“Meerderheid zorgsites onbeveiligd: privacy-autoriteit dreigt met boetes”, zo luidt het artikel van de NOS dat gisteren werd geplaatst. Onlangs bleek al uit een onderzoek van de Consumentenbond dat medische websites de wet overtreden. Wil je weten of jij een medische website hebt en aan welke eisen je dan moet voldoen? In deze blogserie vind je antwoord op deze vragen:
Wat zijn gezondheidsgegevens? De wet spreekt van ‘gegevens betreffende iemands gezondheid’, wij spreken vaak van ‘medische persoonsgegevens’ of ‘gezondheidsgegevens’. Dit zijn gegevens die verband houden met de fysieke of mentale gezondheid van een persoon. Hieronder vallen ook gegevens over ‘verleende gezondheidsdiensten’ waarmee informatie over iemands gezondheidstoestand wordt gegeven.
Oké, nu concreet. Wanneer is hier nou sprake van?
Denk aan gegevens over iemands ziekte, handicap, medische voorgeschiedenis, medische behandelingen en labuitslagen, maar ook aan een patiëntnummer dat iemand krijgt in een ziekenhuis. Wanneer dit soort gegevens direct of indirect via jouw website wordt verwerkt, verwerk je gezondheidsgegevens.
Een voor de hand liggend voorbeeld is de websitebezoeker die op een website een formulier invult waarin hij aangeeft hoe zijn gezondheidssituatie is. Denk aan invulvelden als ‘Welke medicatie gebruikt u?’, ‘Heeft u één of meer van de volgende aandoeningen?’. Ook het maken van een afspraak bij een specialist, of het aanvragen van een herhaalrecept, zijn gezondheidsgegevens. Als af te leiden is wat iemands gezondheidssituatie is, spreek je al snel van een gezondheidsgegeven dat onder de Wet bescherming persoonsgegevens (en per 25 mei 2018 de Algemene Verordening Gegevensbescherming) valt.
Het maken van een afspraak bij een huisartsenpraktijk via de website, is niet specifiek genoeg. Dit zegt eigenlijk nog niks over de gezondheidssituatie. Een afspraak bij de gynaecoloog is al specifieker. In dat geval kan je spreken van een gezondheidsgegeven.
Waar een naam en een geboortedatum een ‘persoonsgegeven’ zijn in de zin van de wet, is een gezondheidsgegeven een ‘bijzonder persoonsgegeven’. Naast gezondheidsgegevens zijn ook gegevens over iemands ras, geloof en politieke voorkeur bijzondere persoonsgegevens. Voor deze bijzondere persoonsgegevens hanteert de wet een strenger regime. Het verwerken van bijzondere persoonsgegevens is verboden, tenzij sprake is van een uitzondering.
De wet noemt specifiek voor elk soort bijzonder persoonsgegeven een aantal uitzonderingen. Voor gezondheidsgegevens geldt dat bepaalde personen of instanties, onder bepaalde voorwaarden, deze gegevens mogen verwerken. Dit zijn bijvoorbeeld hulpverleners en zorginstellingen, verzekeraars, scholen, reclasseringsinstellingen, de overheid, en werkgevers.
Naast dat de wet per bijzonder persoonsgegeven aangeeft wanneer deze categorieën persoonsgegevens mogen worden verwerkt, geeft de wet ook een aantal uitzonderingsgevallen die voor álle bijzondere persoonsgegevens gelden. In het geval van websites zal dit vaak neerkomen op de uitdrukkelijke toestemming van een persoon.
Ben je een gezondheidsinstelling en kan een patiënt bijvoorbeeld inloggen op je website, dan mag je zijn gezondheidsgegevens verwerken wanneer dit nodig is in het kader van zijn behandeling. Val je niet onder een specifieke uitzondering in de wet of wil je op een andere manier gezondheidsgegevens verwerken? Vraag dan uitdrukkelijke toestemming van die persoon en sla die toestemming op.
Het BSN is een extra bijzonder persoonsgegeven, en mag alleen verwerkt worden in gevallen die de wet noemt. Ook al verstrekt iemand zijn BSN en geeft hier uitdrukkelijke toestemming voor, betekent dit niet dat u dit mag verwerken. Zorginstellingen bijvoorbeeld moeten op grond van de wet BSN verwerken om de identiteit van een persoon vast te stellen.
Stel je hebt toestemming of je valt onder een uitzondering, dan mag je de gezondheidsgegevens verwerken als je daarnaast ook nog een grondslag hebt om ze te verwerken. Denk bij een grondslag aan de uitvoering van een overeenkomst of een wettelijke grondslag zoals de dossierplicht.
De gezondheidsgegevens mag je, net als gewone persoonsgegevens dan enkel gebruiken voor het doel waarvoor je ze verzameld hebt. Als iemand gebruik maakt van de website om een afspraak te maken met een specialist, dan mag hij niet tevens gevolgd worden middels een tracking cookie van een derde. Dan worden mogelijk medische persoonsgegevens afgegeven aan een derde (de plaatser van de cookie). Dat valt buiten de afspraken en daar is expliciete toestemming voor nodig.
> Zorgsites, deel 2: aan welke privacy-eisen moet een medische website voldoen?
Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.