Het College bescherming persoonsgegevens (CBP) heeft de plannen beoordeeld op basis waarvan de ‘Vereniging van Zorgaanbieders voor Zorgcommunicatie’ de landelijke uitwisseling van medische gegevens – voorheen bekend als het elektronisch patiëntendossier (EPD) – in 2012 zal voortzetten.
Het CBP concludeert dat dit zogeheten ‘Doorstartmodel’ geen bijzondere risico’s bevat op overtreding van de Wet bescherming persoonsgegevens (Wbp). Het CBP wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en niets zegt over de praktijk. Het bovenstaande doet ook niet af aan de toekomstige uitoefening van zijn toezicht op het landelijk EPD. Het CBP zal blijven toezien op de gang van zaken rond het landelijk EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens.
Het CBP heeft bij zijn beoordeling van het Doorstartmodel vooral gekeken naar de volgende aspecten:
– gaat het model uit van toestemming van de patiënt/burger voor de gegevensverwerking(en) conform de zienswijze van het CBP van 9 augustus 2011;
– is de verantwoordelijkheid voor de gegevensverwerking helder belegd;
– hoe kan de betrokkene straks zijn rechten ingevolge de Wet bescherming persoonsgegevens (Wbp) effectueren;
– wordt de juiste (normering van de) informatiebeveiliging gehanteerd;
– is helder geregeld wie toegang krijgen tot het landelijk EPD;
– wat is de duur van de zogeheten transitiefase (de periode waarin van in het systeem opgenomen patiënten toestemming kan worden verkregen).
Nadat het wetsvoorstel inzake het landelijk EPD in de Eerste Kamer was verworpen, hebben partijen uit de zorgsector eind 2011 aangekondigd de landelijke EPD-infrastructuur privaat te willen doorzetten (de zogeheten ‘Doorstart’). Met het verwerpen van het wetsvoorstel verviel ook de wettelijke basis voor het verzamelen van de gegevens. Medische gegevens zijn gevoelige persoonsgegevens. De Wbp schrijft voor dat – nu een wettelijke basis ontbreekt – de burger uitdrukkelijk zijn toestemming moet verlenen voordat zijn gegevens mogen worden opgenomen in het systeem. Het CBP heeft daarom in augustus 2011 bevestigd dat toestemming van de patiënt/burger een vereiste is voor het vastleggen van patiëntgegevens en voor de landelijke uitwisseling ervan.