Het College bescherming persoonsgegevens (CBP) heeft in 2013-2014 onderzoek gedaan naar de vereiste toestemming voor de uitwisseling van medische persoonsgegevens via het Landelijk Schakelpunt (LSP). Zorgverleners, zoals een waarnemend huisarts of apotheker, kunnen via het LSP actuele medische gegevens van hun patiënten opvragen met gebruikmaking van het Burgerservicenummer (BSN). Het onderzoek is uitgevoerd bij Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) die de verantwoordelijke is voor deze verwerking van de medische gegevens in de zin van de Wet bescherming persoonsgegevens (Wbp).
Uitdrukkelijke toestemming van patiënt
Het CBP heeft een steekproef gedaan onder 149 dossiers. In acht gevallen kon niet worden aangetoond dat patiënten rechtsgeldige toestemming hadden gegeven voor de uitwisseling van hun gegevens via het LSP. In enkele dossiers ontbrak het bewijs dat rechtsgeldige toestemming was gegeven en bij andere dossiers bleek vooraf onvoldoende informatie over de uitwisseling aan de patiënt te zijn verstrekt. Het moet duidelijk zijn wie welke persoonsgegevens verwerkt, met welk doel dit gebeurt en aan wie deze gegevens worden gegeven.
Het CBP benadrukt dat uitdrukkelijke toestemming nodig is: “Het neerleggen van folders op de balie, het aanbieden in een folderrek of een downloadmogelijkheid op de website van de zorgverlener is onvoldoende. Artsen moeten hun patiënten goed informeren en daarna om hun uitdrukkelijke toestemming vragen voor de gegevensuitwisseling via het LSP.”
Volgens het CBP is de toestemming voor het elektronisch uitwisselen van medische gegevens via het LSP voldoende aangetoond als in het dossier een van de volgende documenten aanwezig is:
- een door de patiënt ondertekend toestemmingsformulier;
- een schermprint van het informatiesysteem van de zorgverlener waaruit is af te leiden dat de patiënt akkoord is gegaan met de uitwisseling;
- een aantekening in het dossier van de patiënt dat toestemming is verkregen voor de uitwisseling. In dat geval is ook een handtekening of paraaf van de zorgverlener vereist.
Daarnaast dient het document, waaruit de toestemming blijkt, in alle gevallen te zijn gedateerd.
Waarborgen
De patiëntenfederatie NPCF is ook van mening dat patiënten beter geïnformeerd moeten worden over wat er met hun gegevens gebeurt. Het VZVZ heeft naar aanleiding van het onderzoek inmiddels technische en organisatorische maatregelen genomen om ervoor te zorgen dat alleen medische gegevens worden uitgewisseld van mensen die hiervoor uitdrukkelijke toestemming hebben gegeven. Volgens het CBP zijn die afdoende.