Op 30 maart berichtte het Algemeen Dagblad over de verzameling en de verwerking van patiëntgegevens door Medical Research Data Management (MRDM), een van de grootste medische databedrijven van het land. MRDM verzamelt en verwerkt informatie uit de medische dossiers van honderdduizenden, zo niet miljoenen ziekenhuisbezoekers. Dat gebeurt op verzoek van de Nederlandse ziekenhuizen.
De informatie wordt gebruikt ten behoeve van landelijke kwaliteitsregistraties en interne analyses. Zo kunnen de ziekenhuizen hun prestaties onderling vergelijken en hun zorgverlening verbeteren. Voor de registratie van borstkanker bijvoorbeeld, ontvangt MRDM alle informatie over iemands behandeling, variërend van medicijngebruik enhet aantal ingrepen tot complicaties en opnamedagen. Per registratie worden gegevens uit het elektronisch patiëntendossier gehaald en versleuteld naar het databedrijf gestuurd, waarbij de naam van de patiënt wordt vervangen door een nummer. MRDM voert 22 van dergelijke landelijke kwaliteitsregistraties uit. Een en ander wordt grotendeels door de zorgverzekeraars gefinancierd.
MRDM heeft de opslag van de data onlangs verplaatst naar de Google Cloud. Naar aanleiding van Kamervragen over de informatiebeveiliging en de privacybescherming heeft minister Bruins (Medische Zorg) aangekondigd onafhankelijk onderzoek te laten verrichten naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor de opslag van zorgdata. Ook de Autoriteit Persoonsgegevens (AP) buigt zich inmiddels over de kwestie.
De casus werpt een aantal privacyrechtelijke vragen op, want ook al betreft het gepseudonimiseerde zorgdata, er worden (bijzondere) persoonsgegevens verwerkt. De belangrijkste vraag betreft de verwerkingsverantwoordelijkheid. Zijn de ziekenhuizen verwerkingsverantwoordelijk of is databedrijf MRDM dat? De Algemene Verordening Gegevensbescherming (AVG) verlangt een verwerkingsverantwoordelijke. Dat is degene die het doel van de gegevensverwerking bepaalt, alsook de middelen, en die zeggenschap heeft over wat wordt verwerkt, die instructies kan geven voor de gegevensverwerking en daarop feitelijk invloed heeft. Als de aanleverende ziekenhuizen verwerkingsverantwoordelijk zijn, dan is MRDM verwerker (en Google sub-verwerker). De verwerker is degene die de (bijzondere) persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke. Is MRDM verwerkingsverantwoordelijk, dan is Google verwerker. De partij die moet voldoen aan de eisen gesteld aan de verwerking van deze (bijzondere) persoonsgegevens, is de verwerkingsverantwoordelijke.
In zijn antwoord op de vragen van het Kamerlid Hijink (SP) stelt minister Bruins dat de ziekenhuizen verwerkingsverantwoordelijk zijn in de zin van de AVG. Bij diezelfde gelegenheid zegt hij echter óók dat MRDM “[hem] heeft (…) laten weten een uitgebreide risicoanalyse te hebben uitgevoerd voorafgaand aan het besluit over het plaatsen van de data en juist vanuit de overweging van informatiebeveiliging de keuze gemaakt te hebben voor Google Cloud Platform (GCP)”. Wie heeft het besluit van doorlevering aan Google dan genomen? Wie heeft de feitelijke zeggenschap? En op wie rust dan de informatieplicht? Verwerkingsverantwoordelijken zijn namelijk verplicht degenen van wie persoonsgegevens worden verwerkt duidelijk te informeren over wat er met die gegevens gedaan wordt en waarom. Wie heeft de patiënten dan geïnformeerd over het feit dat hun gegevens bij een Amerikaanse tech gigant zijn ondergebracht? Zijn deze patiënten daarover wel ingelicht?
En hier beginnen de zorgen van de gezondheidsjurist. Ziekenhuizen zijn hulpverleners in de zin van de Wet op de geneeskundige behandelingsovereenkomst (Wgbo). Op deze hulpverleners rust een geheimhoudingsplicht, ook wel het medisch beroepsgeheim genoemd. Dit geheim wordt dikwijls verward met privacybescherming. Dat is niet zo vreemd, want de hulpverlener die zijn beroepsgeheim schendt, tast uiteraard ook de informationele privacy van zijn patiënt aan. Maar het belang dat door het beroepsgeheim van de hulpverlener beschermd wordt, is heel specifiek. En ook zijn de regels die dit geheim normeren veel ouder dan die welke betrekking hebben op de eerbiediging van de persoonlijke levenssfeer. De hulpverlener heeft een geheimhoudingsplicht omdat hij degene die zijn hulp zoekt, alles moet kunnen vragen wat hij nodig heeft om de laatste te kunnen helpen. De hulpvrager zal het gevraagde niet verstrekken als hij er niet op kan vertrouwen dat de informatie bij de hulpverlener blijft. Daarmee is niet gezegd dat de geheimhoudingsplicht van een hulpverlener absoluut is, maar wél dat deze uitsluitend het belang van onbelemmerde toegang tot gezondheidszorg dient. Het medisch beroepsgeheim strekt ertoe om goede hulpverlening mogelijk te maken. Uiteindelijk dient het een gezondheidsbelang. En ook een medisch dossier wordt met geen enkel ander doel door een hulpverlener aangelegd.
Voornemens tot inperking van het medisch beroepsgeheim om andere redenen dan waarvoor het gegeven is, roepen steevast reacties op van de zijde van hulpverleners. Als de overheid het medisch beroepsgeheim wettelijk wil inperken om uitkeringsfraude beter te kunnen bestrijden, of om de toerekeningsvatbaarheid van weigerachtige observandi te kunnen bepalen, spreken zij de zorg uit dat dit mensen ervan zal weerhouden de medische bijstand te zoeken die zij nodig hebben. Terecht, en die zorg is er ook wanneer de hulpverleners zélf met een dergelijk arrangement aanleiding geven tot wantrouwen.
Dit artikel is ook te vinden in het dossier Privacy in de zorg
