Portretrecht of van wie is de data?

No comments »
AUTHOR:
CTO Dell EMC Nederland
CATEGORIES:

Als iemand de opdracht krijgt een foto van u te maken, zijn er twee vormen van rechtsbescherming actief. Het auteursrecht beschermt de fotograaf omdat hij eigenaar van het beeldmateriaal is dat met zijn apparatuur is gemaakt. Maar binnen het auteursrecht bestaat ook het portretrecht. Dat geeft de gefotografeerde de bescherming en de beschikking wat er met zijn portret wordt gedaan.

Komt iemand ‘per ongeluk’ op een foto te staan, is er eveneens bescherming door het portretrecht. Staat u herkenbaar op de foto, dan mag u in sommige gevallen zondermeer publicatie hiervan verbieden. Het gekke van auteursrecht is dat dit recht vervreemd mag worden. De fotograaf kan bijvoorbeeld zijn recht verkopen aan een uitgeversorganisatie of stilzwijgend laten overgaan naar de werkgever van de fotograaf. Het portretrecht is echter puur persoonlijk en kan alleen door de persoon of de nabestaanden worden uitgeoefend.

Medische gegevens
Maar stel dat iemand niet een gewone foto laat nemen, maar een röntgenfoto of een MRI-scan. Je kunt stellen dat het een bijzondere vorm van portretrecht is, omdat het beelden zijn waar de persoon ‘herkenbaar’ op staat en het dus persoonlijke informatie is. Maar heeft de radioloog dan het auteursrecht op de foto of scan, zijn werkgever c.q. het ziekenhuis? Of uiteindelijk de huisarts?

Gegevens over iemands gezondheid zijn privacygevoelig. De Wet bescherming persoonsgegevens (Wbp) bepaalt dat dit zelfs bijzondere persoonsgegevens zijn. Organisaties mogen deze gegevens alleen gebruiken als aan bijzondere voorwaarden wordt voldaan. Het gaat dan niet alleen om medische gegevens die artsen vaststellen en vastleggen, maar om alle gegevens over iemands lichamelijke of geestelijke gezondheid. Daar vallen dus ook die röntgenfoto of MRI-scan onder.

Zorgverlener
Een zorgverlener mag medische gegevens niet aan anderen doorgeven. Als patiënt kun je erop rekenen, dat wat in vertrouwen aan een zorgverlener wordt verteld, geheim blijft. Alleen in uitzonderlijke situaties – zoals bij een rechtszaak in een geschil over medische fouten – kunnen medische gegevens aan derden worden verstrekt, bijvoorbeeld de verzekeraar van het ziekenhuis. Echter de patiënt blijft het recht houden te weten door wie er, wat met die gegevens is gedaan. Daar zijn diverse rechterlijke uitspraken over gedaan. Het recht op inzage is ruim en heeft betrekking op elke verwerking van medische gegevens, dus inclusief alle hierover in gevoerde correspondentie, in aantekeningen of (telefoon) notities, besprekingsverslagen, interne en externe adviezen zelfs met inbegrip van adviesaanvragen etc..

Uitzonderingen
Er kunnen gekke uitzonderingen zijn, waarbij medische informatie in eerste instantie niet met de patiënt wordt gedeeld. Ethische toetsingscommissies beschrijven stringent voor wat met informatie uit medisch onderzoek wel en niet mag worden gedaan. Stel dat bij een medisch onderzoek ‘toevallig’ als bijvangst uit een MRI-scan blijkt dat er een belangrijke afwijking bij een proefpersoon aanwezig is. Mag die informatie dan met de patiënt worden gedeeld? Of moet dat altijd via de huisarts lopen? Dat laatste lijkt een logische procedure mits de patiënt daarvoor vooraf akkoord heeft gegeven. Dit betekent dat een patiënt nooit direct zijn eigen foto of scan kan zien, maar alleen via de route van de huisarts.

Zo zijn er meer uitzonderingen te bedenken. Stel, de MRI-scan is gekoppeld met de cloud van de leverancier en dat is steeds vaker het geval. Vaak ook omdat dan met big data-analyses betere informatie kan worden gehaald uit de betreffende scan. Maar dat betekent dat persoonlijke medische informatie naar een onbekende plaats wordt gebracht en al snel uit het zicht raakt. Wordt deze informatie ook een onderdeel van alle verzamelde MRI-scans? Als dat gedepersonaliseerd is, is dat wellicht acceptabel, maar is dat ook altijd zo? Allemaal relevante vragen die bij het toenemende gebruik van cloud- en big data- toepassingen steeds betere en zuiverder antwoorden vragen.

Medische gegevens in de cloud mag
Medio dit jaar heeft de Autoriteit Persoonsgegevens in de ‘Praktijkgids Patiëntgegevens in de cloud’ de spelregels voor het online opslaan van patiëntendatabase beschreven. De regelgeving over de bescherming van persoonsgegevens en het beroepsgeheim staat toe dat zorgaanbieders patiëntgegevens laten verwerken door ‘een bewerker’.

Zorgaanbieders mogen patiëntgegevens dus ook – zonder toestemming van patiënten – opslaan in de cloud. Maar gaat het mis, dan kunnen zij een boete van 820.000 euro tegemoet zien. En vanaf mei 2018 wordt dat zelfs nog vele malen hoger en kan de boete oplopen tot tien miljoen of 4 procent van de omzet.

Sinds begin dit jaar zijn er door ziekenhuizen 304 datalekken gemeld. Een datalek is het verlies van privacygevoelige informatie. Uit diverse onderzoeken blijkt ook dat in ziekenhuizen medewerkers vaak slordig omgaan met inloggegevens. Daarnaast zijn verouderde software en apparatuur bij ziekenhuizen makkelijke doelwitten voor hackers. Soms zijn systemen zo oud, dat ze niet meer te updaten zijn.

Dus de inzet door ziekenhuizen van gespecialiseerde verwerkers voor patiëntgegevens kan bijdragen aan betere beveiliging van patiëntendata. Enerzijds omdat daar beveiliging een bijzondere focus zal hebben, mede omdat de verwerker hoge boetes riskeert als het fout gaat. En ziekenhuismedewerkers hebben soms belangrijkere zaken aan hun hoofd dan de optimale bescherming van patiëntendata.

Informatievoorziening is een vak
In het verleden deden we de informatievoorziening er vaak even bij. Maar tegenwoordig is de verlangde professionaliteit op dit gebied zo hoog geworden, dat het ‘uitbesteden’ aan gespecialiseerde servicebedrijven veel slimmer is. Ieder immers zijn vak. Het is ook steeds lastiger om de juiste wetgeving en jurisprudentie voor die informatie-omgeving solide in te richten, te borgen en te beveiligen.

Denk aan de groei van de online-mogelijkheden om patiënten thuis te kunnen volgen met hun digitale hulpmiddelen. Mag men de usb-stick van een patiënt met zijn eigen data in het ziekenhuis openen? Mag een patiënt zijn data uit zijn cloud niet even delen met zijn zorgverlener? En hoe zorgt een ziekenhuis dat de patiënt het wettelijke recht op inzage in zijn of haar medisch dossier kan uitoefenen? Terwijl de patiënt geen beroepsgeheim heeft voor zijn eigen data en op eigen risico dit kan delen met anderen?

Allemaal zaken die pleiten voor een professionele dienstverlening voor deze groeiende behoefte in het hart van onze privacywetgeving. Dat vraagt naast kennis en kunde ook veel certificering, garanties en ingebakken veiligheden. Het goed ontwerpen, inrichten en beheren van Persoonlijke Gezondheidsdossiers (PGD) is een vak dat een robuuste basis vraagt, die niet elk ziekenhuis kan en hoeft te leveren. Dat is het mooie van cloud computing, waarbij veel als dienst op afstand kan worden geleverd, terwijl de (kern)data op een vastgestelde plaats veilig en secure bewaard blijven.

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedIn

Leave a Reply

Your email address will not be published. Required fields are marked *