Slechte bescherming van persoonsgegevens in de zorg?

Een tijdje geleden publiceerde de Autoriteit Persoonsgegevens – de Nederlandse toezichthouder op het gebied van privacy en gegevensbescherming – een open brief op haar website, waarin zij vroeg om meer aandacht voor de bescherming van patiëntgegevens.

Door Céline Teeuwen

In de brief, gericht aan de Raden van Bestuur van zorginstellingen als ziekenhuizen en huisartsenposten, stelt de AP regelmatig vragen te krijgen over het ongewenst inzien van patiëntendossiers door medewerkers of personen die daar niet toe gerechtigd zijn en daar ook geen belang bij zouden hebben. Zeker omdat patiëntendossiers bijzondere, gevoelige persoonsgegevens bevatten over de gezondheid van personen, moet er vertrouwelijk mee worden omgegaan.

Artikel 13 Wet bescherming persoonsgegevens bevat de verplichting voor de verantwoordelijke om ‘passende technische en organisatorische maatregelen’ te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Hierbij moet ook de aard van de gegevens – in dit geval bijzondere gegevens betreffende de gezondheid – in acht worden genomen. Uit eerder onderzoek van de AP was al gebleken dat zorginstellingen te ruime autorisaties toekennen aan personeel voor toegang tot medische dossiers, en ook dat er te weinig controle was op het daadwerkelijke gebruik van autorisaties.

Een aantal weken geleden werd daarnaast bekend gemaakt dat de bescherming van persoonsgegevens in de jeugdhulpverlening in het bijzonder sterk te wensen overlaat. Het is voor partijen niet duidelijk welke gegevens kunnen worden opgevraagd bij hulpverleners, wie toegang tot de gegevens zou moeten hebben en hoe het gebruik van persoonsgegevens gecontroleerd wordt. Jeugdhulpverlening valt sinds 1 januari 2015 onder de verantwoordelijkheid van gemeenten, maar deze gemeenten blijken er verschillende regels en procedures op na te houden wat betreft toegang tot en gebruik van de gegevens.

Verschillende belangenorganisaties pleiten daarom voor duidelijkere regelgeving omtrent het gebruik en de verwerking van persoonsgegevens in de jeugdhulpverlening. Zeker gezien de eerdere genoemde brief van de AP aan zorginstellingen én het feit dat het hier gaat om gegevens van jongeren – die misschien wel in een zwakkere positie zijn dan volwassenen voor wat betreft controle over hun eigen persoonsgegevens – lijkt dit een terrein te zijn waar de regering snel meer aandacht aan zal moeten besteden.