Autoriteit Persoonsgegevens ontloopt stelselmatig verantwoordelijkheid
Recent, op 6 september 2018, verscheen in het NRC-Handelsblad een artikel van Liza van Lonkhuyzen met als kop: “Raad van State: burger in de knel door digitale overheid”. Het betrof een ongevraagd advies van de Raad van State over hoe de overheid met de data van burgers omgaat. Op de wijze waarop de toezichthouder van diezelfde overheid op het uitwisselen van gegevens van burgers, de Autoriteit Persoonsgegevens(AP), opereert, is helaas ook het nodige aan te merken. Zij blijkt nogal eens haar verantwoordelijkheid te ontlopen. Medische gegevens zijn bijzondere persoonsgegevens waarmee men zeer zorgvuldig moet omgaan , zeker bij uitwisseling met behulp van een datanetwerk. Het Landelijk SchakelPunt(LSP), waarmee medische gegevens opvraagbaar zijn bij de bron, is zo’n netwerk. Voor het opvraagbaar maken is een goed geïnformeerde toestemming van de burger noodzakelijk. Als die toestemming ten onrechte genoteerd is en door de burger gesignaleerd en ongedaan gemaakt is, dan doet de AP daar vervolgens na melding niets mee.
Onterechte toestemming
Als een burger zijn medische data ter beschikking wil laten stellen voor een elektronisch landelijk uitwisselingssysteem waarop iedere zorgverlener in Nederland zich kan aansluiten, moet hij of zij zich zelf daarvoor aanmelden of dit via een opt-in-toestemming via de zorgaanbieder(huisarts of apotheek) laten vastleggen waarna dit via het informatiesysteem van deze zorgaanbieder rechtstreeks als aanmelding in het LSP systeem wordt verwerkt. Het LSP-systeem neemt meteen daarna die toestemming op haar computer over. Het is helaas niet zeldzaam dat een zorgaanbieder ten onrechte een opt-in-toestemming vastlegt. Mij overkwam dat bij herhaling. In totaal noteerden drie apotheken tegen mijn wil een opt-in-toestemming.
Omkering bewijslast
Of een onterechte opt-in-toestemming genoteerd is bij een zorgaanbieder is alleen maar te achterhalen, is alleen maar te achterhalen via iemands huisarts of apotheek of via de website van VZVZ De zorgaanbieder (apotheek in mijn geval) heeft, evenals VZVZ, geen verificatie- en notificatieplicht. Als de onterechte toestemming bij de zorgaanbieder op verzoek van de burger is gecorrigeerd, bestaat er geen logging van deze handeling bij zorgaanbieder of VZVZ. Bijgevolg kan niemand na verwijdering van de onterechte registratie van toestemming achteraf constateren dat er een toestemmingsregistratie heeft plaatsgevonden. Een zeer storende factor daarbij is dat de burger zelf bij de AP moet aantonen dat een onterechte, onvrijwillige, toestemming, vastgelegd is. Dat is alleen maar mogelijk door het maken van een schermafdruk van de webpagina bij VZVZ waarop de toestemming genoteerd staat. In feite is hier dan ook sprake van een stuitende omkering van de bewijslast.
Veronderstelling
Het lijkt logisch om te veronderstellen dat de AP als toezichthouder daar streng op toe zou moeten zien, maar niets is minder waar. Bij het aankaarten van het ten onrechte registreren van mijn toestemming met verwijzing naar andere onjuiste, laakbare “registratiepraktijken” van apotheken en apotheekgroepen in den lande blijkt de AP haar verantwoordelijkheid waar het gaat om het onrechtmatig uitwisselen van bijzondere/medische persoonsgegevens stelselmatig te ontlopen. Handhavingsverzoeken die men hetzij persoonlijk(A,B) hetzij collectief(C,D)bij de AP neerlegt worden telkens vlakweg afgewezen.
AP schiet schromelijk tekort
Het ongedaan maken van de onterechte toestemming blijkt een onoverkomelijke hindernis te zijn voor actie door de AP. De gedachtegang die de AP hanteert bestaat er namelijk uit dat men stelt dat zodra de toestemming herroepen is door de burger(zie alinea Toelichting AVG en Toelichting Awb), er geen sprake meer is van een overtreding. De AP meent dat burgers/patiënten na het doen verwijderen van een ten onrechte verleende toestemming geen belang meer hebben bij handhavend, corrigerend optreden van de toezichthouder. De AP gaat daarmee totaal voorbij aan het datalek dat het gevolg is geweest van deze onterecht geregistreerde toestemming. Om de AP tot actie te brengen zou de burger de onterechte geregistreerde toestemming moeten laten bestaan tot de AP na verloop van tijd (enkele maanden meestal) een beslissing heeft genomen.
Datalek
Het optreden en sanctioneren bij onrechtmatige verwerking van persoonsgegevens (hier feitelijk als gevolg van een structureel probleem dat kan leiden tot niet controleerbare datalekken) door de AP wordt daarmee niet gezien als een taak van de toezichthouder. De oncontroleerbare dataverwerking in mijn casus toont aan dat de AP publiekelijk aangesproken dient te worden op haar verantwoordelijkheid om op te treden tegen deze gebrekkige, oncontroleerbare verwerkingspraktijken van bijzondere/medische persoonsgegevens.
W.J. Jongejan, 9 oktober 2018
11 oktober 2108: enkele kleine tekstuele aanpassingen in alinea Onterechte toestemming en Omkering bewijslast.
Recente reacties