Home AVG, persoonsgegevens en zorgaanbieders

Maurice Mooibroek

Privacy
/

AVG, persoonsgegevens en zorgaanbieders

Een bewindvoerder van een patiënte verzocht de zorgaanbieder van de patiënte op grond van artikel 15 Algemene Verordening Gegevensverwerking (AVG) om toezending van een kopie van alle persoonsgegevens van hen die de zorgaanbieder verwerkt, met daarbij een toelichting op onder andere doelen, rechtsgrond, categorieën van persoonsgegevens, bron en ontvangers van persoonsgegevens en gerechtvaardigde belangen en duur van die verwerking.

De zorgaanbieder verstrekte patiënte en bewindvoerder vervolgens een ‘overzicht gegevensverwerking’, waarin alle verwerkingsdoeleinden werden vermeld, alsook de categorieën van persoonsgegevens die waren verwerkt (personalia, relatie tot patiënte etc.) Ook waren een tiental personen en instanties opgesomd die ten tijde van de zorgverlening en na beëindiging daarvan die persoonsgegevens hadden ontvangen, en informatie opgenomen over de bewaartermijn, de herkomst van gegevens en wie toegang tot de gegevens hadden. Ook het medisch dossier van patiënte werd verstrekt.

Volgens patiënte en bewindvoerder was dit alles echter niet genoeg. De gegevens waren volgens hen niet compleet. Hun aanspraak had betrekking op alle persoonsgegevens die de zorgaanbieder verwerkte. Toen de zorgaanbieder het standpunt innam dat het verschafte overzicht voldoende was, spanden patiënte en bewindvoerder een gerechtelijke procedure aan en vorderde een veroordeling van de zorgaanbieder om “volledige afschriften van de verwerkingen van persoonsgegevens te verstrekken”.

Inzagerecht geen betrekking op alle stukken
De Rechtbank Amsterdam maakte echter korte metten met de vordering van de bewindvoerder. (De vordering namens patiënte behandelt de rechtbank vanwege het aanvankelijk ontbreken van een toereikende machtiging van de bewindvoerder op een later moment. Aannemelijk is dat de rechtbank het verzoek van patiënte langs dezelfde lijnen zal beoordelen.)

Het inzagerecht uit artikel 15 AVG heeft volgens de rechtbank geen betrekking op alle stukken waarin persoonsgegevens waren opgenomen. Ook had de bewindvoerder niet toegelicht waarom het reeds verstrekte overzicht niet zou volstaan. Het verzoek was daarmee niet voldoende toegelicht, aldus de rechtbank.

Het verzoek vond de rechtbank bovendien zodanig breed geformuleerd dat het in de gegeven omstandigheden te onbepaald was om te kunnen worden toegewezen. Het verzoek kwam er in de kern op neer dat over een gehele, jarenlange zorgperiode afschriften worden verstrekt van alle bescheiden waarin de persoonsgegevens van bewindvoerder voorkomen. Dat is veelomvattend en bestaat uit een grote hoeveelheid gegevens.

Integrale honorering van het verzoek om alle verwerkte persoonsgegevens zou onder deze omstandigheden niet alleen welhaast praktisch ondoenlijk zijn, maar ook een veel te omvangrijke en daarmee kostbare zoektocht van de zorgaanbieder meebrengen. Daartoe zou immers de zorgaanbieder alle documenten (ook digitaal) moeten doorzoeken en daaruit die stukken moeten halen waarin ten minste één persoonsgegeven met betrekking tot de bewindvoerder voorkomt en daartoe kosten maken. Daarin zullen ook gegevens van derden voorkomen, die eventueel ook afgeschermd moeten worden. Een en ander zijn bijzondere omstandigheden die maken dat honorering van het verzoek in redelijkheid niet van de zorgaanbieder kan worden gevergd, aldus de rechtbank.

Praktische grenzen
De uitspraak is goed nieuws voor zorgaanbieders en andere ondernemingen. Er kunnen praktische grenzen worden gesteld aan al te omvangrijke, niet-concrete verzoeken tot inzage en kopie van persoonsgegevens.

Nieuwsbrief

Altijd up to date?

Blijf op de hoogte van de laatste ontwikkelingen. Schrijf je in!

Scroll naar boven