College Bescherming Persoonsgegevens
Persbericht
18 juni 2007
Te ruime toegang tot elektronisch patiëntendossier
Het College bescherming persoonsgegevens (CBP) is kritisch over het concept wetsvoorstel dat het Elektronisch patiëntendossier (EPD) regelt. De grootste zorg van de toezichthouder op de privacy betreft de voorstellen over de toegang tot het elektronisch dossier. In het wetsvoorstel maakt de behandelrelatie geen onderdeel uit van de autorisatieprocedure. Hierdoor zouden ook zorgverleners zonder behandelrelatie toegang tot het dossier hebben, waardoor het risico bestaat dat personen met een onrechtmatig doel medische gegevens inzien. "Het huidige voorstel leidt in feite tot wijd open dossierkasten", aldus Jannette Beuving, lid van het College bescherming persoonsgegevens. Volgens het CBP moeten uitsluitend zorgverleners die op dat moment bij de behandeling zijn betrokken, toegang krijgen tot het elektronisch dossier.
CBP benadrukt overigens dat in noodgevallen waarin nog geen behandelrelatie tussen arts en patiënt bestaat, toch toegang tot het dossier kan worden verleend. In zulke gevallen moet worden bijgehouden wie toegang heeft gevraagd zodat gericht toezicht achteraf mogelijk wordt. Het CBP heeft het ministerie van VWS in een eerder stadium de suggestie gedaan de technische mogelijkheden van adequate autorisatie te onderzoeken. Het ministerie is echter niet overgegaan tot het instellen van een dergelijk onderzoek.
Verder regelt het wetsvoorstel niet helder op welke wijze een patiënt verwerking van zijn gegevens in het elektronisch dossier kan voorkomen of stopzetten. De mogelijkheden voor 'opt-out' zijn in het wetsvoorstel versnipperd over vier bepalingen, hetgeen leidt tot verwarring. Het CBP adviseert de 'opt-out' regeling op te nemen in één wettelijke bepaling, die zo weinig mogelijk ruimte laat voor misverstanden.
Over het CBP
Het College bescherming persoonsgegevens (CBP) houdt -onder de Wet bescherming persoonsgegevens (WBP)- toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Bij het CBP moet het gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een vrijstelling geldt.
Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zonodig gevolgen verbinden. Voor in gebreke blijven bij de melding kan een boete worden opgelegd. Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP overgaan tot bestuursdwang of een dwangsom opleggen.
-----------------
Noot voor de redactie,
College Bescherming Persoonsgegevens