Gezondheidsgegevens verwerken

Grondslag wettelijke verplichting

De AVG regelt dat het verwerken van persoonsgegevens over de gezondheid of geestelijke gesteldheid alleen mag met een grondslag. Die grondslag is meestal te vinden in de wet. Bijvoorbeeld de Wet geneeskundige behandelingsovereenkomst (WGBO).

Daarin staat dat een arts een dossier van de patiënt moet bijhouden. Dat is belangrijk voor de zorgverlening. De arts kan dan vastleggen wat de klachten waren en welke behandeling de patiënt heeft gehad.

Voor andere hulpverleners, instellingen en voorzieningen voor gezondheidszorg en maatschappelijke dienstverlening geldt ook vaak een wettelijke dossierplicht. Dat betekent dat ook zij een dossier moeten bijhouden over de mensen die zij behandelen.

Ook overheidsorganisaties binnen de gezondheidszorg mogen gezondheidsgegevens verwerken voor bepaalde taken en doeleinden. Zoals de Inspectie Gezondheidszorg en Jeugd.

Voorbeelden van wetten:

• Wet geneeskundige behandelingsovereenkomst (WGBO).
• Uitvoeringswet AVG (UAVG).
• Jeugdwet.
• Wet maatschappelijke ondersteuning (Wmo) 2015.
• Wet langdurige zorg (Wlz).
• Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).
• Wet kwaliteit, klachten en geschillen zorg (Wkkgz).
• Zorgverzekeringswet. Zorgverzekeraars keren vergoedingen uit en verwerken persoonsgegevens. De wettelijke grondslag daarvoor is geregeld in de Zorgverzekeringswet.
• De Wet marktordening gezondheidszorg (Wmg). Daarin is bijvoorbeeld geregeld dat de Nederlandse Zorgautoriteit (NZa) toezicht houdt op zorgaanbieders en op zorgverzekeraars. En daarbij gezondheidsgegevens mag verwerken als dat noodzakelijk is.

Biedt de wet geen grondslag om gezondheidsgegevens te verwerken? Dan zijn er ook andere mogelijkheden:

• Uitdrukkelijke toestemming van de patiënt. Hiervoor gelden strenge eisen. Bijvoorbeeld: gegevensverwerkingen voor wetenschappelijk onderzoek door onderzoeksbureaus, universiteiten en de industrie. Gegevens hiervoor zijn vaak gepseudonimiseerd en soms geanonimiseerd.
• Een publieke taak. In dit geval is toestemming van de patiënt niet nodig. De patiënt kan wel bezwaar maken tegen de verwerking van de gegevens. Bijvoorbeeld: gegevensverwerkingen door overheden voor beleidsdoeleinden. Zoals vaststelling van budgetten en premies, fraudecontrole en planning van zorg.

Naast een grondslag, moeten verwerkingen ook voldoen aan de andere eisen uit de AVG.

Grondslag toestemming

De meeste gegevensverwerkingen in de zorg zijn voldoende geregeld in de wet. Toestemming vragen is dan niet nodig. De AVG vereist alleen toestemming als er geen andere grondslag is om gezondheidsgegevens te verwerken. Voor deze toestemming gelden strenge eisen.

Voor de meest voorkomende gegevensverwerkingen in de zorg is echter geen toestemming op grond van de AVG nodig, omdat de grondslag in de wet staat. Maar let op: om gezondheidsgegevens aan derden te verstrekken, kan er in andere wetten alsnog een verplichting staan om toestemming te vragen. 

Toestemming in verschillende wetten

Er bestaat soms verwarring over het vragen van toestemming. Dit komt namelijk voor in de AVG en in andere wetten. Bijvoorbeeld de WGBO, de Wabvpz, de Wmo en de Jeugdwet. Dit moet u erover weten:

• Voor het doorbreken van het beroepsgeheim is toestemming nodig van de patiënt. Deze toestemming is bijvoorbeeld nodig als een arts de gezondheidsgegevens wil delen met hulpverleners die niet betrokken zijn bij de behandeling.
• Voor de verwerking van gezondheidsgegevens in een elektronisch uitwisselingssysteem is toestemming van de patiënt nodig (vanuit de Wabvpz).
• De AVG vereist alleen toestemming als er geen andere grondslag is om gezondheidsgegevens te verwerken. Voor deze toestemming gelden strenge eisen. Voor de meest voorkomende gegevensverwerkingen in de zorg is echter geen toestemming op grond van de AVG nodig, omdat de grondslag in de wet staat.

Het advies van de AP aan zorgaanbieders is om steeds goed na te gaan of toestemming vragen nodig is. En aan welke eisen de toestemming moet voldoen. Vraag niet ‘voor de zekerheid’ een extra keer toestemming als het niet duidelijk is waarom. Dat maakt het onnodig complex voor de patiënt en vereist veel van de registratie.

Geheimhoudingsplicht

Wie in de gezondheidszorg betrokken is bij de verwerking van gezondheidsgegevens, heeft een geheimhoudingsplicht. Zo’n geheimhoudingsplicht kan bijvoorbeeld voortkomen uit:

• het beroep van de hulpverlener;
• de behandelingsovereenkomst die is afgesloten met de patiënt;
• een arbeidsovereenkomst;
• de wet.

De geheimhoudingsplicht betekent voor zorgaanbieders dat zij alleen gezondheidsgegevens aan anderen mogen verstrekken met toestemming van de patiënt of als het verplicht is op grond van de wet.

Voor verschillende soorten beroepen geldt een (vorm van) geheimhoudingsplicht. Daarnaast mogen gezondheidsgegevens niet door onbevoegden worden ingezien. Dat geldt ook op grond van de AVG.

Identiteit controleren

In de gezondheidszorg bestaat een identificatieplicht. Een hulpverlener controleert aan de hand van het identiteitsbewijs de identiteit van een patiënt. Een kopie of scan maken van het identiteitsbewijs mag niet. De soort en het nummer van het identiteitsbewijs in de administratie opnemen mag wel. Zie verder: Identiteitsbewijs in de zorg.

Hulpverleners zijn ook wettelijk verplicht het burgerservicenummer (BSN) te gebruiken. De hulpverlener legt het BSN vast in de administratie en gebruikt het bij het uitwisselen van patiëntgegevens met andere zorgaanbieders en zorgverzekeraars. Zie verder: BSN in de zorg.