Gebruiksovereenkomst LSP bevat achterdeur doorlevering persoonsgegevens patiënten aan derden

door-65131_640

Op 29 februari j.l. schreef ik een artikel over de in stilte veranderde artikelen in de gebruiksovereenkomst voor huisartsen, huisartsenposten en apothekers voor gebruik van het Landelijk SchakelPunt(LSP) per 1 januari 2016. Deze wijzigingen zijn zeer essentieel en worden niet door de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) actief met de gebruikers gecommuniceerd. Een passage uit de gebruiksovereenkomst, die er al vanaf 2013 in staat is tot nu toe zwaar onderbelicht gebleven. Het gaat om een passage waarin expliciet staat dat VZVZ persoonsgegevens over opvragingen van patiëntgegevens aan derden kan doorleveren bij een wettelijke verplichting daartoe.

Welke gegevens

Als een arts A gegevens over een patiënt in het kader van een behandelrelatie via het LSP opvraagt bij arts B worden de gebruiksgegevens van deze opvraging vastgelegd. Daarbij gaat het niet om de medische gegevens, maar om de persoonsgegevens van de betrokken artsen en hun beroep/specialisme naast identificerende persoonsgegevens van de patiënt.

VZVZ beschrijft het voor patiënten aldus:

Het LSP houdt nauwkeurig bij wat er met uw medische gegevens gebeurt. Bijvoorbeeld welke zorgverleners uw medische gegevens beschikbaar hebben gesteld. En welke zorgverleners uw medische gegevens hebben opgevraagd. Dat kunt u zelf bekijken in uw inzage-overzicht. Dit overzicht bevat geen medische gegevens.

Bepaling

Men zou normaliter denken dat de raadpleging van het dossier uitsluitend de zaak is van de patiënt en de brondossierhouder. Beiden kunnen beoordelen of de raadpleging terecht is. Zoals ik al meldde op 29 februari is in de gebruiksovereenkomst van 1 januari 2016 de gebruiker weggelaten en staat de patiënt als enige rechthebbende vermeld, zo die er zelf om vraagt. In artikel 4.6 staat al sinds 2013, dus ook in de nieuwe versie:

“Aan anderen worden de gegevens niet verstrekt, behoudens een wettelijke verplichting daartoe.”

Deze toevoeging maakt het mogelijk dat via enige wettelijke bepaling ZONDER toestemming van de patiënt EN de gebruiker persoonsgegevens uit de gebruikersregistratie verstrekt worden aan enige derde partij. Dat hoeft gezien de formulering niet per se de overheid zelf te zijn.

Dat het geen imaginair probleem is moge blijken uit de behandeling van een tweetal wetten in de Tweede Kamer. Het gaat om de wet computercriminaliteit III(nr 34372) en de herziening van de wet op de inlichtingen- en veiligheidsdiensten uit 2002. Daarbij gaat het in beide gevallen om vergaande bevoegdheden van het wettelijk gezag om gegevens van burgers te bekijken.

Privacy

Ook al staat er dat het gaat om persoonsgegevens van de patiënt en niet om de medische data is er toch sprake van het mogelijk maken van het schenden van de privacy van de patiënt. Het bekend worden welke zorgaanbieder, van welke beroepscategorie gegevens opgevraagd heeft maakt al dat gevoelige informatie verstrekt wordt. Immers een bezoek aan een psychiater of aan verslavingsarts heeft meer impact dan een bezoek aan een chirurg voor een blindedarmoperatie.

Disclaimer?

Zelfs al zou de desbetreffende zin als disclaimer bedoeld zijn door VZVZ voor het geval dat de overheid inzage in de persoonsgegevens van de raadpleging zou afdwingen, dan nog is het verwerpelijk dat een private organisatie die zich bezighoudt met het faciliteren van uitwisseling van medische data hier geen duidelijke lijn in het zand trekt. Het zegt ook veel over het kritische vermogen van de diverse raden die binnen VZVZ zich bezig houden met de werking van het LSP.

Er moet geen derde zijn, ook geen overheid, die bij de persoonsgegevens van raadplegingen kan komen. Punt uit.

W.J. Jongejan