Dit zegt de wet over appende artsen

Een foto van een wond appen. Mag dat? Artsenorganisaties hebben daarover geen duidelijke regels. Maar de wet wel, zeggen Victor Bouman en Lex Bruinhof.

Illustratie Roel Venderbosch illustratie roel venderbosch

Even een appje sturen over die gekke wond – het is de normaalste zaak van de wereld geworden. Nrc.next meldde woensdag dat artsen in ziekenhuizen regelmatig onderling gegevens over patiënten uitwisselen via WhatsApp. In het artikel werden vraagtekens geplaatst bij de privacyzijde van deze ontwikkeling: is het eigenlijk wel toegestaan om dergelijke informatie te delen via een publiek netwerk? De conclusie was dat daarover geen duidelijke regels bestaan. Die conclusie delen wij niet helemaal. Want weliswaar hebben artsenorganisaties geen richtlijnen voor het gebruik van WhatsApp of andere berichtenapplicaties, de Wet bescherming persoonsgegevens (Wbp) biedt de vereiste duidelijkheid wel.

De Wbp gaat over persoonsgegevens: alle gegevens die direct of indirect tot een bepaald persoon herleidbaar zijn. De wet regelt het ‘verwerken’ daarvan, en dat is in feite elke handeling die je met persoonsgegevens kunt verrichten. Voor medische persoonsgegevens bepaalt de wet dat deze helemaal niet verwerkt mogen worden, behalve in een aantal uitzonderingsgevallen. Uiteraard geldt een uitzondering voor hulpverleners en instellingen voor gezondheidszorg, voor zover die verwerking plaatsvindt met het oog op een goede behandeling van de patiënt.

Voordat we kijken of ook het gebruik van WhatsApp door een arts onder die uitzondering valt, is de eerste vraag natuurlijk of je de foto’s die verzonden worden wel kunt beschouwen als (medische) persoonsgegevens. Dat hangt ervan af. Het criterium noemden we al: zijn de foto’s en andere gegevens tot een persoon herleidbaar? Dat is het geval als de identiteit van de betrokkene zonder ‘onevenredige inspanning’ kan worden vastgesteld. Een foto van alleen een wond, zonder verdere toelichting, zal vrijwel nooit tot een individu herleidbaar zijn.

Een unieke tatoeage of metagegevens

Dat ligt anders als er nadere gegevens worden meegestuurd, zoals het geslacht en de leeftijd van de patiënt. In dat geval zou hij of zij, dankzij de combinatie van alle gegevens, indirect identificeerbaar kunnen zijn. Wat ook zou kunnen, is dat er een unieke tatoeage te zien is, of dat de foto dankzij de metagegevens (datum, tijd, afzender, ontvanger) van het bericht toch herleid kan worden tot een persoon. Kortom, bij dergelijk appjes kan sprake zijn van de verwerking van medische persoonsgegevens.

Nu bestaat voor de verwerking van zulke persoonsgegevens door artsen dus een uitzondering. Dat wil echter nog niet zeggen dat het toegestaan is zomaar alles te doen met de gegevens. Ook als er een uitzondering geldt, moet de verantwoordelijke (in dit geval de arts of het ziekenhuis) bepaalde regels in acht nemen. Zo mag hij persoonsgegevens niet langer bewaren dan noodzakelijk, en moet hij ervoor zorgen dat de verwerking voldoende beveiligd plaatsvindt. Ten slotte geldt dat persoonsgegevens niet mogen worden doorgegeven aan landen buiten de Europese Unie, tenzij dat land een passend beschermingsniveau biedt.

Wij twijfelen of in de praktijk aan al deze voorwaarden wordt voldaan. De appjes zullen veelal over onbeveiligde verbindingen worden verstuurd en de betrokken artsen zullen de foto’s en overige gegevens vaak niet meteen wissen. Op hun telefoon zullen vaak ook apps draaien van andere partijen, die toegang hebben tot foto’s en andere bestanden. Daarnaast staan de gegevens vaak op cloudservers, waar ze ook niet meteen en gegarandeerd vanaf zijn zodra ze van de telefoon zijn gewist.

En dan is er nog dat laatste punt: de overdracht naar buiten de EU. WhatsApp stelt dat al haar servers in de VS staan, en dat land biedt in principe geen passend beschermingsniveau. Dat ligt anders voor bedrijven die voldoen aan de zogenoemde Safe Harbor Principles, maar voor zover wij hebben kunnen nagaan voldoet WhatsApp daar niet aan.

Nu kent de Wbp ook hier weer enkele uitzonderingen: ook bij het ontbreken van een passend beschermingsniveau is het doorgeven van gegevens onder meer geoorloofd als de betrokkene (in dit geval de patiënt) zijn ondubbelzinnige toestemming heeft gegeven, of wanneer het noodzakelijk is „ter vrijwaring van een vitaal belang van de betrokkene”. Anders gezegd: alleen wanneer het leven van de patiënt afhangt van het doorgeven van zijn persoonsgegevens, hoef je daarvoor als arts geen toestemming te vragen.

Maar nogmaals: al deze regels en bepalingen gelden alleen als de patiëntgegevens zonder veel inspanning kunnen worden herleid naar een patiënt. Dat zal ongetwijfeld lang niet altijd zo zijn, en het lijkt ons dan ook zinnig dat ziekenhuizen beleid gaan ontwikkelen voor deze potentiële datalekken. Dat moet ook van de Wbp zodra de Wet meldplicht datalekken daarin is opgenomen. Die wet geeft het College Bescherming Persoonsgegevens bovendien de bevoegdheid boetes tot 820.000 euro op te leggen voor alle schendingen van de privacywetgeving. Deze wetswijziging gaat vermoedelijk begin volgend jaar in: de tijd dringt dus.