Privacy  

Ktr. Rechtbank Oost-Brabant 7 augustus 2015, IT 1871; ECLI:NL:RBOBR:2015:4762 (Ondernemingsraad Hermes tegen Hermes Groep)
Arbeidsrecht. Cameratoezicht. Hermes zet sinds 2010 af en toe Mystery Guests (anonieme rijinstructeurs) in op ritten. De desbetreffende chauffeur wordt dan beoordeeld op 51 punten betreffende het gedrag en rijvaardigheid. Daarnaast worden hier camerabeelden van gemaakt. De kantonrechter oordeelt dat de video-opnames niet als bewijs mogen dienen omdat het Reglement dat Hermes heeft opgesteld een te ruime uitleg geeft aan de Regeling Cameratoezicht van Connexxion. De ondernemingsraad krijgt gelijk: de camerabeelden mogen slechts worden gebruikt als bewijs wanneer ze onderdeel zijn van een formele aangifte van een misdrijf of betrokkenheid daarbij en/of justitie/politie die beelden heeft opgevraagd. Hermes moet het gebruik van de beelden staken wanneer het doel 'ter observatie van houding en gedrag' is. Daarnaast is het besluit tot inzet van Mystery Guests niet instemmingsplichtig op grond van art. 27 lid 1 sub g WOR. 

3.9.5. Op grond van het voorgaande is, naar het oordeel van de kantonrechter, voldoende komen vast te staan dat het beoordelen van een chauffeur van Hermes door rijinstructeurs aan de hand van het als productie 1 bij het verzoekschrift overgelegde beoordelingsformulier geschiedt op basis van beslissingen van Hermes die incidentele situaties betreffen en die buiten de geldende, met instemming van de OR tot stand gekomen regeling ten aanzien van de personeelsbeoordeling van Hermes vallen. Dat was ook al zo in de situatie vóór 2010. De slotsom is derhalve dat het in 2010 genomen besluit van Hermes om rijinstructeurs in de hiervoor genoemde gevallen ook anoniem als Mystery Guest in te zetten, geen besluit betreft dat de vaststelling, of wijziging of intrekking van een regeling als bedoeld in artikel 27 lid 1 sub g WOR tot doel heeft. De door de OR verzochte verklaring voor recht en het verbod zijn dan ook niet toewijsbaar.

3.17. Naar het oordeel van de kantonrechter miskent Hermes met haar uitleg dat de Regeling Cameratoezicht reeds voorschrijft bij welke incidenten de camerabeelden rechtspositioneel tegen medewerkers kunnen worden gebruikt, namelijk slechts als onderdeel van een formele aangifte van een misdrijf of betrokkenheid daarbij en/of politie/justitie de beelden heeft opgevraagd. Door Hermes is niet weersproken dat de desbetreffende passage na uitvoerig overleg met de COR in de Regeling Cameratoezicht is opgenomen. Voor zover Hermes meent ook buiten deze gevallen de beelden rechtspositioneel tegen haar medewerkers te kunnen gebruiken, bijvoorbeeld na een klacht over het tijdens het rijden door een chauffeur bedienen van een smartphone geeft Hermes naar het oordeel van de kantonrechter een te ruime uitleg aan de regeling. De verwijzing naar het doel van de Regeling Cameratoezicht en haar zorgplicht als vervoerder kan Hermes daarbij niet baten. Zonder toelichting valt niet in te zien dat het doel van de regeling en de zorgplicht van Hermes in het gedrang kunnen komen door een juiste toepassing van de in die regeling opgenomen rechtspositionele bescherming van haar chauffeurs. De verwijzing naar de ontbindingsprocedure bij de kantonrechter te Arnhem kan Hermes evenmin baten. De vraag die in die procedure door de kantonrechter beantwoord moest worden, namelijk of de camerabeelden als (onrechtmatig verkregen) bewijs dienden te worden uitgesloten, was een andere dan de vraag die in de onderhavige procedure aan de orde is en kan aan het hiervoor overwogene daarom niet af doen.

3.18. De conclusie van het voorgaande is dat Hermes de Regeling Cameratoezicht te ruim uitlegt zodat het door de OR verzochte verbod toewijsbaar is.

Andere blogs:
ICTarbeidsrecht

Conclusie AG HvJ EU 23 september 2015, IT 1868; C-362/14 (Maximillian Schrems/Data Protection Commissioner)
Uit het perscommuniqué: Volgens advocaat-generaal Bot mogen nationale autoriteiten de doorgifte van gegevens van Europese Facebookgebruikers aan servers in de VS opschorten, niettegenstaande de beschikking van de Commissie dat de VS een passend niveau van bescherming van persoonsgegevens bieden. De advocaat-generaal is bovendien van mening dat deze beschikking ongeldig is. Conclusie:

Article 28 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, read in the light of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, must be interpreted as meaning that the existence of a decision adopted by the European Commission on the basis of Article 25(6) of Directive 95/46 does not have the effect of preventing a national supervisory authority from investigating a complaint alleging that a third country does not ensure an adequate level of protection of the personal data transferred and, where appropriate, from suspending the transfer of that data.

Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the Department of Commerce of the United States of America is invalid.

Gestelde vragen:

Wanneer bij een onafhankelijke ambtsdrager, aan wie bij de wet de toepassing en de uitvoering van de wetgeving inzake gegevensbescherming is opgedragen, een klacht wordt ingediend dat persoonsgegevens worden doorgegeven aan een derde land (in casu de Verenigde Staten van Amerika) waarvan het recht en de praktijk volgens de klager de betrokkenen geen passende bescherming bieden, is die ambtsdrager dan absoluut gebonden aan de communautaire bevinding van het tegendeel [in de beschikking van de Commissie van 26 juli 2000 (2000/520/EG1 )], gelet op de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (PB 2000/C 364/012 ), niettegenstaande artikel 25, lid 6, van richtlijn 95/46/EG3 ?

Of kan en/of moet de ambtsdrager overgaan tot een eigen onderzoek van de zaak in het licht van de feitelijke ontwikkelingen die zich sinds de bekendmaking van die Commissiebeschikking hebben voorgedaan?

Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptrichtsnoeren over de nieuwe meldplicht datalekken gepubliceerd. Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de richtsnoeren. De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen zal de organisatie ook hen moeten informeren. De meldplicht datalekken geldt met ingang van 1 januari 2016.

Datalek
Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.

Voorbeelden van datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.

Melden of niet?
Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

Richtsnoeren meldplicht datalekken
De richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de toezichthouder en eventueel aan de betrokkenen.

Consultatie richtsnoeren
Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de nu gepubliceerde conceptversie te reageren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de richtsnoeren. Reacties op de richtsnoeren kunnen worden ingezonden via consultatiedatalekken@cbpweb.nl.

Autoriteit Persoonsgegevens
De definitieve versie van de richtsnoeren treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens. Eventuele datalekken zullen dan ook bij de Autoriteit Persoonsgegevens moeten worden gemeld. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is € 810.000.

Meer informatie
Zie meldplicht datalekken voor meer informatie over de nieuwe meldplicht datalekken.

Lees het persbericht hier,
Zie eerder bericht [IT 1839].

EHRM 3 september 2015, IT 1861, nr. 27013/10 (Affaire Sérvulo & Associados, Sociedade de advogados tegen Portugal)
Inbeslagname bestanden. Volgens het EHRM is er geen schending van art. 8 (recht op eerbiediging van het privé- en gezinsleven) van het Europees Verdrag voor de Mensenrechten. De zaak betrof het onderzoek van advocatenkantoren en de inbeslagname van computerbestanden en emailberichten, tijdens een onderzoek naar vermoedelijke corruptie, het witwassen van geld in verband met de aankoop door de Portugese regering van twee onderzeeërs van een Duits consortium. Het hof constateerde dat de procedurele waarborgen in acht zijn genomen om misbruik en willekeur te voorkomen.

119. Au vu des observations qui précèdent, la Cour estime qu’en dépit de l’étendue des mandats de perquisition et saisie, les garanties offertes aux requérants pour prévenir les abus, l’arbitraire et les atteintes au secret professionnel des avocats, en particulier le contrôle du juge d’instruction complété par l’intervention du président de la cour d’appel au titre de l’article 72 du statut de l’Ordre des avocats, ont été adéquates et suffisantes. La perquisition et la saisie des documents informatiques et messages électroniques dénoncées en l’espèce n’a donc pas porté une atteinte disproportionnée au but légitime poursuivi.

120. Partant, il n’y a pas eu violation de l’article 8 de la Convention.

Hof Den Haag 1 september 2015, IT 1860; ECLI:NL:GHDHA:2015:2332 (verzoeker tegen KPN Callfactory per 14 september 2010 ontbonden, activiteiten voortgezet door KPN en per 1 juli 2014 door CM Group)
Wet bescherming persoonsgegevens. Artikel 46 Wbp brengt niet mee dat in een procedure op de voet van deze bepaling in hoger beroep, het beroepschrift moet worden ingediend door een advocaat. Dat het beroepschrift van verzoeker niet door een advocaat is ingediend doch door hemzelf, staat dus niet in de weg aan de ontvankelijkheid van het beroep. Ingevolge art. 46 Wbp kan een belanghebbende zich bij verzoekschrift wenden tot de rechter met een verzoek ex. artikel 30 lid 3, 35, 36 of 38 lid 2 dan wel een verzet als bedoeld in art. 40, 41. Artikel 49 Wbp, over schadevergoeding, wordt in die opsomming niet genoemd. Proceseconomie en effectiviteit van de Wbp brengen mee dat een verzoek tot schadevergoeding (ook) kan worden meegenomen in de verzoekschriftprocedure ex art. 46 Wbp. Het hoger beroep van verzoeker slaagt en schadevergoeding wordt toegewezen.

5. Ambtshalve overweegt het hof dat artikel 46 Wbp niet meebrengt dat, in een procedure op de voet van deze bepaling in hoger beroep, het beroepschrift moet worden ingediend door een advocaat (in dezelfde zin Gerechtshof Amsterdam 5 juli 2011, ECLI:NL:GHAMS:2011:BR3020). Dat het beroepschrift van [verzoeker] niet door een advocaat is ingediend doch door hemzelf, staat dus niet aan de ontvankelijkheid van zijn beroep in de weg.

17. Het hof overweegt als volgt. Ingevolge artikel 46 Wbp kan een belanghebbende zich bij verzoekschrift wenden tot de rechter met een verzoek ex artikel 30 lid 3, 35, 36 of 38 lid 2 dan wel een verzet als bedoeld in artikel 40 of 41. Artikel 49 Wbp, over schadevergoeding, wordt in die opsomming niet genoemd.
Artikel 49 Wbp is grotendeels overgenomen uit artikel 9 Wet persoonsregistraties (Stb. 1988, 665; hierna WPR), de voorganger van de huidige Wbp (Kamerstukken II 1997-1998, 25 892, nr. 3, p. 176). (...) Het voorgaande in aanmerking nemende, moet naar het oordeel van het hof worden aangenomen dat proceseconomie en effectiviteit van de Wbp meebrengen dat een verzoek tot schadevergoeding (ook) kan worden meegenomen in de verzoekschriftprocedure ex artikel 46 Wbp.

19. Uit het vorenstaande volgt dat het hoger beroep van [verzoeker] slaagt. Het hof zal de bestreden beschikking vernietigen en, opnieuw rechtdoende, het verzoek van [verzoeker] tot schadevergoeding toewijzen. KPN zal als de in het ongelijk te stellen partij worden veroordeeld in de kosten van de beide instanties. Het gaat daarbij alleen om griffierechten, [verzoeker] heeft zich immers niet laten bijstaan door een advocaat. De proceskostenveroordeling zal uitvoerbaar bij voorraad worden verklaard, zoals door [verzoeker] gevorderd. De vernietiging van de beschikking brengt mee dat voor zover [verzoeker] de proceskosten van het geding in eerste aanleg aan KPN heeft voldaan, KPN deze aan [verzoeker] zal moeten terugbetalen.

Rechtbank Oost-Brabant 23 juli 2015, IT 1858; ECLI:NL:RBOBR:2015:5389 (verzoeker tegen SNS Bank)
Privacy. Wet bescherming persoonsgegevens. In deze zaak dient de vraag te worden beantwoord of belanghebbende gegronde redenen heeft om verzoeker te registreren in het Incidentenregister en het EVR. De rechtbank stelt bij de beoordeling voorop dat de Wbp moet worden uitgelegd in overeenstemming met art. 8 EVRM. Bij elke gegevensverwerking moet zijn voldaan aan de beginselen van subsidiariteit en proportionaliteit. Belanghebbende heeft voldoende aannemelijk gemaakt dat verzoeker zich op een wijze heeft gedragen dat registratie rechtvaardigt, nu verzoeker geen verklaring geeft waarom het onrechtmatig zou zijn. Verzoeker heeft ook verzuimd de echtheid van zijn documenten aan te tonen.

4. De beoordeling
4.2. De rechtbank stelt bij de beoordeling van het onderhavige verzoek voorop dat de Wbp moet worden uitgelegd in overeenstemming met het bepaalde in artikel 8 EVRM. Bij elke gegevensverwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Dit brengt met zich dat de inbreuk op de belangen van betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel, en dit doel in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kan worden verwerkelijkt (Hoge Raad 9 september 2011, LJN: BQ8097).

4.3. De rechter is van oordeel dat belanghebbende voldoende aannemelijk heeft gemaakt dat verzoeker zich op een wijze heeft gedragen die een registratie in het Incidentenregister en het EVR rechtvaardigt, nu er van de zijde van verzoeker geen verklaring is gekomen waaruit zou blijken dat voornoemde registratie onrechtmatig zou zijn. Verzoeker legt geen enkel bewijs over waaruit blijkt dat hij wel in dienst is geweest bij Universal te Son. Daarnaast heeft verzoeker verzuimd de echtheid aan te tonen van de door hem overgelegde documenten uit 2007 ter verkrijging van een hypothecaire banklening, zodat de rechtbank niet anders kan beslissen dan het onderhavige verzoek in al zijn onderdelen af te wijzen.

Hof Arnhem-Leeuwarden 18 augustus 2015, IT 1842; ECLI:NL:GHARL:2015:6160 (eiser tegen Stichting LIBAU welstands-en monumentenzorg Groningen)
Privacy. Artikel 1 aanhef en onder a Wet bescherming persoonsgegevens. Eiser heeft een tal boederijen in eigendom in de provincie Groningen. Door Stichting Libau zijn verschillende boerderijen aangewezen tot beschermd monument. Volgens eiser heeft Libau onrechtmatig tegenover hem gehandeld door ten aanzien van zijn voorouders, dan wel familie, een beeld te schetsen van welvarende, statusgerichte en uitbuitende herenboeren. Het hof verwerpt de stellingen van eiser. Er is geen sprake van aantasting van de goede naam van eiser, en evenmin aantasting van de nagedachtenis van een overleden voorouder. Het beroep op de Wet bescherming persoonsgegevens faalt.

3. De beoordeling
3.28 (...) Daargelaten of in de omschrijving van deze panden enkele fouten zijn gemaakt, is er naar het oordeel van het hof geen sprake van aantasting van de goede naam van [appellant] , dan wel inbreuk op zijn persoonlijke levenssfeer. De omschrijvingen als zodanig zijn niet grievend van aard en de beschreven handelingen hebben bovendien omstreeks honderd jaar geleden plaatsgevonden. Daarnaast is er geen sprake van aantasting van de nagedachtenis van een overledene als bedoeld in artikel 6:106 lid 1 aanhef en onder c BW, nu [appellant] niet heeft gesteld dat het hier gaat om familieleden van hem in de eerste of tweede graad.
3.30 Het enkele feit dat in de eerste omschrijving van het pand [adres] fouten zijn gemaakt wil echter nog niet zeggen dat Libau daarmee onrechtmatig heeft gehandeld ten opzichte van [appellant] . De beschrijvingen zijn niet denigrerend of anderszins grievend jegens [appellant] en/of zijn familie. Naar het oordeel van het hof kan niet in rechte staande worden gehouden dat [appellant] daardoor is aangetast in zijn goede naam, dan wel zijn persoonlijke levenssfeer.
3.33 Waar het betreft de vermelding van zijn (voor)ouders in de in de registers van het Kadaster opgenomen omschrijvingen moet worden geoordeeld dat [appellant] in beginsel geen beroep toekomt op de bepalingen van de Wbp. Voor zover nog één van zijn ouders in leven mocht zijn komt hem of haar een zelfstandig beroep toe op de bepalingen van deze wet en voor zover zij zijn overleden komt nabestaanden in beginsel geen beroep toe op de bepalingen van deze wet. Artikel 1 aanhef en onder a Wbp verstaat namelijk onder persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Bijdrage ingezonden door Niels Westerlaken, Project Moore advocaten.
Voorafgaand aan de publicatie van de richtsnoeren meldplicht datalekken beantwoordt het Cbp vragen over deze meldplicht op haar website Cbpweb.nl. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. ... U kunt nu al maatregelen treffen om u voor te bereiden op de inwerkingtreding van de meldplicht datalekken per 1 januari 2016. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt goed beveiligt. Daarnaast kunt u bijvoorbeeld: goed incidentenbeheer inrichten; beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP; nadenken over hoe u de betrokkenen gaat informeren bij een datalek; nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken; afspraken met uw bewerkers controleren. "

Info: niels.westerlaken@projectmoore.com

Bijdrage ingezonden door Natascha van Duuren, De Clercq. Een update. Landelijk EPD: Na het verwerpen van het wetsvoorstel voor de Kaderwet landelijke EPD, is een aantal moties ingediend door zowel de Eerste als Tweede Kamer. Een belangrijke motie is ingediend door Kamerlid Tan, die de Kamer verzocht om: “te komen tot een nadere wettelijke regeling van normen en standaarden voor zowel digitale dossiervorming en ontsluiting, als de overdracht van gegevens, eisen met betrekking tot de veiligheid, toezicht, handhaving en sancties, inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt, teneinde veilig digitaal transport van gegevens (zowel pull als push) mogelijk te maken tussen zorgverleners binnen een regio”.

Wetsvoorstel: Deze motie heeft uiteindelijk geleid tot het wetsvoorstel cliëntenrechten bij elektronische gegevensverwerking dat op 1 juli 2004 door de Tweede Kamer is aangenomen. Dit wetsvoorstel bevat bepalingen voor het gebruik van elektronische uitwisselingssystemen ter bescherming van de persoonlijke levenssfeer van de burger door zorgaanbieders. Belangrijke voorwaarden voor het elektronisch beschikbaar stellen van patiëntgegevens zijn:
a.    De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem als de cliënt daartoe “gespecificeerde toestemming” heeft gegeven (artikel 15a, eerste en tweede lid Wabvpz).
b.    Het raadplegen van gegevens of het maken van een afschrift daarvan die via een elektronisch uitwisselingssysteem beschikbaar zijn gesteld, is alleen toegestaan binnen een behandelrelatie en met uitdrukkelijke toestemming van de cliënt (artikel 15b, eerste lid Wabvpz).
c.     De zorgaanbieder geeft de cliënt informatie over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronische uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt (artikel 15c, eerste lid Wabvpz).
d.    Zorgaanbieders zijn verplicht op verzoek van de cliënt elektronische inzage of afschrift van het dossier te verstrekken (artikel 15d en 15e Wabvpz). Daarnaast zijn de functionele, technische en organisatorische eisen waaraan een elektronische uitwisselingssysteem aan moet voldoen, opgenomen in een afzonderlijk besluit dat gelijktijdig in werking zal treden met het wetsvoorstel. In dit besluit wordt onder meer dwingend verwezen naar de normen voor informatiebeveiliging in de zorg van het Nederlands Normalisatie-Instituut: de NEN 7510:2011 (NEN 7510) en de verdere uitwerking van deze algemene norm in NEN 7512 en NEN 7513. Momenteel is de NEN 7521 in ontwikkeling. Deze norm dient te leiden tot uniforme en veilige gegevensuitwisseling tussen betrokken zorgverleners en zorginstelling rond de behandeling van een patiënt. Na publicatie van de NEN 7521 zal worden bezien of ook naar deze norm dwingend zal worden verwezen.

Introductie van een nieuwe toestemmingsvorm: de “gespecificeerde toestemming”: Uit verschillende hoeken wordt met een kritische blik naar het wetsvoorstel gekeken. Zo hebben de KNMG, GGZ Nederland, KNMP, NVZ, Actiz en VGN in een brief d.d. 13 februari 2015 aan de Eerste Kamer een reactie gegeven. In de brief wordt met name aandacht gevraagd voor de invoering van de “gespecificeerde toestemming” door de cliënt. De zorgaanbieder stelt op grond van het wetsvoorstel immers slechts gegevens van de cliënt beschikbaar via een elektronisch uitwisselingssysteem voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven (artikel 15a lid 1). Op grond van lid 2 betreft de in lid 1 bedoelde uitdrukkelijke toestemming een ‘gespecificeerde toestemming’ voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieder of categorieën van zorgaanbieders. Opvallend (en verwarrend) is dat in het wetsvoorstel slechts een definitie van “zorgverlener” wordt gegeven. Een “zorgverlener” wordt in het wetsvoorstel gedefinieerd als natuurlijke persoon die in het BIG-register staat ingeschreven of die een art. 34 BIG-beroep uitoefent. Een definitie van “zorgaanbieder” ontbreekt in het wetsvoorstel, dit terwijl deze term in het wetsvoorstel een belangrijke rol inneemt. De term “zorgaanbieder” is wel gedefinieerd in de Kwaliteitswet zorginstellingen: “1) de natuurlijke persoon of de rechtspersoon, die een instelling in stand houdt; 2) de natuurlijke personen of rechtspersonen, die gezamenlijk een instelling vormen.” Een zorgaanbieder kan dus ook een natuurlijke persoon zijn. Dit zou volgens de veldpartijen tot de conclusie kunnen leiden dat art. 15a lid 2 cliënten het recht geeft om door middel van het verlenen van “gespecificeerde toestemming” individuele zorgverleners uit te sluiten van toegang tot hun gegevens. De veldpartijen vragen zich (terecht) af of de “gespecificeerde toestemming” wel voldoende is doordacht. Het is volgens hen de vraag of het voorstel in de praktijk wel uitvoerbaar is. Er wordt immers een situatie gecreëerd waarin binnen een zorginstelling sommige zorgverleners wél en andere geen toegang tot de patiëntgegevens mogen hebben. Bovendien vragen zij zich af of de patiëntveiligheid hierdoor wel voldoende wordt gewaarborgd.

De deskundigenbijeenkomst van 13 april 2015: Momenteel ligt het wetsvoorstel bij de Eerste Kamer. Vanwege de kritiek van de veldpartijen op het wetsvoorstel is er een deskundigenbijeenkomst georganiseerd. Tijdens deze bijeenkomst is de “gespecificeerde toestemming” wederom uitgebreid aan de orde gekomen. Zo werd opgemerkt dat dit betekent dat een nieuwe term wordt geïntroduceerd in de toestemmingsliteratuur. De vraag is echter wat “gespecificeerde toestemming” betekent. De WGBO en de Wbp gaan immers uit van ‘toestemming’, die per definitie ‘voldoende specifiek’ moet zijn en ook ‘in vrijheid gegeven en op voldoende informatie gebaseerd’ zijn. In de Memorie van Antwoord bij het wetsvoorstel geeft de Minister een nadere toelichting op de “gespecificeerde toestemming”: Zo geeft de Minister aan: “Het zal bijvoorbeeld niet voldoende zijn om aan te geven dat alle fysiotherapeuten in de regio zijn aangesloten als niet duidelijk is tot waar de regio zich uitstrekt. Om als cliënt gespecificeerde toestemming te kunnen geven, moet helder zijn welke zorgaanbieders horen bij een aan te duiden categorie. Alle medische specialisten in Utrecht als categorie is niet gespecificeerd genoeg, de medisch specialisten van ziekenhuis X of de internisten van ziekenhuis Y en Z wel.” Het zal dus van groot belang zijn de cliënt goed te informeren over de reikwijdte van zijn (gespecificeerde) toestemming. Aan welke exacte criteria deze informatieplicht moet voldoen is niet duidelijk. Dat roept volgens de deskundigen de vraag op of de cliënt voldoende inzicht heeft in de reikwijdte van zijn toestemming, met alle privacyrisico’s van dien. Gezien het aantal en de complexiteit van de gestelde vragen heeft de Minister in een brief aan de voorzitter van de Eerste Kamer laten weten dat het niet mogelijk is de vragen binnen de gestelde termijn te beantwoorden. Om die reden is de behandeling van dit wetsvoorstel voorlopig uitgesteld en zal de Eerste Kamer voor Volksgezondheid, Welzijn en Sport (VWS) wachten op een nadere memorie van antwoord. De Minister heeft gezegd ‘de zomer’ nodig te hebben om uit te zoeken hoe een “gespecificeerde toestemming” kan worden gegeven aan zorgverleners om in het medisch dossier te mogen kijken. Daarbij wil de Minister bovendien nagaan voor hoeveel extra administratieve belasting dit zal zorgen bij individuele zorgverleners.

 

Apotheek Vzr. Rechtbank Gelderland 29 juli 2015, IT 1824; ECLI:NL:RBGEL:2015:4970 (Apotheek Culemborg tegen Apotheek Parijsch en De Fonteijn)
Electronisch netwerk met betrekking tot zorg. Culemborg vordert toegang voor raadpleging en bewerking van patiëntendossiers die zich melden voor medicatie. Voorwaarden tot toegang tot patiëntendossiers van andere deelnemers. NZA-Regeling CI/NR-100.099. Deelnemers laten na voorwaarden en procedure vast te stellen voor deelneming door andere zorgverleners, in dit geval een nieuw gevestigde apotheek. Strijd met art. 3 van de NZa-Regeling. Onrechtmatig handelen jegens de nieuw gevestigde apotheek. Geen rechtsgrond voor een veroordeling onvoorwaardelijk toegang te verschaffen. Doorlopende waarneming als voorwaarde tot toegang zonder toestemming van patiënt. Vordering afgewezen.

4.5. Van het cluster apothekers, bestaande uit de beide apotheken (waarvan [naam 5] (indirect) eigenaar/bestuurster respectievelijk medefirmant is, terwijl [naam 5] ook bestuurslid is van de Stichting) had bij gebreke van een reeds bestaande regeling in een reglement van de Stichting verwacht, en gezien de inhoud van de Regeling, ook gevergd mogen worden dat het zo spoedig mogelijk de procedure en de concrete voorwaarden voor deelneming aan Apotheek Culemborg kenbaar zou maken, waarbij in alle opzichten wordt voldaan aan het bepaalde in de artt. 2 tot en met 4 van de Regeling. Die verplichting volgt rechtstreeks uit de Regeling. De beide apotheken dienden dat, gezien het verzoek van Apotheek Culemborg tot deelneming, op eigen initiatief aan Apotheek Culemborg bekend te maken, ook al zou het zo zijn dat het mede door toedoen van Apotheek Culemborg is geweest dat het niet tot goed overleg over de voorwaarden is gekomen. Dat hebben de beide apotheken ten onrechte en in strijd met de Regeling nagelaten. Het feit dat de beide apotheken tot op heden geen concrete voorwaarden voor deelneming hebben gesteld, kan er echter niet toe leiden -voor zover dat ook in het standpunt van Apotheek Culemborg besloten ligt- dat daarom nu op de beide apotheken de verplichting rust Apotheek Culemborg onvoorwaardelijk toegang te verschaffen tot het cluster apothekers van het netwerk en tot hun patiëntendossiers. De beide apotheken handelen in strijd met de Regeling die blijkens de toelichting (onder het kopje Naleving) bedoeld is om ook in civielrechtelijke geschillen te kunnen worden ingeroepen en daarom, voorshands geoordeeld, onrechtmatig. Dat maakt hen eventueel aansprakelijk voor de schade die Apotheek Culemborg lijdt. Maar voor een zo ver gaande consequentie dat de beide apotheken daarom Apotheek Culemborg zonder voorwaarden toegang tot het netwerk en hun patiëntendossiers dienen te verschaffen is geen steun in het recht.

4.6. Daaraan staat ook een bijkomend probleem in de weg dat verband houdt met de geheimhoudingsplicht van de zorgverlener op grond van art. 7:457 BW. In lid 1 van dat artikel staat voorop dat de zorgverlener zonder toestemming van de patiënt geen informatie mag verstrekken aan derden. In lid 2 wordt daarop echter een uitzondering gemaakt voor de degene die optreedt als vervanger voor de hulpverlener. Met het oog hierop hebben de apotheken Parijsch en de Fonteijn met elkaar een zogenoemde doorlopende waarneming op grond waarvan zij over en weer als elkaars vervangers optreden en daarom toegang hebben tot elkaar patiëntendossiers. De partijen zijn het er wel over eens dat zo’n waarnemingsregeling nodig is om elkaar via het netwerk toegang te mogen verschaffen tot elkaars patiëntendossiers. Volgens Apotheek Culemborg impliceert de toelating, via de Stichting, tot deelneming aan het netwerk, automatisch een doorlopende waarnemingsrelatie met de andere deelnemende apotheken. Voor dat standpunt valt geen aanknopingspunt te vinden in de stukken en in het bijzonder niet in de statuten van de Stichting. Het ligt voor de hand dat het aangaan van een doorlopende waarneming mede tot de voorwaarden behoort waaronder deelneming kan plaatsvinden en in dat verband ook dat voorwaarden aan het aangaan van die doorlopende waarneming mogen worden gesteld, mits voldoend aan de eisen van art. 2 van de Regeling. Anders dan de beide apotheken stellen, is in geval van zo’n doorlopende waarneming geen toestemming van de patiënt vereist om toegang tot de patiëntdossiers te verschaffen. Dat volgt duidelijk uit lid 2 van art. 7:457 als uitzondering op lid 1 daarvan. Wel geldt dat bij gebreke van zo’n doorlopende waarneming geen toegang mag worden verschaft zonder toestemming van de patiënt. Aangezien een waarnemingsregeling tussen Apotheek Culemborg en de beide andere apotheken ontbreekt, zou daarom toestemming van elke individuele patiënt van de beide apotheken (dat zijn er circa 16.000) nodig zijn. Niet gesteld of gebleken is dat die toestemming er thans is. Ook dat staat eraan in de weg dat de beide apotheken op dit moment verplicht zouden kunnen worden toegang tot hun patiëntendossiers aan Apotheek Culemborg te verschaffen. Dat een patiënt die zich tot Apotheek Culemborg wendt aldaar ter plaatse toestemming aan Apotheek Culemborg kan geven voor raadpleging en bewerking van zijn patiëntendossier maakt dit niet anders omdat de patiëntendossiers niet slechts per patiënt opengesteld kunnen worden.

4.7. Hoewel de beide apotheken in strijd handelen met de Regeling, kan de vordering zoals die thans is ingesteld niet worden toegewezen, ook al is aannemelijk dat Apotheek Culemborg daarbij een spoedeisend belang heeft. Een vordering die erop neerkomt dat de beide apotheken binnen bepaalde tijd de voorwaarden bekend moeten maken waaronder Apotheek Culemborg kan deelnemen is niet ingesteld en ter zitting is desgevraagd verklaard dat een dergelijke vordering desbewust thans niet is ingesteld. Bij die stand van zaken is er geen aanknopingspunt een andere, minder vergaande voorziening dan gevorderd te treffen.