Uitspraak
RECHTBANK MIDDEN-NEDERLAND
Zittingsplaats Utrecht
Bestuursrecht
zaaknummer: UTR 19/608
uitspraak van de meervoudige kamer van 10 januari 2020 in de zaak tussen
[eiseres] , te [vestigingsplaats] , eiseres
(gemachtigde: J.M.T. Wijnberg),
en
de Autoriteit Persoonsgegevens, verweerder
(gemachtigde: mr. E.S. van der Deijl en mr. O. S. Nijveld).
Als derde-partij heeft aan het geding deelgenomen
de Vereniging Zorgaanbieders voor Zorgcommunicatie (VZVZ), te Den Haag, gemachtigden: [gemachtigde 1] en [gemachtigde 2] .
de Vereniging Zorgaanbieders voor Zorgcommunicatie (VZVZ), te Den Haag, gemachtigden: [gemachtigde 1] en [gemachtigde 2] .
Procesverloop
Bij besluit van 6 mei 2018 (het primaire besluit) heeft verweerder het verzoek van eiseres om handhavend op te treden tegen VZVZ als beheerder van het Landelijk Schakelpunt (LSP) afgewezen.
Bij besluit van 24 december 2018 (het bestreden besluit) heeft verweerder het bezwaar van eiseres ongegrond verklaard.
Eiseres heeft tegen het bestreden besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft plaatsgevonden op 15 oktober 2019. Eiseres is vertegenwoordigd door haar gemachtigde en mr. [A] . Verweerder en VZVZ hebben zich door hun gemachtigden laten vertegenwoordigen.
Overwegingen
Inleiding
De artikelen waarnaar de rechtbank in deze uitspraak verwijst zijn opgenomen in een bijlage die bij deze uitspraak hoort.
Het LSP is een netwerk waar bepaalde categorieën zorgaanbieders zich op kunnen aansluiten. In het LSP wordt het Burgerservicenummer (BSN) van een patiënt aangemeld. Via dit netwerk kunnen zorgaanbieders medische gegevens over hun patiënten raadplegen in elkaars systemen. Het LSP is geen database: er worden geen medische gegevens in opgeslagen. Die gegevens blijven staan in de dossiers bij bijvoorbeeld de (eigen) huisarts en apotheek. Dit raadplegen van medische gegevens in het dossier van een andere zorgaanbieder mag alleen als de patiënt hiervoor uitdrukkelijk toestemming heeft verleend. Het BSN wordt geleverd door de zorgverlener aan wie een persoon toestemming heeft verleend voor aanmelding bij het LSP.
Het verzoek om handhaving van eiseres
Het verzoek om handhaving van eiseres
Eiseres heeft verweerder bij brief van 27 juli 2017 verzocht om handhavend op te treden tegen VZVZ als beheerder van het LSP. Haar verzoek bestaat uit drie onderdelen.
a. verweerder moet optreden tegen de wijze waarop VZVZ het mogelijk maakt dat mensen geregistreerd worden in het LSP, zonder dat zij daarvoor het vereiste uitdrukkelijke toestemming hebben verleend;
b. verweerder moet de zienswijze van zijn rechtsvoorganger het College bescherming persoonsgegevens (Cbp) uit 2014, dat VZVZ voldoende technische en organisatorische waarborgen heeft getroffen om te bewerkstelligen dat alleen persoonsgegevens worden verwerkt van patiënten die daarvoor toestemming hebben verleend, herzien;
c. verweerder moet bevestigen dat VZVZ bij schriftelijke verzoeken of iemand aangemeld is bij het LSP, niet mag vragen om een BSN in combinatie met een kopie van een geldig identiteitsbewijs.
a. verweerder moet optreden tegen de wijze waarop VZVZ het mogelijk maakt dat mensen geregistreerd worden in het LSP, zonder dat zij daarvoor het vereiste uitdrukkelijke toestemming hebben verleend;
b. verweerder moet de zienswijze van zijn rechtsvoorganger het College bescherming persoonsgegevens (Cbp) uit 2014, dat VZVZ voldoende technische en organisatorische waarborgen heeft getroffen om te bewerkstelligen dat alleen persoonsgegevens worden verwerkt van patiënten die daarvoor toestemming hebben verleend, herzien;
c. verweerder moet bevestigen dat VZVZ bij schriftelijke verzoeken of iemand aangemeld is bij het LSP, niet mag vragen om een BSN in combinatie met een kopie van een geldig identiteitsbewijs.
Eiseres heeft bij haar aanvraag vier gevallen aangedragen van patiënten die zonder hun toestemming toch waren aangemeld bij het LSP. Volgens eiseres heeft zij hiermee aangetoond dat patiënten zonder hun uitdrukkelijke toestemming worden aangemeld bij het LSP en dat het systeem als zodanig dus niet deugt. Verweerder moet volgens eiseres handhavend optreden tegen VZVZ om dit in orde te maken.
Bespreking van het beroep van eiseres
Bespreking van het beroep van eiseres
Eiseres heeft naast dit handhavingsverzoek, ook een handhavingsverzoek bij verweerder ingediend dat erop is gericht om apothekers aan te spreken op de onrechtmatige aanmelding van patiënten bij het LSP. [1] Verweerder heeft het nu voorliggende handhavingsverzoek opgevat als uitsluitend gericht op handhaving in de richting van VZVZ als beheerder van het LSP en als medeverantwoordelijke voor de verwerking van persoonsgegevens. Het richt zich dus niet op de zorgverleners. Ook de rechtbank houdt deze indeling aan.
6. Het verwerken van persoonsgegevens in het LSP, zonder dat daarvoor uitdrukkelijke toestemming van patiënten is verleend, is in strijd met artikel 9, tweede lid, aanhef en onder a, van de AVG en artikel 22, tweede lid aanhef en onder a, van de Uitvoeringswet AVG. Als blijkt dat VZVZ deze artikelen overtreedt, is verweerder op grond van artikel 58, tweede lid, onder d, van de AVG bevoegd om handhavend op te treden. Gelet op het algemeen belang dat is gediend met handhaving, zal verweerder in zo’n geval in de regel ook van zijn handhavende bevoegdheid gebruik moeten maken (de beginselplicht tot handhaving).
7. De centrale vraag is dus of VZVZ in strijd heeft gehandeld en nog handelt met de AVG.
Verweerder heeft onderzoek gedaan naar de vier door eiseres aangedragen gevallen waarbij zorgverleners zonder de vereiste toestemming patiënten hebben aangemeld bij het LSP. Hij is tot de conclusie gekomen dat in drie van de vier aangedragen gevallen inderdaad sprake was van een aanmelding zonder toestemming van de patiënt. Daarmee is sprake van een overtreding. Toch ziet verweerder geen aanleiding om handhavend op te treden. Inmiddels zijn deze onterechte aanmeldingen namelijk op verzoek van die patiënten ongedaan gemaakt. Verder heeft VZVZ als beheerder van het systeem procedures ingericht en informatiemateriaal beschikbaar gesteld om ervoor te zorgen dat zorgverleners op correcte wijze toestemming krijgen van hun patiënten en overeenkomstig deze toestemming het BSN aanmelden bij het LSP. VZVZ houdt hierop volgens verweerder adequaat toezicht. In een rapport uit 2014 heeft het Cbp al vastgesteld dat VZVZ voldoende technische en organisatorische waarborgen heeft getroffen om te bewerkstellingen dat alleen persoonsgegevens worden verwerkt van personen die daarvoor toestemming hebben verleend. Verweerder vindt dit nog steeds en handhaaft deze conclusie dan ook. De omstandigheid dat in een aantal op zichzelf staande individuele gevallen de zorgverlener personen zonder rechtsgeldige toestemming heeft aangemeld bij het LSP, maakt niet dat het LSP als systeem er toe leidt dat op grote schaal onrechtmatig persoonsgegevens worden verwerkt, zoals eiseres aanneemt.
Verweerder heeft onderzoek gedaan naar de vier door eiseres aangedragen gevallen waarbij zorgverleners zonder de vereiste toestemming patiënten hebben aangemeld bij het LSP. Hij is tot de conclusie gekomen dat in drie van de vier aangedragen gevallen inderdaad sprake was van een aanmelding zonder toestemming van de patiënt. Daarmee is sprake van een overtreding. Toch ziet verweerder geen aanleiding om handhavend op te treden. Inmiddels zijn deze onterechte aanmeldingen namelijk op verzoek van die patiënten ongedaan gemaakt. Verder heeft VZVZ als beheerder van het systeem procedures ingericht en informatiemateriaal beschikbaar gesteld om ervoor te zorgen dat zorgverleners op correcte wijze toestemming krijgen van hun patiënten en overeenkomstig deze toestemming het BSN aanmelden bij het LSP. VZVZ houdt hierop volgens verweerder adequaat toezicht. In een rapport uit 2014 heeft het Cbp al vastgesteld dat VZVZ voldoende technische en organisatorische waarborgen heeft getroffen om te bewerkstellingen dat alleen persoonsgegevens worden verwerkt van personen die daarvoor toestemming hebben verleend. Verweerder vindt dit nog steeds en handhaaft deze conclusie dan ook. De omstandigheid dat in een aantal op zichzelf staande individuele gevallen de zorgverlener personen zonder rechtsgeldige toestemming heeft aangemeld bij het LSP, maakt niet dat het LSP als systeem er toe leidt dat op grote schaal onrechtmatig persoonsgegevens worden verwerkt, zoals eiseres aanneemt.
8. De rechtbank vindt dat verweerder voldoende zorgvuldig onderzoek heeft gedaan naar de vier door eiseres aangedragen gevallen en dat de conclusie die hij trekt ook niet onjuist is. VZVZ heeft, nadat zij van de vier patiënten een melding kreeg, de vastgestelde overtredingen ongedaan gemaakt. Er zijn geen aanknopingspunten dat zich nieuwe overtredingen zullen voordoen die verweerder met toepassing van handhavingsinstrumenten zou moeten voorkomen. VZVZ waarborgt met de informatie die zij aan zorgverleners verstrekt door middel van trainingen en de door haar opgestelde procedures, en het toezicht dat zij daarop vervolgens houdt, dat onterechte aanmeldingen in het LSP zoveel mogelijk worden voorkomen. VZVZ heeft in deze procedure (en de handhavingsprocedure tegen de apothekers [2] ) uiteengezet dat zij niet op microniveau toezicht kan houden, maar dat zij intensief toezicht op de werkwijze van de zorgverleners houdt door contracten met de zorgverleners af te sluiten, regelmatig steekproeven te doen en navraag te doen naar de door de zorgverleners gevolgde procedures van aanmelding. In het systeem van de zorgverlener zelf moet worden vermeld hoe de toestemming tot stand is gekomen en welke informatie de patiënt heeft meegekregen. Is er een folder meegegeven en zo ja, welke folder? De zorgverlener is in beginsel verantwoordelijk voor de juiste aanmelding van de patiënt, maar VZVZ houdt voldoende toezicht om onterechte aanmeldingen en daaruit volgend onrechtmatige verwerking van persoonsgegevens te voorkomen. De enkele fouten die desondanks zullen voorkomen, maken het systeem als zodanig niet onrechtmatig en verweerder hoeft, gelet op de inspanningen die VZVZ al verricht, geen handhavingsinstrumenten in te zetten.
9. Dit betekent niet dat zich in de toekomst geen fouten meer zullen voordoen. De zorgverleners zijn verantwoordelijk voor de juiste aanmelding, maar, omdat de toestemming ook mondeling aan de balie of in de spreekkamer kan worden gegeven, is het systeem niet waterdicht. De inzet van eiseres in deze procedure is erop gericht om tot een (vrijwel) waterdicht systeem te komen. Dit zou feitelijk neerkomen op een systeem waarbij een vorm van schriftelijke toestemming vereist is en daar dwingt de wet niet toe. Van belang is hierbij dat het LSP wordt beheerst door artikel 15a, eerste lid, van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) dat - kort gezegd - bepaalt dat de zorgaanbieder de gegevens van de cliënt slechts beschikbaar kan stellen via het LSP, voor zover is vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven. Deze toestemming hoeft geen schriftelijke toestemming te zijn, maar mag ook mondeling, zo blijkt uit de overwegingen van de AVG onder 32: “Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. […]”. De zorgverleners en VZVZ moeten wel kunnen aantonen dat de toestemming ook daadwerkelijk is verleend. Dit blijkt uit 42 van de overwegingen van de AVG: “indien de verwerking plaatsvindt op grond van toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking.” VZVZ waarborgt met haar werkwijze, zoals omschreven in overweging 8 dat de patiënt voldoende op de hoogte is waar hij of zij toestemming voor geeft en ziet erop toe dat de aanmelding in overeenstemming is met de AVG. VZVZ is wettelijk gezien niet gehouden meer te doen dan zij op dit moment doet. Er bestaat voor verweerder dan ook geen grond handhavend op te treden. Het betoog slaagt niet.
10. Eiseres stelt zich verder op het standpunt dat het wel of niet opgenomen zijn in het LSP voor patiënten niet voldoende controleerbaar is. Wie niet aangemeld wil zijn bij het LSP moet feitelijk regelmatig via www.volgjezorg.nl checken of hij of zij niet ten onrechte toch is aangemeld. Als men van die digitale mogelijkheid geen gebruik wil maken, moet men zich wenden tot VZVZ met een controleverzoek voorzien van BSN en een kopie van een geldig identiteitsbewijs. Eiseres wil dit niet omdat op deze wijze gevoelige persoonsgegevens worden verstrekt aan VZVZ zonder goede waarborgen en vindt dat het systeem een notificatie zou moeten geven aan een patiënt wanneer deze is ingeschreven. Ook maakt zij er bezwaar tegen dat een onterechte aanmelding in het LSP niet als zodanig wordt omschreven, maar dat staat vermeld dat de patiënt de aanmelding zou hebben ingetrokken. Dat is feitelijk onjuist volgens eiseres en zou veranderd moeten worden. Tot slot blijven de logginggevens van deze personen ten onrechte bewaard en worden zij niet gewist.
11. De rechtbank vat deze argumenten van eiseres, die vooral gaan over de wijze waarop patiënten aanmelding in het LSP kunnen controleren en ongedaan kunnen maken, op als nadere onderbouwing van haar standpunt dat het LSP als systeem niet deugt en leidt tot onrechtmatige verwerking van persoonsgegevens waartegen verweerder handhavend moet optreden.
11.1 De rechtbank volgt eiseres niet in dit standpunt. Zoals VZVZ heeft toegelicht is in het LSP met het oog op de dataminimalisatie alleen het BSN van een patiënt opgenomen en kan een notificatie naar de patiënt dus niet plaatsvinden, omdat hiervoor meer gegevens, zoals onder meer een e-mailadres, nodig zijn. Een controle achteraf of de toestemming wel is gegeven is daarom, zonder verdere informatie van de patiënt, niet mogelijk. Daarom heeft VZVZ een werkwijze opgesteld waarbij het contractuele afspraken heeft gemaakt met de zorgverleners, vooraf voorlichting geeft over het belang van de toestemming, en ook steekproefsgewijs controleert of de zorgverleners zich houden aan de afspraken die daarover zijn gemaakt. Zoals de rechtbank in overweging 9 heeft geoordeeld volstaat deze werkwijze. Daarbij vindt de rechtbank van belang dat is voorzien in mogelijkheden voor de patiënt om te controleren of en door wie hij of zij is aangemeld in het LSP. Er is geen reden om aan te nemen dat de wijze waarop dit kan, onevenredig bezwarend of belastend is.
11.2 Verweerder heeft terecht uiteengezet dat voor het gebruik van het BSN door VZVZ een wettelijke grondslag bestaat, die te vinden is in artikel 8, tweede lid, van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Hij verwijst ook naar artikel 4, van deze wet en artikel 46, eerste lid, van de UAVG. VZVZ beschikt over een grondslag om aan de hand van het BSN te bezien of iemand in het LSP voorkomt. Bovendien, zo heeft VZVZ toegelicht, kan de controle niet op een andere manier plaatsvinden, omdat er geen andere gegevens in het LSP staan vermeld. Dat VZVZ daarbij ook vraagt om een kopie van het identiteitsbewijs, acht de rechtbank verder niet onredelijk en zij volgt verweerder in diens vaststelling dat ook op dit punt geen sprake is van een overtreding van de AVG. VZVZ vraagt nu juist om bewijs van de identiteit om te voorkomen dat mensen zomaar gegevens van derden kunnen opvragen.
11.3 Dat na een onterechte aanmelding in het LSP niet staat vermeld dat het om een onterechte aanmelding gaat, maar dat het een intrekking van toestemming betreft, vindt de rechtbank evenmin een reden om strijd met de AVG aan te nemen. Er bestaat geen wettelijke verplichting om ergens op te nemen dat er nooit toestemming is verleend. Artikel 17 van de AVG bevat een plicht om gegevens te wissen. Dit is in de overwegingen van de AVG onder 65 verder toegelicht en daaruit volgt niet dat bij het wissen moeten worden gemeld dat de aanmelding vanaf het begin onrechtmatig is geweest.
11.4 Tot slot heeft verweerder toegelicht dat VZVZ de logginggegevens altijd kan opvragen, zodat ook na intrekking van de toestemming kan worden nagegaan welke terbeschikkingstelling en inzage van gegevens er met het BSN hebben plaatsgevonden. Op deze manier kan inzicht worden verschaft in de uitwisseling van medische persoonsgegevens zoals deze eerder heeft plaatsgevonden. In het verweerschrift heeft verweerder toegelicht dat op grond van de artikelen 3 en 5 van het Besluit elektronische gegevensverwerking door zorgaanbieders voor deze logginggegevens een wettelijke bewaartermijn geldt overeenkomstig verschillende in die artikelen genoemde NEN –normen. De mogelijkheid om gegevens te wissen strekt zich dan ook alleen uit tot het wissen van het BSN in het LSP en het ongedaan maken van de toestemming. Het per direct ook wissen van logginggegevens is wettelijk gezien niet mogelijk.
De argumenten van eiseres treffen geen doel.
11.1 De rechtbank volgt eiseres niet in dit standpunt. Zoals VZVZ heeft toegelicht is in het LSP met het oog op de dataminimalisatie alleen het BSN van een patiënt opgenomen en kan een notificatie naar de patiënt dus niet plaatsvinden, omdat hiervoor meer gegevens, zoals onder meer een e-mailadres, nodig zijn. Een controle achteraf of de toestemming wel is gegeven is daarom, zonder verdere informatie van de patiënt, niet mogelijk. Daarom heeft VZVZ een werkwijze opgesteld waarbij het contractuele afspraken heeft gemaakt met de zorgverleners, vooraf voorlichting geeft over het belang van de toestemming, en ook steekproefsgewijs controleert of de zorgverleners zich houden aan de afspraken die daarover zijn gemaakt. Zoals de rechtbank in overweging 9 heeft geoordeeld volstaat deze werkwijze. Daarbij vindt de rechtbank van belang dat is voorzien in mogelijkheden voor de patiënt om te controleren of en door wie hij of zij is aangemeld in het LSP. Er is geen reden om aan te nemen dat de wijze waarop dit kan, onevenredig bezwarend of belastend is.
11.2 Verweerder heeft terecht uiteengezet dat voor het gebruik van het BSN door VZVZ een wettelijke grondslag bestaat, die te vinden is in artikel 8, tweede lid, van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Hij verwijst ook naar artikel 4, van deze wet en artikel 46, eerste lid, van de UAVG. VZVZ beschikt over een grondslag om aan de hand van het BSN te bezien of iemand in het LSP voorkomt. Bovendien, zo heeft VZVZ toegelicht, kan de controle niet op een andere manier plaatsvinden, omdat er geen andere gegevens in het LSP staan vermeld. Dat VZVZ daarbij ook vraagt om een kopie van het identiteitsbewijs, acht de rechtbank verder niet onredelijk en zij volgt verweerder in diens vaststelling dat ook op dit punt geen sprake is van een overtreding van de AVG. VZVZ vraagt nu juist om bewijs van de identiteit om te voorkomen dat mensen zomaar gegevens van derden kunnen opvragen.
11.3 Dat na een onterechte aanmelding in het LSP niet staat vermeld dat het om een onterechte aanmelding gaat, maar dat het een intrekking van toestemming betreft, vindt de rechtbank evenmin een reden om strijd met de AVG aan te nemen. Er bestaat geen wettelijke verplichting om ergens op te nemen dat er nooit toestemming is verleend. Artikel 17 van de AVG bevat een plicht om gegevens te wissen. Dit is in de overwegingen van de AVG onder 65 verder toegelicht en daaruit volgt niet dat bij het wissen moeten worden gemeld dat de aanmelding vanaf het begin onrechtmatig is geweest.
11.4 Tot slot heeft verweerder toegelicht dat VZVZ de logginggegevens altijd kan opvragen, zodat ook na intrekking van de toestemming kan worden nagegaan welke terbeschikkingstelling en inzage van gegevens er met het BSN hebben plaatsgevonden. Op deze manier kan inzicht worden verschaft in de uitwisseling van medische persoonsgegevens zoals deze eerder heeft plaatsgevonden. In het verweerschrift heeft verweerder toegelicht dat op grond van de artikelen 3 en 5 van het Besluit elektronische gegevensverwerking door zorgaanbieders voor deze logginggegevens een wettelijke bewaartermijn geldt overeenkomstig verschillende in die artikelen genoemde NEN –normen. De mogelijkheid om gegevens te wissen strekt zich dan ook alleen uit tot het wissen van het BSN in het LSP en het ongedaan maken van de toestemming. Het per direct ook wissen van logginggegevens is wettelijk gezien niet mogelijk.
De argumenten van eiseres treffen geen doel.
12. Eiseres heeft verwezen naar het arrest van de Hoge Raad (HR) 1 december 2017 [3] , waar ook verweerder naar verwijst. Volgens haar heeft de HR in dat arrest geoordeeld dat de inrichting van het LSP weliswaar als systeem aanvaardbaar is, maar alleen omdat zij berust op in vrijheid gegeven, voldoende specifieke toestemming van de betrokken patiënten. Volgens eiseres kan verweerder niet verwijzen naar dit arrest als onderbouwing van het standpunt dat het LSP deugt, omdat VZVZ – anders dan de HR in het arrest heeft aangenomen – niet kan garanderen dat aanmelding altijd op basis van uitdrukkelijke toestemming plaatsvindt. Eiseres heeft tijdens de zitting verwezen naar een brief van 4 oktober 2019 van de Minister voor Medische Zorg en Sport aan de Eerste Kamer [4] waarin is uiteengezet dat de inwerkingtreding van artikel 15, tweede lid, van de Wabvpz, dat een gespecificeerde toestemming voor gegevensuitwisseling in de zorg regelt, per 1 juli 2020 niet haalbaar is. Eiseres wijst erop dat de HR in zijn arrest ook heeft overwogen dat zo’n gespecifieerde toestemming beter in overeenstemming is met – kort gezegd – de privacyregels en zodra het haalbaar is moet het LSP daarin voorzien. Omdat die gespecificeerde toestemming er niet gaat komen, voldoet het systeem volgens eiseres ook nu niet aan de daaraan te stellen eisen.
13. Ook dit argument vat de rechtbank op als onderdeel van haar betoog dat het LSP als systeem onrechtmatig is. Zij volgt eiseres hierin niet. Zoals eerder in deze uitspraak is overwogen, maar ook volgt uit de uitspraak van deze rechtbank in de procedure met zaaknummer UTR 19/607, bestaat er geen aanleiding om eiseres te volgen in haar standpunt dat de zorgverleners op grote schaal zonder de vereiste toestemming patiënten aanmelden in het LSP. Het LSP is als systeem aanvaardbaar. De verwijzing van eiseres naar haar interpretatie van het arrest van de HR en de kamerbrief van 4 oktober 2019 over het wel of niet haalbaar zijn van toekomstige aanpassingen aan de wet- en regelgeving, vindt de rechtbank in dit verband niet relevant. Ook dit argument treft geen doel.
13. Eiseres betoogt dat het bestreden besluit de rechtspositie van alle zorgverleners aantast, omdat buiten hun schuld hun administratie in handen van derden kan komen. Hiermee wordt hun beroepsgeheim aangetast en zijn zij juridisch aansprakelijk, zo stelt eiseres.
De rechtbank overweegt, dat nog los van de vraag of eiseres de belangen van de zorgverleners vertegenwoordigt in deze handhavingsprocedure, eiseres er bij dit betoog ten onrechte vanuit gaat dat het LSP als systeem niet toelaatbaar is en er daardoor onrechtmatig gegevens worden verwerkt. Daarvan is, zoals eerder al is overwogen, geen sprake.
Dit betoog slaagt niet.
De rechtbank overweegt, dat nog los van de vraag of eiseres de belangen van de zorgverleners vertegenwoordigt in deze handhavingsprocedure, eiseres er bij dit betoog ten onrechte vanuit gaat dat het LSP als systeem niet toelaatbaar is en er daardoor onrechtmatig gegevens worden verwerkt. Daarvan is, zoals eerder al is overwogen, geen sprake.
Dit betoog slaagt niet.
13. Eiseres heeft tot slot als afzonderlijk onderdeel van haar handhavingsverzoek aan verweerder verzocht om terug te komen van de eerdergenoemde conclusie in het rapport uit 2014. Verweerder heeft terecht geconcludeerd dat dit geen zelfstandig onderdeel kan zijn van het handhavingsverzoek. Verweerder heeft bij de bespreking van de overige delen van het handhavingsverzoek deze conclusie betrokken en geconcludeerd dat hij hiervan niet terugkomt. Verweerder handhaaft het standpunt dat VZVZ voldoende technische en organisatorische waarborgen heeft getroffen om te bewerkstelligen dat alleen persoonsgegevens worden verwerkt van patiënten die daarvoor toestemming hebben verleend. Dat mag hij doen. Verweerder heeft dit op juiste wijze besproken. Dit betoog slaagt niet.
Conclusie
Conclusie
13. Het beroep is ongegrond. Voor een proceskostenveroordeling bestaat geen aanleiding.
Beslissing
De rechtbank verklaart het beroep ongegrond.
Deze uitspraak is gedaan door mr. V.E. van der Does, voorzitter, en mr. P.J.M. Mol en mr. M.E.J. Sprakel, leden, in aanwezigheid van mr. M.E.C. Bakker, griffier. De beslissing is in het openbaar uitgesproken op 10 januari 2020.
griffier voorzitter
Afschrift verzonden aan partijen op:
Rechtsmiddel
Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State.
BIJLAGE
Algemene Verordening Gegevensbescherming
Artikel 9
Verwerking van bijzondere categorieën van persoonsgegevens
1.Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
2.Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan: a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;
[…].
Artikel 17
Recht op gegevenswissing („recht op vergetelheid”)
Recht op gegevenswissing („recht op vergetelheid”)
1.De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
[…]
b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
[…]
d) de persoonsgegevens zijn onrechtmatig verwerkt;
[…]
b) de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
[…]
d) de persoonsgegevens zijn onrechtmatig verwerkt;
[…]
Uitvoeringswet Algemene verordening gegevensbescherming
Artikel 22. Verwerkingsverbod bijzondere categorieën persoonsgegevens en algemene uitzonderingen uit verordening
1. Overeenkomstig artikel 9, eerste lid, van de verordening zijn verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid verboden.
2 Overeenkomstig artikel 9, tweede lid, onderdelen a, c, d, e en f, van de verordening is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:
a. de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden;
[…]
Artikel 46. Verwerking nationaal identificatienummer
1. Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald.
[…]
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
Artikel 4
Een zorgaanbieder gebruikt het burgerservicenummer van een cliënt met het doel te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben.
Artikel 8
1. De zorgaanbieder neemt het burgerservicenummer van de cliënt in zijn administratie op bij het vastleggen van persoonsgegevens met betrekking tot de verlening van zorg.
2 Indien de zorgaanbieder overeenkomstig het bepaalde in artikel 15a gegevens van de cliënt beschikbaar stelt via een elektronisch uitwisselingssysteem, is de rechtspersoon die dat elektronisch uitwisselingssysteem beheert en in stand houdt, bevoegd tot het verwerken van het burgerservicenummer van die cliënt voor zover dat noodzakelijk is om zijn taak als beheerder uit te voeren.
Artikel 15a
1. De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven.
[…]
3 De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover bij het raadplegen van die gegevens door een andere zorgaanbieder, de persoonlijke levenssfeer van een ander dan de cliënt niet wordt geschaad.
Artikel 15c
1. De zorgaanbieder geeft de cliënt informatie over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronisch uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt. Indien nieuwe categorieën van zorgaanbieders aansluiten bij het elektronisch uitwisselingssysteem, of de werking van het elektronisch uitwisselingssysteem anderszins substantieel wordt gewijzigd, informeert de zorgaanbieder de cliënt over deze wijziging alsmede over de mogelijkheid om de gegeven toestemming, bedoeld in artikel 15a, aan te passen of in te trekken.
[…]
Besluit elektronische gegevensverwerking door zorgaanbieders
Artikel 3
1. De verantwoordelijke voor een elektronisch uitwisselingssysteem draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van dat elektronisch uitwisselingssysteem.
[…]
Artikel 5
1. De zorgaanbieder als verantwoordelijke voor een zorginformatiesysteem en de verantwoordelijke voor een elektronisch uitwisselingssysteem dragen er zorg voor dat de logging van het systeem voldoet aan het bepaalde in NEN 7513. […]