Een opt-out voor het uitwisselen van medicatiegegevens, een goed idee? (En hebben we dat al niet?)
6 juli 2023 / in Nieuws / door Irma Smeding
De Patiëntenfederatie en de Nederlandse Vereniging voor Ziekenhuizen (NVZ) pleitten onlangs in een brief aan de Vaste Kamercommissie voor Volksgezondheid, Welzijn en Sport[1] voor de introductie van een wettelijke opt-out (veronderstelde toestemming) voor een goede medicatieoverdracht.
De hiermee gepaarde ophef wordt waarschijnlijk mede veroorzaakt door niet altijd even precieze berichtgeving, maar wellicht ook door hoe de boodschap overkwam. Zo wordt soms gedacht dat de opt-out voor het hele medisch dossier zou gelden en niet slechts voor het medicatieoverzicht en wordt er gesproken over ‘zonder toestemming’ in plaats van ‘veronderstelde toestemming’. Het meest gehoorde argument hiertegen is dat de privacy van patiënten in gevaar zou komen. Het zou de deur openzetten voor onbevoegde raadpleging van patiëntgegevens of erger, voor het doorspelen van patiëntgegevens aan zorgverzekeraars of hypotheekverstrekkers.
Reden genoeg dus om meer duidelijkheid ten aanzien van het voorstel te verschaffen, enkele aanverwante relevante onderwerpen aan te snijden en de vraag aan de orde te stellen of dit een goed idee is.
Het voorstel
De belangrijkste beweegredenen die aan het voorstel ten grondslag liggen zijn goede zorg en patiëntveiligheid. De brief vermeldt dat in Nederland wekelijks meer dan 1200 mensen in het ziekenhuis worden opgenomen door medicatiefouten en dat bijna de helft hiervan vermijdbaar is. Daarmee is uiteraard niet gezegd dat al deze 600 gevallen worden veroorzaakt door het huidige wettelijke opt-in systeem van toestemming voor het verstrekken aan patiëntgegevens. Maar de brief geeft aan dat men uit focusgroepen weet dat veel patiënten ervan uitgaan dat zorgverleners over noodzakelijke gegevens kunnen beschikken en dat zij niet weten dat ze actief en expliciet vooraf toestemming moeten geven. Dit levert risico’s op voor patiënten en brengt de zorgverlener in een conflict van plichten. Juist kwetsbare en minder zelfredzame patiënten, die meer dan gemiddeld zorg gebruiken, lopen het grootste risico als zij geen toestemming hebben kunnen geven.[2] Als argument met betrekking tot goede zorg wordt in de brief het advies van de Wetenschappelijk Raad voor het Regeringsbeleid aangehaald waarin wordt gesteld dat de meeste mensen het beste worden geholpen als ze geen actie hoeven te ondernemen.[3]
De juridische constructie die in de wet verankerd zou moeten worden om de risico’s voor patiënten te verkleinen, is die van de opt-out. Hierbij wordt er (i.c. wettelijk) van uitgegaan dat de patiënt toestemming geeft voor het uitwisselen van relevante, noodzakelijke medicijngegevens, tenzij de patiënt expliciet aangeeft dat niet te willen (bezwaar maakt). Het gaat dan nog steeds om een vorm van toestemming, te weten de veronderstelde toestemming. Bij deze constructie raakt de patiënt praktisch gezien onmiskenbaar een gedeelte van zijn autonomie c.q. van zijn grip op zijn privacy kwijt, omdat deze dan doorgaans meer in zijn algemeenheid en niet voorafgaand aan elke verstrekking over de mogelijkheid tot bezwaar zal worden geïnformeerd (zie ook hierna bij ‘Huidig pushverkeer’, ‘In 1.5.2.1 (…)’). Maar juridisch ligt de beslissingsbevoegdheid nog steeds bij hem.
Analyse
Geen pullverkeer
Het is goed om als eerste aan te geven waar dit voorstel geen betrekking op kan hebben. De brief noemt dit niet, maar voor zover het om elektronische uitwisseling van patiëntgegevens gaat – en daarvan is in inmiddels in het overgrote deel van de gevallen sprake – moet er onderscheid gemaakt worden tussen zogenaamd push- en pullverkeer. In het eerste geval stuurt de zorgverlener van de patiënt gericht informatie naar een andere (toekomstige) zorgverlener van de patiënt. Een voorbeeld daarvan is Zorgdomein. Bij pullverkeer stelt een zorgaanbieder bij voorbaat gegevens uit het patiëntendossier elektronisch beschikbaar voor eventuele inzage door andere zorgverleners. Het Landelijk Schakelpunt is hiervan een voorbeeld. De Wet algemene bepalingen verwerking persoonsgegevens in zorg (Wabvpz) bevat een aantal bepalingen specifiek met betrekking tot pullverkeer. Op grond van deze wet kan dit beschikbaar stellen slechts plaatsvinden nadat de patiënt daarvoor expliciete toestemming heeft gegeven. Gezien de mogelijke privacy consequenties van een dergelijke algemene beschikbaarstelling is het niet goed denkbaar dat de bedoeling van de brief is om hiervoor ook een opt-out systeem te introduceren. De Hoge Raad is duidelijk in zijn waardering van het pullsysteem van het LSP. [4] De Hoge Raad overweegt dat de inrichting van deze zorginfrastructuur thans (i.e. 2017) uit het oogpunt van het medisch beroepsgeheim en de privacy van de patiënt aanvaardbaar is omdat zij berust op in vrijheid gegeven, voldoende specifieke, toestemming (cursivering van mij: IS) van de betrokken patiënten én omdat in toekomstige wetgeving (de Wabpvz: IS) het mogelijk zal zijn om specifieke toestemming naar (soorten) gegevens en (categorieën) zorgaanbieder te geven (r.o. 5.4.4).[5] Het mag duidelijk zijn dat een opt-out systematiek ook gezien de bewoordingen van de Hoge Raad voor pullverkeer niet aan de orde kan zijn.
Huidig pushverkeer
Ten aanzien van de huidige (elektronische) verstrekkingen tussen twee zorgverleners in geval van verwijzing[6] bevat de KNMG-Richtlijn Omgaan met Medische gegevens enkele aanwijzingen (hierna: Richtlijn). Gezien het feit dat zorgverleners in beginsel aan deze professionele richtlijn gebonden zijn (op grond van artikel 7:453 lid 1 BW), hebben deze aanwijzingen het karakter van een de beroepsgroep bindende regeling. In 1.5.2.2 wordt ten aanzien genoemde verstrekkingen het volgende opgemerkt:
Omdat de patiënt instemt met de verwijzing, mag de verwijzende arts veronderstellen dat de patiënt ook instemt met het verstrekken van informatie bijvoorbeeld aan de andere hulpverlener of aan het laboratorium in het geval er diagnostiek wordt aangevraagd. De arts informeert de patiënt vooraf over de gegevensuitwisseling. De patiënt kan bezwaar maken tegen deze gegevensuitwisseling. In dat geval mag de arts de gegevens niet verstrekken.
In 1.5.2.1 wordt in zijn algemeenheid ten aanzien van veronderstelde toestemming het volgende opgemerkt:
De patiënt moet weten dat in bepaalde gevallen zijn toestemming voor informatieverstrekking wordt verondersteld én dat hij daartegen bezwaar kan maken. Daarom moet hij hiervan op de hoogte worden gesteld. Deze informatieplicht kan in de praktijk worden vervuld door een (online) privacystatement of een patiëntenfolder, waarin de mogelijkheid van veronderstelde toestemming in bovengenoemde situaties wordt uitgelegd, en de patiënt hier vooraf op te wijzen. Bijvoorbeeld bij de aanmelding of in de afspraakbevestiging. De arts kan de patiënt ook in een persoonlijk gesprek informeren over de mogelijkheid van informatieverstrekking op grond van veronderstelde toestemming.
Dit lezende zou de conclusie kunnen zijn dat het introduceren van een wettelijke opt-out voor pushverkeer van medicatiegegevens in het geval van een verwijzing niet eens noodzakelijk is aangezien de beroepsgroep van zorgverleners van de veronderstelde toestemming van de patiënt mag uitgaan. Voorwaarde is dan wel dat de patiënt er genoegzaam van op de hoogte is gesteld dat hij hiertegen ook bezwaar kan maken. Ook afgaande op websites van onder andere zorginstellingen en beroepsorganisaties die zich impliciet of expliciet baseren op de Richtlijn, zou men deze conclusie kunnen trekken. En in de praktijk wordt in geval van verwijzing de verstrekking van medische gegevens aan een andere zorgverlener inderdaad op de veronderstelde toestemming van de patiënt daarvoor gebaseerd.
Maar dat is mijns inziens problematisch, ik ben van mening dat de Richtlijn zorgverleners en zorginstellingen op dit punt op het verkeerde been zet. Het is belangrijk om onderscheid te maken tussen de regeling met betrekking tot het beroepsgeheim en de privacywetgeving.
Op zich zijn de voorgaande passages uit de Richtlijn bezien vanuit het medisch beroepsgeheim niet per se onjuist of zelfs goed te verdedigen. De toestemming die de patiënt op grond van artikel 7:457 lid 1 BW aan de zorgverlener moet geven om het beroepsgeheim te doorbreken om ‘aan anderen dan de patiënt inlichtingen te verschaffen’, mag soms verondersteld worden, zo is gebleken uit de jurisprudentie. Dit betrof echter – inmiddels achterhaalde[7] – jurisprudentie over inzage in het dossier van een nabestaande. Naar mijn weten heeft de rechter zich niet in zijn algemeenheid of met betrekking tot het geval van verwijzing uitgesproken over (veronderstelde) toestemming voor doorbreking van het beroepsgeheim voor verstrekking van informatie van de ene zorgverlener aan de andere. Het is echter wel voorstelbaar dat een rechter veronderstelde toestemming in dat kader voldoende vindt gezien voornoemde jurisprudentie, maar vooral ook gezien de huidige praktijk van de veronderstelde toestemming. Kennelijk worden de vertrouwelijkheid en de vertrouwensrelatie arts-patiënt die het beroepsgeheim dient te waarborgen, daardoor niet (te zeer) geschonden.
Probleem is echter dat het verschaffen van inlichtingen die herleidbaar zijn tot de patiënt aan een ander, altijd, ook als dit mondeling plaatsvindt, een verwerking in de zin van de AVG betreft. En de regeling met betrekking tot het beroepsgeheim uit het Burgerlijk Wetboek en de AVG gelden naast elkaar. Verwarrend is dat de verwerkingsgrondslag in de zin van de AVG om patiëntgegevens aan een andere zorgverlener te kunnen verstrekken in de zorg doorgaans de toestemming (artikel 6 lid 1 sub a AVG) is. En in de AVG wordt ‘toestemming’ van de betrokkene (de patiënt) gedefinieerd als:
elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt.
Het is duidelijk dat aan de elementen ‘ondubbelzinnige wilsuiting’ en ‘verklaring of ondubbelzinnige actieve handeling’ in het geval van een (in het kader van het beroepsgeheim gegeven) veronderstelde toestemming niet wordt voldaan.
Mijn conclusie is dan ook dat de Richtlijn zorgverleners en zorginstellingen aanzet tot handelingen die strijdig zijn met de AVG door te stellen dat patiëntgegevens in geval van een verwijzing met veronderstelde toestemming kunnen worden verstrekt en hier de AVG niet bij te betrekken.
Een goed idee?
Hoewel juridisch gezien mijns inziens noch push- noch pullverkeer op basis van veronderstelde toestemming mogelijk is, stuit de bestaande praktijk van het pushverkeer kennelijk op weinig weerstand van patiënten. De daaraan verbonden voordelen voor de patiëntveiligheid en goede zorg, pleiten juist voor een wettelijk systeem van opt-out in geval van push-verkeer. De vraag is echter of een nieuw wettelijk opt-out systeem dat mijns inziens onherroepelijk verandering van de privacyrechtelijke toestemming als verwerkingsgrondslag met zich mee zou moeten brengen en mogelijk ook van de regeling met betrekking tot het beroepsgeheim, wel mogelijk is. De AVG biedt geen ruimte om daarvan in een nationale wet af te wijken. En in het geval van een privacyrechtelijke veronderstelde toestemming als verwerkingsgrondslag zou het ten opzichte van de definitie van ‘toestemming’ uit de AVG om lichtere eisen gaan en dus een afwijking daarvan betreffen. Mijn conclusie is derhalve dat de AVG aan een nieuw wettelijk opt-out systeem in de weg staat.
Op de vraag of het een goed idee betreft, kan ik niet hét antwoord, maar alleen mijn persoonlijke mening geven.[8] Want omdat het hier gaat om wezenlijke belangen die in potentie eenieder aangaan, zou het antwoord mijns inziens met zoveel mogelijk burgerbetrokkenheid tot stand moeten komen. Zeker omdat de betrokkenheid en kennis van dit onderwerp bij patiënten niet zo groot is. Dan kunnen bijvoorbeeld patiëntenorganisaties en groepen van zorgverleners die zich, veelal uit privacyoverwegingen, niet in het voorstel kunnen vinden hun argumenten op tafel leggen.
En als men de discussie voert en de reikwijdte komt ter sprake, dan zou de vraag beantwoord kunnen worden of ook de sociale en maatschappelijk (jeugd)hulpverlening en het onderwijs al dan niet onder de regeling zouden moeten vallen. En ook de ontwikkelingen op het gebied van integrale zorg en inter- en multidisciplinair samenwerken lijken mij relevant om te bespreken en om bij een eventuele wetgevingsprocedure c.q. regeling te betrekken.
Wat de gang van zaken naar aanleiding van het voorstel uit de brief in ieder geval duidelijk maakt, is dat de discussie op basis van de juiste feiten en kennis van de AVG moet worden gevoerd
Bronnen
[1] Brief van 21 juni 2023, ondersteund door KNMP, de Nederlandse ggz, NVZA, FMS, InEen, NHG, LHV, RSO Nederland, NFU, ZKN, FNT, en. https://www.patientenfederatie.nl/downloads/brieven-aan-de-kamer/1435-brief-commissiedebat-digitale-ontwikkelingen-in-de-zorg/file
[2] p. 2
[3] “De overheid kan inspelen op de beperkte niet-cognitieve vermogens van burgers door de keuzearchitectuur aan te passen. Dat kan met behulp van simpele labels, aanvinken van standaard-opties (defaults), opt-outstelsels, ‘ongewenste’ keuzes beperkt mogelijk maken, of geschaalde vrijheden.” uit: Rapport ‘Weten is nog geen doen’, WRR 2017. IS: Deze enkele passage kan heel denigrerend overkomen, maar bij kennisneming van dit zeer lezenswaardige rapport zal blijken dat deze zo allerminst bedoeld is.
[4] Hoge Raad 1 december 2017, ECLI:NL:HR:2017:3053.
[5] De inwerkingtreding van artikel 15a lid 2 Wabpvz met betrekking de voornoemde gespecificeerde toestemming is uitgesteld omdat hiervoor tot nu toe nog geen werkbare invulling is gevonden (Kamerstukken II, 27529 nr. 209).
[6] De richtlijn geeft aan dat ook in noodsituaties en voor kwaliteitsdoeleinden toestemming van de patiënt verondersteld mag worden.
[7] In de nieuwe regeling van artikel 7:458a BW inzake inzage in het dossier door nabestaanden is de figuur van de veronderstelde toestemming niet teruggekomen.
[8] Naar mijn mening vormt de opt-out, op voorwaarde dat de patiënt voorafgaand effectief wordt geïnformeerd over de mogelijkheid om bezwaar te maken – en daar schort het in de praktijk nog regelmatig aan; een enkele privacyverklaring op de website is, ook volgens de Richtlijn, niet voldoende – een goede balans tussen enerzijds de gezondheidsbelangen van alle patiënten en anderzijds het privacybelang van de individuele patiënt. De praktische vermindering van de autonomie en grip op privacy van de patiënt wordt naar mijn mening gerechtvaardigd door de winst voor de gezondheidsbelangen en goede zorg.