Gevonden zoektermen

Zoekresultaat - inzien document

ECLI:NL:RBMNE:2014:3097

Instantie
Rechtbank Midden-Nederland
Datum uitspraak
23-07-2014
Datum publicatie
23-07-2014
Zaaknummer
C/16/340505 / HA ZA 13-205
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Eerste aanleg - meervoudig
Inhoudsindicatie

De rechtbank heeft de vordering van de Vereniging van Praktijkhoudende Huisartsen (VPH) om de invoering en verdere ontwikkeling van een systeem voor het elektronisch uitwisselen van medische gegevens te verbieden, afgewezen. De rechtbank oordeelde dat de manier waarop het systeem is ingericht niet in strijd is met de wet bescherming persoonsgegevens.

Wetsverwijzingen
Wet bescherming persoonsgegevens
Wet bescherming persoonsgegevens 6
Wet bescherming persoonsgegevens 7
Wet bescherming persoonsgegevens 9
Wet bescherming persoonsgegevens 13
Wet bescherming persoonsgegevens 16
Wet bescherming persoonsgegevens 21
Wet bescherming persoonsgegevens 23
Burgerlijk Wetboek Boek 7
Burgerlijk Wetboek Boek 7 457
Wet op de beroepen in de individuele gezondheidszorg
Wet op de beroepen in de individuele gezondheidszorg 88
Wetboek van Strafrecht
Wetboek van Strafrecht 272
Vindplaatsen
Rechtspraak.nl
GJ 2014/158 met annotatie van mr. E.F. Vaal en mr. M.H.L. Hemmer
JBP 2014/91 met annotatie van prof. mr. A.C. Hendriks
JBP 2015/41 met annotatie van prof. mr. A.C. Hendriks
GZR-Updates.nl 2014-0300

Uitspraak

vonnis

RECHTBANK MIDDEN-NEDERLAND

Afdeling Civiel recht

handelskamer

locatie Utrecht

zaaknummer / rolnummer: C/16/340505 / HA ZA 13-205

Vonnis van 23 juli 2014

in de zaak van

1. de vereniging

VERENIGING PRAKTIJKHOUDENDE HUISARTSEN,

gevestigd te Amsterdam,

2. [eiser sub 2],

wonende te[woonplaats],

3.[eiser sub 3][eiser sub 3],

wonende te [woonplaats],

4. [eiser sub 4],

wonende te [woonplaats],

5. [eiser sub 5],

wonende te [woonplaats],

eisers,

advocaat mr. A.C. de Die,

tegen

de vereniging

VERENIGING VAN ZORGAANBIEDERS VOOR ZORGCOMMUNICATIE,

gevestigd te Utrecht,

gedaagde,

advocaat mr. H.H. de Vries en mr. M. Goudsmit.

Partijen zullen hierna VPH c.s. en VZVZ genoemd worden.

1 De procedure

1.1.

Het verloop van de procedure blijkt uit:

- de dagvaarding met producties,

- de conclusie van antwoord met producties,

- de conclusie van repliek tevens houdende wijziging van eis, met producties,

- de conclusie van dupliek met producties,

- de akte van de zijde van VPH c.s. houdende aanvullende producties tevens akte opgave deskundige,

- de akte van de zijde van VZVZ houdende aanvullende producties tevens akte houdend bezwaar opgave deskundige,

- het pleidooi op 25 april 2014,

- de pleitnota van VPH c.s.,

- de pleitnota van VZVZ.

1.2.

Mw. [A], in de dagvaarding vermeld als eisende partij sub 6, heeft zich voorafgaand aan het pleidooi teruggetrokken als eisende partij.

1.3.

Ten slotte is vonnis bepaald.

2 De feiten

2.1.

VPH is een vereniging van huisartsen en heeft als statutaire doelstelling (artikel 2 van de oprichtingsakte):

“- de belangen van praktijkhoudende huisartsen in heel Nederland te behartigen, zowel in financieel-economisch opzicht als in andere opzichten;

- de professionele autonomie van de huisartsen te bewaken en te ondersteunen.”

2.2.

Eisers 2 tot en met 4 zijn huisartsen. Eiser 5 is patiënt/consument.

2.3.

Na verwerping door de Eerste Kamer van het wetsvoorstel “Wet gebruik Burgerservicenummer in de zorg in verband met elektronische informatie-uitwisseling in de zorg” hebben de Landelijke Huisartsen Vereniging (LHV), de Vereniging Huisartsenposten Nederland (VHN), de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) en de Nederlands Vereniging van Ziekenhuizen (NVZ) besloten een doorstart te maken met de reeds ontwikkelde landelijke infrastructuur voor elektronische uitwisseling van medische persoonsgegevens. Zij hebben daartoe een “Doorstartmodel” (hierna: het Doorstartmodel) opgesteld en dit op 21 december 2011 ter advisering voorgelegd aan het College bescherming persoonsgegevens (Cbp)”. Het Doorstartmodel is gebaseerd op de bestaande infrastructuur voor de elektronische uitwisseling van medische persoonsgegevens gegevens, “AORTA-standaard”, die is ontwikkeld door het Nederlands Instituut voor ICT in de zorg (Nictiz). Deze infrastructuur wordt hierna aangeduid als de zorginfrastructuur.

2.4.

VZVZ is opgericht met het doel om na de doorstart op te treden als “verantwoordelijke” in de zin van artikel 1 aanhef en onder d Wet bescherming persoonsgegevens (Wbp), dat wil zeggen dat VZVZ optreedt als de rechtspersoon die het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt. In artikel 3 van de statuten van VZVZ is daartoe als doelstelling opgenomen:

“het bevorderen van de gezondheidszorg door het optreden als verantwoordelijke in de zin van de Wbp voor de verwerking van (medische) persoonsgegevens in een landelijke verwijsindex ten behoeve van de uitwisseling van die gegevens. (…)”

2.5.

Bij brief van 18 januari 2012 heeft het Cbp aan VZVZ (in deze brief aangeduid als VVZ) meegedeeld dat zij het Doorstartmodel voor de bestaande landelijke infrastructuur voor uitwisseling van medische gegevens (door het Cbp aangeduid als landelijk Elektronisch patiëntendossier, EPD) heeft bestudeerd waarbij zij de volgende aspecten heeft betrokken:

“- gaat het model uit van toestemming van de patiënt/burger voor de gegevensverwerking(en) conform de zienswijze van het CBP van 9 augustus 2011;

- is de verantwoordelijkheid voor de gegevensverwerking helder belegd;

- hoe kan de betrokkene straks zijn rechten ingevolge de Wbp effectueren;

- wordt de juiste (normering van de) informatiebeveiliging gehanteerd;

- is helder geregeld wie toegang krijgt tot het landelijk EPD;

- wat is de duur van de zogeheten transitiefase.”

De conclusie van het Cbp luidt dat zij op basis van het Doorstartmodel op het moment van beoordeling geen bijzondere risico’s op overtreding van de Wbp onderkent in verband met de verwerkingen die vanaf 1 januari 2012 onder verantwoordelijkheid van VZVZ plaatsvinden. Het Cbp wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en nog niets zegt over de praktijk.

2.6.

Brancheorganisaties van zorgaanbieders, de Nederlandse Patiënten/Consumenten Federatie (NPCF), de brancheorganisatie Zorgverzekeraars Nederland (ZN) en Nictiz hebben afspraken gemaakt over de ontwikkeling en het gebruik van de zorginfrastructuur en deze vastgelegd in het “Convenant Gebruik Landelijke Zorginfrastructuur 2013-2016” (hierna: het Convenant). VZVZ heeft het Businessplan 2013-2016 (hierna: het Businessplan) vastgesteld. Het convenant is “oplegger” bij het Businessplan. In de preambule van het Convenant is opgenomen dat de convenantpartijen de volgende doelstellingen hebben:

“a. betere en veiliger zorg door gegevens beschikbaar te hebben voor de waarneming en medebehandeling en voor het uitvoeren van de richtlijn overdracht van medicatiegegevens en door het doorvoeren van gemeenschappelijke standaarden voor registratie en uitwisseling van medische gegevens;

b. het bevorderen van doelmatigheid in de zorg door vermindering van administratieve lasten en overdrachtsproblemen;

c. het hiertoe in stand houden en verder ontwikkelen van een betrouwbare, werkbare en betaalbare infrastructuur;

d. het behouden van door zorg geleverde investeringen in de infrastructuur, in aanpassingen van hun systemen, in ingevoerde standaardisatie en ervaringen en knowhow;

e. meer betrokkenheid van patiënten bij hun eigen gezondheid en behandeling door:

- het vergroten van inzicht in en zeggenschap over de uitwisseling van medische gegevens

- toegang tot en communicatie over zijn medische gegevens

- het bieden van faciliteiten voor E-health en zelfmanagement toepassingen”

2.7.

De zorginfrastructuur bestaat uit de volgende onderdelen:

  • -

    Landelijk Schakelpunt (LSP): faciliteert het berichtenverkeer tussen de zorgaanbieders, regelt de toegangscontroles van alle aangemelde patiëntendossiers, registreert waar patiëntengegevens opvraagbaar zijn, welke gegevens zijn opgevraagd en door wie dat is gedaan.

  • -

    Zorgserviceprovider (ZSP): aansluiting van zorgaanbieders op het LSP vindt plaats via zorgproviders. Dit zijn gekwalificeerde marktpartijen die een beveiligde verbinding aanbieden tussen het zorgsysteem van de zorgaanbieder en het LSP.

  • -

    Goed beheerd zorgsysteem (GBZ): dit is een gekwalificeerd zorginformatiesysteem van de zorgaanbieder dat aan procedurele en technische eisen moet voldoen om te mogen aansluiten op het LSP. De zorgaanbieder is eigenaar van het GBZ.

  • -

    Unieke Zorgverlener Identificatie (UZI): een pas waarmee de zorgaanbieder gegevens van de zorginfrastructuur kan opvragen. De UZI-pas bevat de elektronische identiteit van de pashouder via een certificaat waarop de naam en, indien van toepassing, de beroeps- of opleidingstitel, specialisme en een uniek tot de eigenaar herleidbaar UZI-nummer vermeld staan.

2.8.

In een Bijlage B bij het Doorstartmodel is een toelichting gegeven op de beveiliging, security monitoring en de toetsing van toetsing van de behandelrelatie. Onder punt 1 in de bijlage is onder het kopje “Beveiliging in de Doorstart” vermeld:

“(…)

De Nederlandse normen voor informatiebeveiliging in de zorg, ook wel aangeduid als de ‘NEN-normen’ vormen de basis voor de maatregelen in het kader van informatiebeveiliging voor ieder onderdeel van AORTA. Het betreft de NEN 7510/7511 normen en de in de subnormen NEN 7512 en NEN 7513 vastgelegde normen. De gereviseerde NEN 7510-11 zal in een nieuwe release worden doorgevoerd zover van belang.

Vertrouwelijkheid

Binnen AORTA zijn diverse maatregelen getroffen die waarborgen dat patiëntgegevens vertrouwelijk blijven en niet toegankelijk worden voor onbevoegde partijen. In de eerste plaats waarborgt het landelijk schakelpunt door middel van de UZI-pas en andere beveiligingscertificaten van het UZI-register dat gegevens slechts kunnen worden opgevraagd of verstuurd vanuit gekwalificeerde zorgsystemen en enkel door personen waarvan de identiteit is vastgesteld en gevalideerd.

In de tweede plaats worden de gegevens die tussen een GBZ en het landelijk schakelpunt worden uitgewisseld tijdens het transport versleuteld. Zodoende kunnen onbevoegden de gegevens niet inzien of wijzigen. De beveiligingscertificaten die hiervoor nodig zijn worden uitgegeven door het UZI-register. Het netwerk van de ZSP is overigens een besloten netwerk en geen onderdeel van het internet.

Om patiëntgegevens te mogen aanmelden bij of opvragen via het landelijk schakelpunt dient een zorgaanbieder over de juiste toegangsrechten te beschikken. De concrete toegangsrechten van een zorgaanbieder hangen samen met de rolcode die is geregistreerd op de UZI-pas. Rolcodes komen overeen met beroepstitels in het BIG-register (zie de passage over het UZI-register in de bijlage).

Integriteit

Om ervoor te zorgen dat zorgaanbieders elkaar voorzien van volledige en correcte informatie, zijn binnen AORTA verschillende maatregelen getroffen. In de eerste plaats wordt tijdens het kwalificatietraject van een goed beheerd zorgsysteem (GBZ) getoetst of gegevens die worden verstuurd op de juiste wijze worden gecodeerd,

In de tweede plaats vindt ook tijdens de daadwerkelijke uitwisseling validatie plaats. Er wordt daarbij onderscheid gemaakt tussen twee situaties:

1. van gegevens die in het landelijk schakelpunt zelf worden verwerkt en opgeslagen (bijvoorbeeld verwijsindexgegevens) wordt gecontroleerd of het bericht correct is ontvangen;

2. van gegevens die door het landelijk schakelpunt slechts worden doorgestuurd naar een GBZ controleert het landelijk schakelpunt slechts de ‘envelop’ waarin de gegevens zijn verpakt.

Fouten die het landelijk schakelpunt constateert worden geregistreerd in de centrale logging, zodat passende maatregelen kunnen worden genomen.

Tijdens het transport word de integriteit van gegevens beschermd door het versleutelen van de verbinding, alsmede door versleuteling van enkele voor het bericht kenmerkende gegevens in het bericht zelf.

(…)

Toelichting op toetsing behandelrelatie

(…)

Het autorisatieproces

De autorisatie van zorgaanbieder met betrekking tot index- en patiëntgegevens verloopt in twee stappen:

1. in het goed beheerd zorgsysteem (GBZ) wordt getoetst of de zorgaanbieder een behandelrelatie heeft met de patiënt van wie hij gegevens wenst op te vragen;

2. de opvraging wordt getoetst aan het autorisatieprotocol. Hierin is, aan de hand van BIG-rolcodes, vastgelegd welke bevoegdheden de zorgaanbieder op grond van zijn zorginhoudelijke rol en functie heeft.

Toetsing behandelrelatie

De toegang tot de landelijke infrastructuur is uitsluitend voorbehouden aan zorgaanbieders die een behandelrelatie hebben met de betreffende patiënt. Voorafgaand aan het verlenen van toegang tot de verwijsindex en de patiëntgegevens wordt de behandelrelatie getoetst. Deze toetsing vindt decentraal plaats op het niveau van het GBZ. De eisen die ten aanzien van het toetsen van de behandelrelatie aan de GBZ applicatie worden gesteld zijn vastgelegd in het Programma van Eisen (PvE) GBZ. Deze eisen worden tijdens een kwalificatie getoetst.

De toetsing van de behandelrelatie verloopt in de hieronder genoemde stappen. De stappen a t/m c betreffen een technische toetsing. Een schematische weergave is opgenomen als bijlage.

A: Is de patiënt ingeschreven in het opvragend goed beheerd zorgsysteem (GBZ)?

Allereerst wordt nagegaan of de patiënt is ingeschreven in de patiëntenadministratie van de zorgaanbieder die patiëntgegevens wenst op te vragen. Voor dit doel wordt nagegaan of het burgerservicenummer van de patiënt voorkomt in deze administratie en of dit geverifieerd is.

Indien de patiënt niet is geregistreerd in het GBA wordt de toegang tot de landelijke infrastructuur geweigerd.

B1.: Heeft de beroepsbeoefenaar eerder patiëntgegevens van deze patiënt aangemeld bij het landelijk schakelpunt?.

Indien de beroepsbeoefenaar eerder patiëntgegevens van de patiënt heeft aangemeld, wordt hieruit op GBZ-niveau afgeleid dat er een behandelrelatie met deze patiënt bestaat. Vervolgens wordt nagegaan of de behandelrelatie nog steeds aanwezig is (zie B2). Indien geen sprake is van een eerdere aanmelding, wordt nagegaan of de behandelrelatie blijkt uit de werkcontext (zie onder C).

B2: Is de behandelrelatie nog steeds aanwezig?

Om er zeker van te zijn dat de behandelrelatie nog steeds bestaat, wordt geverifieerd of de behandelrelatie niet inmiddels is verlopen of expliciet is beëindigd. Als dit niet het geval is, wordt de aanvraag doorgeleid naar het autorisatieprotocol. Hierin is voor ieder type beroepsbeoefenaar vastgelegd tot welke gegevens hij toegang krijgt en welke gebruikshandelingen hij mag verrichten. Indien de behandelrelatie inmiddels beëindigd is, wordt nagegaan of er sprake is van een nieuwe behandelrelatie die blijkt uit de werkcontext (zie onder C).

C: blijkt de behandelrelatie met de beroepsbeoefenaar uit de werkcontext?

Indien de opvragende beroepsbeoefenaar niet eerder patiëntgegevens van de patiënt heeft aangemeld bij het landelijk schakelpunt (Zie B1) kan de behandelrelatie in bepaalde gevallen worden afgeleid uit de context waarin de aanvraag is gedaan. Dit is het geval wanneer:

- in het GBZ, bijvoorbeeld in het ziekenhuis, is geregistreerd dat de betreffende patiënt een afspraak heeft met een specifieke arts of specialist;

- de apotheker een recept heeft ontvangen van de huisarts;

- een verwijzing naar de zorgaanbieder is geregistreerd;

- de patiënt in het kader van een verzoek van de zorgaanbieder tot het verrichten van onderzoek is geregistreerd in het systeem van een laborant;

- de zorgaanbieder een dossier voert over de betreffende patiënt.

D: De beroepsbeoefenaar dient de behandelrelatie en de toestemming van de patiënt expliciet te bevestigen.

Indien de behandelrelatie niet blijkt uit de werkcontext dan wel de stappen onder B, dient de beroepsbeoefenaar de behandelrelatie expliciet te bevestigen. Deze bevestiging geschiedt via een bevestigingsscherm. Indien deze bevestiging wordt gegeven, wordt de opvraging doorgeleid naar het autorisatieprotocol. Indien deze bevestiging uitblijft, wordt de toegang geweigerd.

2.9.

Op dit moment zijn via het LSP de toepassingen “Huisartsenwaarneemgegevens” en “medicatiegegevens” beschikbaar. Huisartsenpraktijken, huisartsenposten, apotheken en ziekenhuizen kunnen voor het gebruik van bovenstaande toepassingen aansluiten op de zorginfrastructuur. Andere typen zorgaanbieders kunnen nog geen gebruik maken van het LSP. Huisartsen kunnen aan het LSP melden dat zij huisartsenzorg aan een patiënt verlenen. Waarnemers kunnen de professionele samenvatting opvragen

De vaste huisarts wordt via een ‘waarneembericht’ geïnformeerd over de zorg die de patiënt heeft ontvangen. De apotheek en apotheekhoudende huisarts kunnen aan het LSP melden dat zij medicatie aan een patiënt hebben verstrekt. Collega-zorgaanbieders (apothekers, huisartsen en medisch specialisten) kunnen vervolgens opvragen welke medicatie aan een patiënt is verstrekt.

2.10.

VZVZ heeft een formulier (hierna: het Toestemmingformulier) ontwikkeld waarmee patiënten toestemming kunnen geven voor het elektronisch uitwisselen van medische gegevens:

Dit formulier bevat de volgende keuzemogelijkheden:

“Ik geef toestemming aan onderstaande zorgverlener om mijn gegevens beschikbaar te stellen voor raadpleging door andere zorgverleners zoals in de brochure ‘Uw medische gegevens elektronisch delen?’ is aangegeven.”, of de tekst:

“Ik geef geen toestemming aan onderstaande zorgverlener om mijn gegevens beschikbaar te stellen voor raadpleging door andere zorgverleners zoals in de brochure ‘Uw medische gegevens elektronisch delen?’ is aangegeven.”

Boven deze teksten kan “ja” of “nee” worden aangekruist.

2.11.

In de brochure “Uw medische gegevens elektronisch delen?” (hierna: de Brochure) is het volgende vermeld:

“(…)

Zo werkt de zorginfrastructuur

Uw huisarts en apotheek houden ieder een eigen dossier bij over u. Hierin staat informatie die van belang is voor uw behandeling. Zo legt uw huisarts bijvoorbeeld vast wat uw klachten zijn en welke behandelingen u krijgt. En uw apotheker vermeldt in uw dossier welke medicijnen hij u verstrekt heeft en of u allergisch bent voor bepaalde medicijnen.

Als u toestemming hebt gegeven aan uw huisarts en apotheek dan mogen zij uw belangrijkste medische gegevens beschikbaar stellen aan andere zorgverleners. Bijvoorbeeld een waarnemend huisarts van de huisartsenpost, andere apotheek of een medisch specialist. Als u naar een andere zorgverlener gaat, dan kan deze uw gegevens raadplegen.

Zorgverleners kunnen gegevens elektronisch raadplegen via een netwerk dat hiervoor speciaal is gemaakt: de zorginfrastructuur. Dit is een beveiligd netwerk waarop huisartsen, apotheken, huisartsenposten en medisch specialisten in Nederland hun computersystemen kunnen aansluiten.

Als uw huisarts of apotheek is aangesloten op het netwerk, dan vraagt hij uw toestemming voor de uitwisseling van uw gegevens. Als u toestemming geeft, zal hij uw Burgerservicenummer (BSN) aanmelden bij het netwerk. Als een zorgverlener dan uw gegevens opvraagt, wordt met behulp van uw BSN opgezocht wie gegevens over u hebben aangemeld. Die zorgverlener kan vervolgens uw belangrijkste gegevens inzien. Dat kan alleen als u toestemming hebt gegeven en als het nodig is voor uw behandeling.

In het netwerk staat alleen uw BSN en welke huisarts en apotheek gegevens over u beschikbaar hebben. Uw medische gegevens worden dus niet opgeslagen in het netwerk. Ze blijven in de computer van uw eigen huisarts en apotheek. Andere zorgverleners kunnen alleen de belangrijkste informatie uit uw dossier inzien. Uw huisarts of apotheek houdt uw dossier bij. Zo zijn steeds de laatste gegevens over uw gezondheid beschikbaar en kunt u onjuistheden laten herstellen

(…)

Alleen huisartsen, waarnemend huisartsen (huisartsenposten), apothekers, ziekenhuisapothekers en medisch specialisten kunnen nu aansluiten op de zorginfrastructuur. Alleen deze zorgverleners kunnen dus uw belangrijkste medische gegevens inzien

(…)

Zorgverleners die aangesloten zijn op de zorginfrastructuur kunnen uw persoonlijke gegevens zien, zoals uw naam, adres, geboortedatum, leeftijd en geslacht. Ze kunnen ook een overzicht zien van de medicijnen die u gebruikt. Een waarnemend huisarts kan ook een samenvatting van het huisartsdossier opvragen. Daarin staan:

uw huidige gezondheidsproblemen

welke medicijnen u gebruikt

bekende allergieën

informatie over contacten met u in de laatste vier maanden of over de laatste vijf contacten;

bijzonderheden die belangrijk zijn voor een waarnemend arts


(…)”

3 Het geschil

3.1.

VPH c.s. vordert, na wijziging van eis, dat de rechtbank bij uitvoerbaar bij voorraad verklaard vonnis

Primair

1. voor recht verklaart dat VZVZ als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens onrechtmatig jegens eisers handelt, door een infrastructuur voor elektronische uitwisseling van medische persoonsgegevens in de zorg in te voeren, die reeds op zichzelf en/of in de toepassing ervan strijd oplevert met artikel 8 EVRM, de Wet bescherming persoonsgegevens, de bepalingen omtrent de geneeskundige behandelingsovereenkomst in het BW (boek 7 titel 7 afdeling 5 BW) en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgaanbieders en/of

2. VZVZ gebiedt uitvoering van de Convenantafspraken en het Businessplan gericht op het invoeren en in stand houden van een infrastructuur voor elektronische uitwisseling van medische persoonsgegevens in de zorg in te voeren, die reeds op zichzelf en/of in de toepassing ervan strijd oplevert met artikel 8 EVRM, de Wet bescherming persoonsgegevens, de bepalingen omtrent de geneeskundige behandelingsovereenkomst in het BW (boek 7 titel 7 afdeling 5 BW) en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgaanbieders te staken op straffe van een dwangsom van € 2.500,00 per dag voor iedere dag dat VZVZ niet aan de veroordeling voldoet;

Subsidiair

3. VZVZ op grond van onrechtmatige daad jegens eisers veroordeelt tot het onmiddellijk staken en gestaakt houden van alle handelingen gericht op het uitwisselen van patiëntengegevens via het landelijk Schakelpunt of enige andere ICT-toepassing die reeds op zichzelf en/of in de toepassing ervan strijd oplevert met artikel 8 EVRM, de Wet bescherming persoonsgegevens, de bepalingen omtrent de geneeskundige behandelingsovereenkomst in het BW (boek 7 titel 7 afdeling 5 BW) en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgaanbieders

Meer subsidiair:

4. voor recht verklaart dat de reeds verkregen en binnen de huidige werkwijze nog te verkrijgen toestemmingen van patiënten onvoldoende grondslag vormen voor een rechtmatige uitwisseling van op hun gezondheid betrekking hebbende gegevens.

Meer meer subsidiair:

5. VZVZ gebiedt de voorbereiding, invoering en uitvoering van de huidige infrastructuur met onmiddellijke ingang te staken en gestaakt te houden totdat in plaats van de huidige infrastructuur is voorzien in een systeem van elektronische uitwisseling van patiëntengegevens tussen zorgaanbieders onderling op zodanige wijze dat ten minste voldaan is aan de volgende voorwaarden:

- het verkrijgen van uitdrukkelijke toestemming van betrokkene zoals bedoeld in artikel 23 lid 1 onder a Wbp en artikel 7:457 lid 1 BW,

- de zorgaanbieder uit wiens patiëntendossier gegevens kunnen worden opgevraagd kan beoordelen of de gevraagde gegevens relevant en passend zijn voor het doel van de opvraging,

- de zorgaanbieder uit wiens patiëntendossier gegevens worden opgevraagd voorafgaand hieraan kan bepalen welke zorgaanbieder geautoriseerd zijn, en

- de zorgaanbieder uit wiens patiëntendossier gegevens worden opgevraagd zelfstandig kan controleren of de opvraging authentiek is (integriteit, authenticiteit), of deze plaatsvindt door een geautoriseerde partij (autorisatie) en dat géén ander dan de opvragende en geautoriseerde partij de opgevraagde medisch-inhoudelijke gegevens kan inzien (vertrouwelijkheid).

Nog meer subsidiair

6. VZVZ gebiedt de voorbereiding, invoering en uitvoering van de huidige infrastructuur met onmiddellijke ingang te staken en gestaakt te houden totdat in plaats van de huidige infrastructuur is voorzien in een afdoende veilig systeem van elektronische uitwisseling van patiëntengegevens tussen zorgaanbieders onderling, waarbij de toegangscontrole tot gegevens volledig behouden blijft voor de zorgaanbieder uit wiens dossier de gegevens gegenereerd worden.

Primair, subsidiair en (nog) meer (meer) subsidiair:

VZVZ veroordeelt in de kosten van dit geding en voor het geval voldoening niet binnen veertien dagen na dagtekening van dit vonnis plaatsvindt, te vermeerderen met de wettelijke rente over de proceskosten vanaf veertien dagen na dagtekening van het vonnis tot aan de dag der algehele voldoening en met veroordeling van VZVZ in de nakosten van € 131,00 dan wel indien betekening plaatsvindt € 205,00

3.2.

VPH c.s. legt aan haar vorderingen ten grondslag dat de wijze waarop medische gegevens door middel van de zorginfrastructuur worden uitgewisseld onverenigbaar is met het recht op privacy van patiënten op grond van artikel 8 EVRM en de bepalingen van de Wbp en het medisch beroepsgeheim van de huisartsen op grond van de artikelen 7:457 Burgerlijk Wetboek (BW), artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg (wet BIG) en artikel 272 van het Wetboek van Strafrecht (WvS) vanwege strijd met het in deze wettelijke bepalingen neergelegde uitgangspunt dat de hulpverlener slechts medische informatie deelt met anderen voor zover dat noodzakelijk is in het kader van goede zorgverlening. Invoering van de zorginfrastructuur is daarom onrechtmatig jegens VPH c.s.. Dit onrechtmatig handelen kan volgens VPH c.s. aan VZVZ worden toegerekend, omdat zij aanbieder is van de zorginfrastructuur, verantwoordelijke is in de zin van de Wbp en het feitelijk in haar macht heeft om ervoor te zorgen dat de elektronische informatie-uitwisseling wel plaatsvindt met in achtneming van de wettelijke regels omtrent privacy en het beroepsgeheim.

3.3.

Ter onderbouwing van haar standpunt dat sprake is van strijd met de door haar genoemde privacy en geheimhoudingsbepalingen heeft VPH c.s. - kort samengevat en zakelijk weergegeven - de volgende bezwaren tegen de zorginfrastructuur aangevoerd:

  • -

    De in het Convenant in algemene bewoordingen geformuleerde doelstellingen voldoen niet aan de eis dat per geval van gegevensverwerking voorzien moet worden in een nauwkeurige en zorgvuldige doelomschrijving, waaruit blijkt waarom het doel, in verhouding tot het gekozen middel, gerechtvaardigd is. Door het ontbreken van een nauwkeurige doelomschrijving kan niet worden voldaan aan artikel 9 Wbp waarin is bepaald dat de persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (doelbinding).

  • -

    Niet is voldaan aan artikel 7 Wbp dat niet méér gegevens worden verstrekt dan strikt genomen noodzakelijk is voor het doel waarvoor de informatie wordt gevraagd (het proportionaliteitsbeginsel).

  • -

    Niet is voldaan aan het vereiste van artikel 23 Wbp dat voor verwerking van medische gegevens uitdrukkelijk toestemming moet zijn gegeven. VPH c.s. stelt daartoe dat de toestemming niet is gebaseerd op de vrije wil van de betrokkene, aangezien de patiënt slechts de keuze wordt gelaten voor elektronische uitwisseling van gegevens via het LSP en niet voor een andere wijze. De verleende toestemming voldoet niet aan het vereiste dat deze voldoende specifiek dient te zijn. VPH c.s. stelt daartoe dat de toestemming niet ziet op verwerking van medische persoonsgegevens via het LSP, niet is toegespitst op de actuele zorgbehoefte van de patiënt en ziet op een situatie in de toekomst. Op het moment van toestemmingverlening kan de patiënt niet bekend zijn met de toekomstige gegevens in zijn dossier en bovendien geldt deze toestemming in beginsel ook voor alle mogelijke uitbreidingen van het LSP.

  • -

    Er is geen sprake van “informed consent”, nu de Brochure niet duidelijk maakt dat het gaat om deze brede en toekomstige werking. Verder is er geen waarborg ingebouwd om te kunnen verifiëren of de patiënt, alvorens hij toestemming geeft, de informatie heeft gelezen en heeft begrepen. VZVZ stimuleert deze gang van zaken door via de website het toestemmingsformulier ter beschikking te stellen.

  • -

    Het systeem dwingt de arts tot schending van zijn beroepsgeheim. Ook indien sprake zou zijn van uitdrukkelijke toestemming als bedoeld in artikel 23 Wbp staat artikel 9 lid 4 van de Wbp in de weg aan uitwisseling van medische gegevens via het LSP. Een eventuele doorbreking van het beroepsgeheim vergt een eigen afweging door de arts, maar het systeem ontneemt de arts de mogelijkheid om in het individuele geval een belangenafweging te maken.

  • -

    Het LSP in zijn huidige vorm kent onvoldoende waarborgen om zeker te stellen dat onbevoegde derden geen kennis (kunnen) nemen van medische persoonsgegevens. De belangrijkste technische bezwaren tegen het systeem zijn dat de informatie niet gedurende de gehele elektronische route is versleuteld (end-to-end versleuteling) en de verificatie van de beweerde identiteit van de opvragend behandelaar (end-to-end authenticatie). De NEN-normen waar het doorstartmodel aan is getoetst zijn niet voor een schakelpunt zoals het LSP bedoeld.

  • -

    De bouw en onderhoud van het LSP worden uitgevoerd door een Amerikaans bedrijf, CSC. Dit betekent dat de Amerikaanse overheid op grond van de Patriot Act in beginsel rechtstreeks informatie kan opvragen uit het LSP indien zij dat om redenen van veiligheid noodzakelijk acht.

Ter onderbouwing van haar standpunt verwijst VPH c.s. naar een advies van 18 februari 2010 dat G. van ’t Noordeinde, als onderzoeker security en privacy in gedistribueerde systemen werkzaam bij de Universiteit van Amsterdam heeft uitgebracht aan de Eerste Kamer in verband met het destijds aanhangige wetsvoorstel over het landelijk EPD.

3.4.

VZVZ heeft als meest verstrekkende verweer gevoerd dat VPH c.s. niet ontvankelijk is in haar vorderingen. Zij voert daartoe aan dat niet is voldaan aan het vereiste dat het belang van VPH c.s. rechtsreeks is betrokken bij het vermeende onrechtmatig handelen van VZVZ. Voorts zijn de vorderingen volgens VZVZ naar hun aard niet toewijsbaar, omdat deze te vaag zijn geformuleerd en bij toewijzing mogelijk een ontwrichtende werking hebben.

3.5.

Voor zover VPH c.s. wel ontvankelijk is in haar vorderingen dienen deze volgens VZVZ te worden afgewezen. Inhoudelijk betwist VZVZ dat invoering van het LSP leidt tot de door VPH c.s. gestelde normschendingen. VZVZ heeft daartoe de door VPH c.s. gestelde tekortkomingen van de zorginfrastructuur gemotiveerd betwist. Indien wel sprake zou zijn van deze normschendingen stelt VZVZ dat dit niet kan leiden tot toewijzing van de vorderingen omdat voor deze normschending een rechtvaardigingsgrond bestaat en/of de vermeende normschendingen niet aan VZVZ kunnen worden toegerekend.

3.6.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

4 De ontvankelijkheid

4.1.

De rechtbank is van oordeel dat aan het vereiste processuele belang van eisers is voldaan. Daartoe is het volgende overwogen.

4.2.

VPH c.s. legt aan haar vordering ten grondslag dat er na invoering van de zorginfrastructuur geen keuze meer bestaat voor de wijze van elektronische verwerking van medische gegevens. Zorgaanbieders en patiënten zijn dan voor uitwisseling van medische gegevens aangewezen op het LSP. Het gaat volgens VPH c.s. in deze procedure om het belang van praktijkhoudende huisartsen dat zij hun wettelijke verplichting tot het zorgvuldig omgaan met patiëntengegevens kunnen (blijven) naleven. Dat is volgens VPH c.s. een eigen belang van de huisartsen, nu zij persoonlijk kunnen worden aangesproken op het niet naleven van deze plicht. Deelname aan het LSP brengt de juiste naleving van deze verplichting in gevaar. Het belang van de huisartsen is dus rechtstreeks betrokken bij de schending van de bepalingen van de Wbp en de geheimhoudingsbepalingen. VPH c.s. baseert het belang van VHP op haar statutaire doelstelling tot het behartigen van de belangen van de praktijkhoudende huisartsen en het belang de professionele autonomie van de huisartsen te bewaken en te ondersteunen. Het belang van eiser sub 5 baseert VPH c.s. op de omstandigheid dat de individuele patiënt die uitwisseling van zijn medische gegevens wenst, na invoering van de zorginfrastructuur, door het ontbreken van een passend alternatief, feitelijk wordt gedwongen toe te staan dat de medische gegevens worden uitgewisseld op een wijze die niet aan de wettelijke normen voldoet.

4.3.

VPH c.s. heeft voldoende onderbouwd dat na invoering van de zorginfrastructuur elektronische uitwisseling van medische persoonsgegevens via het LSP het enige reëel bestaande systeem zal zijn. Het Businessplan waar VPH c.s. naar verwijst vermeldt onder het kopje “Ambitieniveau LSP aansluitingen en gebruik” (pagina 8 van het Businessplan) dat het voor de effectieve werking van het LSP van groot belang is dat het systeem door het overgrote deel van de zorgaanbieders wordt gebruikt en dat de verzekeraars hun financiering daar voor een belangrijk deel van afhankelijk maken. Een tabel geeft de percentages voor het aantal aansluitingen en de mate van gebruik die minimaal gehaald moeten worden aan het einde van het betreffende jaar. De genoemde streefpercentages bedragen in 2015: 95% van de huisartsen, 90% van de patiëntendossiers van de huisartsen, 100% van de huisartsenposten, 90% van de waarneemretourberichten/bezoek, 95% van de apotheken, 90% van de patiëntendossiers van de apotheken en 90% van de ziekenhuizen. Voorts vermeldt het Businessplan dat als de genoemde percentages worden gehaald, het mogelijk is om OZIS (het thans bestaande systeem voor elektronische uitwisseling van medische persoonsgegevens) voor de huisartsenwaarneming en de medicatiegegevens te vervangen door LSP en dat de leveranciers van OZIS het commitment hebben afgegeven om, als er voldoende voortgang is in de overgang naar het LSP, per 1 juli 2014 de OZIS standaarden voor huisartsenwaarneming en medicatiegegevens uit de markt te halen.

4.4.

Naar het oordeel van de rechtbank blijkt uit de in het Businessplan genoemde streefpercentages van 90 tot 100% voor deelname door de verschillende zorgaanbieders en 90% door de patiënten, de vermelding dat de verzekeraars hun financiering afhankelijk zullen maken van de behaalde aantallen aansluitingen, in samenhang met de afspraken om het thans gebruikte elektronische uitwisselingssysteem OZIS uit de markt te halen, dat het de bedoeling is dat het LSP gaat fungeren als het gangbare systeem voor elektronische uitwisseling van medische gegevens. Dat het een ieder vrij staat om een eigen uitwisselingssysteem op te zetten, zoals VZVZ betoogt, is theoretisch wellicht juist, maar gelet op de kosten van het opzetten van goed functionerend systeem is deze keuzevrijheid niet reëel. Door OZIS uit de markt te halen wordt de keuzevrijheid zelfs verder beperkt.

4.5.

Het betoog van VZVZ dat de huisartsen geen belang hebben bij de vordering omdat zij niet zijn aangesloten op het LSP en de vermeende onrechtmatigheid vanwege de gestelde tekortkomingen in het systeem hen dus niet raakt, overtuigt de rechtbank niet. Uitgaande van het LSP als het gangbare uitwisselingssysteem, heeft het niet aansluiten daarop tot gevolg dat de huisarts niet op de dan algemeen gebruikelijke wijze met zijn beroepsgenoten en de apothekers kan deelnemen aan de elektronische gegevensuitwisseling. Dit heeft onmiskenbaar invloed op de praktijkvoering van de huisarts. Bovendien zal de huisarts, indien patiënten in zijn praktijk uitwisseling van hun medische gegevens wensen, niet af kunnen zien van aansluiting op het LSP. Hoewel er theoretisch geen verplichting is tot aansluiting op het LSP, is er voor de huisarts, anders dan VZVZ stelt, in de praktijk geen sprake van een vrijblijvende keuze.

4.6.

VZVZ stelt terecht dat de patiënt die tegen iedere vorm van elektronische gegevensuitwisseling is, geen belang bij de ingestelde vorderingen heeft. Dit ligt anders voor de patiënt die in beginsel daarvoor wel toestemming wil geven. Deze patiënt zal immers aangewezen zijn op het door VZVZ ontwikkelde LSP. Daarom behoort hij ook de mogelijkheid te hebben om zijn bezwaren daartegen aan de rechter voor te leggen.

4.7.

Het betoog van VZVZ dat niet is voldaan aan het relativiteitsvereiste, omdat de gestelde normen op grond van de Wbp, het EVRM en de wettelijke geheimhoudingsplicht van de huisartsen waar VPH c.s. zich op beroept, geen van alle strekken ter bescherming van de belangen van de huisartsen, brengt de rechtbank evenmin tot het oordeel dat VPH c.s. in haar vorderingen niet-ontvankelijk moet worden verklaard. Het beroepsgeheim is een van de kernpunten van de beroepsuitoefening van de (huis)arts. Het aan de vorderingen ten grondslag gelegde belang komt neer op het voorkomen dat de huisartsen in een situatie worden gebracht waarin zij niet anders kunnen dan hun beroepsgeheim schenden. VPH c.s. heeft het argument van VZVZ dat het beroepsgeheim slechts strekt tot bescherming van de belangen van de patiënt, afdoende weerlegd door er op te wijzen dat het beroepsgeheim ook het maatschappelijke belang van onbelemmerde toegang tot zorg dient, omdat patiënten op geheimhouding van de aan de arts verstrekte informatie moeten kunnen vertrouwen. De patiënt heeft een eigen belang, nu de vertrouwelijke behandeling van zijn dossier in het geding is. Voor VPH geldt dat zij, gelet op haar statutaire doelstelling een eigen belang heeft om in rechte op te komen tegen een mogelijke inbreuk op de beroepsautonomie van de huisartsen. De omstandigheid dat een aantal leden van VPH mogelijk geen bezwaar heeft tegen de invoering van de zorginfrastructuur kan niet afdoen aan het eigen statutaire belang van VPH. Ook het feit dat VPH, gelet op haar ledenaantal, niet representatief is voor de totale beroepsgroep van huisartsen, leidt er niet toe dat haar geen vorderingsrecht toekomt. De vraag of toewijzing van de vordering gelet op het ontbreken van representativiteit van VPH leidt tot een onaanvaardbare inbreuk op de belangen van andere huisartsen, zoals VZVZ stelt, is voor de ontvankelijkheidsvraag niet van doorslaggevend belang. Dit punt kan zo nodig bij de inhoudelijke beoordeling van de vordering aan de orde komen.

4.8.

De hiervoor genoemde belangen zijn voldoende concreet. Van uitsluitend ideële bezwaren tegen de invoering van een landelijke infrastructuur, zoals VZVZ stelt, is geen sprake. Op dit moment zijn de huisartsenwaarneemgegevens en de medicatiegegevens beschikbaar via het LSP. Een aantal huisartsen(posten) is aangesloten op het LSP en maakt gebruik van deze toepassingen. Voor zover de vorderingen zien op deze reeds ingevoerde toepassingen, zijn deze - anders dan VZVZ heeft aangevoerd - dan ook niet uitsluitend gebaseerd op vrees voor een toekomstige situatie. Bovendien zal op sommige plaatsen op korte termijn met de bestaande - andere - systemen gestopt worden. Onder deze omstandigheden is de rechtbank van oordeel dat VPH c.s. er voldoende belang bij heeft om de vraag of invoering van de zorginfrastructuur strijdig is met de regelgeving op het gebied van de privacy van patiënten en het medisch beroepsgeheim van de huisartsen, ter toetsing aan de rechter voor te leggen.

4.9.

Voorts overweegt de rechtbank het volgende. Het Businessplan besteedt ook aandacht aan uitbreiding van de bestaande toepassingen en aan nieuwe toepassingen, zoals het toelaten van andere zorgaanbieders. Daarmee is er volgens het Businessplan (pagina 23) ruimte voor de zorgaanbieders achter e-GGZ, e-Radiologie etc. om lid te worden van VZVZ en het LSP te gebruiken voor hun berichtenverkeer. Voor zover de vorderingen van VPH c.s. zijn gebaseerd op de stelling dat deze toekomstige ontwikkelingen onrechtmatig zijn, is naar het oordeel van de rechtbank niet voldaan aan het vereiste dat de vordering voldoende concreet is omschreven. Het gaat over plannen, zonder dat concrete besluiten zijn genomen over de uitvoering daarvan. Niet bekend is of, en zo ja op welke wijze, VZVZ het gebruik van het LSP zal ontwikkelen voor deze nieuwe toepassingen, zodat er geen aanknopingspunten zijn voor de toetsing of het toekomstige handelen van VZVZ onrechtmatig zal zijn jegens VPH c.s. De rechtbank zal zich daarom bij de inhoudelijke beoordeling van de vorderingen beperken tot de thans beschikbare toepassingen.

4.10.

Het betoog van VZVZ dat de vorderingen te vaag zijn geformuleerd en/of bij toewijzing een ontwrichtend karakter hebben kan evenmin leiden tot niet ontvankelijkheid van VPH c.s. Dit verweer ziet niet op de ontvankelijkheid, maar is een mogelijke afwijzingsgrond, die zo nodig bij de inhoudelijke beoordeling van de vorderingen aan de orde kan komen.

4.11.

Gelet op al hetgeen hiervoor is overwogen zal het verzoek van VZVZ om VPH c.s. niet-ontvankelijk te verklaren worden afgewezen.

4.12.

De rechtbank zal het verzoek van VZVZ om tussentijds hoger beroep open te stellen van deze beslissing over de ontvankelijkheid eveneens afwijzen. Het wetboek van Burgerlijke Rechtsvordering biedt niet de mogelijkheid hoger beroep open te stellen van een deelbeslissing in een tussenvonnis. De rechtbank komt daarom toe aan een inhoudelijke beoordeling van de vorderingen.

5 De beoordeling

Het toetsingskader

5.1.

Met de Wbp is Richtlijn nr. 95/46/EG van 23 november 1995 (hierna: de Richtlijn gegevensbescherming) geïmplementeerd. Voorts is de Wbp een uitwerking van het in artikel 8 van het EVRM geformuleerde recht van een ieder op respect voor zijn privéleven.

5.2.

De Wbp stelt in artikel 6 de voorwaarde dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Artikel 7 Wbp stelt als voorwaarde dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Op grond van artikel 9 Wbp blijft verwerking van persoonsgegevens achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat en vindt geen verwerking plaats die onverenigbaar is met de doeleinden waarvoor die gegevens zijn verkregen.

5.3.

Op grond van artikel 16 Wbp is de verwerking van persoonsgegevens betreffende iemands gezondheid verboden, behoudens het bepaalde in paragraaf 2 Wbp welke paragraaf gaat over de verwerking van bijzondere persoonsgegevens. Voor VZVZ, van wie vaststaat dat zij geen “hulpverlener” is als bedoeld in artikel 21Wbp, is het verwerken van medische persoonsgegevens slechts toegestaan met uitdrukkelijke toestemming van de betrokkene (artikel 23 lid 1, aanhef en onder a Wbp). In de Richtlijn gegevensbescherming is in artikel 3 een soortgelijke bepaling opgenomen, op grond waarvan verwerking van medische gegevens eveneens slechts is toegestaan met de uitdrukkelijke toestemming van de betrokkene.

5.4.

De Groep Gegevensbescherming Artikel 29 (een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, hierna: De Artikel 29 Groep), heeft in haar “Werkdocument inzake de verwerking van persoonsgegevens betreffende de gezondheid in elektronische medische dossiers (EMD)” (werkdocument van 15 februari 2007 (WP131)) de volgende uitgangspunten geformuleerd over het begrip “uitdrukkelijke toestemming”:

“(…)”

aa) Toestemming moet uit vrije wil worden gegeven: “vrij” betekent dat de toestemming een wilsuiting moet zijn van een persoon die over al zijn verstandelijke vermogens beschikt zonder enige vorm van dwang, of die nu van maatschappelijke, financiële, psychologische of andere aard is. Toestemming die is gegeven onder dreiging van niet-behandeling of minder goede behandeling in een medische situatie, kan niet als vrij worden beschouwd. Toestemming van een betrokkene die niet de gelegenheid heeft gehad echt een keuze te maken of die voor een voldongen feit is geplaatst, kan niet als geldig worden beschouwd.

(…)

bb) Toestemming moet specifiek zijn: “specifieke toestemming” moet betrekking hebben op een welbepaalde concrete situatie waarin het voornemen bestaat medische gegevens te verwerken. Een “algemeen akkoord” van de betrokkene met bijvoorbeeld het verzamelen met het oog op opneming in een EMD (Elektronisch Medisch Dossier) en de verstrekking van dergelijke medische gegevens over de situatie in verleden en toekomst aan bij behandelingen betrokken zorgverleners, is derhalve geen toestemming in de zin van artikel 2, onder h van de richtlijn.

cc) Toestemming moet op informatie berusten: “op informatie berustende toestemming” betekent dat de betrokkene zijn toestemming geeft op basis van beoordeling en begrip van de feiten en implicaties van een wijze van handelen. De betrokkene moet op duidelijke en begrijpelijke wijze volledig en nauwkeurig worden geïnformeerd over alle relevante aspecten, en met name de aspecten die in de artikelen 10 en 11 van de richtlijn worden genoemd, zoals de aard van de te verwerken gegevens, de doeleinden van de verwerking, de ontvangers van mogelijke doorgifte van gegevens, en de rechten van de betrokkene. Dit houdt ook in dat de betrokkene zich bewust moet zijn van de gevolgen die het onthouden van zijn toestemming heeft.”

b) Anders dan in artikel 7 van de richtlijn wordt bepaald, moet in het geval van gevoelige persoonsgegevens en dus wanneer het om een EMD gaat, de toestemming uitdrukkelijk worden verleend. Opt-outformules voldoen niet aan de eis dat de betrokkene “uitdrukkelijk” moet toestemmen. In overeenstemming met de algemene definitie dat toestemming een wilsuiting veronderstelt, moet “uitdrukkelijk” in relatie staan tot met name de gevoeligheid van de gegevens. De betrokkene moet beseffen dat hij afstand doet van bijzondere bescherming. De toestemming hoeft echter niet schriftelijk te worden gegeven.

(…)”

In haar “Advies 15/2011 over de definitie van “toestemming” (WP 187) van 13 juli 2011 verwijst De Artikel 29 Groep voor “specifieke” toestemming naar haar werkdocument WP131.

5.5.

In artikel 13 Wbp is bepaald dat de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer legt om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

5.6.

De bij de Wbp aan de orde zijnde beginselen van proportionaliteit en subsidiariteit houden in dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel en dat het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kan worden verwerkelijkt.

De werkwijze bij de elektronische gegevensuitwisseling

5.7.

Elektronische uitwisseling van medische gegevens door middel van de zorginfrastructuur komt - kort samengevat - neer op het volgende:

Patiënten moeten aan hun huisarts en apotheek toestemming geven voor het delen van hun medische gegevens via het gegevensuitwisselingssysteem. De huisarts of apotheek dient in het systeem te registeren dat de patiënt toestemming heeft gegeven.

Medische gegevens worden niet in het LSP opgeslagen, maar blijven bij de bron, dat wil zeggen in het dossier bij de eigen arts of apotheker. Het LSP zorgt voor het koppelen en transporteren van deze medische gegevens. Het LSP bevat een verwijsindex met de BSN-nummers van de patiënten die toestemming hebben gegeven en de BIG registraties van de aangesloten zorgaanbieders. Bij elke opvraging van gegevens wordt getoetst of de opvrager in een behandelrelatie staat tot de patiënt. Dit geschiedt volgens het stappenplan zoals weergegeven in het Doorstartmodel (zie hiervoor in 2.8). Daarna wordt de toegang getoetst aan het autorisatieprotocol, waarin is vastgelegd welke bevoegdheden de opvragende zorgaanbieder heeft. Het LSP registreert waar patiëntgegevens zijn op te vragen, welke gegevens zijn opgevraagd en door wie dat is gedaan.

5.8.

Via het LSP kunnen thans de volgende gegevens worden uitgewisseld:

Huisartsen kunnen aan het LSP melden dat zij huisartsenzorg aan een patiënt verlenen. Waarnemers kunnen de “professionele samenvatting” opvragen. De vaste huisarts wordt via een “waarneembericht” geïnformeerd over de zorg die de patiënt heeft ontvangen.

De professionele samenvatting bevat de volgende gegevens:

Episodes: naam, datum laatste contact en ICPC code (International Classification of Primary Care code voor klachten, symptomen en aandoeningen)

Journaal: alle contacten van de laatste vier maanden en tenminste de laatste vijf contacten

Medicatie: alle voorgeschreven medicatie van de laatste vier maanden

Metingen: alle metingen en uitslagen binnen de periode van het opgeleverde journaal

Contra-indicaties: alle relevante informatie over comorbiditeit, geneesmiddelentoleranties, en -allergieën

Overdrachtsgegevens: gegevens over de actuele toestand van de patiënt die de huisarts van belang acht voor de waarnemer

Huisarts: identiteitsgegevens van de huisarts en de praktijk

Het waarneembericht bevat de volgende gegevens:

Contactverslag: Verslag van het contact (of de deelcontacten)

Episode: voorstel voor episode (naam en ICPC)

Medicatie: voorgeschreven medicatie n.a.v. het patiëntcontact

Metingen: tijdens het contact uitgevoerde metingen of bepalingen

Contactwijze: de wijze waarop het patiëntcontact heeft plaatsgevonden (bijvoorbeeld consult, telefonisch, huisbezoek)

Waarnemend huisarts: identiteitsgegevens van de waarnemend huisarts en huisartsenpost

Overdracht gegevens: specifieke instructies van de waarnemend huisarts en huisartsenpost

De apotheek en apotheekhoudende huisarts kunnen aan het LSP melden dat zij medicatie aan een patiënt hebben verstrekt. Collega-zorgaanbieders (apothekers, huisartsen en medisch specialisten) kunnen vervolgens opvragen welke medicatie aan een patiënt is verstrekt.

De geformuleerde doeleinden voor gegevensverwerking

5.9.

In de preambule van het Convenant hebben de bij het Convenant betrokken partijen doeleinden geformuleerd (zie hiervoor in 2.6). De beschreven doeleinden “betere en veiliger zorg”, “het bevorderen van doelmatigheid in de zorg” en “meer betrokkenheid van patiënten bij hun eigen gezondheid” hebben betrekking op de registratie en verwerking van medische persoonsgegeven en vormen naar het oordeel van de rechtbank daarvoor een voldoende rechtvaardiging. Daarbij is in aanmerking genomen dat de noodzaak voor registratie en uitwisseling van medische persoonsgegevens voor een goede en veilige gezondheidszorg algemeen is aanvaard. Dat thans eveneens algemeen is aanvaard dat registratie en uitwisseling plaatsvinden langs elektronische weg blijkt onder meer uit het hiervoor in 5.4 genoemde advies en werkdocument van De Artikel 29 Groep en het advies van het Cbp van 18 januari 2012. In deze documenten wordt niet in twijfel getrokken dat is voldaan aan het vereiste dat het leveren van een betere gezondheidszorg een gerechtvaardigd doel vormt voor de registratie en verwerking van medische persoonsgegevens langs elektronische weg. VPH c.s. erkent dit zelf ook. De omschrijving van de doeleinden in een convenant is naar haar aard in algemene bewoordingen gesteld en zal pas bij de uitwerking daarvan concreter kunnen zijn. De rechtbank acht de in het Convenant gegeven doeleindenomschrijving, anders dan VPH c.s. heeft gesteld, voldoende concreet.

Het ambitieniveau voor aansluiting en gebruik

5.10.

Het streven van VZVZ dat de zorginfrastructuur door het overgrote deel van de zorgaanbieders wordt gebruikt en dat een zo groot mogelijk aantal patiëntendossiers is aangesloten (pagina 8 van het Businessplan), is niet in strijd is met enige bepaling van de Wbp. Evenmin is er aanleiding om te oordelen dat VZVZ met deze ambitie op andere gronden onrechtmatig handelt jegens VPH c.s. Het staat VZVZ in beginsel vrij dit doel na te streven. Daar komt bij dat de in het Businessplan vermelde omstandigheid dat de effectiviteit van het systeem een hoge aansluitingsgraad vereist en de omstandigheid dat de Zorgverzekeraars hun financiering voor een belangrijk deel afhankelijk hebben gemaakt van de mate van aansluiting, een rechtvaardiging vormen voor dit streven.

5.11.

In het Businessplan is een financieringsmodel uitgewerkt (pagina 10 van het Businessplan), waarbij de eenmalige kosten die de individuele zorgaanbieders moeten maken om zich aan te sluiten op de zorginfrastructuur worden vergoed op een vooraf vastgesteld normbedrag. De structurele kosten die de individuele zorgaanbieders jaarlijks maken voor hun aansluiting worden vergoed op basis van daadwerkelijk gebruik van de zorginfrastructuur. Niet valt in te zien dat het geven van dergelijke vergoedingen in strijd is met de bepalingen van de Wbp. De individuele zorgaanbieders moeten werkelijk kosten maken om te kunnen aansluiten op de zorginfrastructuur. Dat een - zoals het Businessplan het op pagina 85 formuleert - “adequate” vergoeding mede tot doel heeft om de zorgaanbieders te stimuleren snel op de zorginfrastructuur aan te sluiten, betekent - anders dan VPH c.s. betoogt - dan ook niet dat de vergoeding een ongeoorloofde prikkel is om de zorgaanbieders tot aansluiting te bewegen.

De toestemming

5.12.

Op grond van de hiernavolgende overwegingen is de rechtbank van oordeel dat met de wijze waarop de procedure tot het verlenen van toestemming voor de verwerking van persoonsgegevens is vormgegeven, voldoende is gewaarborgd dat wordt voldaan aan de in artikel 23 Wbp gestelde eis dat de betrokkene “uitdrukkelijk toestemming” heeft verleend.

De vrije wil

5.13.

De gekozen procedure waarbij de zorgaanbieder in het systeem registreert dat een patiënt toestemming heeft gegeven, biedt de zorgaanbieder de mogelijkheid om - indien hij daaraan twijfelt - na te gaan of dit werkelijk de wil is van de patiënt. VZVZ heeft in dit verband toegelicht dat de zorgaanbieder bij registratie van de toestemming aan dient te geven welke informatie is verstrekt, zodat er geen onduidelijkheid bestaat waarvoor de toestemming is gegeven. Het Toestemmingsformulier (zie hiervoor in 2.10) en de Brochure (zie hiervoor in 2.11) zijn middelen om enerzijds de patiënt te informeren over het doel en de gevolgen van de toestemmingverlening en anderzijds om vast te leggen voor welke verwerking van medische persoonsgegevens de patiënt toestemming heeft verleend. Van toestemming door invulling van een elektronisch formulier, zonder nadere check door de zorgaanbieder is dan ook geen sprake.

5.14.

De tekst van de Brochure is in neutrale bewoordingen gesteld en geeft geen blijk van enige dwang om de patiënt er toe te bewegen zijn toestemming te verlenen. Het onthouden van toestemming heeft tot gevolg dat de gegevens niet door middel van de zorginfrastructuur met andere zorgaanbieders zullen worden gedeeld, maar heeft voor de patiënt geen financiële consequenties en heeft evenmin consequenties voor de aard of omvang van de te verlenen zorg. Het is weliswaar juist, zoals VPH c.s. naar voren heeft gebracht, dat VZVZ er belang bij heeft dat zo veel mogelijk patiënten worden aangesloten op de zorginfrastructuur omdat de verzekeraars hun financiering afhankelijk maken van het aantal aansluitingen en de mate van gebruik van de zorginfrastructuur, maar de rechtbank ziet daarin onvoldoende aanknopingspunten om te kunnen concluderen dat dit - gerechtvaardigde - belang heeft geleid tot het uitoefenen van ongeoorloofde druk op de individuele patiënt om zijn toestemming te geven.

Specifieke toestemming

5.15.

De tekst in het Toestemmingformulier verwijst uitdrukkelijk naar de Brochure. Daardoor is duidelijk dat aankruising van het vakje “ja” in het formulier betekent dat de door de patiënt verleende toestemming ziet op de verwerking van zijn persoonsgegevens zoals in de Brochure vermeld. De Brochure vermeldt dat toestemmingverlening inhoudt dat de huisarts (en apotheek) de “belangrijkste medische gegevens” beschikbaar mogen stellen aan andere zorgaanbieders. De Brochure maakt duidelijk dat het bij die “andere zorgaanbieders” gaat om een waarnemend huisarts van de huisartsenpost, een apotheek of een medisch specialist en dat deze andere zorgaanbieders de gegevens van de patiënt langs elektronische weg kunnen raadplegen. De Brochure beschrijft welke gegevens in het patiëntendossier worden opgenomen, dat de andere zorgaanbieders de persoonlijke gegevens en het overzicht van de medicijnen kunnen raadplegen en dat de waarnemend huisarts ook een samenvatting van het huisartsdossier kan opvragen.

5.16.

Naar aanleiding van het bezwaar van VPH c.s. dat de patiënt op het moment van het verlenen van de toestemming nog niet bekend kan zijn met zijn toekomstige gegevens, overweegt de rechtbank dat in de Brochure duidelijk is beschreven voor welke situatie de toestemming wordt verleend. Daarmee is voldaan aan de door De Artikel 29 Groep gestelde voorwaarde dat de toestemming betrekking moet hebben op “een welbepaalde concrete situatie waarin het voornemen bestaat medische gegevens te verwerken”. De eis dat degene die toestemming verleent op het moment van toestemmingverlening reeds bekend is met de inhoud van de gegevens, wordt niet gesteld. Het is inherent aan het doel (spoed- en waarneemsituaties) dat de toestemming wordt verleend voor verwerken van gegevens in de toekomstige situatie dat de eigen huisarts of apotheek niet beschikbaar is. Gelet op het feit dat de Brochure een concrete beschrijving geeft van de omstandigheden waarvoor de toestemming geldt en de aard van de in die omstandigheden te raadplegen gegevens, is geen sprake van een algemeen akkoord voor het verzamelen van medische gegevens in verleden en toekomst, zoals VPH c.s. stelt.

Informed consent

5.17.

Naar het oordeel van de rechtbank is ook voldaan aan het vereiste dat de patiënt voldoende is geïnformeerd. Naast de hiervoor genoemde informatie over de omstandigheden waarvoor de toestemming geldt en de aard van de in die omstandigheden te raadplegen gegevens, vermeldt de Brochure dat de medische gegevens in de computer van de huisarts blijven staan en dat andere zorgaanbieders deze medische gegevens elektronisch kunnen raadplegen via een netwerk dat hiervoor speciaal is gemaakt en huisartsen, apotheken, huisartsenposten en medisch specialisten in Nederland hun computersystemen kunnen aansluiten. De patiënten worden er over geïnformeerd dat hun BSN en de gegevens van hun huisarts in het netwerk staan. Naar het oordeel van de rechtbank is met deze uitleg voldoende duidelijk gemaakt dat het verlenen van toestemming met zich brengt dat persoonsgegevens (BSN) en de gegevens van de behandelend huisarts en apotheek, niet alleen worden opgeslagen in het computersysteem van de huisarts, maar ook gedeeld kunnen worden via een netwerk dat deel uitmaakt van de zorginfrastructuur. Daarmee is de patiënt op de hoogte gebracht van de essentie van de werking van het zorginformatiesysteem en dat daarbij (ook) opslag en verwerking van medische gegevens plaatsvindt in het netwerk dat voor alle aangesloten zorgaanbieders toegankelijk is. De omstandigheid dat daarbij niet expliciet het LSP wordt genoemd, zoals VPH c.s. heeft aangevoerd, doet daar niet aan af.

5.18.

Het betoog van VPH c.s. dat de toestemming onvoldoende bepaald is omdat deze zich uitstrekt tot de toekomstige toepassingen van de zorginfrastructuur, brengt de rechtbank niet tot een ander oordeel. VZVZ heeft de op dit punt geuite vrees afdoende weerlegd door er op te wijzen dat het systeem weliswaar geschikt is voor bredere toepassing, maar dat het Toestemmingsformulier slechts ziet op de in de Brochure beschreven situaties. Volgens VZVZ zal bij uitbreiding van het systeem opnieuw om toestemming worden gevraagd voor de nieuwe toepassingen.

5.19.

Gelet op het voorgaande treft het betoog van VPH c.s., dat feitelijk sprake is van een opt-outsysteem omdat het gaat om een eenmalige toestemming die in beginsel geldt voor alle mogelijke uitbreidingen van de zorginfrastructuur geen doel.

5.20.

De Brochure is in duidelijke en begrijpelijke taal gesteld en in verschillende talen beschikbaar. Voorts is van belang dat de zorgaanbieder de toestemming registreert in het systeem, waarmee de mogelijkheid nadere uitleg te geven over de (consequenties van de) toestemming is gewaarborgd.

5.21.

Op grond van hetgeen hiervoor in 5.13 t/m 5.20 is overwogen is de rechtbank van oordeel dat de procedure voor toestemmingsverlening voldoende waarborgen biedt om te kunnen voldoen aan de vereisten dat de toestemming vrijwillig is gegeven, dat deze voldoende specifiek is en dat deze is gebaseerd op voldoende informatie.

Proportionaliteit

5.22.

VPH c.s. betoogt dat de situatie waarin de behandelaar die zich aanmeldt in beginsel de volledige professionele samenvatting te zien krijgt, een schending inhoudt van het proportionaliteitsbeginsel, omdat niet voorkomen kan worden dat de opvrager meer gegevens worden verstrekt dan noodzakelijk is voor de actuele zorgvraag. Deze schending van het proportionaliteitsbeginsel kan volgens VPH c.s. slechts worden voorkomen door de huisarts te laten bepalen welke gegevens aan de opvragende zorgaanbieder ter beschikking worden gesteld.

5.23.

VZVZ heeft toegelicht dat gegevensuitwisseling kan plaatsvinden op basis van “push-systematiek”, de verzender levert gegevens aan, of “pull-systematiek”,

de opvrager haalt de gegevens op. Volgens VZVZ is gekozen voor de pullsystematiek, omdat de zorginfrastructuur voor een belangrijk deel is opgezet voor waarneemsituaties en noodgevallen, waarbij een actie aan de verzendzijde niet mogelijk is. Wat betreft de omvang van de ter beschikking staande gegevens heeft VZVZ naar voren gebracht dat de professionele samenvatting is gebaseerd op gegevens waarvan de professionele beroepsgroep heeft uitgemaakt dat deze belangrijk zijn in een waarneemsituatie.

5.24.

Naar het oordeel van de rechtbank slaagt het beroep van VPH c.s. op schending van de proportionaliteitseis niet. De toestemming van de patiënt ziet op de specifieke situaties van waarneming en noodgevallen, waarin de eigen huisarts veelal niet beschikbaar is om de gegevens uit het medische dossier aan de andere behandelaar ter beschikking te stellen. Die omstandigheid vormt een voldoende rechtvaardiging voor de gekozen “pull-systematiek”, waarbij de eigen huisarts op het moment van opvragen geen bemoeienis (meer) heeft met de gegevens die ter beschikking worden gesteld. Ook het gebruik van een algemene professionele standaard is gelet op het doel van de gegevensuitwisseling gerechtvaardigd. Zoals VZVZ heeft toegelicht, worden deze standaardgegevens reeds vanaf 1998 door de beroepsgenoten gehanteerd in waarneemsituaties. Het gaat dus om een op de praktijkervaring van de huisartsen gebaseerde beoordeling welke gegevens in het algemeen voor een goede zorgverlening bij spoedeisende hulp of waarneming van belang zijn. Dat daarbij niet in elke situatie alle gegevens relevant zijn, is inherent aan het samenstellen van een algemene standaard. Daar komt nog bij dat de huisarts - eventueel in samenspraak met of op verzoek van de patiënt - bepaalde gegevens alsnog kan uitsluiten. Dat dit afschermen van bepaalde gegevens een extra overleg tussen patiënt en huisarts noodzakelijk maakt en een extra handeling van de huisarts vergt, leidt gelet op hetgeen hiervoor is overwogen over de specifieke toestemming en de inhoud van de professionele samenvatting, niet tot een situatie dat feitelijk sprake is van een opt-out systematiek, zoals VPH c.s. heeft aangevoerd. Naar het oordeel van de rechtbank kan de gegevensverstrekking door middel van de professionele standaard daarom ook wat betreft de omvang en de inhoud van de verstrekte gegevens de proportionaliteitstoets doorstaan.

Geheimhoudingsplicht van de arts

5.25.

VPH c.s. betoogt dat de huisarts die is aangesloten op de zorginfrastructuur de controle kwijt raakt over de patiëntgegevens die onder zijn geheimhoudingsplicht vallen waardoor hem de mogelijkheid wordt ontnomen om de - op grond van zijn beroepsgeheim vereiste - individuele belangenafweging te maken.

5.26.

De rechtbank overweegt dat artikel 9 lid 4 van de Wbp waar VPH c.s. zich op beroept, de huisarts de verplichting oplegt om bij iedere doorbreking van het beroepsgeheim een belangenafweging te maken. De invulling die VPH c.s. geeft aan het beroepsgeheim komt er op neer dat de arts onder alle omstandigheden gehouden is aan een andere behandelaar exact de informatie te geven die voor de actuele zorgbehoefte noodzakelijk is. Gesteld noch gebleken is dat deze invulling van de geheimhoudingsplicht is gebaseerd op enig (wettelijk) voorschrift of op enig in de beroepsgroep algemeen aanvaarde regel. Dat deze door VPH c.s. gesteld norm voor de geheimhoudingsplicht onder de beroepsgroep niet algemeen gebruikelijk is, blijkt uit het feit dat huisartsen reeds lange tijd gebruik maken van een standaard voor het verstrekken van informatie bij waarneming. Het betoog van VPH c.s. dat de systematiek van het zorginformatiesysteem de huisartsen dwingt tot overtreding van hun geheimhoudingsplicht treft dan ook geen doel. Daar komt nog bij dat enerzijds de mogelijkheid bestaat om bepaalde informatie af te schermen en anderzijds aansluiting op de zorginfrastructuur de huisarts niet de mogelijkheid ontneemt, om - indien hij dat in een gegeven geval noodzakelijk acht - de andere behandelaar voorafgaand aan een waarneemperiode langs andere weg (bijvoorbeeld op de klassieke wijze per brief, of door overlegging van het gehele dossier) te informeren over de toestand van de patiënt

5.27.

Het betoog van VPH c.s. dat gebruikmaking van de zorginfrastructuur de huisarts noopt tot schending van zijn geheimhoudingsplicht als bedoeld in artikel 7:457 BW, artikel 88 van de wet BIG en artikel 272 WvS treft gelet op het voorgaande geen doel.

Beveiliging

5.28.

VPH c.s. betoogt dat de zorginfrastructuur uitgaat van een vertrouwensmodel, waarbij het bronsysteem (Huisartseninformatiesysteem) moet vertrouwen op de beveiliging van het LSP, waarbij het LSP vervolgens moet vertrouwen op de beveiliging van alle aangesloten systemen. Volgens VPH c.s. kan risicoschade van onbevoegde toegang tot medische persoonsgegevens alleen voldoende worden beperkt door een beveiligingsmodel dat uitgaat van zo min mogelijk “vertrouwen” en zoveel mogelijk end-to-end beveiliging. End-to-end versleuteling en end-to-end authenticatie zijn daarom noodzakelijk. Deze noodzaak baseert VPH c.s. op het in de door het Nederlands Normalisatie-instituut ontwikkelde norm (NEN) 7512 beschreven “vertrouwensmodel”. VPH c.s. heeft in dit kader (in 3.66 van de conclusie van repliek) de volgende zinsneden uit NEN 7521 aangehaald:

“b) de zender en de ontvanger moeten elkaars identiteit met afdoende zekerheid kunnen vaststellen (authenticatie en ondertekening) […]

c. Gegevens moeten tijdens het transport tussen zender en ontvanger op geen enkele wijze kunnen worden gewijzigd (integriteit) […] Met een elektronische handtekening wordt het gehele kanaal tussen zender en ontvanger afgedekt.

d) Gegevens moeten geen anderen dan de geadresseerde ontvanger(s) kunnen bereiken (vertrouwelijkheid)

[…] Het verzenden van vertrouwelijke gegevens moet dan versleuteld plaatsvinden”

Het model van de zorginfrastructuur voldoet volgens VPH c.s. niet aan deze eisen omdat de informatie niet gedurende de hele route vanaf het brondossier bij de huisarts tot aan de opvrager is versleuteld, en omdat de wijze waarop in het LSP wordt gecontroleerd of degene die medische gegevens opvraagt een behandelrelatie heeft met de patiënt - kort gezegd - het risico van fouten en/of misbruik in zich draagt. VPH c.s. heeft er in dit verband op gewezen dat het systeem slechts voorziet in logging achteraf en niet in de mogelijkheid dat de patiënt voorafgaand aan de opvraag nog een in het Huisartseninformatiesysteem controleerbare autorisatie moet afgeven. Misbruik van het opvragen van gegevens kan daardoor alleen achteraf worden vastgesteld.

5.29.

VZVZ stelt dat het bij NEN 7512 gaat om richtlijnen. Volgens VZVZ is uitgangspunt van deze norm dat betrouwbare gegevensuitwisseling betrouwbare gegevens vereist uit een betrouwbare bron die een betrouwbare ontvanger bereiken langs een betrouwbaar kanaal. VZVZ betoogt dat een “vertrouwensdomein” een geheel van partijen, processen, voorzieningen en regels is, waarin partijen ten aanzien van de processen en het gebruik van voorzieningen op elkaar vertrouwen. Het LSP is in de zorginfrastructuur een “vertrouwde instantie” en daarmee een “entiteit” in het vertrouwensdomein. De voor de toegang tot het LSP noodzakelijke UZI-pas is volgens VZVZ - in de woorden van NEN 7512 - een hoogwaardig digitaal identiteitsbewijs. Conform de eisen van NEN 7512 vindt communicatie tussen de entiteiten van het vertrouwensdomein versleuteld plaats. De eis van end-to-end versleuteling wordt volgens VZVZ in NEN 7512 niet gesteld. Verder stelt VZVZ dat het LSP zelf goed beveiligd is en aantoonbaar aan NEN 7510 voldoet.

5.30.

De rechtbank stelt voorop dat voor de beoordeling van de gestelde onrechtmatigheid slechts relevant is of met het beveiligingsniveau de bepalingen van de Wbp worden overschreden. Dat een ander beveiligingsniveau mogelijk is en/of door VPH c.s. wenselijk wordt geacht is voor de beoordeling van de onrechtmatigheid niet van doorslaggevend belang. Vaststaat dat de medische gegevens gedurende het transport van de zorgaanbieder naar het LSP zijn versleuteld, in het LSP worden ontsleuteld om gegevensbestanden te kunnen samenvoegen en tijdens het transport van het LSP naar de opvragende zorgaanbieder weer zijn versleuteld.

5.31.

In het Doorstartmodel is voor invulling van de open norm van artikel 13 Wbp aansluiting gezocht bij de NEN normen voor Informatiebeveiliging van de zorgsector. Dat NEN 7512 niet in alle opzichten toepasbaar is op gegevensuitwisseling met behulp van een schakelpunt, zoals VZVZ heeft erkend, maakt naar het oordeel van de rechtbank niet dat deze norm geen rol kan spelen bij de in acht te nemen beveiligingsnormen. Zoals VZVZ naar voren heeft gebracht is de NEN in 2005 vastgesteld, zodat het aannemelijk is dat bij het formuleren van de normen nog geen rekening is gehouden met het bestaan van een tussenschakel zoals het LSP. De rechtbank vindt hiervoor ook steun in het door VZVZ overgelegde ontwerp Besluit elektronische gegevensuitwisseling tussen zorgaanbieder (hierna: ontwerp Besluit elektronische gegevensuitwisseling) waarin regels worden gegeven wat betreft toepasselijke normen en standaarden met betrekking tot de overdracht en de veiligheid van de elektronische gegevensuitwisseling. Ook in het ontwerp Besluit gegevensuitwisseling wordt voor het toepasselijke beveiligingsniveau gerefereerd aan NEN 7512.

Versleuteling

5.32.

De door VPH c.s. uit NEN 7512 geciteerde zin dat verzending van vertrouwelijke gegevens versleuteld moet plaatsvinden is - mede gelet op de betwisting door VZVZ- zonder context onvoldoende om aan te kunnen nemen dat NEN 7512 de eis stelt van end-to-end versleuteling. Daarbij is in aanmerking genomen dat de door VZVZ overgelegde tekst van artikel 6.3.4 ontwerp NEN 7521 weliswaar de end-to-end versleuteling vermeldt als een in aanmerking te nemen veiligheidsaspect, maar dit niet vereist. Voorts overweegt de rechtbank dat het Cbp het Doorstartmodel - mede - heeft beoordeeld op de vraag of de juiste normering van de informatiebeveiliging is gehanteerd en heeft geconstateerd dat er geen bijzondere risico’s zijn voor overtreding van de Wbp. Uit dit advies leidt de rechtbank af dat het Cbp de NEN 7512 ook van toepassing acht in een situatie waarin uitwisseling van medische persoonsgegevens via een Schakelpunt (het LSP) plaatsvindt en dat het Cbp van mening is dat met de wijze waarop in het Doorstartmodel uitvoering is gegeven aan NEN 7512, (versleuteling bij verzending), de op grond van de Wbp vereiste veiligheid voldoende is gewaarborgd.

Autorisatie en authenticatie

5.33.

Anders dan VPH c.s. betoogt blijkt uit de door haar aangehaalde voorwaarde in NEN 7512, dat de zender en de ontvanger “elkaars identiteit met afdoende zekerheid kunnen vaststellen (authenticatie en ondertekening)” niet dat NEN 7512 de eis van end-to-end autorisatie en authenticatie stelt. Het Cbp heeft het in het Doorstartmodel (zie hiervoor in 2.8) beschreven autorisatieproces (welke bevoegdheden heeft de zorgaanbieder?) en de Toetsing behandelrelatie (heeft degene die toegang wil tot het LSP een behandelrelatie met de patiënt?) beoordeeld en op deze punten geen bijzondere risico’s geconstateerd. De authenticatie door middel van de UZI-pas, waarbij de beoordeling in LSP plaatsvindt is door het Cbp akkoord bevonden. De opvraging met behulp van een gemandateerde UZI-pas, noch het feit dat de behandelrelatie onder omstandigheden wordt getoetst op basis van de werkcontext acht het Cbp in strijd met het op grond van de Wbp vereiste beveiligingsniveau. De rechtbank ziet in hetgeen VPH c.s. heeft aangevoerd omtrent de mogelijke risico’s van fraude en misbruik onvoldoende grond om voorbij te gaan aan het oordeel van het Cbp, dat juist vanwege haar deskundigheid op dit gebied om haar oordeel is gevraagd. Van het Cbp mag vanwege haar kennis worden verwacht dat zij de veiligheid van het gehanteerde authenticatiesysteem met het oog op fraude en misbruik goed beoordeeld heeft. Het voorgaande geldt ook voor de door VPH c.s. gestelde tekortkoming dat de mogelijkheid ontbreekt dat de patiënt voorafgaand aan de opvraag nog een controleerbare autorisatie kan uitvoeren.

5.34.

VPH c.s. heeft gelet op het voorgaande evenmin aangetoond dat met de procedure waarop in het zorginformatiesysteem de behandelrelatie wordt getoetst, niet is voldaan aan de op grond van de Wbp vereiste niveau van beveiliging.

logging

5.35.

NEN 7513 geeft normen voor logging, dat wil zeggen voor het vastleggen van acties op het elektronisch patiëntendossier, zodat achterhaald kan worden wie er toegang heeft gehad tot het dossier. VPH c.s. heeft niet aangevoerd dat de wijze waarop de logging in het zorginformatiesysteem plaatsvindt in strijd is met NEN 7513. De omstandigheid dat VPH c.s. van mening is dat logging achteraf onvoldoende waarborgen biedt, maakt dit, gelet op hetgeen hiervoor over het autorisatieproces is overwogen niet anders. Wat betreft het bezwaar van VPH c.s. dat uit de logging niet valt af te leiden wat de noodzaak voor de concrete aanvraag is geweest, overweegt de rechtbank dat ook op dit punt niet is gesteld en evenmin is gebleken dat op grond van NEN 7513 aan die voorwaarde moet worden voldaan. Een aanknopingspunt om te concluderen dat die eis in NEN 7153 niet wordt gesteld is artikel 7 van het ontwerp Besluit gegevensuitwisseling. In artikel 7 van dit Besluit is bepaald dat de gegevens die ten minste bijgehouden dienen te worden om logging mogelijk te maken zijn:

  • -

    de gebeurtenis die plaatsgevonden heeft;

  • -

    het tijdstip waarop de betreffende gebeurtenis heeft plaatsgevonden

  • -

    welke cliënt dit betrof

  • -

    wie de gebruiker van het elektronisch uitwisselingssysteem was die de gebeurtenis heeft laten plaatsvinden

  • -

    namens welke verantwoordelijke de betreffende gebruiker optrad

5.36.

Het door G. van ’t Noordeinde, uitgebrachte advies aan de Eerste Kamer kan aan het voorgaande niet afdoen. Dit advies signaleert tekortkomingen en verbeterpunten aan het zorginformatiesysteem, maar omvat geen toetsing daarvan aan de toepasselijke wettelijke beveiligingsnormen. Dat sprake is van de door VPH c.s. gestelde overtreding van de bepalingen van de Wbp kan dan ook niet aan dit rapport worden ontleend.

Regionalisering

5.37.

Met betrekking tot de door VPH c.s. geuite vrees dat de regionale schotten in de toekomst zullen verdwijnen overweegt de rechtbank het volgende.

5.38.

Het Businessplan vermeldt op pagina 65 dat de Eerste en Tweede kamer er op hebben aangedrongen om het LSP een regionaal karakter te geven en dat ook groepen huisartsen deze uitdrukkelijke wens hebben. Volgens het Businessplan is de voornaamste reden hiervoor het creëren van een overzichtelijke kleinschaliger structuur in plaats van een landelijke en anonieme infrastructuur. Het Businessplan vermeldt verder dat voor ziekenhuizen en gebruikers die behoren tot meer dan één regio een uitzondering wordt gemaakt. In het LSP zullen functies worden ingebouwd die het anonieme karakter tegengaan. Als deze mogelijkheden zijn ingebouwd zal worden geëvalueerd in hoeverre de ingevoerde regionalisatie nog noodzakelijk is voor het creëren van vertrouwen in de infrastructuur.

5.39.

Het enkele voornemen om de mogelijkheid voor het loslaten van de regionale structuur te onderzoeken leidt naar het oordeel van de rechtbank niet tot onrechtmatig handelen van VZVZ jegens VPH c.s. Dit nog daargelaten dat VPH c.s. niet heeft aangetoond dat een landelijke infrastructuur per definitie leidt tot strijd met de Wbp.

Patriot Act

5.40.

Naar aanleiding van het bezwaar van VPH c.s. dat bouw en onderhoud van het LSP zijn uitbesteed aan een Amerikaans bedrijf heeft VZVZ erkend dat de Amerikaanse overheid op grond van de Patriot Act verstrekkende bevoegdheden heeft. VZVZ stelt echter dat ook de nationale en Europese overheden de gereedschappen hebben voor het afluisteren van communicatie en het opvragen van informatie uit informatiesystemen. Verder heeft VZVZ erop gewezen dat leveranciers in de openbare aanbesteding waarin het contract is gesloten, gelijk behandeld moeten worden, zodat VZVZ bij de aanbesteding geen onderscheid mag maken op basis van de nationaliteit van de moedermaatschappij. VZVZ stelt dat CSCS uit oogpunt van aanbesteding als beste uit de bus kwam op het punt van privacy- en beveiligingskwesties. Naar het oordeel van de rechtbank heeft VZVZ hiermee afdoende weerlegd dat zij door de bouw en het onderhoud van het LSP te laten uitvoeren door CSCS uit oogpunt van gegevensbescherming een onaanvaardbaar risico heeft genomen. Daarbij is aanmerking genomen dat indien het uitgangspunt van VPH c.s. zou worden gevolgd dienstverlening door geen enkel Amerikaans bedrijf meer mogelijk zou zijn, hetgeen tot een onwerkzame situatie zou leiden.

5.41.

Gelet op al hetgeen hiervoor is overwogen kan hetgeen VPH c.s. heeft aangevoerd niet leiden tot het oordeel dat met de wijze waarop gegevensverwerking door middel van het zorginformatiesysteem plaatsvindt zodanige risico’s met zich brengt dat dit systeem in strijd moet worden geacht met de bepalingen van de Wbp.

5.42.

Nu niet kan worden vastgesteld dat de grenzen van de Wbp zijn overschreden, is evenmin sprake van een ontoelaatbare inbreuk op de privacy op grond van artikel 8 EVRM.

5.43.

Het voorgaande leidt tot de slotsom dat onrechtmatigheid vanwege overtreding van de Wbp, artikel 8 EVRM en de door VPH c.s. aan haar vordering ten grondslag gelegde geheimhoudingsbepalingen voor medische beroepsbeoefenaren niet is komen vaststaan. Hetgeen VPH c.s. voor het overige heeft aangevoerd geeft evenmin een aanknopingspunt om te kunnen oordelen dat VZVZ onrechtmatig heeft gehandeld jegens VPH c.s..

5.44.

VPH c.s. zal als de in het ongelijk gestelde partij in de proceskosten worden veroordeeld. De kosten aan de zijde van VZVZ worden begroot op € 2.397,00 (€ 589,00 voor griffierecht en € 1.808,00 (4 punten x tarief € 452,00 voor salaris advocaat).

6 De beslissing

De rechtbank,

6.1.

wijst de vorderingen af,

6.2.

veroordeelt VPH c.s. in de proceskosten van VZVZ tot op heden begroot op € 2.397,00,

6.3.

verklaart dit vonnis voor wat betreft de proceskosten uitvoerbaar bij voorraad

Dit vonnis is gewezen door mr. J.M. Eelkema, mr. H.M.M. Steenberghe en mr. J.O. Zuurmond en in het openbaar uitgesproken op 23 juli 2014.1

1 type: SM/4183coll: