In een recente uitspraak tikt de rechtbank Rotterdam de Inspectie voor de Gezondheidszorg (IGZ) en het Landelijk Meldpunt Zorg (LMZ) op de vingers wegens het schenden van de Wet bescherming persoonsgegevens (Wbp).

De onderhavige zaak betreft een patiënt die een klacht heeft ingediend bij de IGZ over haar behandeling door een zorgverlener. Hoewel de klacht door de IGZ niet in behandeling is genomen, is het dossier over de klacht – inclusief persoonsgegevens waaronder gezondheidsgegevens van de patiënt – opgenomen in de registratiesystemen van IGZ en LMZ om daar gedurende tien jaar te worden bewaard. De patiënt had hiertegen bezwaar en verzocht verwijdering van het dossier uit de registratiesystemen. De rechtbank oordeelt dat dat verzoek ten onrechte door IGZ en LMZ is afgewezen.

Volgens de rechtbank is het voor het doel waarvoor het dossier wordt bewaard (waaronder behandeling van toekomstige meldingen over dezelfde zorgverlener), niet noodzakelijk om het dossier met persoonsgegevens gedurende tien jaar op twee locaties te bewaren. Deze handelwijze is volgens de rechtbank in strijd met artikel 11 Wbp, dat voorschrijft dat persoonsgegevens slechts mogen worden verwerkt indien deze ter zake dienend en niet bovenmatig zijn voor het verzameldoel. Daarbij merkt de rechtbank op dat verplichtingen van IGZ en LMZ die zouden voortvloeien uit de Archiefwet en beleidsregels buiten toepassing moeten blijven indien zij strijdig zijn met de Wbp.

Daarnaast is de patiënt in strijd met de informatieverplichting uit de Wbp (artikel 33) niet voorafgaand geïnformeerd over de bewaartermijn van het dossier en de doeleinden daarvan.

Bovenal is de verwerking van gezondheidsgegevens van de patiënt door IGZ en LMZ niet rechtmatig, zo oordeelt de rechtbank. Voor verwerking van gezondheidsgegevens gelden strikte regels (artikel 16, 21 en 23 Wbp) en mag slechts plaatsvinden indien (voor zover hier relevant) dit noodzakelijk is voor de uitvoering van wettelijke voorschriften die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de patiënt of indien de patiënt daartoe uitdrukkelijk toestemming heeft gegeven. Hiervan is in het onderhavige geval geen sprake.

De rechtbank concludeert dan ook dat de persoonsgegevens van de patiënt uit de registratiesystemen van de IGZ en LMZ verwijderd moeten worden.

Deze uitspraak onderstreept het belang om intern beleid ten aanzien van het bewaren van (persoons)gegevens nog eens tegen het licht te houden en te toetsen aan de regels van de Wbp en de Algemene Verordening Gegevensbescherming die op 25 mei 2018 in werking treedt. Wij assisteren u hierbij graag.