Verwarring over AVG-GDPR
Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG of GDPR) van kracht. Dit is een regulering die als doel heeft om de verschillende regels omtrent gegevensbescherming in alle EU staten te harmoniseren. Over de precieze details van de AVG bestaat veel verwarring. Zo horen we geluiden dat de AVG veel strenger zou zijn dan de Wet bescherming persoonsgegevens (Wbp) als het bijvoorbeeld gaat om het vragen van toestemming van de patiënt voor het verwerken van zijn/haar gegevens. Aangezien wetgeving op dit gebied natuurlijk een grote invloed heeft op de werkwijze van CTcue hebben we het een en ander uitgezocht. Hier lees je onze bevindingen.
Is er altijd toestemming van de patiënt nodig voor het verwerken van data?
In hoofdstuk 3 van de verordening worden alle rechten van de – in dit geval – patiënt beschreven. Hoewel er in artikel 6, grond 40 van de verordening (EU) 2016/679 staat geschreven dat er voor rechtmatige verwerking van persoonsgegevens toestemming vereist is van de betrokkene, lees je in overweging 54 vervolgens:
“Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën van persoonsgegevens zonder toestemming van de betrokkene te verwerken.”
Met andere woorden, de AVG geeft heel expliciet aan dat het verwerken van medische gegevens een uitzondering vormt op het nodig hebben van toestemming voor verwerking. Ergens is dat natuurlijk ook wel logisch, want het zou niet werkbaar zijn om voor elke zoekopdracht, statistische studie, registratie enz. een gang naar de patiënt te moeten maken.
Verwerkingsverantwoordelijkheden
In hoofdstuk 4 weidt de verordening uit over alle verantwoordelijkheden die komen kijken bij het verwerken van gegevens. Het komt er op neer dat de AVG verwerkers stimuleert om zoveel mogelijk een ‘privacy-by-design’ benadering te gebruiken. Privacy-by-design wilt zeggen dat je vanaf het vroegste stadium je al bezig houdt met privacy, zowel op technisch gebied als organisatorisch. In artikel 24 & 25 worden de volgende maatregelen genoemd die bij een privacy-by-design benadering aansluiten:
“[…] het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.”
Wat dat betreft zijn er voor ziekenhuizen nog wel wat verbeterpunten, omdat de situatie nu zo is dat EPD’s weinig flexibel zijn op het gebied van privacy. Onderzoekers die data moeten verzamelen voor onderzoek hebben bijvoorbeeld toegang tot hetzelfde EPD als dokters en zien dan dus ook standaard foto’s en namen van de patiënt, terwijl dat voor hen geen relevantie heeft. Volgens de AVG zou dit vanaf 25 mei 2018 dus eigenlijk niet meer mogelijk moeten zijn.
Positie CTcue
Onze conclusie is dat de werkwijze van CTcue zeer goed aansluit op de voorschriften van de AVG. Zoals de principes van ‘privacy-by-design’ voorschrijven, worden alle gegevens gepseudonimiseerd en zien gebruikers – in tegenstelling tot in het EPD – alleen de specifieke data die relevant is voor de zoekopdracht en niet meer. De beheerders van onze applicatie kunnen bovendien controleren welke gebruiker wat te zien krijgt, doordat we verschillende privacy-niveaus voor accounts hebben gedefinieerd. Verder zijn we transparant over onze werkwijzes door standaard een verwerkersovereenkomst met ziekenhuizen af te sluiten waarin strikt beschreven staat wat wij wel en niet mogen doen.
