Opt-in-vraag LSP door thuiszorg strijdig met Wbp

police-1141039_640

Recent schreef ik op deze website een artikel over het gaan vragen door thuiszorgmedewerkers van de opt-in-toestemming voor elektronische gegevensuitwisseling via het Landelijk SchakelPunt(LSP). Hierin gaf ik aan dat het vragen van deze toestemming, door een ander dan de brondossierhouder onfatsoenlijk, ongewenst en illegaal is. In Nijmegen is een taskforce om het aantal opt-in-toestemmingen te maximaliseren aan de slag gegaan met het idee de thuiszorg daarbij in te schakelen. Bij bestudering van wat in de Wet bescherming persoonsgegevens(Wbp) staat en de uitleg die de Autoriteit Persoonsgegevens(AP) daarbij geeft is duidelijk dat als de opt-in-toestemming verkregen wordt bij een ander dan de brondossierhouder er sprake is van overtreding van artikel 33 en 34 van de Wbp. Van deze overtreding is door mij melding gemaakt bij de Autoriteit Persoonsgegevens. Op 18 juli berichtte de AP dat de brief daarover in goede orde ontvangen was.

Wetsartikelen

Hoofdstuk vijf van de Wbp gaat over de informatieverstrekking aan de betrokkene(patiënt) en de meldplicht bij inbreuken op de beveiliging van persoonsgegevens aan het College. Met College wordt het College Bescherming Persoonsgegevens(CBP) bedoeld, de rechtsvoorganger van de Autoriteit Persoonsgegevens(AP). In de artikelen 33 en 34 wordt duidelijk omschreven dat de verantwoordelijke( de brondossierhouder in dit geval, dus de huisarts of apotheker) vóór de verwerking van de gegevens de betrokkene(de patiënt) voorlicht om die geggevens daarna(met toestemming van de patiënt) te verwerken. Artikel 34 lid 4 kan bij de LSP-opt-in niet van toepassing zijn. Daar staat een uitzondering voor het geval het verkrijgen van de toestemming een onevenredige moeite zou kosten. Dat is niet het geval want voor het Nijmeegse initiatief was er in die regio al een redelijk toestemmingspercentage.

De tekst van de artikelen luidt:

Artikel 33

  1. Indien persoonsgegevens worden verkregen bij de betrokkene, deelt de verantwoordelijke vóór het moment van de verkrijging de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij de betrokkene daarvan reeds op de hoogte is.
  2. De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, mede.
  3. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

Artikel 34

  1. Indien persoonsgegevens worden verkregen op een andere wijze dan bedoeld in artikel 33, deelt de verantwoordelijke de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij deze reeds daarvan op de hoogte is: a. op het moment van vastlegging van hem betreffende gegevens, of b. wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, uiterlijk op het moment van de eerste verstrekking.
  2. De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking mede.
  3. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
  4. Het eerste lid is niet van toepassing indien mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.
  5. Het eerste lid is evenmin van toepassing indien de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekking van de hem betreffende gegevens heeft geleid.

Uitleg AP

Op de website van de Autoriteit Persoonsgegevens kan men ook een duidelijke uitleg vinden van wat in artikel 33 en 34 Wbp staat. Deze uitleg sluit ook uit dat een ander dan de brondossierhouder een opt-in-toestemming voor elektronische gegevensuitwisseling via het LSP vraagt. Het is alleen bij de AP de vraag of deze door de politiek bewust onderbemande dienst met een veel te laag budget het handhaven in deze kwestie ook ter hand neemt.

Thuiszorg

Hoewel de thuiszorgorganisaties in 2015 reeds in de koepeladviesraad van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), als beheerder van het LSP, zijn opgenomen, is er geen sprake van het bijhouden van een aan het LSP gekoppeld brondossier bij die organisaties. Bij veldproeven in de regio Dordrecht/Gorinchem bleek dat het werken met het LSP in pilot-verband niet goed verliep. Daarbij kon bij de thuiszorgorganisatie de daar verantwoordelijke arts ouderenzorg alleen maar een medicatieoverzicht opvragen zonder eigen data via het LSP aan te kunnen leveren. Datgene wat geprobeerd werd lukte slecht en stuitte op grote mandateringsproblemen, waardoor men er mee stopte. Het opgenomen zijn in de koepeladviesraad van VZVZ zegt dan ook totaal niets over het gekoppeld zijn van thuiszorgsystemen aan het LSP.

De aanwezigheid in de koepeladviesraad kan dus nooit een legitimatie zijn voor hetgeen de taskforce in Nijmegen nu uitvoert. Ik ben zeer benieuwd of de AP hier actief gaat handhaven. De AP is het wel aan zijn stand verplicht dit te doen.

W.J. Jongejan