Berichten over privacy en de verwerking van persoonsgegevens kleuren regelmatig de nieuwsberichten. Zowel de uitbreiding van de rechten van betrokkenen en de aanscherping van de verplichtingen van de verwerkende partijen geven daar alle aanleiding toe. Maar ook blijkt dat in de praktijk er nog al eens onduidelijkheid bestaat over wat wel en wat niet is toegestaan. Uit een tweetal praktijkvoorbeelden volgt dat het allemaal niet zo eenvoudig is.
Eens gegeven blijft gegeven?
In de eerste uitspraak ging het om de vraag of een overheidsinstantie terecht de gegevens van een burger had bewaard, terwijl de burger om vernietiging ervan had verzocht.
Casus
Een mevrouw dient een klacht in over een fysiotherapeut bij de Inspectie Gezondheidszorg (hierna: IGZ). IGZ stuurt de klacht door aan het Landelijk Meldpunt Zorg (hierna: LMZ), waarna de klaagster te kennen wordt gegeven dat de klacht niet in behandeling wordt genomen. De klaagster verzoekt daarop om de door haar verzonden brieven en aanvullende informatie te vernietigen. De Minister laat de klaagster echter weten dat haar verzoek wordt afgewezen en dat dossiers van meldingen standaard 10 jaar worden bewaard. De klaagster start daarop een gerechtelijke procedure.
Noodzakelijk op basis van (gezondheids)wetgeving
In de procedure voor de rechtbank betoogt de minister dat de IGZ en LMZ de dossiers met meldingen en met de persoonsgegevens van klagers moeten bewaren om op die manier de aan hen opgedragen taken uit de gezondheidswetgeving te kunnen uitvoeren. Daarmee deed de Minister een beroep op de wettelijke grondslag uit de wet bescherming persoonsgegevens (hierna: Wbp), die bepaalt dat de verwerking van persoonsgegevens betreffende de gezondheid is toegestaan, voor zover
“dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het College ontheffing heeft verleend. (…)”
De rechtbank fileert de verweren van de Minister door eerst te overwegen dat uit geen van de mogelijk toepasselijke gezondheidswetten volgt dat persoonsgegevens mogen worden verwerkt, op een wijze als in deze casus is geschied. Het beroep dat de Minister deed op de Archiefwet gaat daarmee eveneens onderuit, nu aan de bewaarplicht van die wet alleen wordt toegekomen als gegevens in overeenstemming met de wet bescherming persoonsgegevens zijn verwerkt.
Toestemming
In het hoger beroep voor de Afdeling Bestuursrechtspraak van de Raad van State gooit de Minister het over een andere boeg en komt er een aanvullend verweer; de klaagster zou haar toestemming hebben gegeven voor het bewaren van haar gegevens. Zij had immers zelf een brief gestuurd en naderhand – in reactie op een verzoek van IZG – aanvullende informatie toegezonden. Nadat de Afdeling eerst zorgvuldig uiteen zet dat in de Wbp onder ‘toestemming’ wordt verstaan: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt, geeft het daarbij nog een toelichting op basis van de wetsgeschiedenis.
De Afdeling bevestigt vervolgens de overwegingen van de rechtbank ten aanzien van de noodzakelijke wettelijke basis om vervolgens korte metten te maken met het verweer van de minister. Uit de toestemming van de klaagster voor het verwerken van haar persoonsgegevens in verband met de behandeling van de melding kan niet worden afgeleid dat er ook toestemming is gegeven voor het voor 10 jaar bewaren van het dossier van haar melding, nadat het IGZ heeft besloten de melding niet in behandeling te nemen.
Conclusie
Deze uitspraak heeft niet alleen een positieve uitkomst voor de klaagster, die onverwacht en ongewenst werd geconfronteerd met een overheidsinstantie die haar persoonsgegevens wilde verwerken op een wijze waarmee zij niet akkoord ging.
De desbetreffende overheidsinstantie, IGZ, zal ook haar beleid en registratiesystemen moeten aanpassen, nu er onrechtmatig persoonsgegevens worden verwerkt door de persoonsgegevens van klagers voor 10 jaar te bewaren.
Is een medische analyse een persoonsgegeven?
Regelmatig wordt de vraag gesteld wat als persoonsgegeven moet worden aangemerkt. Zou een medische analyse een persoonsgegeven kunnen zijn?
Casus
Een mevrouw is in september 2005 bevallen van haar zoon in het Waterlandziekenhuis. Na de bevalling is het kind overgebracht naar het VU in Amsterdam, nadat was gebleken dat het een hoge dwarslaesie had. De vrouw stelde vervolgens het ziekenhuis en de specialist aansprakelijk voor de veroorzaakte schade, omdat zij van mening was dat de specialist bij de bevalling onzorgvuldig had gehandeld. Naast de gerechtelijke procedure over de aansprakelijkheid heeft de vrouw aan de verzekeraar van het ziekenhuis en de specialist verzocht om een overzicht van de verwerkte persoonsgegevens op grond van de Wbp. Omdat de vrouw niet tevreden is over het uiteindelijk ontvangen overzicht, begint zij een gerechtelijke procedure.
Het geschil
Bij de rechtbank stelt de vrouw zich op het standpunt dat de verstrekte overzichten geen volledig en begrijpelijk overzicht bevatten van de verwerking van haar persoonsgegevens en die van haar zoon. Zij verzoekt de rechtbank te bepalen dat de verzekeraar alsnog aan het verzoek moet voldoen. Daarnaast verzoekt de vrouw te bepalen dat de verzekeraar afschriften van alle met de radioloog gevoerde correspondentie aan haar ter beschikking moet stellen.
De rechtbank wijst de verzoeken af. Daartoe overweegt de rechtbank, kort samengevat, dat de verzekeraar met het verstrekken van de overzichten heeft voldaan aan het verzoek van mevrouw om haar te informeren of haar persoonsgegevens worden verwerkt. Het verzoek om uitgebreidere informatie gaat te ver; van de verzekeraar kan en mag niet worden verlangd dat zij het gehele overzicht gaat aanpassen.
Het verzoek om afschrift van de mening van de radioloog komt niet voor toewijzing in aanmerking, omdat de verzekeraar voldoende aannemelijk heeft gemaakt dat geen sprake is van een medisch onderzoek, maar van een medische analyse. Een dergelijke analyse bevat geen informatie over de patiënt(en). Verzoekster kan ook niet met een beroep op de Wbp afdwingen dat zij op de hoogte wordt gebracht van de wijze waarop de interne besluitvorming bij de verzekeraar plaatsvindt.
De vrouw gaat in hoger beroep bij het Gerechtshof Den Haag.
Naar aanleiding van de uitvoerige lijst met grieven en het omvangrijke verzoek van de vrouw, om het hele medische dossier te mogen inzien, inclusief analyses, overwegingen en medische beraadslagingen, ligt het gerechtshof nog maar eens toe wat onder persoonsgegeven moet worden verstaan:
“elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”.
Op die grond wordt de vrouw in het gelijk gesteld: de verzekeraar – die als verweer had gevoerd dat alleen feitelijke gegevens als persoonsgegeven vallen aan te merken – was van een te beperkte uitleg van persoonsgegeven uitgegaan.
Vervolgens gaat het gerechtshof dieper in op het onderwerp van het persoonsgegeven. Onder verwijzing naar een oudere en vergelijkbare uitspraak ven het Europese Hof van Justitie, waarin het om een juridische analyse ging, oordeelt het hof dat het doel van de (oorspronkelijke) privacy-richtlijn is: het beschermen van het recht op eerbiediging van de persoonlijke levenssfeer van de aanvrager, alsook het waarborgen met betrekking tot de verwerking van hem betreffende gegevens. Opdat aan het recht op inzage wordt voldaan, volstaat het dat aan de aanvrager een volledig overzicht, in begrijpelijke vorm, van al deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met de richtlijn.
Naar het oordeel van het gerechtshof moet, uitgaande van de overwegingen van het Hof van Justitie, ook ten aanzien van de medische analyse door de radioloog worden aangenomen dat deze weliswaar persoonsgegevens kan bevatten maar op zich niet een dergelijk gegeven vormt in de zin van de Wbp.
Op die grond verwerpt het gerechtshof het standpunt van de vrouw dat een analyse van medische persoonsgegevens op zichzelf ook een persoonsgegeven in de zin van de Wbp vormt. Daar komt bij dat een dergelijke medische analyse in beginsel niet door de vrouw zal kunnen worden gecontroleerd op de juistheid ervan.
Zoals gezegd kan een medische analyse wel persoonsgegevens bevatten en – als een betrokkene om een overzicht van de verwerkte persoonsgegevens in een dergelijke medische analyse verzoekt – zal de verantwoordelijke dat overzicht, in begrijpelijke vorm, moeten verstrekken.
In dit geval oordeelde het gerechtshof dat de overzichten van de verzekeraar niet aan de eisen voldeden, omdat de gegevens niet voldoende konden worden gecontroleerd op de juistheid ervan.
Conclusie
Patiënten kunnen van medische specialisten en ziekenhuizen verlangen dat inzage wordt gegeven in de persoonsgegevens die zijn verwerkt. Dat zijn zowel algemene persoonsgegevens als persoonsgegevens over de gezondheid; een medische analyse is dat echter niet. Medische analyses hoeven dus niet te worden verstrekt. Indien in een medische analyse persoonsgegevens zijn opgenomen zal het ziekenhuis of de medische specialist de patiënt wel over die persoonsgegevens moeten informeren.
Deze bijdrage werd geschreven door: mr. Ruben Veenhuysen.