...

Voor een ziekenhuisarts die gebruik maakt van een elektronisch patiëntendossier in het ziekenhuis is het onderscheid tussen verwerkingsverantwoordelijke of bewerker niet onbelangrijk. Op een verwerkingsverantwoordelijke rusten een aantal plichten waarvan de niet-naleving kan leiden tot hoge boetes (tot 20 miljoen euro of voor een onderneming tot 4% van de jaaromzet). Recent zijn trouwens reeds vrij hoge boetes opgelegd voor een Nederlands ziekenhuis waar artsen te makkelijk een medisch dossier van een bekende Nederlander konden raadplegen (460.000 euro) en voor een Portugees ziekenhuis waar er geen goede toegangsrechten tot medische dossiers waren (400.000 euro). Een verwerkingsverantwoordelijke is een natuurlijke persoon of een rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Een bewerker daarentegen is iemand die onder het gezag van de verwerkingsverantwoordelijke handelt en toegang heeft tot persoonsgegevens, en deze uitsluitend verwerkt in opdracht van de verwerkingsverantwoordelijke, tenzij hij door de wetgeving tot verwerking gehouden is. Indien een zelfstandige ziekenhuisarts samen met het ziekenhuis de doeleinden en middelen van de verwerking bepaalt, treden ziekenhuisarts en ziekenhuis op als gezamenlijke verwerkingsverantwoordelijken. Het is dan belangrijk dat deze gezamenlijke verwerkingsverantwoordelijken in een onderlinge regeling de verantwoordelijkheden voor de naleving van de GDPR-verplichtingen vastleggen. Die regeling moet ook aan de patiënten worden meegedeeld. Niet-naleving van deze verplichtingen kan leiden tot een (hoge) boete.In sommige ziekenhuizen is er duidelijk voor geopteerd om enkel het ziekenhuis als verwerkingsverantwoordelijke te beschouwen. In andere ziekenhuizen treden ziekenhuis én ziekenhuisartsen op als gezamenlijke verwerkingsverantwoordelijken. Het valt af te wachten of op termijn, wanneer ook ziekenhuisnetwerken de doeleinden en middelen van de verwerking zullen bepalen, ze dan als enige verwerkingsverantwoordelijke zullen optreden, dan wel samen met de ziekenhuis(netwerk)artsen als gezamenlijke verwerkingsverantwoordelijke.Bij het uitvoeren van klinische studies in opdracht van farmaceutische firma's, worden tal van persoonsgegevens verwerkt. De arts-onderzoeker speelt daarbij een belangrijke rol. De gezondheidsgegevens van de proefpersoon komen in het elektronisch patiëntendossier terecht. Die gegevens worden in gecodeerde vorm ook verwerkt door de farmaceutische firma, de sponsor. Voor de zelfstandige ziekenhuisarts-onderzoeker in een niet-universitair centrum is het van belang na te gaan wat zijn rol is: is hij samen met het ziekenhuis een gezamenlijke verwerkingsverantwoordelijke? Is hij samen met het ziekenhuis én de sponsor een gezamenlijke verwerkingsverantwoordelijke? Of vormen sponsor enerzijds en ziekenhuis/ziekenhuisarts anderzijds aparte verwerkingsverantwoordelijken die op basis van afspraken persoonsgegevens doorgeven. Het antwoord op deze vragen kan geval per geval verschillen en leiden tot verschillende afspraken die de betrokken actoren moeten vastleggen.Ziekenhuisartsen kunnen in toenemende mate patiënten opvolgen op afstand. Dit is de zogenaamde remote monitoring die reeds bij cardiologen gekend is. Van patiënten die een pacemaker ingeplant krijgen, kunnen via een gegevensplatform - vaak nog in handen van de fabrikant/verdeler van de pacemaker - continu persoonsgegevens aan de cardioloog worden overgemaakt. Ook hier is het van belang na te gaan wat de rol is van het gegevensplatform/de firma, het ziekenhuis en de zelfstandige ziekenhuisarts-cardioloog. Is het gegevensplatform/de firma louter een verwerker die gegevens verwerkt ten behoeve van de ziekenhuisarts en het ziekenhuis? Of treedt het platform/de firma ook op als verwerkingsverantwoordelijke, en eventueel als een gezamenlijke verwerkingsverantwoordelijke met het ziekenhuis en de (zelfstandige) cardioloog? Welk scenario ook wordt toegepast, het is van belang dat er duidelijke afspraken worden gemaakt tussen de verschillende actoren en dat die afspraken transparant aan de patiënten worden meegedeeld.Het is mogelijk dat een ziekenhuisarts van zijn ziekenhuis de toelating krijgt om in de privépraktijk gebruik te maken van de ziekenhuissoftware voor de opmaak van het elektronisch patiëntendossier in de privépraktijk. Ook in dit geval is het van belang dat er duidelijkheid komt over de rol van ziekenhuis en ziekenhuisarts. Zijn beiden (nog) gezamenlijke verwerkingsverantwoordelijken (wat een duidelijke onderlinge regeling veronderstelt die ook aan patiënten wordt meegedeeld), of zijn beiden aparte verwerkingsverantwoordelijken? Of vervult het ziekenhuis louter de rol van verwerker ten behoeve van de ziekenhuisarts die in de privépraktijk dan als verwerkingsverantwoordelijke optreedt? Dit zijn vragen waar in het licht van de GDPR ziekenhuisarts en ziekenhuis duidelijke, schriftelijke afspraken over moeten maken.