Bijzondere persoonsgegevens mogen alleen worden verwerkt op basis van een grondslag. Voor het verwerken van deze persoonsgegevens heb je volgens de Algemene verordening persoonsgegevens (AVG) nog een soort grondslag nodig.
Grondslag op grondslag?
Je hebt een geldige grondslag. Toch mag je medische gegevens niet verwerken. Hoe kan dat? Waar bij ‘gewone’ persoonsgegevens één geldige grondslag volstaat, is dat bij medische gegevens niet genoeg. De AVG legt voor medische gegevens de lat bewust hoger. Eén grondslag is niet genoeg: er is óók een uitzonderingsgrond nodig. Waarom werkt de AVG hier met een “grondslag op grondslag”?
Medische gegevens: extra gevoelig
Medische gegevens vallen onder de bijzondere categorieën van persoonsgegevens. De AVG gaat ervan uit dat deze gegevens, als ze in verkeerde handen vallen, grote gevolgen kunnen hebben voor iemands privacy. Als deze gegevens onjuist worden behandeld, kan dat van grote invloed zijn op de gezondheid, maar je kunt ook denken aan invloed op de positie op de arbeidsmarkt of toegang tot verzekeringen.
Voor dit soort bijzondere persoonsgegevens heeft de AVG een verwerkingsverbod geïntroduceerd. Kort gezegd: het verwerken van gegevens over de gezondheid is verboden. Verboden?! Ja verboden. Maar het recht zou het recht niet zijn, als daar een uitzondering voor is geregeld. Een ‘tenzij’. In artikel 9 worden deze uitzonderingen opgesomd.
Eerst artikel 6 AVG: waarom verwerk je (bijzondere) persoonsgegevens?
Elke verwerking van persoonsgegevens (bijzonder of niet) moet allereerst voldoen aan artikel 6 AVG. Dat artikel geeft de bekende grondslagen, zoals toestemming, uitvoering van een overeenkomst of een wettelijke verplichting. Artikel 6 beantwoordt de vraag: heb je überhaupt een rechtmatige reden om persoonsgegevens te verwerken?
Zo ja, dan mag je door naar de volgende stap. Zo niet? Dan mag de verwerking niet plaatsvinden.
Bijvoorbeeld: een patiënt is ingeschreven bij de huisarts en voert NAW-gegevens in voor het maken van een afspraak. Deze persoonsgegevens worden verwerkt op basis van de uitvoering van een overeenkomst. Bij het maken van de afspraak moet hij vermelden voor welke medische klacht de patiënt een afspraak wenst te maken.
Dan artikel 9: mag dit type gegevens wel?
Daar komt artikel 9 AVG in beeld. Zoals gezegd stelt dit artikel dat de verwerking van onder meer gezondheidsgegevens verboden is, tenzij één van de uitzonderingsgronden van toepassing is. Bovenop de genoemde grondslag uit artikel 6, heb je voor het verwerken van bijzondere persoonsgegevens (de medische klacht uit het voorbeeld) dus nog een grondslag nodig: de zogenoemde ‘uitzonderingsgrond’. Voorbeelden zijn: expliciete toestemming, verwerking voor arbodienstverlening of noodzakelijke verwerking voor gezondheidszorg. Artikel 9 werkt dus als een extra filter: zelfs als je een grondslag hebt, mag je medische gegevens alleen verwerken als de AVG dat expliciet toestaat.
Kan ik op basis van een wettelijke uitzondering, bijzondere persoonsgegevens voor dit doel gebruiken?
De medisch specialist moet zich afvragen: geldt in deze situatie een verbod voor de uitvraag van de medische klacht, of kan ik dat bijvoorbeeld verwerken in het licht van Artikel 9 lid 2 sub h van de AVG: de verwerking is noodzakelijk voor bijvoorbeeld het verstrekken van gezondheidszorg.
De kern in de praktijk
Wie medische gegevens verwerkt, moet dus altijd twee vragen beantwoorden:
- Welke grondslag uit artikel 6 AVG gebruik ik?
- Welke uitzonderingsgrond uit artikel 9 AVG maakt deze verwerking toegestaan?
Pas als beide vragen overtuigend zijn beantwoord, is de verwerking rechtmatig. Dat voelt misschien als “grondslag op grondslag”, maar het is precies de extra bescherming die de AVG voor medische gegevens beoogt.
Deze blogpost is opgesteld in samenwerking met Kwinzo.
