HR 1 december 2017, ECLI:NL:HR:2017:3053
Het gebruik van de algemene professionele standaard waarvan sprake is bij de zorginfrastructuur van VZVZ, is gerechtvaardigd gelet op het doel van de gegevensuitwisseling.
Achtergrond
De procedure waarin de Hoge Raad uitspraak heeft gedaan ziet op de vrijwillige en private regeling van het elektronisch patiëntendossier; de wettelijke regeling van dit dossier is in april 2011 in de Eerste Kamer gestrand.
De Tweede Kamer had betrokken partijen in november 2011 opgeroepen tot een doorstart. Die doorstart is er, onder meer op initiatief van de Landelijke Huisartsenvereniging, gekomen. Bij deze doorstart is gebruik gemaakt van de bestaande infrastructuur voor de elektronische uitwisseling van medische persoonsgegevens. De Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ) is opgericht om te fungeren als verantwoordelijke in de zin van art. 1, aanhef en onder d, van de Wet bescherming persoonsgegevens (Wbp). Het Doorstartmodel is in december 2011 ter advisering voorgelegd aan het College bescherming persoonsgegevens (Cbp). De conclusie van het Cbp was dat geen bijzondere risico’s op overtreding van de Wbp waren gevonden, waarbij het College er op had gewezen dat deze conclusie slechts een beoordeling was van het Doorstartmodel, en nog niets zegt over de praktijk.
Tegen de wijze waarop de regeling is ingericht is in deze procedure onder andere opgekomen de Vereniging Praktijk-houdende Huisartsen (VHP). Eisers in cassatie vorderden onder meer een verklaring voor recht dat de door VZVZ ingevoerde infrastructuur onrechtmatig is, en een gebod de uitvoering te staken. Rechtbank en hof hadden de vorderingen afgewezen.
In cassatie
Bij zijn beoordeling van het cassatieberoep opent de Hoge Raad met een weergave van de (wettelijke) regels op hoofdlijnen, art. 10 Grondwet, art. 8 Handvest van de Grondrechten van de EU, art. 17 IVBPR, art. 8 EVRM, en de specifieke regeling in de Wbp, die zelf mede een implementatie is van de Privacyrichtlijn (Richtlijn 95/46/EG). Ook wijst de Hoge Raad op zijn Santander-arrest uit 2011 (ECLI:NL:HR:2011:BQ8097). De Privacyrichtlijn zal per 25 mei 2018 worden vervangen door de Algemene Verordening Gegevensbescherming (AVG; Verordening 2016/679/EU). Ook de Wbp zal dan worden ingetrokken.
In het cassatieberoep worden voor zover hier van belang vier kwesties aan de orde gesteld: (i) de omvang van de gegevensverwerking, (ii) de betekenis van toestemming voor de toelaatbaarheid, (iii) de vrijheid van de door de burger (patiënt, cliënt) gegeven toestemming voor de gegevensverwerking, en (iv) de specificiteit van de gevraagde toestemming. Geen van deze punten leidt tot cassatie.
(i) de omvang van de gegevensverwerking
Het hof had erop gewezen dat de toestemming in het bijzonder ziet op situaties van waarneming en noodgevallen. Het gebruik van de algemene professionele standaard waarvan sprake is bij de zorginfrastructuur van VZVZ, is volgens het hof gerechtvaardigd gelet op het doel van de gegevensuitwisseling. Het gaat om een standaard die reeds vanaf 1998 door de beroepsgenoten wordt gehanteerd in waarneemsituaties, en daarmee om een op de praktijkervaring van de huisartsen gebaseerde beoordeling welke gegevens in het algemeen voor een goede zorgverlening bij spoedeisende hulp of waarneming van belang zijn. Dat daarbij niet in elke situatie alle gegevens relevant zijn, is inherent aan het samenstellen van een algemene standaard. Daar komt nog bij dat de patiënt het recht heeft om in overleg met de huisarts informatie uit te sluiten van opname in het huisartsenwaarneemdossier of elektronisch medicatiedossier en daarmee van gegevensuitwisseling aan informatie opvragende zorgverleners. De Hoge Raad oordeelt dat de overwegingen van het hof zijn oordeel kunnen dragen dat is voldaan aan de vereisten van proportionaliteit en subsidiariteit.
(ii) de betekenis van toestemming voor de toelaatbaarheid
Het hof had volgens de Hoge Raad terecht tot uitgangspunt genomen dat de medische geheimhoudingsplicht niet in de weg staat aan de verwerking van medische gegevens als de patiënt daarvoor expliciet en rechtsgeldig toestemming geeft. Dat hierbij geen sprake is van het uitzonderlijke geval waarin verwerking van medische gegevens ondanks de bedoelde toestemming niet toelaatbaar is, is volgens de Hoge Raad juist, gelet op het feit dat de gegevensverstrekking in de zorginfrastructuur van VZVZ alleen plaatsvindt aan enkele beperkte categorieën van zorgverleners en de omvang van de gegevensverwerking niet disproportioneel is en voldoet aan het vereiste van subsidiariteit.
(iii) de vrijheid van de door de burger (patiënt, cliënt) gegeven toestemming voor de gegevensverwerking
Uitgangspunt is dat de toestemming zonder enige vorm van dwang, van welke aard dan ook, moet zijn gegeven. Dat in de zorginfrastructuur van VZVZ sprake is van toestemming zonder dwang is een oordeel van feitelijke aard dat in cassatie niet op juistheid kan worden onderzocht. Het oordeel van het hof is volgens de Hoge Raad niet onbegrijpelijk of onvoldoende gemotiveerd.
(iv) de specificiteit van de gevraagde toestemming
Geen blijk van een onjuiste rechtsopvatting geeft het hof volgens de Hoge Raad waar het heeft overwogen dat de toestemming als voldoende specifiek kan worden beschouwd als degene die de toestemming verleent, weet welke concrete “gegevensset” in welke situatie voor welk type zorgverlener is in te zien.
De toekomst
Volgens de Hoge Raad heeft het hof het volgende bedoeld met zijn toekomstverwachting:
“De inrichting van de zorginfrastructuur is thans aanvaardbaar omdat zij berust op in vrijheid gegeven, voldoende specifieke, toestemming van de betrokken patiënten. Het hof heeft daarbij echter onderkend dat de zorginfrastructuur ook kan worden ingericht op een wijze waarbij meer onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders kan worden gemaakt, en waarbij in het bijzonder gegevensuitwisseling op basis van toestemming bij voorbaat desgewenst kan worden beperkt tot spoedeisende gevallen (..). In zijn oordeel ligt besloten dat deze inrichting meer en beter in overeenstemming is met de beginselen die aan de Privacyrichtlijn en de Wbp ten grondslag liggen, maar ten tijde van het wijzen van het bestreden arrest nog niet van VZVZ kon worden geëist. Van VZVZ mag volgens het hof wel worden verwacht dat zij, zodra dit voor haar technisch mogelijk en uitvoerbaar is, het systeem aanpast door daarin meer keuzevrijheid te bieden.”.
Deze overwegingen vindt de Hoge Raad vervolgens niet onbegrijpelijk. De Hoge Raad merkt daarbij nog op dat gelet op de ambities van VZVZ met het systeem en de veranderingen in de regelgeving, waarbij ‘privacy by design’ en ‘privacy by default’ uitdrukkelijk tot uitgangspunt zijn genomen (art. 25 lid 1 en 2 AVG), eens te meer in de rede ligt wat het hof van VZVZ verwacht.