Praktijkgebieden: Privacy
NRC Q meldde gisteren dat artsen in ziekenhuizen regelmatig onderling gegevens over patiënten uitwisselen via WhatsApp. Ze sturen elkaar in het kader van overleg bijvoorbeeld foto’s of korte omschrijvingen van een aandoening. Dat werkt vaak sneller dan een consult per telefoon of in persoon, terwijl overleggen over een wond of ontsteking natuurlijk ook makkelijker gaat als je daar een beeld bij hebt. Terecht plaatste de krant zijn vraagtekens bij de privacyzijde van deze ontwikkeling: is het eigenlijk wel toegestaan om dergelijke informatie via een publiek netwerk te delen? De conclusie van het artikel was, kort gezegd, dat daar geen duidelijke regels over bestaan.
Die conclusie delen wij niet helemaal. Weliswaar hebben artsenorganisaties geen duidelijke richtlijnen voor het gebruik van WhatsApp of andere berichtenapplicaties, maar de Wet bescherming persoonsgegevens (Wbp) biedt de gevraagde duidelijkheid wel. Wat mag er wel met patiëntgegevens via WhatsApp, en wat niet?
De Wbp gaat, zoals bekend, over persoonsgegevens:alle gegevens die direct of indirect tot een bepaald persoon herleidbaar zijn. De wet regelt het verwerken daarvan en dat is in feite elke handeling die je met persoonsgegevens kunt verrichten, zoals het verzamelen en versturen ervan. Voor medische persoonsgegevens bepaalt de wet dat deze helemaal niet verwerkt mogen worden, behalve in een aantal uitzonderingsgevallen. Uiteraard geldt een dergelijke uitzondering voor hulpverleners en instellingen voor gezondheidszorg (maar uitsluitend voor zover die verwerking plaatsvindt met het oog op een goede behandeling van de patiënt).
Voordat we kijken of ook het gebruik van WhatsApp door een arts onder die uitzondering valt, is de eerste vraag natuurlijk of de foto’s die verzonden worden wel zijn te beschouwen als (medische) persoonsgegevens. Zoals zo vaak in het recht: dat hangt ervan af. Het criterium noemden we al: zijn de foto’s en andere gegevens tot een persoon herleidbaar of niet. Dat wordt geacht het geval te zijn als de identiteit van de betrokkene redelijkerwijs zonder onevenredige inspanning kan worden vastgesteld. Een foto van alleen een wond, zonder verdere toelichting, zal vrijwel nooit tot een individu herleidbaar zijn.
Dat ligt anders als er nadere gegevens worden meegestuurd (in de app zelf, of in de totale “app-conversatie”), zoals geslacht en leeftijd van de betreffende patiënt. In dat geval zou hij of zij, dankzij de combinatie van gegevens, indirect identificeerbaar kunnen zijn. Denkbaar is ook dat er een unieke tatoeage te zien is op een foto, of dat de foto tot een persoon herleid kan worden dankzij de metagegevens (datum, tijd, afzender, ontvanger) van het bericht. Kortom, bij dergelijk appjes kan in beginsel sprake zijn van de verwerking van medische persoonsgegevens.
Nu bestaat voor de verwerking van zulke persoonsgegevens door artsen dus (gelukkig) de bovengenoemde uitzondering op het verbod. Het doel van de appjes is om met andere artsen te overleggen over de aandoening – in de hoop aldus tot de beste behandeling voor de specifieke situatie te komen.
Maar dat wil nog niet zeggen dat het toegestaan is zomaar alles te doen met de gegevens. Ook als er een uitzondering geldt op het verbod om medische persoonsgegevens te verwerken, moet de verantwoordelijke (degene die onder meer het doel van de verwerking bepaalt – in dit geval de arts of het ziekenhuis) bepaalde regels in acht nemen. Zo mag hij persoonsgegevens niet langer bewaren dan noodzakelijk is en moet hij ervoor zorgen dat de gegevens zodanig beveiligd zijn dat ze niet in handen van onbevoegden kunnen komen. Ten slotte geldt dat persoonsgegevens (medische of niet) niet mogen worden doorgegeven aan landen buiten de Europese Unie, tenzij dat land een passend beschermingsniveau biedt.
Wij spreken onze flinke twijfel uit of in de praktijk aan al deze veiligheidsregels zal zijn voldaan. De appjes zullen veelal over onbeveiligde verbindingen worden verstuurd. De betrokken artsen zullen de foto’s en overige gegevens vaak niet meteen wissen zodra ze niet meer nodig zijn, en al die tijd staan ze in de betreffende telefoons, die mogelijk niet zijn beveiligd (of waarvan de pincode makkelijk is te raden). Erger: op die telefoon zullen vaak ook apps draaien van andere partijen, die toegang hebben tot foto’s en andere bestanden omdat dat een voorwaarde was voor de installatie. Daarnaast staan de gegevens vaak op cloudservers, waar ze ook niet meteen en gegarandeerd vanaf zijn zodra ze van de telefoon zijn gewist.
En dan is er nog dat laatste punt: de doorgifte naar buiten de EU. WhatsApp stelt dat al haar servers in de VS staan. Dat land biedt in principe geen passend beschermingsniveau. Dat ligt anders voor bedrijven die voldoen aan de zogenaamde Safe Harbor Principles, maar voor zover wij hebben kunnen nagaan voldoet WhatsApp daar niet aan.
Nu kent de Wbp ook hier weer enkele uitzonderingen: ook bij het ontbreken van een passend beschermingsniveau is doorgifte onder meer geoorloofd als de betrokkene (in dit geval de patiënt) zijn ondubbelzinnige toestemming heeft gegeven, of wanneer de doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene. Anders gezegd: wanneer het leven van de patiënt afhangt van de doorgifte van zijn persoonsgegevens, hoef je daarvoor als arts geen toestemming te vragen. Is dat niet het geval, dan zal de arts formeel dus toestemming moeten vragen aan de patiënt.
Nogmaals: al deze regels en bepalingen (die vermoedelijk dus niet worden nageleefd) gelden alleen maar als de foto’s en overige gegevens, eventueel in combinatie, zonder onevenredige inspanning kunnen worden herleid naar een patiënt. Is dat niet het geval, dan is het appje Wbp-technisch in orde. Vaak zal dat laatste het geval zijn, maar ongetwijfeld lang niet altijd.
Het lijkt ons dan ook zonder meer zinnig dat ziekenhuizen beleid gaan ontwikkelen voor deze potentiële datalekken. Dat moet ook van de Wbp zodra de (onlangs aangenomen) Wet meldplicht datalekken daarin is opgenomen. Die wet geeft het College Bescherming Persoonsgegevens bovendien de bevoegdheid boetes tot € 810.000 op te leggen voor alle schendingen van de privacywetgeving. De wetswijziging is trouwens nog niet van kracht, dus er is nog tijd enige tijd om beleid te maken. Wij helpen desgewenst graag.
Dit artikel verscheen, in enigszins aangepaste vorm, op 13 juli 2015 ook in NRC.Next.
Door het leggen van conservatoir (derden) beslag worden vermogensbestanddelen van een wederpartij per direct bevroren. Er kan geen overdracht meer plaatsvinden en in bepaalde gevallen kunnen vermogensbestanddelen zelfs elders in bewaring worden gegeven. Deze actie kan druk zetten op de wederpartij waardoor een snelle oplossing kan worden bereikt.
Beslaglegging moet wel altijd worden gevolgd door een bodem of arbitrage procedure, tenzij eerder een buitengerechtelijke oplossing wordt bereikt.
Onterecht leggen van beslag moet worden voorkomen; het kan leiden tot een schadevergoedingsactie.
Wij onderzoeken graag of dit rechtsmiddel in uw situatie tot een spoedige oplossing kan leiden.
Snel een uitspraak nodig van de rechter over een bepaalde urgente situatie? In dat geval is een kort geding een oplossing voor uw situatie. De rechter geeft een voorlopig oordeel waaraan partijen zich al dan niet op straffe van een dwangsom dienen te houden.
Wij denken graag mee over de voor uw situatie passende juridische oplossing.
Dit is in het civiele en bestuurlijke recht de procedure die (al dan niet na hoger beroep) leidt tot een definitieve beslechting van het geschil. Anders dan in een kort geding ligt de nadruk hier veel meer op een schriftelijke uitwisseling van processtukken.
Wij onderzoeken graag of dit de aangewezen procedure is voor uw geschil.
Een partij die zich beroept op de rechtsgevolgen van de door haar gestelde feiten of rechten moet deze bewijzen. Voorafgaand aan iedere gewenste procedure moet derhalve de bewijspositie worden bekeken.
Soms is het bewijs nog niet voldoende in handen van de cliënt. In dat geval is nadere actie gewenst. Te denken valt dan bijvoorbeeld aan het instellen van een (voorlopig) getuigenverhoor of het afdwingen van het verkrijgen van inzage in bepaalde documenten die zich bij de wederpartij bevinden (exhibitieplicht).
Wij zoeken graag met u naar de mogelijkheden om uw bewijsprobleem op te lossen.
Soms ontstaat er in een onderneming een intern geschil tussen aandeelhouders of tussen het bestuur en (enkele) aandeelhouders. Dit kan bijvoorbeeld gaan over de te volgen strategie van de onderneming. In dat geval kan aan de Ondernemingskamer, een speciaal daarvoor geëquipeerde afdeling van het Hof Amsterdam -- bij ons kantoor om de hoek -- een onderzoek naar de gang van zaken binnen de onderneming worden gevraagd. Zo'n onderzoek kan worden voorafgegaan door het vragen van voorlopige voorzieningen, zoals het schorsen van een bestuurder voor de duur van de procedure of het tijdelijk ontnemen van het stemrecht van een aandeelhouder.
Wij denken graag mee over de voor uw situatie passende oplossing.