Door Anton Ekker, juridisch adviseur bij het Nationaal ICT Instituut in de Zorg (Nictiz) en advocaat bij HeidemanBoot Advocaten te Amsterdam.
Gemeenten krijgen vanaf 2015 meer taken op het gebied van jeugdzorg en zorg aan ouderen. In een advies aan minister Plasterk uitte het College bescherming persoonsgegevens (Cbp) onlangs haar zorgen over de privacy-gevolgen van deze ontwikkeling. Het Cbp constateert dat gemeenten meer persoonsgegevens van meer burgers zullen gaan verwerken. Daarbij gaat het onder andere om medische en strafrechtelijke persoonsgegevens. Bovendien zullen gegevens uit het ene sociale domein, bijvoorbeeld de ouderenzorg, ook in een ander domein worden gebruikt.
Wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens
Interessant is in dit verband het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens van minister Schippers. Een van de doelen van dit voorstel is het versterken van de juridische positie van patiënten bij de elektronische uitwisseling van medische gegevens. Patiënten krijgen onder andere het recht om gespecificeerde toestemming te geven voor het beschikbaar stellen van gegevens en het raadplegen daarvan. Daarnaast wordt een recht op elektronische inzage geïntroduceerd. Zorgverleners en -instellingen dienen verdergaande maatregelen te treffen op het gebied van informatiebeveiliging.
Minder bescherming bij gemeenten?
Gemeenten zijn geen zorgaanbieders. De gegevensverwerking door de gemeenten valt daarom niet onder het wetsvoorstel. Dit geeft reden tot nadenken. Waarom geniet de burger hier minder bescherming? Gegevensuitwisseling door gemeenten, bijvoorbeeld met zorginstellingen, zorgverzekeraars en indicatieorganen, lijkt niet minder gevoelig dan gegevensuitwisseling tussen zorgaanbieders onderling. Bovendien is de rechtspositie van de burger ten opzichte van de gemeentelijke overheid sowieso al zwakker omdat de Wet geneeskundige behandelingsovereenkomst, en daarmee het beroepsgeheim, niet van toepassing is.
Daarnaast zijn er nog praktische hobbels op de weg. Gemeenten moeten zelf besluiten hoe zij hun nieuwe taken gaan uitvoeren. Dit zal een grote bestuurlijke en financiële inspanning vergen. De kans is groot dat privacy-aspecten daarbij naar de achtergrond verdwijnen. Hebben gemeenten straks nog grip op de nieuwe informatiestromen waarvoor zij verantwoordelijk zijn?
Overkoepelende visie en PIA nodig
Om chaos te voorkomen is een overkoepelende visie nodig. Bij de wetgever ontbreekt deze vooralsnog, alsdus het Cbp. Van gemeenten kan evenmin worden verwacht dat zij ieder afzonderlijk een visie ontwikkelen. Daarvoor is het vraagstuk te complex. Bovendien missen veel gemeenten de benodigde mankracht en expertise.
Voor het komende jaar ligt er kortom een belangrijke opdracht voor de zorgsector en de gemeentelijke overheden gezamenlijk. Allereerst zullen de privacy-risico’s nauwkeurig in kaart moeten worden gebracht. Het Cbp adviseerde het kabinet al om een zogenaamde ‘Privacy Impact Assessment’ uit te voeren. Dit lijkt een nuttige exercitie, maar mijn indruk is dat er met name ook ‘bottom up’ nagedacht zal moeten worden over beleid en praktische oplossingen. Wie pakt de handschoen op?