De Privacy Consultant
Meesters in het privacyrecht

Toestemming centraal vaccinatieregister problematisch

23-12-2020

Inleiding

Het RIVM werkt aan een landelijk registratiesysteem voor vaccinaties tegen COVID-19. Het centrale register is volgens de minister een noodzakelijk onderdeel van de vaccinatiestrategie, en belangrijk in het kader van de veiligheidsbewaking en monitoring van bijwerkingen, het snel handelen bij eventuele calamiteiten, en de bestrijding van de pandemie.1

Hoewel het centrale vaccinatieregister voor vaccinaties tegen COVID-19 nieuw lijkt, bestaat er reeds een centraal register voor het bijhouden van bijna iedereen die gevaccineerd is. Dit register, Praeventis genaamd, is ontwikkeld in het kader van het Rijksvaccinatieprogramma (RVP).

Hoe werkt het Rijksvaccinatieprogramma?

Wanneer kinderen worden gevaccineerd, wordt dit bijgehouden als onderdeel van het RVP. De vaccinatie zelf vindt plaats door een zorgverlener van de Jeugdgezondheidszorg (JGZ) samen met de GGD en dit wordt bijgehouden in het medisch dossier. De JGZ deelt vervolgens gegevens met het RIVM uit het medisch dossier. Deze uitwisseling gebeurt via het Landelijk Schakelpunt (LSP).2 Er kan voorts door het RIVM informatie (terug) worden gedeeld met de JGZ, bijvoorbeeld indien een reeds gegeven vaccin ongeldig blijkt te zijn.

Deze uitwisselingen vinden plaats op grond van toestemming van de patiënt. Hierbij is er juridisch echter geen sprake van een enkele toestemming, maar van drie verschillende toestemming.3 Dit zijn:

  • toestemming aan de hulpverlener van JGZ voor het doorbreken van het medisch beroepsgeheim waardoor deze de gegevens met het RIVM kan delen;
  • toestemming aan het RIVM om als grondslag uit artikel 6 lid 1 AVG te dienen voor het verwerken van gezondheidsgegevens; en
  • toestemming aan het RIVM om gegevens te delen met de JGZ;

Het geven van deze toestemmingen staat los van het feitelijk vaccineren. Hoewel ook hier toestemming voor moet worden gegeven, betreft dit een medisch handeling en niet de verwerking van persoonsgegevens. Indien de patiënt wel gevaccineerd wordt, maar wellicht geen toestemming geeft voor aan het RIVM voor het verwerken van de gegevens, worden er nog steeds gegevens met het RIVM gedeeld. Deze gegevens zijn:

  • de JGZ-organisatie
  • locatie
  • datum of periode
  • vaccinsoort en chargenummer4.

Dit zijn, volgens het RIVM, geanonimiseerde gegevens. Indien de patiënt wel toestemming geeft voor het uitwisselen van zijn of haar medische gegevens, dan worden de volgende gegevens verstrekt aan het RIVM:

  • burgerservicenummer
  • geboortedatum
  • geslacht
  • adresgegevens
  • gegevens vaccinaties (batch-, partij- en chargenummer, soort vaccinatie en vaccinatiedatum)
  • geplande vaccinaties
  • bezwaren indien die in Praeventis geregistreerd staan
  • gegevens over de zorgaanbieder (URI-code en de Koelkastcode)

Deze gegevens worden door het RIVM verwerkt voor de kwaliteitsbewaking (via monitoring, registratie en surveillance) van het totale vaccinatieprogramma. Ook kunnen kinderen en ouders later hierdoor hun vaccinatiegegevens opvragen.5 Indien er problemen zijn bij een vaccin, zoals een recall, informeert het RIVM de JGZ en weten zij precies welke mensen de problematische vaccins hebben ontvangen. Daarnaast worden deze gegevens gebruikt om de vaccinatiegraad te bepalen, verder gebruik voor wetenschappelijk onderzoek (alleen met toestemming) en in het geval van een uitbraak/epidemie kunnen dan gericht kinderen worden benaderd.

Het vaccin tegen COVID-19 in het Rijksvaccinatieprogramma

Hoewel nog niet alles openbaar is, is er wel reeds een autorisatieverzoek van de minister van VWS en het RIVM om gegevens uit de Basisregistratie personen te verkrijgen.6 Deze zijn volgens de minister noodzakelijk voor de bestrijding van de pandemie. Hieruit blijkt dat het Besluit publieke gezondheid gaat worden aangepast en het vaccin tegen COVID-19 wordt toegevoegd aan het RVP.

Praktisch zal niet de JGZ maar waarschijnlijk de GGD verantwoordelijk zijn voor het geven van de vaccinaties tegen COVID-19.

Toetsing juridisch kader Rijksvaccinatiepgramma

Nu duidelijk is op welke wijze het RVP werkt en waar volgens het RIVM overal toestemming voor wordt gevraagd, zal worden onderzocht of dit voldoet aan wet- en regelgeving. Hierbij moet er worden voldaan aan de volgende drie belangrijkste eisen:

  • het RIVM moet zich kunnen beroepen op een grondslag uit artikel 6 AVG;
  • het medisch beroepsgeheim moet rechtmatig worden doorbroken; en
  • voor het beschikbaar stellen van gegevens aan het LSP kan toestemming vereist zijn.

Natuurlijk zijn er meer verplichtingen en sommige worden kort op het einde besproken.

Grondslag

Omdat het RIVM zelf het doel en de middelen voor het vaccinatieregister vaststelt, moet zij worden aangemerkt als verwerkingsverantwoordelijke. Elke verwerkingsverantwoordelijke moet een geldige grondslag uit artikel 6 lid 1 AVG hebben voor de verwerking van persoonsgegevens. Dit kan toestemming zijn, of in het geval van de JGZ en GGD, een wettelijke plicht zoals het bijhouden van het medisch dossier. Het RIVM kan zich echter niet beroepen op de grondslag van de JGZ en GGD. Er is een eigen zelfstandige grondslag vereist.

Het RIVM beroept zich hierbij op toestemming als grondslag.7. Voor een geldig beroep op toestemming als grondslag moet deze toestemming, op grond van artikel 7 AVG, plaatsvinden door een

  • vrije
  • specifieke
  • geïnformeerde
  • ondubbelzinnige verklaring of ondubbelzinnige actieve handeling.8

Het moet duidelijk zijn voor degene die gevaccineerd wordt dat er sprake is van een drietal specifieke toestemmingen. Er moet voor elk van de drie verwerkingen afzonderlijk toestemming kunnen worden gegeven. De patiënt moet hier duidelijk over worden geïnformeerd. Op grond van artikel 11 lid 3 sub b Besluit publieke gezondheid bestaat er voorts een verplichting voor het geven van objectieve, volledige en passende voorlichting aan en begeleiding van degene die gevaccineerd wordt over deelname aan het RVP, alsmede het beantwoorden van vragen omtrent de vaccinaties. Daarnaast kan er niet worden volstaan met standaard aangevinkte checkboxen; het moet ondubbelzinnig.

Problematisch lijkt echter de vraag of toestemming vrij kan worden gegeven. De European Data Protection Board (EDPB; voorheen Groep gegevensbescherming artikel 29) heeft richtsnoeren gepubliceerd inzake toestemming. Hierin wordt, mede op grond van overweging 43 AVG, vastgesteld dat er geen sprake mag zijn van een wanverhouding tussen de partij die toestemming vraagt en degene die toestemming verleent. Specifiek bij overheidsinstanties wordt gesteld dat het onwaarschijnlijk is dat zij kunnen vertrouwen op toestemming voor verwerkingen, omdat er vaak een wanverhouding bestaat in de relatie tussen de betrokkene en de overheidsinstantie.9

Het RIVM moet worden aangemerkt overheidsinstantie. Hoewel gesteld kan worden dat het RIVM een volledig zelfstandige organisatie is, is de rijksoverheid natuurlijk hun directe opdrachtgever.10 De samenwerking tussen RIVM en rijksoverheid is nu dan ook zeer groot. Zeker vanuit het perspectief van de burger zal het RIVM als onderdeel van de rijksoverheid worden gezien. Daarnaast is het RIVM bovendien een bestuursorgaan en is het ministerie van VWS verantwoordelijk voor het RIVM.11 Hiermee voldoet het aan de criteria om te worden aangemerkt als overheidsinstantie.

In slechts een beperkt aantal gevallen zal een beroep op toestemming door een overheidsinstantie mogelijk zijn. Een voorbeeld hiervan is een mailinglijst voor het ontvangen van nieuws over de voortgang van bijvoorbeeld werkzaamheden van gemeenten.

Een ander meer vergelijkbaar voorbeeld waarin een overheidsinstantie wel vrijelijk toestemming kan vragen aan de burger is de CoronaMelder app. In dat geval betrof het echter geen bijzondere persoonsgegevens, werden deze gepseudonimiseerd en was de verwerking minder risicovol. Daarbij bleek uit de betreffende Privacy Impact Assessment (PIA) van de app dan ook dat zelfs in dat geval meer vereist was om daadwerkelijk vrijelijk toestemming te kunnen vragen.12

Voor de CoronaMelder app is daarom destijds wetgeving geïntroduceerd die het iemand verbied om de CoronaMelder app als voorwaarde te stellen voor toegang tot een gebouw of voorziening.13 Voor het verwerken van de meer privacygevoelige gegevens in het RVP lijkt dit dan ook te missen. Temeer omdat het in het geval van het RVP gaat om direct herleidbare, zeer gevoelige gegevens. Toestemming kan in dat geval niet zonder meer vrijelijk worden verleend.

De burger zal een vorm van verplichting voelen om de gegevens te delen, zeker omdat de toestemming samen met de toestemming voor het feitelijk vaccineren zal worden gevraagd. Het bundelen van al deze toestemmingen zorgt ervoor dat de burger het als een enkele toestemming kan zien; toestemming voor vaccineren betekent dan toestemming voor het delen van de gegevens. Ook moet sterk rekening worden gehouden met de druk vanuit de maatschappij en overheid om wellicht een vaccinatie tegen COVID-19 als voorwaarde te laten gaan gelden voor bepaalde activiteiten.

Op grond hiervan kan er geen geldig beroep worden gedaan op toestemming als grondslag. De EPDB adviseert in dergelijke gevallen dan ook om hier een specifieke wettelijke verplichting voor te maken. Daarnaast kunnen er aanvullende wettelijke waarborgen voor de toestemming worden gemaakt, al zal uit een PIA moeten blijken of toestemming überhaupt mogelijk is in deze situatie.

Doorbreking medisch beroepsgeheim

Het is aan de zorgverlener van de JGZ of GGD om toestemming te vragen voor het doorbreken van zijn of haar medisch beroepsgeheim.14 Dit beroepsgeheim ligt immers op hen en niet op het RIVM. Dit zal vervolgens moeten worden vastgelegd in het medisch dossier. Hoewel dit niet hetzelfde is als de toestemming voor de grondslag, kan ook hierbij worden gesteld dat deze toestemming aan vergelijkbare eisen moet voldoen zoals is neergelegd in artikel 7 AVG. Er bestaat in ieder geval niet direct een wanverhouding tussen zorgverlener en patiënt, zoals het geval is bij een overheidsinstantie en de burger.

Toestemming delen gegevens LSP

Het LSP is in beginsel een elektronisch uitwisselingssysteem. Hierbij geldt de eis dat de hulpverlener (en dus niet het RIVM) uitdrukkelijk toestemming van de patiënt nodig heeft voordat gegevens beschikbaar worden gesteld in het LSP.15 Voor wat betreft de inhoudelijke eisen aan deze toestemming kan wederom aansluiting worden gevonden artikel 7 AVG en lijkt dit geen probleem te zijn.

Het gebruik van het LSP voor de uitwisseling van gegevens tussen JGZ en het RIVM is echter vreemd en niet logisch. Het LSP is namelijk bedoeld voor uitwisseling van zorggegevens tussen zorgaanbieders.16 Het RIVM is echter geen zorgaanbieder. Zij zijn geen hulpverlener en houden dus ook geen medisch dossier bij.

Omdat het RIVM niet als zorgaanbieder kan worden aangemerkt, valt het LSP opeens niet meer onder het begrip elektronisch uitwisselingssysteem. Dit betreft namelijk een systeem voor het elektronisch uitwisselen van gegevens uit medische dossiers tussen zorgaanbieders. Het gevolg is dat in dit geval een toestemming hoeft te worden gegeven voor het ter beschikking stellen van de gegevens voor het RIVM aan het LSP.

Andere eisen

Er zijn natuurlijk meer verplichtingen voor het centrale register dan die in dit artikel behandeld zijn. Er moet sprake zijn van welbepaalde bewaartermijnen, moet er worden voldaan aan de propertionaliteits- en subsidiariteitseisen uit artikel 8 EVRM en moeten er natuurlijk voldoende organisatorische en technische waarborgen zijn voor het veilig verwerken van deze gegevens. Ook een PIA zal in dit geval verplicht zijn, hoewel deze niet lijkt te zijn uitgevoerd. Juist uit de PIA zal blijken dat toestemming als grondslag op deze wijze niet mogelijk is

Conclusie

Gebleken is dat het RIVM zich niet kan beroepen op toestemming als grondslag. Omdat het RIVM een overheidsinstantie is ontstaat er een wanverhouding tussen overheid en burger. Hierdoor kan toestemming niet vrijelijk worden verleend. Wij adviseren de overheid dan ook om een wettelijke regeling te maken die de grondslag voor de gegevensverwerking biedt waarboor een inbreuk op de persoonlijke levenssfeer van de burger kan worden gemaakt.

Het is echter onduidelijk of en hoe de overheid onderzoek heeft gedaan naar de grondslag van het RIVM. Er is bijvoorbeeld geen Privacy Impact Assessment uitgevoerd of openbaar gemaakt en de Autoriteit Persoonsgegevens lijkt ook niet hierbij betrokken te zijn. Dat er zonder toestemming nog steeds gegevens met het RIVM wordt gedeeld moet beter worden onderzocht. Het kan namelijk zo zijn dat deze gegevens niet volledig geanonimiseerd zijn.

Daarnaast is het vreemd dat de gegevens via het LSP worden uitgewisseld. Er hoeft voor het beschikbaar stellen van de gegevens in het LSP ten behoeve voor de uitwisseling met het RIVM geen toestemming te worden gegeven door de patiënt. Het RIVM is namelijk geen zorgaanbieder en daarmee valt het LSP in dit geval niet onder het begrip elektronisch uitwisselingssysteem.

 

Voetnoten

  1. https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2020Z22395&did=2020D47540, p. 16.
  2. https://rijksvaccinatieprogramma.nl/sites/default/files/2018-06/Bijlage%20Achtergronden%20RVP%20richtlijn%20Informed%20consent%20procedure.pdf, p. 10.
  3. Stb. 2017, 457 (https://zoek.officielebekendmakingen.nl/stb-2017-457.html), p. 7.
  4. https://rijksvaccinatieprogramma.nl/sites/default/files/2018-12/Bijlage%20Achtergronden%20RVP%20richtlijn%20Informed%20consent%20procedure.pdf, p. 11.
  5. https://rijksvaccinatieprogramma.nl/sites/default/files/2018-12/Bijlage%20Achtergronden%20RVP%20richtlijn%20Informed%20consent%20procedure.pdf, p. 13.
  6. Stcrt. 2020, 62217 (https://zoek.officielebekendmakingen.nl/stcrt-2020-62217.html).
  7. Stb. 2017, 457 (https://zoek.officielebekendmakingen.nl/stb-2017-457.html), p. 7.
  8. https://deprivacyconsultant.nl/kennisbank/toestemming-als-grondslag.
  9. Groep gegevensbescherming artikel 29, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679, Laatstelijk herzien en vastgesteld op 10 april 2018 (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0.1_nl.pdf), p. 6 e.v.
  10. https://www.rivm.nl/over-het-rivm/rivm.
  11. https://www.rivm.nl/over-het-rivm/missie-en-strategie/uitleg-begrippen-rivm2025.
  12. https://www.rijksoverheid.nl/documenten/rapporten/2020/08/19/second-opinion-dpia-coronamelder-app, p. 17 e.v.
  13. Artikel 6d lid 8 Wet publieke gezondheid.
  14. Artikel 7:457 BW.
  15. Artikel 15a Wabvpz.
  16. https://www.vzvz.nl/ict-dienstverleners/beheerorganisaties/gbz-beheer.