Rechtbank Midden-Nederland, 23-07-2014, ECLI:NL:RBMNE:2014:3097, C/16/340505 / HA ZA 13-205
Rechtbank Midden-Nederland, 23-07-2014, ECLI:NL:RBMNE:2014:3097, C/16/340505 / HA ZA 13-205
Gegevens
- Instantie
- Rechtbank Midden-Nederland
- Datum uitspraak
- 23 juli 2014
- Datum publicatie
- 23 juli 2014
- ECLI
- ECLI:NL:RBMNE:2014:3097
- Zaaknummer
- C/16/340505 / HA ZA 13-205
- Relevante informatie
- Wet bescherming persoonsgegevens [Tekst geldig vanaf 25-05-2018] [Regeling ingetrokken per 2018-05-25], Wet bescherming persoonsgegevens [Tekst geldig vanaf 25-05-2018] [Regeling ingetrokken per 2018-05-25] art. 6, Wet bescherming persoonsgegevens [Tekst geldig vanaf 25-05-2018] [Regeling ingetrokken per 2018-05-25] art. 7, Wet bescherming persoonsgegevens [Tekst geldig vanaf 25-05-2018] [Regeling ingetrokken per 2018-05-25] art. 9, Wet bescherming persoonsgegevens [Tekst geldig vanaf 25-05-2018] [Regeling ingetrokken per 2018-05-25] art. 13, Wet bescherming persoonsgegevens [Tekst geldig vanaf 25-05-2018] [Regeling ingetrokken per 2018-05-25] art. 16, Wet bescherming persoonsgegevens [Tekst geldig vanaf 25-05-2018] [Regeling ingetrokken per 2018-05-25] art. 21, Wet bescherming persoonsgegevens [Tekst geldig vanaf 25-05-2018] [Regeling ingetrokken per 2018-05-25] art. 23, Burgerlijk Wetboek Boek 7 [Tekst geldig vanaf 12-02-2025 tot 01-07-2025], Burgerlijk Wetboek Boek 7 [Tekst geldig vanaf 12-02-2025 tot 01-07-2025] art. 457, Wet op de beroepen in de individuele gezondheidszorg [Tekst geldig vanaf 01-01-2025], Wet op de beroepen in de individuele gezondheidszorg [Tekst geldig vanaf 01-01-2025] art. 88, Wetboek van Strafrecht [Tekst geldig vanaf 15-05-2025 tot 01-07-2025], Wetboek van Strafrecht [Tekst geldig vanaf 15-05-2025 tot 01-07-2025] art. 272
Inhoudsindicatie
De rechtbank heeft de vordering van de Vereniging van Praktijkhoudende Huisartsen (VPH) om de invoering en verdere ontwikkeling van een systeem voor het elektronisch uitwisselen van medische gegevens te verbieden, afgewezen. De rechtbank oordeelde dat de manier waarop het systeem is ingericht niet in strijd is met de wet bescherming persoonsgegevens.
Uitspraak
vonnis
Afdeling Civiel recht
handelskamer
locatie Utrecht
zaaknummer / rolnummer: C/16/340505 / HA ZA 13-205
Vonnis van 23 juli 2014
in de zaak van
1. de vereniging
VERENIGING PRAKTIJKHOUDENDE HUISARTSEN,
gevestigd te Amsterdam,
2. [eiser sub 2],
wonende te[woonplaats],
3.[eiser sub 3],
wonende te [woonplaats],
4. [eiser sub 4],
wonende te [woonplaats],
5. [eiser sub 5],
wonende te [woonplaats],
eisers,
advocaat mr. A.C. de Die,
tegen
de vereniging
VERENIGING VAN ZORGAANBIEDERS VOOR ZORGCOMMUNICATIE,
gevestigd te Utrecht,
gedaagde,
advocaat mr. H.H. de Vries en mr. M. Goudsmit.
Partijen zullen hierna VPH c.s. en VZVZ genoemd worden.
1 De procedure
Het verloop van de procedure blijkt uit:
- de dagvaarding met producties,
- de conclusie van antwoord met producties,
- de conclusie van repliek tevens houdende wijziging van eis, met producties,
- de conclusie van dupliek met producties,
- de akte van de zijde van VPH c.s. houdende aanvullende producties tevens akte opgave deskundige,
- de akte van de zijde van VZVZ houdende aanvullende producties tevens akte houdend bezwaar opgave deskundige,
- het pleidooi op 25 april 2014,
- de pleitnota van VPH c.s.,
- de pleitnota van VZVZ.
Mw. [A], in de dagvaarding vermeld als eisende partij sub 6, heeft zich voorafgaand aan het pleidooi teruggetrokken als eisende partij.
Ten slotte is vonnis bepaald.
2 De feiten
VPH is een vereniging van huisartsen en heeft als statutaire doelstelling (artikel 2 van de oprichtingsakte):
“- de belangen van praktijkhoudende huisartsen in heel Nederland te behartigen, zowel in financieel-economisch opzicht als in andere opzichten;
- de professionele autonomie van de huisartsen te bewaken en te ondersteunen.”
Eisers 2 tot en met 4 zijn huisartsen. Eiser 5 is patiënt/consument.
Na verwerping door de Eerste Kamer van het wetsvoorstel “Wet gebruik Burgerservicenummer in de zorg in verband met elektronische informatie-uitwisseling in de zorg” hebben de Landelijke Huisartsen Vereniging (LHV), de Vereniging Huisartsenposten Nederland (VHN), de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) en de Nederlands Vereniging van Ziekenhuizen (NVZ) besloten een doorstart te maken met de reeds ontwikkelde landelijke infrastructuur voor elektronische uitwisseling van medische persoonsgegevens. Zij hebben daartoe een “Doorstartmodel” (hierna: het Doorstartmodel) opgesteld en dit op 21 december 2011 ter advisering voorgelegd aan het College bescherming persoonsgegevens (Cbp)”. Het Doorstartmodel is gebaseerd op de bestaande infrastructuur voor de elektronische uitwisseling van medische persoonsgegevens gegevens, “AORTA-standaard”, die is ontwikkeld door het Nederlands Instituut voor ICT in de zorg (Nictiz). Deze infrastructuur wordt hierna aangeduid als de zorginfrastructuur.
VZVZ is opgericht met het doel om na de doorstart op te treden als “verantwoordelijke” in de zin van artikel 1 aanhef en onder d Wet bescherming persoonsgegevens (Wbp), dat wil zeggen dat VZVZ optreedt als de rechtspersoon die het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt. In artikel 3 van de statuten van VZVZ is daartoe als doelstelling opgenomen:
“het bevorderen van de gezondheidszorg door het optreden als verantwoordelijke in de zin van de Wbp voor de verwerking van (medische) persoonsgegevens in een landelijke verwijsindex ten behoeve van de uitwisseling van die gegevens. (...)”
Bij brief van 18 januari 2012 heeft het Cbp aan VZVZ (in deze brief aangeduid als VVZ) meegedeeld dat zij het Doorstartmodel voor de bestaande landelijke infrastructuur voor uitwisseling van medische gegevens (door het Cbp aangeduid als landelijk Elektronisch patiëntendossier, EPD) heeft bestudeerd waarbij zij de volgende aspecten heeft betrokken:
“- gaat het model uit van toestemming van de patiënt/burger voor de gegevensverwerking(en) conform de zienswijze van het CBP van 9 augustus 2011;
- is de verantwoordelijkheid voor de gegevensverwerking helder belegd;
- hoe kan de betrokkene straks zijn rechten ingevolge de Wbp effectueren;
- wordt de juiste (normering van de) informatiebeveiliging gehanteerd;
- is helder geregeld wie toegang krijgt tot het landelijk EPD;
- wat is de duur van de zogeheten transitiefase.”
De conclusie van het Cbp luidt dat zij op basis van het Doorstartmodel op het moment van beoordeling geen bijzondere risico’s op overtreding van de Wbp onderkent in verband met de verwerkingen die vanaf 1 januari 2012 onder verantwoordelijkheid van VZVZ plaatsvinden. Het Cbp wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en nog niets zegt over de praktijk.
Brancheorganisaties van zorgaanbieders, de Nederlandse Patiënten/Consumenten Federatie (NPCF), de brancheorganisatie Zorgverzekeraars Nederland (ZN) en Nictiz hebben afspraken gemaakt over de ontwikkeling en het gebruik van de zorginfrastructuur en deze vastgelegd in het “Convenant Gebruik Landelijke Zorginfrastructuur 2013-2016” (hierna: het Convenant). VZVZ heeft het Businessplan 2013-2016 (hierna: het Businessplan) vastgesteld. Het convenant is “oplegger” bij het Businessplan. In de preambule van het Convenant is opgenomen dat de convenantpartijen de volgende doelstellingen hebben:
“a. betere en veiliger zorg door gegevens beschikbaar te hebben voor de waarneming en medebehandeling en voor het uitvoeren van de richtlijn overdracht van medicatiegegevens en door het doorvoeren van gemeenschappelijke standaarden voor registratie en uitwisseling van medische gegevens;
b. het bevorderen van doelmatigheid in de zorg door vermindering van administratieve lasten en overdrachtsproblemen;
c. het hiertoe in stand houden en verder ontwikkelen van een betrouwbare, werkbare en betaalbare infrastructuur;
d. het behouden van door zorg geleverde investeringen in de infrastructuur, in aanpassingen van hun systemen, in ingevoerde standaardisatie en ervaringen en knowhow;
e. meer betrokkenheid van patiënten bij hun eigen gezondheid en behandeling door:
- het vergroten van inzicht in en zeggenschap over de uitwisseling van medische gegevens
- toegang tot en communicatie over zijn medische gegevens
- het bieden van faciliteiten voor E-health en zelfmanagement toepassingen”
De zorginfrastructuur bestaat uit de volgende onderdelen:
- -
-
Landelijk Schakelpunt (LSP): faciliteert het berichtenverkeer tussen de zorgaanbieders, regelt de toegangscontroles van alle aangemelde patiëntendossiers, registreert waar patiëntengegevens opvraagbaar zijn, welke gegevens zijn opgevraagd en door wie dat is gedaan.
- -
-
Zorgserviceprovider (ZSP): aansluiting van zorgaanbieders op het LSP vindt plaats via zorgproviders. Dit zijn gekwalificeerde marktpartijen die een beveiligde verbinding aanbieden tussen het zorgsysteem van de zorgaanbieder en het LSP.
- -
-
Goed beheerd zorgsysteem (GBZ): dit is een gekwalificeerd zorginformatiesysteem van de zorgaanbieder dat aan procedurele en technische eisen moet voldoen om te mogen aansluiten op het LSP. De zorgaanbieder is eigenaar van het GBZ.
- -
-
Unieke Zorgverlener Identificatie (UZI): een pas waarmee de zorgaanbieder gegevens van de zorginfrastructuur kan opvragen. De UZI-pas bevat de elektronische identiteit van de pashouder via een certificaat waarop de naam en, indien van toepassing, de beroeps- of opleidingstitel, specialisme en een uniek tot de eigenaar herleidbaar UZI-nummer vermeld staan.
In een Bijlage B bij het Doorstartmodel is een toelichting gegeven op de beveiliging, security monitoring en de toetsing van toetsing van de behandelrelatie. Onder punt 1 in de bijlage is onder het kopje “Beveiliging in de Doorstart” vermeld:
“(...)
De Nederlandse normen voor informatiebeveiliging in de zorg, ook wel aangeduid als de ‘NEN-normen’ vormen de basis voor de maatregelen in het kader van informatiebeveiliging voor ieder onderdeel van AORTA. Het betreft de NEN 7510/7511 normen en de in de subnormen NEN 7512 en NEN 7513 vastgelegde normen. De gereviseerde NEN 7510-11 zal in een nieuwe release worden doorgevoerd zover van belang.
Vertrouwelijkheid
Binnen AORTA zijn diverse maatregelen getroffen die waarborgen dat patiëntgegevens vertrouwelijk blijven en niet toegankelijk worden voor onbevoegde partijen. In de eerste plaats waarborgt het landelijk schakelpunt door middel van de UZI-pas en andere beveiligingscertificaten van het UZI-register dat gegevens slechts kunnen worden opgevraagd of verstuurd vanuit gekwalificeerde zorgsystemen en enkel door personen waarvan de identiteit is vastgesteld en gevalideerd.
In de tweede plaats worden de gegevens die tussen een GBZ en het landelijk schakelpunt worden uitgewisseld tijdens het transport versleuteld. Zodoende kunnen onbevoegden de gegevens niet inzien of wijzigen. De beveiligingscertificaten die hiervoor nodig zijn worden uitgegeven door het UZI-register. Het netwerk van de ZSP is overigens een besloten netwerk en geen onderdeel van het internet.
Om patiëntgegevens te mogen aanmelden bij of opvragen via het landelijk schakelpunt dient een zorgaanbieder over de juiste toegangsrechten te beschikken. De concrete toegangsrechten van een zorgaanbieder hangen samen met de rolcode die is geregistreerd op de UZI-pas. Rolcodes komen overeen met beroepstitels in het BIG-register (zie de passage over het UZI-register in de bijlage).
Integriteit
Om ervoor te zorgen dat zorgaanbieders elkaar voorzien van volledige en correcte informatie, zijn binnen AORTA verschillende maatregelen getroffen. In de eerste plaats wordt tijdens het kwalificatietraject van een goed beheerd zorgsysteem (GBZ) getoetst of gegevens die worden verstuurd op de juiste wijze worden gecodeerd,
In de tweede plaats vindt ook tijdens de daadwerkelijke uitwisseling validatie plaats. Er wordt daarbij onderscheid gemaakt tussen twee situaties:
1. van gegevens die in het landelijk schakelpunt zelf worden verwerkt en opgeslagen (bijvoorbeeld verwijsindexgegevens) wordt gecontroleerd of het bericht correct is ontvangen;
2. van gegevens die door het landelijk schakelpunt slechts worden doorgestuurd naar een GBZ controleert het landelijk schakelpunt slechts de ‘envelop’ waarin de gegevens zijn verpakt.
Fouten die het landelijk schakelpunt constateert worden geregistreerd in de centrale logging, zodat passende maatregelen kunnen worden genomen.
Tijdens het transport word de integriteit van gegevens beschermd door het versleutelen van de verbinding, alsmede door versleuteling van enkele voor het bericht kenmerkende gegevens in het bericht zelf.
(...)
Toelichting op toetsing behandelrelatie
(...)
Het autorisatieproces
De autorisatie van zorgaanbieder met betrekking tot index- en patiëntgegevens verloopt in twee stappen:
1. in het goed beheerd zorgsysteem (GBZ) wordt getoetst of de zorgaanbieder een behandelrelatie heeft met de patiënt van wie hij gegevens wenst op te vragen;
2. de opvraging wordt getoetst aan het autorisatieprotocol. Hierin is, aan de hand van BIG-rolcodes, vastgelegd welke bevoegdheden de zorgaanbieder op grond van zijn zorginhoudelijke rol en functie heeft.
Toetsing behandelrelatie
De toegang tot de landelijke infrastructuur is uitsluitend voorbehouden aan zorgaanbieders die een behandelrelatie hebben met de betreffende patiënt. Voorafgaand aan het verlenen van toegang tot de verwijsindex en de patiëntgegevens wordt de behandelrelatie getoetst. Deze toetsing vindt decentraal plaats op het niveau van het GBZ. De eisen die ten aanzien van het toetsen van de behandelrelatie aan de GBZ applicatie worden gesteld zijn vastgelegd in het Programma van Eisen (PvE) GBZ. Deze eisen worden tijdens een kwalificatie getoetst.
De toetsing van de behandelrelatie verloopt in de hieronder genoemde stappen. De stappen a t/m c betreffen een technische toetsing. Een schematische weergave is opgenomen als bijlage.
A: Is de patiënt ingeschreven in het opvragend goed beheerd zorgsysteem (GBZ)?
Allereerst wordt nagegaan of de patiënt is ingeschreven in de patiëntenadministratie van de zorgaanbieder die patiëntgegevens wenst op te vragen. Voor dit doel wordt nagegaan of het burgerservicenummer van de patiënt voorkomt in deze administratie en of dit geverifieerd is.
Indien de patiënt niet is geregistreerd in het GBA wordt de toegang tot de landelijke infrastructuur geweigerd.
B1.: Heeft de beroepsbeoefenaar eerder patiëntgegevens van deze patiënt aangemeld bij het landelijk schakelpunt?.
Indien de beroepsbeoefenaar eerder patiëntgegevens van de patiënt heeft aangemeld, wordt hieruit op GBZ-niveau afgeleid dat er een behandelrelatie met deze patiënt bestaat. Vervolgens wordt nagegaan of de behandelrelatie nog steeds aanwezig is (zie B2). Indien geen sprake is van een eerdere aanmelding, wordt nagegaan of de behandelrelatie blijkt uit de werkcontext (zie onder C).
B2: Is de behandelrelatie nog steeds aanwezig?
Om er zeker van te zijn dat de behandelrelatie nog steeds bestaat, wordt geverifieerd of de behandelrelatie niet inmiddels is verlopen of expliciet is beëindigd. Als dit niet het geval is, wordt de aanvraag doorgeleid naar het autorisatieprotocol. Hierin is voor ieder type beroepsbeoefenaar vastgelegd tot welke gegevens hij toegang krijgt en welke gebruikshandelingen hij mag verrichten. Indien de behandelrelatie inmiddels beëindigd is, wordt nagegaan of er sprake is van een nieuwe behandelrelatie die blijkt uit de werkcontext (zie onder C).
C: blijkt de behandelrelatie met de beroepsbeoefenaar uit de werkcontext?
Indien de opvragende beroepsbeoefenaar niet eerder patiëntgegevens van de patiënt heeft aangemeld bij het landelijk schakelpunt (Zie B1) kan de behandelrelatie in bepaalde gevallen worden afgeleid uit de context waarin de aanvraag is gedaan. Dit is het geval wanneer:
- in het GBZ, bijvoorbeeld in het ziekenhuis, is geregistreerd dat de betreffende patiënt een afspraak heeft met een specifieke arts of specialist;
- de apotheker een recept heeft ontvangen van de huisarts;
- een verwijzing naar de zorgaanbieder is geregistreerd;
- de patiënt in het kader van een verzoek van de zorgaanbieder tot het verrichten van onderzoek is geregistreerd in het systeem van een laborant;
- de zorgaanbieder een dossier voert over de betreffende patiënt.
D: De beroepsbeoefenaar dient de behandelrelatie en de toestemming van de patiënt expliciet te bevestigen.
Indien de behandelrelatie niet blijkt uit de werkcontext dan wel de stappen onder B, dient de beroepsbeoefenaar de behandelrelatie expliciet te bevestigen. Deze bevestiging geschiedt via een bevestigingsscherm. Indien deze bevestiging wordt gegeven, wordt de opvraging doorgeleid naar het autorisatieprotocol. Indien deze bevestiging uitblijft, wordt de toegang geweigerd.
Op dit moment zijn via het LSP de toepassingen “Huisartsenwaarneemgegevens” en “medicatiegegevens” beschikbaar. Huisartsenpraktijken, huisartsenposten, apotheken en ziekenhuizen kunnen voor het gebruik van bovenstaande toepassingen aansluiten op de zorginfrastructuur. Andere typen zorgaanbieders kunnen nog geen gebruik maken van het LSP. Huisartsen kunnen aan het LSP melden dat zij huisartsenzorg aan een patiënt verlenen. Waarnemers kunnen de professionele samenvatting opvragen
De vaste huisarts wordt via een ‘waarneembericht’ geïnformeerd over de zorg die de patiënt heeft ontvangen. De apotheek en apotheekhoudende huisarts kunnen aan het LSP melden dat zij medicatie aan een patiënt hebben verstrekt. Collega-zorgaanbieders (apothekers, huisartsen en medisch specialisten) kunnen vervolgens opvragen welke medicatie aan een patiënt is verstrekt.
VZVZ heeft een formulier (hierna: het Toestemmingformulier) ontwikkeld waarmee patiënten toestemming kunnen geven voor het elektronisch uitwisselen van medische gegevens:
Dit formulier bevat de volgende keuzemogelijkheden:
“Ik geef toestemming aan onderstaande zorgverlener om mijn gegevens beschikbaar te stellen voor raadpleging door andere zorgverleners zoals in de brochure ‘Uw medische gegevens elektronisch delen?’ is aangegeven.”, of de tekst:
“Ik geef geen toestemming aan onderstaande zorgverlener om mijn gegevens beschikbaar te stellen voor raadpleging door andere zorgverleners zoals in de brochure ‘Uw medische gegevens elektronisch delen?’ is aangegeven.”
Boven deze teksten kan “ja” of “nee” worden aangekruist.
In de brochure “Uw medische gegevens elektronisch delen?” (hierna: de Brochure) is het volgende vermeld:
“(...)
Zo werkt de zorginfrastructuur
Uw huisarts en apotheek houden ieder een eigen dossier bij over u. Hierin staat informatie die van belang is voor uw behandeling. Zo legt uw huisarts bijvoorbeeld vast wat uw klachten zijn en welke behandelingen u krijgt. En uw apotheker vermeldt in uw dossier welke medicijnen hij u verstrekt heeft en of u allergisch bent voor bepaalde medicijnen.
Als u toestemming hebt gegeven aan uw huisarts en apotheek dan mogen zij uw belangrijkste medische gegevens beschikbaar stellen aan andere zorgverleners. Bijvoorbeeld een waarnemend huisarts van de huisartsenpost, andere apotheek of een medisch specialist. Als u naar een andere zorgverlener gaat, dan kan deze uw gegevens raadplegen.
Zorgverleners kunnen gegevens elektronisch raadplegen via een netwerk dat hiervoor speciaal is gemaakt: de zorginfrastructuur. Dit is een beveiligd netwerk waarop huisartsen, apotheken, huisartsenposten en medisch specialisten in Nederland hun computersystemen kunnen aansluiten.
Als uw huisarts of apotheek is aangesloten op het netwerk, dan vraagt hij uw toestemming voor de uitwisseling van uw gegevens. Als u toestemming geeft, zal hij uw Burgerservicenummer (BSN) aanmelden bij het netwerk. Als een zorgverlener dan uw gegevens opvraagt, wordt met behulp van uw BSN opgezocht wie gegevens over u hebben aangemeld. Die zorgverlener kan vervolgens uw belangrijkste gegevens inzien. Dat kan alleen als u toestemming hebt gegeven en als het nodig is voor uw behandeling.
In het netwerk staat alleen uw BSN en welke huisarts en apotheek gegevens over u beschikbaar hebben. Uw medische gegevens worden dus niet opgeslagen in het netwerk. Ze blijven in de computer van uw eigen huisarts en apotheek. Andere zorgverleners kunnen alleen de belangrijkste informatie uit uw dossier inzien. Uw huisarts of apotheek houdt uw dossier bij. Zo zijn steeds de laatste gegevens over uw gezondheid beschikbaar en kunt u onjuistheden laten herstellen
(...)
Alleen huisartsen, waarnemend huisartsen (huisartsenposten), apothekers, ziekenhuisapothekers en medisch specialisten kunnen nu aansluiten op de zorginfrastructuur. Alleen deze zorgverleners kunnen dus uw belangrijkste medische gegevens inzien
(...)
Zorgverleners die aangesloten zijn op de zorginfrastructuur kunnen uw persoonlijke gegevens zien, zoals uw naam, adres, geboortedatum, leeftijd en geslacht. Ze kunnen ook een overzicht zien van de medicijnen die u gebruikt. Een waarnemend huisarts kan ook een samenvatting van het huisartsdossier opvragen. Daarin staan:
uw huidige gezondheidsproblemen
welke medicijnen u gebruikt
bekende allergieën
informatie over contacten met u in de laatste vier maanden of over de laatste vijf contacten;
bijzonderheden die belangrijk zijn voor een waarnemend arts
(...)”
3 Het geschil
VPH c.s. vordert, na wijziging van eis, dat de rechtbank bij uitvoerbaar bij voorraad verklaard vonnis
Primair
1. voor recht verklaart dat VZVZ als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens onrechtmatig jegens eisers handelt, door een infrastructuur voor elektronische uitwisseling van medische persoonsgegevens in de zorg in te voeren, die reeds op zichzelf en/of in de toepassing ervan strijd oplevert met artikel 8 EVRM, de Wet bescherming persoonsgegevens, de bepalingen omtrent de geneeskundige behandelingsovereenkomst in het BW (boek 7 titel 7 afdeling 5 BW) en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgaanbieders en/of
2. VZVZ gebiedt uitvoering van de Convenantafspraken en het Businessplan gericht op het invoeren en in stand houden van een infrastructuur voor elektronische uitwisseling van medische persoonsgegevens in de zorg in te voeren, die reeds op zichzelf en/of in de toepassing ervan strijd oplevert met artikel 8 EVRM, de Wet bescherming persoonsgegevens, de bepalingen omtrent de geneeskundige behandelingsovereenkomst in het BW (boek 7 titel 7 afdeling 5 BW) en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgaanbieders te staken op straffe van een dwangsom van € 2.500,00 per dag voor iedere dag dat VZVZ niet aan de veroordeling voldoet;
Subsidiair
3. VZVZ op grond van onrechtmatige daad jegens eisers veroordeelt tot het onmiddellijk staken en gestaakt houden van alle handelingen gericht op het uitwisselen van patiëntengegevens via het landelijk Schakelpunt of enige andere ICT-toepassing die reeds op zichzelf en/of in de toepassing ervan strijd oplevert met artikel 8 EVRM, de Wet bescherming persoonsgegevens, de bepalingen omtrent de geneeskundige behandelingsovereenkomst in het BW (boek 7 titel 7 afdeling 5 BW) en/of zich niet verdraagt met de geheimhoudingsverplichtingen van zorgaanbieders
Meer subsidiair:
4. voor recht verklaart dat de reeds verkregen en binnen de huidige werkwijze nog te verkrijgen toestemmingen van patiënten onvoldoende grondslag vormen voor een rechtmatige uitwisseling van op hun gezondheid betrekking hebbende gegevens.
Meer meer subsidiair:
5. VZVZ gebiedt de voorbereiding, invoering en uitvoering van de huidige infrastructuur met onmiddellijke ingang te staken en gestaakt te houden totdat in plaats van de huidige infrastructuur is voorzien in een systeem van elektronische uitwisseling van patiëntengegevens tussen zorgaanbieders onderling op zodanige wijze dat ten minste voldaan is aan de volgende voorwaarden:
- het verkrijgen van uitdrukkelijke toestemming van betrokkene zoals bedoeld in artikel 23 lid 1 onder a Wbp en artikel 7:457 lid 1 BW,
- de zorgaanbieder uit wiens patiëntendossier gegevens kunnen worden opgevraagd kan beoordelen of de gevraagde gegevens relevant en passend zijn voor het doel van de opvraging,
- de zorgaanbieder uit wiens patiëntendossier gegevens worden opgevraagd voorafgaand hieraan kan bepalen welke zorgaanbieder geautoriseerd zijn, en
- de zorgaanbieder uit wiens patiëntendossier gegevens worden opgevraagd zelfstandig kan controleren of de opvraging authentiek is (integriteit, authenticiteit), of deze plaatsvindt door een geautoriseerde partij (autorisatie) en dat géén ander dan de opvragende en geautoriseerde partij de opgevraagde medisch-inhoudelijke gegevens kan inzien (vertrouwelijkheid).
Nog meer subsidiair
6. VZVZ gebiedt de voorbereiding, invoering en uitvoering van de huidige infrastructuur met onmiddellijke ingang te staken en gestaakt te houden totdat in plaats van de huidige infrastructuur is voorzien in een afdoende veilig systeem van elektronische uitwisseling van patiëntengegevens tussen zorgaanbieders onderling, waarbij de toegangscontrole tot gegevens volledig behouden blijft voor de zorgaanbieder uit wiens dossier de gegevens gegenereerd worden.
Primair, subsidiair en (nog) meer (meer) subsidiair:
VZVZ veroordeelt in de kosten van dit geding en voor het geval voldoening niet binnen veertien dagen na dagtekening van dit vonnis plaatsvindt, te vermeerderen met de wettelijke rente over de proceskosten vanaf veertien dagen na dagtekening van het vonnis tot aan de dag der algehele voldoening en met veroordeling van VZVZ in de nakosten van € 131,00 dan wel indien betekening plaatsvindt € 205,00
VPH c.s. legt aan haar vorderingen ten grondslag dat de wijze waarop medische gegevens door middel van de zorginfrastructuur worden uitgewisseld onverenigbaar is met het recht op privacy van patiënten op grond van artikel 8 EVRM en de bepalingen van de Wbp en het medisch beroepsgeheim van de huisartsen op grond van de artikelen 7:457 Burgerlijk Wetboek (BW), artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg (wet BIG) en artikel 272 van het Wetboek van Strafrecht (WvS) vanwege strijd met het in deze wettelijke bepalingen neergelegde uitgangspunt dat de hulpverlener slechts medische informatie deelt met anderen voor zover dat noodzakelijk is in het kader van goede zorgverlening. Invoering van de zorginfrastructuur is daarom onrechtmatig jegens VPH c.s.. Dit onrechtmatig handelen kan volgens VPH c.s. aan VZVZ worden toegerekend, omdat zij aanbieder is van de zorginfrastructuur, verantwoordelijke is in de zin van de Wbp en het feitelijk in haar macht heeft om ervoor te zorgen dat de elektronische informatie-uitwisseling wel plaatsvindt met in achtneming van de wettelijke regels omtrent privacy en het beroepsgeheim.
Ter onderbouwing van haar standpunt dat sprake is van strijd met de door haar genoemde privacy en geheimhoudingsbepalingen heeft VPH c.s. - kort samengevat en zakelijk weergegeven - de volgende bezwaren tegen de zorginfrastructuur aangevoerd:
- -
-
De in het Convenant in algemene bewoordingen geformuleerde doelstellingen voldoen niet aan de eis dat per geval van gegevensverwerking voorzien moet worden in een nauwkeurige en zorgvuldige doelomschrijving, waaruit blijkt waarom het doel, in verhouding tot het gekozen middel, gerechtvaardigd is. Door het ontbreken van een nauwkeurige doelomschrijving kan niet worden voldaan aan artikel 9 Wbp waarin is bepaald dat de persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (doelbinding).
- -
-
Niet is voldaan aan artikel 7 Wbp dat niet méér gegevens worden verstrekt dan strikt genomen noodzakelijk is voor het doel waarvoor de informatie wordt gevraagd (het proportionaliteitsbeginsel).
- -
-
Niet is voldaan aan het vereiste van artikel 23 Wbp dat voor verwerking van medische gegevens uitdrukkelijk toestemming moet zijn gegeven. VPH c.s. stelt daartoe dat de toestemming niet is gebaseerd op de vrije wil van de betrokkene, aangezien de patiënt slechts de keuze wordt gelaten voor elektronische uitwisseling van gegevens via het LSP en niet voor een andere wijze. De verleende toestemming voldoet niet aan het vereiste dat deze voldoende specifiek dient te zijn. VPH c.s. stelt daartoe dat de toestemming niet ziet op verwerking van medische persoonsgegevens via het LSP, niet is toegespitst op de actuele zorgbehoefte van de patiënt en ziet op een situatie in de toekomst. Op het moment van toestemmingverlening kan de patiënt niet bekend zijn met de toekomstige gegevens in zijn dossier en bovendien geldt deze toestemming in beginsel ook voor alle mogelijke uitbreidingen van het LSP.
- -
-
Er is geen sprake van “informed consent”, nu de Brochure niet duidelijk maakt dat het gaat om deze brede en toekomstige werking. Verder is er geen waarborg ingebouwd om te kunnen verifiëren of de patiënt, alvorens hij toestemming geeft, de informatie heeft gelezen en heeft begrepen. VZVZ stimuleert deze gang van zaken door via de website het toestemmingsformulier ter beschikking te stellen.
- -
-
Het systeem dwingt de arts tot schending van zijn beroepsgeheim. Ook indien sprake zou zijn van uitdrukkelijke toestemming als bedoeld in artikel 23 Wbp staat artikel 9 lid 4 van de Wbp in de weg aan uitwisseling van medische gegevens via het LSP. Een eventuele doorbreking van het beroepsgeheim vergt een eigen afweging door de arts, maar het systeem ontneemt de arts de mogelijkheid om in het individuele geval een belangenafweging te maken.
- -
-
Het LSP in zijn huidige vorm kent onvoldoende waarborgen om zeker te stellen dat onbevoegde derden geen kennis (kunnen) nemen van medische persoonsgegevens. De belangrijkste technische bezwaren tegen het systeem zijn dat de informatie niet gedurende de gehele elektronische route is versleuteld (end-to-end versleuteling) en de verificatie van de beweerde identiteit van de opvragend behandelaar (end-to-end authenticatie). De NEN-normen waar het doorstartmodel aan is getoetst zijn niet voor een schakelpunt zoals het LSP bedoeld.
- -
-
De bouw en onderhoud van het LSP worden uitgevoerd door een Amerikaans bedrijf, CSC. Dit betekent dat de Amerikaanse overheid op grond van de Patriot Act in beginsel rechtstreeks informatie kan opvragen uit het LSP indien zij dat om redenen van veiligheid noodzakelijk acht.
Ter onderbouwing van haar standpunt verwijst VPH c.s. naar een advies van 18 februari 2010 dat G. van ’t Noordeinde, als onderzoeker security en privacy in gedistribueerde systemen werkzaam bij de Universiteit van Amsterdam heeft uitgebracht aan de Eerste Kamer in verband met het destijds aanhangige wetsvoorstel over het landelijk EPD.
VZVZ heeft als meest verstrekkende verweer gevoerd dat VPH c.s. niet ontvankelijk is in haar vorderingen. Zij voert daartoe aan dat niet is voldaan aan het vereiste dat het belang van VPH c.s. rechtsreeks is betrokken bij het vermeende onrechtmatig handelen van VZVZ. Voorts zijn de vorderingen volgens VZVZ naar hun aard niet toewijsbaar, omdat deze te vaag zijn geformuleerd en bij toewijzing mogelijk een ontwrichtende werking hebben.
Voor zover VPH c.s. wel ontvankelijk is in haar vorderingen dienen deze volgens VZVZ te worden afgewezen. Inhoudelijk betwist VZVZ dat invoering van het LSP leidt tot de door VPH c.s. gestelde normschendingen. VZVZ heeft daartoe de door VPH c.s. gestelde tekortkomingen van de zorginfrastructuur gemotiveerd betwist. Indien wel sprake zou zijn van deze normschendingen stelt VZVZ dat dit niet kan leiden tot toewijzing van de vorderingen omdat voor deze normschending een rechtvaardigingsgrond bestaat en/of de vermeende normschendingen niet aan VZVZ kunnen worden toegerekend.
Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.