icon

Mogen artsen foto's van patiënten sturen via WhatsApp?

NRC Q meldde gisteren dat artsen in ziekenhuizen regelmatig onderling gegevens over patiënten uitwisselen via WhatsApp. Ze sturen elkaar in het kader van overleg bijvoorbeeld foto’s of korte omschrijvingen van een aandoening. Dat werkt vaak sneller dan een consult per telefoon of in persoon, terwijl overleggen over een wond of ontsteking natuurlijk ook makkelijker gaat als je daar een beeld bij hebt. Terecht plaatste de krant zijn vraagtekens bij de privacyzijde van deze ontwikkeling: is het eigenlijk wel toegestaan om dergelijke informatie via een publiek netwerk te delen? De conclusie van het artikel was, kort gezegd, dat daar geen duidelijke regels over bestaan.

Die conclusie delen wij niet helemaal. Weliswaar hebben artsenorganisaties geen duidelijke richtlijnen voor het gebruik van WhatsApp of andere berichtenapplicaties, maar de Wet bescherming persoonsgegevens (Wbp) biedt de gevraagde duidelijkheid wel. Wat mag er wel met patiëntgegevens via WhatsApp, en wat niet?

De Wbp gaat, zoals bekend, over persoonsgegevens:alle gegevens die direct of indirect tot een bepaald persoon herleidbaar zijn. De wet regelt het verwerken daarvan en dat is in feite elke handeling die je met persoonsgegevens kunt verrichten, zoals het verzamelen en versturen ervan. Voor medische persoonsgegevens bepaalt de wet dat deze helemaal niet verwerkt mogen worden, behalve in een aantal uitzonderingsgevallen. Uiteraard geldt een dergelijke uitzondering voor hulpverleners en instellingen voor gezondheidszorg (maar uitsluitend voor zover die verwerking plaatsvindt met het oog op een goede behandeling van de patiënt).

Voordat we kijken of ook het gebruik van WhatsApp door een arts onder die uitzondering valt, is de eerste vraag natuurlijk of de foto’s die verzonden worden wel zijn te beschouwen als (medische) persoonsgegevens. Zoals zo vaak in het recht: dat hangt ervan af. Het criterium noemden we al: zijn de foto’s en andere gegevens tot een persoon herleidbaar of niet. Dat wordt geacht het geval te zijn als de identiteit van de betrokkene redelijkerwijs zonder onevenredige inspanning kan worden vastgesteld. Een foto van alleen een wond, zonder verdere toelichting, zal vrijwel nooit tot een individu herleidbaar zijn.

Dat ligt anders als er nadere gegevens worden meegestuurd (in de app zelf, of in de totale “app-conversatie”), zoals geslacht en leeftijd van de betreffende patiënt. In dat geval zou hij of zij, dankzij de combinatie van gegevens, indirect identificeerbaar kunnen zijn. Denkbaar is ook dat er een unieke tatoeage te zien is op een foto, of dat de foto tot een persoon herleid kan worden dankzij de metagegevens (datum, tijd, afzender, ontvanger) van het bericht. Kortom, bij dergelijk appjes kan in beginsel sprake zijn van de verwerking van medische persoonsgegevens.

Nu bestaat voor de verwerking van zulke persoonsgegevens door artsen dus (gelukkig) de bovengenoemde uitzondering op het verbod. Het doel van de appjes is om met andere artsen te overleggen over de aandoening – in de hoop aldus tot de beste behandeling voor de specifieke situatie te komen.

Maar dat wil nog niet zeggen dat het toegestaan is zomaar alles te doen met de gegevens. Ook als er een uitzondering geldt op het verbod om medische persoonsgegevens te verwerken, moet de verantwoordelijke (degene die onder meer het doel van de verwerking bepaalt – in dit geval de arts of het ziekenhuis) bepaalde regels in acht nemen. Zo mag hij persoonsgegevens niet langer bewaren dan noodzakelijk is en moet hij ervoor zorgen dat de gegevens zodanig beveiligd zijn dat ze niet in handen van onbevoegden kunnen komen. Ten slotte geldt dat persoonsgegevens (medische of niet) niet mogen worden doorgegeven aan landen buiten de Europese Unie, tenzij dat land een passend beschermingsniveau biedt.

Wij spreken onze flinke twijfel uit of in de praktijk aan al deze veiligheidsregels zal zijn voldaan. De appjes zullen veelal over onbeveiligde verbindingen worden verstuurd. De betrokken artsen zullen de foto’s en overige gegevens vaak niet meteen wissen zodra ze niet meer nodig zijn, en al die tijd staan ze in de betreffende telefoons, die mogelijk niet zijn beveiligd (of waarvan de pincode makkelijk is te raden). Erger: op die telefoon zullen vaak ook apps draaien van andere partijen, die toegang hebben tot foto’s en andere bestanden omdat dat een voorwaarde was voor de installatie. Daarnaast staan de gegevens vaak op cloudservers, waar ze ook niet meteen en gegarandeerd vanaf zijn zodra ze van de telefoon zijn gewist.

En dan is er nog dat laatste punt: de doorgifte naar buiten de EU. WhatsApp stelt dat al haar servers in de VS staan. Dat land biedt in principe geen passend beschermingsniveau. Dat ligt anders voor bedrijven die voldoen aan de zogenaamde Safe Harbor Principles, maar voor zover wij hebben kunnen nagaan voldoet WhatsApp daar niet aan.

Nu kent de Wbp ook hier weer enkele uitzonderingen: ook bij het ontbreken van een passend beschermingsniveau is doorgifte onder meer geoorloofd als de betrokkene (in dit geval de patiënt) zijn ondubbelzinnige toestemming heeft gegeven, of wanneer de doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene. Anders gezegd: wanneer het leven van de patiënt afhangt van de doorgifte van zijn persoonsgegevens, hoef je daarvoor als arts geen toestemming te vragen. Is dat niet het geval, dan zal de arts formeel dus toestemming moeten vragen aan de patiënt.

Nogmaals: al deze regels en bepalingen (die vermoedelijk dus niet worden nageleefd) gelden alleen maar als de foto’s en overige gegevens, eventueel in combinatie, zonder onevenredige inspanning kunnen worden herleid naar een patiënt. Is dat niet het geval, dan is het appje Wbp-technisch in orde. Vaak zal dat laatste het geval zijn, maar ongetwijfeld lang niet altijd.

Het lijkt ons dan ook zonder meer zinnig dat ziekenhuizen beleid gaan ontwikkelen voor deze potentiële datalekken. Dat moet ook van de Wbp zodra de (onlangs aangenomen) Wet meldplicht datalekken daarin is opgenomen. Die wet geeft het College Bescherming Persoonsgegevens bovendien de bevoegdheid boetes tot € 810.000 op te leggen voor alle schendingen van de privacywetgeving. De wetswijziging is trouwens nog niet van kracht, dus er is nog tijd enige tijd om beleid te maken. Wij helpen desgewenst graag.

Dit artikel verscheen, in enigszins aangepaste vorm, op 13 juli 2015 ook in NRC.Next.

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Mogen artsen foto's van patiënten sturen via WhatsApp?

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief