Commissie voor de Bescherming van de Persoonlijke Levenssfeer - Advies van 9 juni 2010 (België)

Publicatie datum :
09-06-2010
Taal :
Frans - Nederlands
Grootte :
5 pagina's
Sectie :
Rechtspraak
Bron :
Justel 20100609-8
Rolnummer :
18/2010

Samenvatting

De Commissie brengt een positief advies uit over het ontwerp van wijziging van de Wet eHealth op voorwaarde dat rekening wordt gehouden met haar opmerkingen in de punten 11, 12 en 16.

Advies

De Commissie voor de bescherming van de persoonlijke levenssfeer;

Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 29;

Gelet op het verzoek om advies van de Minister van Sociale Zaken en Volksgezondheid ontvangen op 29/04/2010;

Gelet op het verslag van mevrouw Mireille Salmon;

Brengt op 9 juni 2010 het volgend advies uit:

I. ONDERWERP VAN DE ADVIESAANVRAAG

1. Het is de bedoeling dat in de eerstvolgende programmawet een hoofdstuk wordt opgenomen waarmee in de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform (Wet eHealth) een nieuw artikel 8bis wordt ingevoegd. Deze ontwerpbepaling kent aan de beroepsbeoefenaars in de gezondheidszorg het recht toe om in het dossier van hun patiënten, het identificatienummer van het Rijksregister en van de Kruispuntbank van de sociale zekerheid (Register bis) te bewaren en die nummers te gebruiken tijdens te medische gegevensuitwisselingen tussen beroepsbeoefenaars in de gezondheidszorg maar ook met andere instanties. Deze ontwerpbepaling is als volgt geformuleerd:

"Zorgverleners die persoonlijk betrokken zijn bij de uitvoering van diagnostische, preventieve of zorgverlenende handelingen ten opzichte van een patiënt, zijn gemachtigd, ter identificatie van de patiënt, het identificatienummer, bedoeld in artikel 8 van de Wet Kruispuntbank Sociale Zekerheid, te bewaren in desbetreffend dossier en te gebruiken bij de onderlinge uitwisseling met andere instanties die gemachtigd zijn het identificatienummer te gebruiken.

Indien de uitwisselingen vermeld in de eerste alinea van dit artikel op elektronische wijze worden uitgevoerd, dienen deze plaats te vinden hetzij met gebruik van de basisdiensten van het eHealth-platform, hetzij met gebruik van diensten, die vergelijkbare waarborgen inzake informatieveiligheid bieden en die onderworpen zijn aan de specifieke controle door het sectoraal comité van de sociale zekerheid en van de gezondheid".

2. Deze ontwerpbepaling is een antwoord op de vaststelling van het Sectoraal comité van het Rijksregister, namelijk dat in de huidige reglementering alleen de geneesheren die gebruik maken van de basisdiensten van het eHealth-platform wettelijk gemachtigd zijn om het identificatienummer van het Rijksregister te gebruiken en dit krachtens artikel 8 van de Wet eHealth en uitsluitend voor de uitwisseling van gegevens met het eHealth-platform (Beraadslaging RR nr. 77/2009 van 23 december 2009).

II. VOORAFGAANDE OPMERKING

3. De Commissie zal zich hier niet uitspreken over de verenigbaarheid met de privacywet van de geplande elektronische uitwisseling van medische gegevens met behulp van het rijksregisternummer maar wel over het gebruik van het rijksregisternummer in dit kader. Elke elektronische mededeling van medische gegevens moet gebeuren conform de privacywet en in onderhavig geval na machtiging van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid. Naast de getroffen maatregelen die ervoor moeten zorgen dat er voor de patiënt

Advies 18/2010 - 3/7

transparantie is op het ogenblik dat de zorgverlener voor de behandeling van hun patiënt medische gegevens uitwisselt met andere zorgverleners, moeten er bijkomende maatregelen worden getroffen zodat er kan worden gegarandeerd dat deze uitwisselingen enkel plaatsvinden tussen de zorgverleners die met de patiënt een therapeutische band hebben en dat het voorwerp zelf van de uitwisseling wordt beperkt tot die gegevens die noodzakelijk zijn voor de medische handeling die de gegevensuitwisseling rechtvaardigt. In de mate dat de beroepsbeoefenaars in de gezondheidszorg over een patiënt informatie uitwisselen in het kader van zijn behandeling en in die mate dat er dan sprake is van een gedeeld beroepsgeheim, moeten de uitgewisselde gegevens relevant en noodzakelijk zijn voor de concrete behandeling van de patiënt door de betrokken beroepsbeoefenaar in de gezondheidszorg en dus relevant en noodzakelijk voor de continuïteit van de zorgverlening1.

III. ONDERZOEK

4. Artikel 8 bis in ontwerp bevat een uitzondering op de machtigingsbevoegdheid van het Sectoraal comité van het Rijksregister dat, krachtens artikel 16, 1ste lid, 1° van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijk personen (WRR), belast is met de toekenning van machtigingen om het identificatienummer van het Rijksregister te gebruiken. Dit artikel bevat eveneens een uitzondering op artikel 8 van de WRR dat stelt dat alleen de overheden, de instellingen en de personen die zijn bepaald in artikel 5 van de WRR, aanspraak kunnen maken om het identificatienummer van het Rijksregister te gebruiken maar daarin worden de zorgverleners niet vermeld2.

5. Artikel 8, §1, 2de lid van de WRR voorziet reeds in de mogelijkheid om bij een in overlegd besluit van de Ministerraad af te wijken van het bevoegdheidsprincipe van het Sectoraal comité van het Rijksregister, omschreven in artikel 16, 1ste lid, 1° van de WRR. Over afwijkingen op het bevoegdheidsbeginsel van het Sectoraal comité van de Federale Overheid, liet de Commissie het volgende opmerken: "...de Commissie (stelt) toch vast dat, zoals voor elke uitzondering, zij wat betreft haar toepassingsgebied een restrictieve interpretatie aanhangt, a fortiori van zodra wanneer zij leidt tot een verschil in behandeling tussen het geheel van begunstigde of betrokken personen door voormeld artikel 36bis In voorkomend geval komt het toe aan de Koning om zijn intentie om beroep te doen op deze uitzondering op expliciete wijze te bepalen en te motiveren, met dien verstande dat de mogelijkheid om zich aldus vrij te stellen van de machtiging door voormeld sectoraal comité in niets de verplichting in de weg staat om de overige materiële bepalingen van de WVP te respecteren, en meer bepaald het artikel 4. Indien hiertoe aanleiding bestaat, kan het nut van een voorafgaande consultatie van de Commissie, voorafgaand aan de aanvaarding van dergelijk koninklijk besluit, worden overwogen"3.

Een wet in de formele betekenis van het woord kan dus afwijken van de machtigingsprocedure die door de WRR is opgelegd en een nieuwe categorie personen bepalen die gemachtigd is om het identificatienummer van het Rijksregister te gebruiken. De verplichtingen die de Commissie heeft omschreven inzake de beperkte interpretatie van de uitzonderingen op de machtigingsbevoegdheid van haar comités en inzake motivering zijn evenwel mutatis mutandis, van toepassing op het voorliggend voorontwerp van wet.

6. Volgens de informatie die de afgevaardigde ambtenaar verstrekte, wil de invoeging van een artikel 8bis in de Wet eHealth de beroepsbeoefenaars in de gezondheidszorg in staat stellen om de patiënt, over wie hij via elektronische weg medische gegevens uitwisselt, eenduidig te identificeren en hierdoor de kwaliteit van gezondheidszorg te verbeteren.

Het is moeilijk om deze doelstelling te verwezenlijken via de indiening van aparte machtigingsaanvragen bij het Sectoraal comité van het Rijksregister, die het comité bovendien niet ontvankelijk zou kunnen verklaren gelet op de huidige reglementering. De personen die gemachtigd zijn een machtigingaanvraag in te dienen om het identificatienummer van het Rijksregister te gebruiken worden limitatief opgesomd in artikel 5 van de WRR. Onder hen staan geen natuurlijke personen vermeld die handelen in de hoedanigheid van de beroepsbeoefenaar in de gezondheidszorgen4.

7. De Commissie besluit hieruit dat de afwijking van de bevoegdheid van het Sectoraal comité van het Rijksregister en van artikel 5 van de WRR in dit geval gerechtvaardigd is.

8. Wat nu het gebruik van het identificatienummer van het Rijksregister betreft dat zal gebruikt worden om patiënten te identificeren tijdens de uitwisseling van hen betreffende gegevens binnen een netwerk waarin diverse actoren uit de gezondheidssector deelnemen, verwijst de Commissie naar haar beschouwingen die zij over dit onderwerp formuleerde in haar advies 14/2008 van 2 april 2008 over het wetsontwerp houdende oprichting en organisatie van een eHealth-platform (considerans 51 tot 65). Op voorwaarde dat de uitgewisselde medische gegevens niet centraal geregistreerd worden en dat er waarborgen zijn tegen verboden koppeling en/of uitwisseling (voorafgaande machtiging van het Sectoraal comité, veiligheidsconsulent, beveiliging van de gegevensuitwisseling, geneesheer-inspecteur), staat de Commissie positief tegenover het gebruik van het identificatienummer van het Rijksregister als identificatiemiddel voor patiënten wier medische gegevens worden uitgewisseld.

9. Om nu in dit kader het gebruik van dit nummer correct af te bakenen, moeten de doeleinden waarvoor de uitwisseling plaatsvindt nauwkeurig omschreven worden; op dit ogenblik is daar in artikel 8bis in ontwerp geen sprake van.

10. Het doeleinde van een uitwisseling van patiëntengegevens tussen zorgverleners is gewoonlijk de uitvoering van diagnostische, preventieve of zorgverlenende handelingen ten behoeve van de patiënt die onder hun behandeling staat. Bij een multidisciplinaire behandeling van een patiënt is het evenwel gerechtvaardigd dat er tussen de zorgverleners die bij zijn behandeling betrokken zijn, relevante medische documenten van de patiënt worden uitgewisseld. Een dergelijke uitwisseling kan immers worden beschouwd als noodzakelijk voor medische preventie, medische diagnose of voor de administratie van de zorgverstrekking of behandeling van de patiënt die gebeurt onder toezicht van een beroepsbeoefenaar in de gezondheidszorg (art. 7 §2, k) WVP). Deze uitwisselingen kunnen eveneens dienen voor doeleinden van wetenschappelijke onderzoek mits de wettelijk, verplichte voorwaarden vervuld zijn.

11. Aangaande de andere uitwisselingen bedoeld in artikel 8 bis in ontwerp, nl. de uitwisselingen met andere instellingen die gemachtigd zijn het rijksregisternummer te gebruiken, stelt de Commissie de beoogde doeleinden in vraag. De norm van de bestaande voorafgaande machtiging voor het gebruik van het rijksregisternummer voor de ontvanger van de patiëntengegevens lijkt niet relevant te zijn hoewel dit een voorafgaande voorwaarde vormt voor de uitwisseling van gegevens indien dit nummer gebruikt wordt voor deze uitwisseling. Tot vandaag zijn er immers diverse instellingen gemachtigd het identificatienummer van het Rijksregister te gebruiken voor diverse doeleinden die niet noodzakelijk betrekking hebben op de gezondheidssector.

12. Daarom dringt de Commissie erop aan dat aan het artikel in ontwerp een alinea wordt toegevoegd waarin duidelijk wordt omschreven dat de uitwisselingen die worden vermeld in het 1ste lid uitgevoerd moeten worden in overeenstemming met artikel 5, en ingeval van uitwisseling van gezondheidsgegevens, met artikel 7 van de WVP.

13. Bovendien zou de redactionele kwaliteit van het artikel in ontwerp kunnen worden verbeterd door de woorden "bij de onderlinge uitwisseling van zijn persoonsgegevens" te vervangen door de woorden "bij de uitwisseling van diens gegevens" (1ste lid van artikel 8 bis in ontwerp).

14. Voor het 2de lid van artikel 8bis in ontwerp, stemt de Commissie ermee in dat het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid ermee worden belast om voorafgaandelijk de vergelijkbare waarborgen inzake informatieveiligheid van de elektronische flux van gezondheidsgegevens (codering, loggins, preventieve toegangscontrole,...) te verifiëren van iedere gegevensmededeling die via een ander dan het eHealth-platform voorbijkomt, wat in principe evenzeer onderworpen is aan de controle van dit Comité. Indien het de bedoeling is om het eHealth-platform te koppelen aan verschillende elektronische uitwisselingsplatformen waarlangs zorgverleners met elkaar medische documenten uitwisselen, is het noodzakelijk dat het gehele netwerk optimaal beveiligd wordt zodat een barst in de beveiliging van één van de netwerkleden niet de veiligheid van het hele netwerk zou bedreigen.

15. De Commissie vestigt de nadruk erop dat een afwijking van de machtigingsprocedure van het Sectoraal comité van het Rijksregister niet betekent dat de gerechtigde instellingen de andere bepalingen van de WRR niet zouden moeten naleven, zoals met name de artikelen 10 (art. 8, §2 van de WRR) en 11. Iedere verzorgingsinstelling die daadwerkelijk gebruik maakt van het identificatienummer, moet zodra het Comité erom verzoekt, de identiteit van zijn informatieveiligheidsconsulent meedelen. Het Comité kan eveneens eisen dat een beroepsbeoefenaar in de gezondheidszorg of een verzorgingsinstelling aantoont dat hij/zij voldoende maatregelen inzake informatieveiligheid heeft genomen.

16. Tot slot is het aangewezen dat artikel 8bis in ontwerp uitdrukkelijk de bewaartermijn van het identificatienummer van de patiënt in zijn dossier vermeldt, hetzij 30 jaar na het laatste contact van de zorgverlener met de patiënt en dit in navolging van de bewaartermijn van het medische dossier zoals dat werd vastgelegd in artikel 46 van de Code van de medische plichtenleer.

OM DIE REDENEN,

De Commissie brengt een positief advies uit over het ontwerp van wijziging van de Wet eHealth op voorwaarde dat rekening wordt gehouden met haar opmerkingen in de punten 11, 12 en 16.

Voor de Administrateur m.v., De Voorzitter,

(get.) Patrick Van Wouwe (get.) Willem Debeuckelaere