen, overweegt het hof dat, anders dan VPH c.s. betogen, de tussenkomst van VZVZ/het LSP niet maakt dat zender en ontvanger elkaars identiteit niet met voldoende zekerheid kunnen vaststellen. Ook overigens is die vaststelling voldoende geborgd doordat zowel verzender als ontvanger geïdentificeerd zijn bij het CIBG en authenticatie plaatsvindt middels door het CIBG uitgereikte UZI-passen met unieke PIN-codes, rechtstreeks herleidbaar tot de zorgaanbieder. VZVZ weet aldus welke pashouder gegevens heeft opgevraagd en communiceert dat via een beveiligde verbinding aan het systeem waar het brondossier wordt beheerd, zodat ook (anders dan VPH c.s. betogen) de gegevens verstrekkende huisarts de identiteit van de ontvanger met voldoende zekerheid kan vaststellen. Dat een UZI-pas mogelijkerwijs door een ander kan worden gebruikt die de PIN-code van de pashouder heeft verkregen, maakt nog niet dat het gekozen beveiligingssysteem onvoldoende is. Dit geldt temeer nu VZVZ strenge gebruikersvoorwaarden oplegt aan aangesloten partijen, inzichtelijk is welke UZI-pashouder welke informatie heeft opgevraagd (logging) en zorgaanbieders tuchtrechtelijke sancties opgelegd kunnen krijgen indien zij misbruik maken van de toegang tot de zorginfrastructuur. Niet bestreden is dat de logging die wordt toegepast in de zorginfrastructuur voldoet aan de eisen van NEN 7513. Bovendien staat vast dat ook de patiënt een overzicht kan krijgen waarin staat welke zorgverlener welke medische gegevens heeft opgevraagd en welke huisarts (of apotheek) gegevens beschikbaar heeft gesteld en dat de patiënt via VZVZ ook kan vragen om telkens een e-mail te ontvangen wanneer zijn huisarts medische gegevens beschikbaar stelt en wanneer een andere zorgverlener gegevens opvraagt. Aangenomen kan worden dat de combinatie van logging en tuchtrechtelijke sancties een afschrikwekkende werking heeft ten aanzien van mogelijk misbruik.

Het hof verenigt zich ook met, en verwijst naar, de verwerping door de rechtbank (onder 5.40) van de stelling van VPH c.s. dat VZVZ door de bouw en het onderhoud van het LSP te laten uitvoeren door een Amerikaans bedrijf (CSC) in verband met de toepasselijkheid van de Patriot Act een, uit oogpunt van gegevensbescherming, onaanvaardbaar risico heeft genomen.

Bovendien geldt ten aanzien van voormelde beveiligingsrisico’s nog dat VPH c.s. niet hebben betwist dat vooralsnog niet gebleken is dat zich beveiligingsrisico’s hebben verwezenlijkt of dat appellanten (dan wel andere huisartsen) anderszins schade hebben geleden ten gevolge van de (beveiligingsrisico’s van de) onderhavige zorginfrastructuur.

Zoals hiervoor is overwogen hebben VPH c.s. onvoldoende gemotiveerd gesteld dat zij de facto gedwongen worden zich aan te sluiten (of aangesloten te blijven) bij het LSP en deel te nemen in de onderhavige zorginfrastructuur. Nu het de aangesloten leden van VPH c.s. vrijstaat om (onder andere in verband met de door hen genoemde beveiligingsrisico’s) uit te treden uit de zorginfrastructuur, valt niet in te zien dat VZVZ jegens hen onrechtmatig handelt door inrichting en handhaving van de gekozen zorginfrastructuur.

Ook de overige door VPH c.s. genoemde klachten kunnen in het licht van het hiervoor overwogene niet leiden tot het oordeel dat VZVZ jegens hen onrechtmatig handelt.

Wat betreft de stelling van VPH c.s. dat de doelomschrijving van VZVZ voor deze zorginfrastructuur niet voldoet aan de eis van artikel 7 Wbp, overweegt het hof ten overvloede nog dat onder meer uit de preambule van het Convenant Gebruik Landelijke Zorginfrastructuur 2013-2016 blijkt dat de brancheorganisaties van zorgaanbieders, de Nederlandse Patiënten/Consumenten Federatie, de brancheorganisatie Zorgverzekeraars Nederland en Nictiz hebben afspraken gemaakt over de ontwikkeling en het gebruik van de zorginfrastructuur (aangehaald in 2.6 van het bestreden vonnis) genoegzaam blijkt dat de medische persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Het hof verwijst naar hetgeen de rechtbank onder 5.9 van het bestreden vonnis heeft overwogen.

De in de memorie van grieven geformuleerde vorderingen van VPH c.s. kunnen gezien het voorgaande niet worden toegewezen. Het hof komt daarmee niet toe aan de vraag of de rechtbank VPH c.s. terecht ontvankelijk heeft geacht.

Het hoger beroep faalt, zodat het bestreden vonnis moet worden bekrachtigd.

Als de (overwegend) in het ongelijk te stellen partij zal het hof VPH c.s. in de kosten van het hoger beroep veroordelen.

De kosten voor de procedure in hoger beroep aan de zijde van VZVZ zullen worden vastgesteld op:

- griffierecht € 704,-

- salaris advocaat € 2.682,- (3 punten x tarief II)

Als niet weersproken zal het hof ook de gevorderde wettelijke rente over de proceskosten en de nakosten toewijzen zoals hierna vermeld.

Het hof, recht doende in hoger beroep:

bekrachtigt het vonnis van de rechtbank Midden-Nederland, locatie Utrecht van 23 juli 2014;

veroordeelt VPH c.s. in de kosten van het hoger beroep, tot aan deze uitspraak aan de zijde van VZVZ vastgesteld op € 704,- voor griffierecht en op € 2.682,- voor salaris overeenkomstig het liquidatietarief, te voldoen binnen veertien dagen na dagtekening van dit arrest, en – voor het geval voldoening binnen bedoelde termijn niet plaatsvindt – te vermeerderen met de wettelijke rente te rekenen vanaf bedoelde termijn voor voldoening;

veroordeelt VPH c.s. in de nakosten, begroot op € 131,-, met bepaling dat dit bedrag zal worden verhoogd met € 68,- in geval VPH c.s. niet binnen veertien dagen na aanschrijving aan deze uitspraak hebben voldaan én betekening heeft plaatsgevonden, een en ander vermeerderd met de wettelijke rente te rekenen vanaf veertien dagen na aanschrijving én betekening;

verklaart dit arrest voor zover het de hierin vermelde proceskostenveroordeling betreft uitvoerbaar bij voorraad.

Dit arrest is gewezen door mrs. L.J. de Kerpel-van de Poel, C.J.H.G. Bronzwaer en S.B. Boorsma en is in tegenwoordigheid van de griffier in het openbaar uitgesproken op 8 maart 2016.