De Privacy Consultant
Meesters in het privacyrecht

Toestemming uit de WGBO is geen zelfstandige grondslag

De grondslag voor het verwerken van persoonsgegevens uit artikel 6 lid 1 AVG is een van de belangrijkste eisen uit de AVG. Dit is wat de verwerking rechtmatig maakt. Er kan gekozen worden uit een zestal grondslagen, waar toestemming er een van is.

Uit al deze grondslagen volgen verschillende afzonderlijke verplichtingen voor organisaties. Zo moet toestemming bijvoorbeeld vrijelijk kunnen worden gegeven.1 Indien niet aan deze vervolgeisen is voldaan, is er geen sprake van een rechtmatige verwerking van persoonsgegevens. Een andere grondslag, naast toestemming, is een wettelijke verplichting voor het verwerken van persoonsgegevens.2

In de zorg is sprake van een dergelijke wettelijke verplichting doordat de WGBO een verplichting aan de zorginstelling oplegt om een medisch dossier bij te houden.3 Elke arts houdt daarom van elke patiënt een afzonderlijk medisch dossier bij. De zorginstelling wordt hierbij aangemerkt als verwerkingsverantwoordelijke. Deze is immers verantwoordelijk voor het bijhouden van het medisch dossier.

De WGBO stelt echter nog een vervolgeis verplicht. Deze vervolgeis behelst het medisch beroepsgeheim. Er mogen geen gegevens uit het medisch dossier worden gedeeld met derden, tenzij deze direct betrokken zijn bij de behandeling van de patiënt.4 Gegevens mogen alleen gedeeld worden wanneer de patiënt hiervoor toestemming heeft gegeven.

Het begrip toestemming uit de vervolgeis (WGBO) is een ander begrip dan het begrip toestemming uit de grondslageis van artikel 6 lid 1 AVG, ook al worden de beide begrippen op dezelfde wijze geschreven. Dat twee begrippen hetzelfde worden geschreven, maar iets verschillends betekenen, komt vaker voor in de wet. Een ander voorbeeld is het begrip opzet. Dit komt zowel in het civiele recht als in het strafrecht voor, maar hebben verschillende betekenissen.

Voor het begrip toestemming betekent dit derhalve dat de vervolgeis van toestemming uit de WGBO omtrent het beroepsgeheim niet de grondslag kan bieden van toestemming uit artikel 6 lid 1 AVG. De vervolgeis voor toestemming uit de WGBO gaat over het toestaan van het delen van gegevens uit een medisch dossier van een zorginstelling en valt onder het doelbeginsel.

Het doelbeginsel houdt in dat een verwerking (het delen van gegevens uit het medisch dossier en daarmee de doorbreking van het beroepsgeheim) verenigbaar moet zijn met het doel waarmee de gegevens zijn verkregen.5 Dit is juridisch echter niet hetzelfde als de grondslageis voor toestemming, bijvoorbeeld voor het doen van onderzoek met deze gegevens. De onderzoeker die onderzoek doet met persoonsgegevens moet namelijk zelf voldoen aan een eigen zelfstandige grondslageis uit artikel 6 lid 1 AVG.

Eisen aan verwerkingen

De voorgaande situatie is beter te begrijpen wanneer men uitgaat dat de AVG eisen stelt aan verwerkingen. Twee verwerkingsverantwoordelijken die verwerkingen willen uitvoeren zoals het opslaan of wijzigen van gegevens, hebben elk een eigen grondslag nodig. Wanneer een zorginstelling gegevens uit een medisch dossier verzamelt in het kader van de zorg en deze deelt met een onderzoeker die onderzoek doet met deze gegevens, dan is er sprake van drie verschillende verwerkingen, uitgevoerd door twee verschillende verwerkingsverantwoordelijken. Dit betreft:

  • het verzamelen van de medische gegevens in het kader van de zorg;
  • het doorbreken van het beroepsgeheim door het delen van de gegevens met de onderzoeker; en
  • het feitelijk uitvoeren van het wetenschappelijk onderzoek door de onderzoeker.

Schematisch ziet dit er als volgt uit:

Grondslageisen en vervolgeisen

 

Het delen van de gegevens is een verwerking die wordt uitgevoerd door de zorginstelling en heeft als grondslag de verplichting voor het bijhouden van een medisch dossier. Het doen van het onderzoek is gebaseerd op een andere grondslag; toestemming.6 In theorie kan dit dus betekenen dat een patiënt wel toestemming geeft voor de beide verwerkingen door de zorginstelling en het beroepsgeheim daarmee kan worden doorbroken, maar geen toestemming geeft voor het feitelijk doen van het onderzoek met zijn medische gegevens. De onderzoeker kan hierdoor de gegevens wel ontvangen, maar kan er geen onderzoek mee doen.

In de praktijk kan voor deze beide verschillende verwerkingen natuurlijk in een keer toestemming worden gegeven. Dit levert echter wel een risico op voor de onderzoeker. Verwerkingsverantwoordelijken zijn namelijk verplicht om te bewijzen dat, wanneer er sprake is van toestemming als grondslag, de patiënt toestemming heeft gegeven. Indien de patiënt toestemming geeft voor beide verwerkingen en dit vastgelegd wordt in het medisch dossier, dan is de onderzoeker afhankelijk van de zorginstelling om te bewijzen dat de patiënt toestemming heeft gegeven voor het doen van het onderzoek.

Dit kan worden afgevangen door in een overeenkomst tussen de onderzoeker en de zorginstelling op te nemen dat de zorginstelling alleen gegevens aanlevert van patiënten die toestemming hebben gegeven voor het uitvoeren van het onderzoek.

Altijd vrijelijk toestemming op grond van de WGBO?

Hoewel toestemming uit de WGBO niet voortvloeit uit de AVG, valt echter wel te beargumenteren dat de inhoudelijke eisen aan toestemming uit de WGBO hetzelfde zijn als die van toestemming uit de AVG, tenzij anders is bepaald. Beide toestemming betreffen namelijk hetzelfde werkingsgebied: de bescherming van de persoonlijke levenssfeer van de betrokkene. In dat geval is het dan ook niet meer dan logisch om dezelfde inhoudelijke eisen aan toestemming te stellen, bijvoorbeeld dat deze vrijelijk moet kunnen worden gegeven.

Dit betekent dat in de schematische weergave hierboven eigenlijk nog een vervolgeis mist, namelijk dat ook de toestemming voor het doorbreken van het beroepsgeheim moet voldoen aan de inhoudelijke eisen voor toestemming uit artikel 7 AVG.

Conclusie

Indien organisaties gegevens ontvangen uit medische dossiers, moeten zij goed in de gaten houden dat zij een eigen zelfstandige grondslag nodig hebben voor het verwerken van deze medische persoonsgegevens. Daarnaast moet vanuit een puur juridisch oogpunt elke verwerking afzonderlijk worden beoordeeld of deze rechtmatig is.

Hierdoor is het voor een organisatie duidelijk welke gegevens zij verwerken en waarom zij dit mogen doen. Dit hoort te worden opgenomen in het verwerkingsregister. Niet elke afzonderlijke verwerking moet worden geregistreerd, maar de AVG spreekt van verwerkingsactiviteiten. In dit geval kan het worden opgenomen onder de activiteit 'wetenschappelijk onderzoek'.

Wilt u zeker weten of de verwerkingen die uw organisatie uitvoert rechtmatig zijn? Neem dan vrijblijvend contact met ons op.

 

Voetnoten

  1. Artikel 7 AVG.
  2. Artikel 6 lid 1 sub c AVG.
  3. Artikel 7:454 BW.
  4. Artikel 7:457 BW.
  5. https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/verstrekken-van-persoonsgegevens.
  6. Dit kan natuurlijk ook op grond van een andere grondslag, bijvoorbeeld een algemeen belang.