AVG: waarnemers, detachering, zzp’er en de maatschap

Inleiding

In de voorgaande delen van deze serie is aandacht besteed aan de meest voorkomende organisatorische structuren en algemene regels. In dit deel zullen de complexere structuren en uitzonderingen worden besproken. Voor de andere delen kunt u hier klikken.

De standaard opzet voor het geven van zorg bestaat vaak uit een zorginstelling die artsen in dienst heeft. De patiënten zijn ingeschreven bij de zorginstelling en duidelijk is dat de zorginstelling wordt aangemerkt als verantwoordelijke. Toestemming is voorts niet vereist, omdat de behandelingsovereenkomst de grondslag is voor de verwerking. De arts heeft immers een verplichting om een dossier bij te houden.

Interessanter wordt het wanneer de zorginstelling gebruik maakt van een organisatie die specialisten ouderengeneeskunde (SO) detacheert waarbij zij hun dossiervoering bijhouden in het systeem van de detacheringsorganisatie en niet in het systeem van de zorginstelling. Wie is of zijn in dit geval de verantwoordelijke en verwerker? Een ander interessant voorbeeld is een zorginstelling die zijn gehele medische zorg uitbesteedt en alleen de verpleegkundige zorg in eigen beheer heeft.
Een aantal voorbeelden zullen worden uitgelicht:

1. De zorginstelling besteedt de medische zorg uit aan een maatschap.
2. De zorginstelling maakt gebruik van externe waarnemend artsen.
3. De zorginstelling maakt gebruik van een detacheringsorganisatie of een arts die als zelfstandige werkzaam is.

Allereerst zal de toepasselijke wet- en regelgeving worden besproken. Vervolgens wordt per voorbeeld onderzocht wie de verantwoordelijke en verwerker zijn.

Verantwoordelijke of verwerker?

In deel 3 van deze reeks zijn de begrippen verantwoordelijke en verwerker reeds behandeld.¹ Om te bepalen wie als verantwoordelijke wordt aangemerkt, wordt gekeken wie het doel en de middelen van de verwerking bepaalt.² Het belangrijkste aanknopingspunt is met wie de patiënt een geneeskundige behandelingsovereenkomst sluit. In de meeste gevallen zal dit met de zorginstelling zelf zijn. De zorginstelling bepaalt in dat geval op welke wijze en met welke middelen de medische zorg moet worden gegeven.

Wanneer bij het eerste voorbeeld is vastgesteld dat de zorginstelling wordt aangemerkt als verantwoordelijke, dient te worden onderzocht of de maatschap moet worden aangemerkt als verwerker, of dat zij ook als verantwoordelijke moet worden aangemerkt.

Om te bepalen of iemand als verwerker wordt aangemerkt moet diegene:

• voor de verantwoordelijke gegevens verwerken;
• buiten de organisatie van de verantwoordelijke werkzaam zijn en;
• er mag geen sprake zijn van een hiërarchische relatie.

Wanneer is toestemming vereist?

In deel 4 van deze reeks is reeds de inhoudelijke voorwaarde voor het geven van toestemming behandeld.³ Toestemming moet vrijelijk worden gegeven waarbij de betrokkene voldoende moet worden geïnformeerd over de gevolgen. In dit deel wordt alleen de toestemming op grond van de WGBO besproken. Naast de WGBO kan toestemming bijvoorbeeld worden vereist op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

WGBO

In de bovenstaande voorbeelden speelt de vraag of de behandelingsovereenkomst als grondslag kan dienen, of dat er sprake moet zijn van toestemming van de patiënt. De vraag die hierbij centraal staat, is de vraag of de externe partij (niet zijnde de zorginstelling) direct betrokken is bij de behandeling of dat zij valt onder het begrip anderen dan de zorgverlener in de zin van artikel 7:457 BW. In dat geval wordt toestemming verondersteld.

Het feit dat een arts optreedt als waarnemend arts betekent dientengevolge niet automatisch dat toestemming vereist is voor inzage in het medisch dossier. Afhankelijk van de aard van de gegevens en de aard van de werkzaamheden van de waarnemer, moet worden beoordeeld of toestemming vereist is. Zo wordt toestemming verondersteld voor gegevensverstrekking aan een specialist bij verwijzing door de huisarts.⁴ Niet alleen artsen zijn direct betrokken bij de behandeling. Arts-assistenten, coassistenten, verpleegkundigen, paramedische beroepsbeoefenaars, secretaresses, enzovoorts zijn voorts direct betrokken bij de behandeling. Voor de vraag of toestemming is vereist, is het niet van belang of er sprake is van een verantwoordelijke of van een verwerker.

Wanneer duidelijk is of de patiënt toestemming moet geven voor inzage in zijn dossier, dient vervolgens te worden bepaald welke gegevens mogen worden ingezien. Het gaat immers niet om een onbeperkt delen van het dossier.⁵ Alleen gegevens die noodzakelijk zijn voor de behandeling door de arts mogen worden ingezien.⁶ Dit is sterk casuïstisch en dient per geval te worden beoordeeld. Zo zal de arts die een gebroken been behandelt geen inzage nodig hebben in de psychiatrische gegevens van de patiënt. De vraag welk deel van het medisch dossier mag worden ingezien, dient bij alle voorbeelden afzonderlijk per geval worden te beoordeeld.

Beveiligingsmaatregelen

In het geval toestemming is vereist voor inzage in het dossier, rijst de vraag op welke wijze dit moet worden beveiligd. Is het voldoende dat men achteraf kan onderzoeken of een arts toestemming heeft gevraagd aan de patiënt, of moet het systeem dusdanig zijn ontworpen dat de arts altijd om toestemming moet vragen voordat het dossier kan worden ingezien?

Beide gevallen lijken te extreem. Zeker waar het betreft de situatie waar de patiënt medische hulp behoeft terwijl de eigen arts afwezig is, valt niet in te zien dat de patiënt voorafgaand aan inzage toestemming dient te vragen en te onderzoeken welke informatie relevant is voor de inzage en de behandeling.⁷ In noodgevallen dient de arts altijd inzage te kunnen krijgen in het dossier. Dit betekent echter niet dat een passieve controle op inzage voldoende is. Gestreefd dient te worden naar de hoogst mogelijke beveiliging, maar er is geen verplichting om steeds de allerzwaarste beveiliging te nemen.⁸

Praktisch kan men een systeem ontwikkelen waarin de waarnemende arts toegang heeft tot alle dossiers van de instelling. In het geval inzage wordt verzocht in een dossier van een afdeling waar de arts niet is ingesteld als waarnemer, kan bijvoorbeeld een bericht van deze inzage naar de applicatiebeheerder worden gestuurd. Hierdoor heeft de waarnemer inzage en is er actieve controle.

De maatschap

De maatschap is een samenwerkingsverband zonder rechtspersoonlijkheid en staat buiten de zorginstelling, het is immers geen aparte afdeling binnen de zorginstelling.

Verantwoordelijke of verwerker?

Om te bepalen dat de maatschap wordt aangemerkt als verantwoordelijke, dient zij gegevens te verwerken voor haar eigen doel of met haar eigen middelen. Het feit dat zij wellicht een eigen systeem gebruikt voor het verwerken van medische gegevens, is echter niet doorslaggevend. Ook verwerkers kunnen immers software gebruiken die zij in eigen beheer hebben, maar dit betekent niet dat zij automatisch als verantwoordelijke worden aangemerkt. Gekeken dient te worden naar de aard van haar werkzaamheden en de aard van de relatie tussen de maatschap en de zorginstelling.

In het geval de zorginstelling de medische zorg volledig uit handen geeft aan de maatschap, bepaalt de maatschap het doel van de verwerking. Zij bepaalt in dat geval op welke wijze de medische zorg moet worden gegeven en heeft daarin de vrijheid. Is de maatschap slechts aanwezig ter ondersteuning van de artsen in de zorginstelling, dan bepaalt zij echter niet het doel. In dat geval wordt zij geacht de procedures en richtlijnen van de zorginstelling op te volgen.

In het eerste voorbeeld (volledige uitbesteding van de medische zorg) zal de maatschap dientengevolge worden aangemerkt als verantwoordelijke.⁹ In het geval de maatschap het dossier bijhoudt in het systeem van de zorginstelling, faciliteert de zorginstelling het medisch dossier. Dientengevolge kan de zorginstelling voor de medische zorg worden aangemerkt als verwerker. Voor het verlenen van niet-medische zorg, zoals het laten wassen en verschonen door een verpleegkundige, wordt de zorginstelling aangemerkt als verantwoordelijke. De zorginstelling heeft in dit voorbeeld een dualistische rol, namelijk als verantwoordelijke en als verwerker.

Het kan gecompliceerd worden wanneer de gegevens die door de verpleegkundigen worden verzameld tijdens het verzorgen van de patiënten worden bijgehouden in hetzelfde systeem als waar het medische dossier wordt bijgehouden. In dit systeem zit in dat geval gegevens van de verantwoordelijke maatschap (medische gegevens) en gegevens van de zorginstelling als verwerker (gegevens omtrent zorg). Wanneer er geen scheiding is in het beheer van dit systeem, kan er sprake zijn van gezamenlijke verantwoordelijkheid.

Toestemming vereist?

De maatschap levert artsen aan de zorginstelling voor het leveren van medische zorg. De maatschap is verantwoordelijk voor de gehele medische zorg en daarmee ook verplicht om een dossier aan te leggen.¹⁰ Deze artsen zijn vanzelfsprekend direct betrokken bij de behandeling van de patiënt en dienen derhalve inzage te hebben in het dossier. Afhankelijk van de aard van de behandeling en de aard van de gegevens, moet worden bepaald of zij inzage hebben in het gehele dossier of dat zij bijvoorbeeld geen inzage hebben in de psychiatrische gegevens.

De extern waarnemend arts

De waarnemend arts is beschikbaar in het geval de eigen arts niet aanwezig is. Dit gebeurt vaak in de avonduren en in het weekend. Zo zal de eigen huisarts niet 24 uur per dag beschikbaar zijn en dient de patiënt in dergelijke gevallen de huisartsenpost te bezoeken.

Verantwoordelijke of verwerker?

In veel gevallen zal de extern waarnemend arts onder direct toezicht van de zorginstelling vallen. De arts dient de procedures en regels van de zorginstelling op te volgen en bepaalt zelf niet het doel van de verwerking. Hij verwerkt de medische gegevens van de patiënt in het systeem van de zorginstelling. De arts wordt derhalve niet aangemerkt als verantwoordelijke of verwerker, omdat er sprake is van een hiërarchische relatie. Dit is anders vergeleken met de maatschap in het vorige voorbeeld, waarbij de maatschap als zelfstandige entiteit wordt aangemerkt en zelf bepaalt op welke wijze de medische zorg moet worden verleend.

In sommige gevallen zal de extern waarnemend arts medische gegevens verwerken in een eigen systeem, dat los staat van het systeem van de zorginstelling. Dit geval zal in het volgende voorbeeld worden besproken.

Toestemming vereist?

In de WGBO is expliciet opgenomen dat de vervanger van de hulpverlener (waarnemend arts) direct betrokken is bij de behandeling.¹¹

De zelfstandige arts/detachering

De zzp’er werkt vaak ter ondersteuning van de artsen in de zorginstelling. Ook kan de zzp’er als (extern) waarnemer optreden. Dit is reeds in het vorige voorbeeld behandeld. De zzp’er werkt vaak in het systeem van de zorginstelling, maar kan ook zijn eigen systeem hebben om medische gegevens in op te slaan.
Voorts kan het voorkomen dat een of meerdere artsen zijn gedetacheerd bij een zorginstelling. De gedetacheerde arts wordt in dit voorbeeld hetzelfde gezien als de zzp’er.

Verantwoordelijke of verwerker?

Net als bij de extern waarnemend arts, werkt de zzp’er onder toezicht van de zorginstelling. Hij dient de procedures en regels van de zorginstelling op te volgen en bepaalt zelf niet het doel van de verwerking. De zzp’er wordt in dit geval niet aangemerkt als verantwoordelijke. Hij wordt voorts niet aangemerkt als verwerker, omdat er sprake is van een hiërarchische relatie. Hij wordt jegens de patiënt gezien als een medewerker van de zorginstelling.

Als de zzp’er (of groep gedetacheerde artsen) een eigen systeem beheert waarin hij (delen van) het medisch dossier verwerkt, kan het anders liggen. In dat geval is hij meer vergelijkbaar met de reeds behandelde maatschap. Er is echter geen eenduidig antwoord op de vraag of hij in dergelijke gevallen moet worden aangemerkt als verantwoordelijke, verwerker of geen van beide. Dit hangt sterk samen met de omstandigheden van het geval. Onderzocht dient te worden of de zzp’er zelf het doel van de verwerking kan en mag bepalen. Wordt de zzp’er aangemerkt als zorgaanbieder, dan rusten op hem diverse verplichtingen, waaronder tariefregulering, administratievereisten en declaratie- en betalingsverkeer.¹² Dit duidt erop dat de zzp’er als separate zorgaanbieder moet worden aangemerkt als verantwoordelijke, met alle verplichtingen van dien.¹³

Toestemming vereist?

De zzp’er is direct betrokken bij de behandeling, omdat hij deel uitmaakt van het vaste behandelteam van de zorginstelling. Toestemming op grond van de WGBO wordt verondersteld.

Conclusie

In het geval de medische zorg volledig wordt uitbesteed aan een maatschap, dan wordt zij aangemerkt als verantwoordelijke in de zin van de AVG. Op grond van de WGBO is geen toestemming van de patiënt vereist.

In het geval de extern waarnemend arts en de zzp’er niet als afzonderlijke zorgaanbieder worden aangemerkt en zij dienen de instructies van de zorginstelling op te volgen, dan is er sprake van een hiërarchische relatie met de zorginstelling. Deze worden dan ook niet aangemerkt als verantwoordelijke of verwerker. Op grond van de WGBO is geen toestemming vereist voor inzage in het dossier.

1. https://www.Gerimedica.nl/verwerkingsverantwoordelijke-verwerker-en-verwerkingsovereenkomst/.
2. Artikel 4 sub 7 AVG.
3. https://www.Gerimedica.nl/grondslag-verwerking-persoonsgegevens-gezondheidszorg.
4. H.J.J. Leenen et al., Handboek Gezondheidsrecht, Den Haag: Boom Juridisch 2017, p. 152.
5. H.J.J. Leenen et al., Handboek Gezondheidsrecht, Den Haag: Boom Juridisch 2017, p. 152 – 153.
6. Kamerstukken II 1989/90, 21561, nr. 3, p. 39.
7. Grechtshof Arnhem-Leeuwarden, 08-03-2016, ECLI:NL:GHARL:2016:1697, r.o. 4.10.
8. Grechtshof Arnhem-Leeuwarden, 08-03-2016, ECLI:NL:GHARL:2016:1697, r.o. 4.17.
9. Artikel 29 Werkgroep, Advies 1/2010, “over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’”, WP 169 , p. 22.
10. Artikel 7:454 BW.
11. Artikel 7:457 lid 2 BW.
12. Artikel 35 – 37 Wet marktordening gezondheidszorg.
13. Zie bijvoorbeeld deel 10 van deze serie over de administratieve verplichtingen onder de AVG.