Het verzamelen van medische gegevens evenals het oprichten, bijhouden en uitbaten van medische databanken houden bepaalde deontologische en wettelijke verplichtingen in.

De eerbiediging van de persoonlijke levenssfeer vormt een fundamenteel leidend beginsel gedurende het ganse proces van verwerking van medische persoonsgegevens (verzamelen, anonimiseren, bewaren, overdragen, uitbaten, vernietigen, …).

Elke verwerking dient te gebeuren volgens de strenge voorschriften vastgelegd door de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (1), en volgens de uitvoeringsbesluiten ervan (2).

Bovendien mag de verwerking niet gebeuren zonder inachtneming van het noodzakelijke beginsel van wederzijds vertrouwen tussen arts en patiënt en in het bijzonder zonder inachtneming van het beroepsgeheim.

A/ Het verzamelen van gegevens

Dit advies van de Nationale Raad heeft geen betrekking op het verzamelen van gegevens in het kader van de besloten dialoog tussen de arts en zijn patiënt en met het oog op de zorg.
Hier worden enkel de latere uitbatingen voor wetenschappelijke, statistische en/of commerciële doeleinden van gegevens verzameld in het kader van de zorg bedoeld.

1/ De informatieplicht

Het verzamelen van gezondheidsgegevens houdt voor de arts de verplichting in de patiënt te informeren vóór om het even welke verwerking van persoonsgegevens.

Deze informatieverstrekking gaat over precieze elementen :

a) de aard van de verzamelde gegevens, gedetailleerd beschreven.

De verzameling kan in geen geval het geheel van de gegevens van de patiënt, zoals opgenomen in zijn medisch dossier, omvatten.

b) de precieze doeleinden van de verzameling.

Alle nagestreefde doeleinden moeten duidelijk gedefinieerd en uitdrukkelijk geformuleerd worden.

In de veronderstelling dat het verzamelen van gegevens tegelijk een wetenschappelijk of statistisch doel en een commercieel doel nastreeft, mogen de artsen het commerciële doel niet verbergen achter het wetenschappelijke doel.

c) de regels voor het anonimiseren (3) van de gegevens.

De arts dient de patiënt in te lichten over de manier waarop zijn persoonsgegevens vóór elke verwerking voor wetenschappelijke, statistische en/of commerciële doeleinden anoniem zullen gemaakt worden.

d) de bestemmelingen van de verzamelde gegevens.

Iedere patiënt heeft het recht de bestemmelingen van zijn persoonsgegevens te kennen.

e) het geheel van de informatie opgesomd in artikel 14 van het koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (4).

Dit artikel is als volgt opgesteld :
De verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie moeten voorafgaand aan de codering van de gegevens, bedoeld in de artikelen 6 tot 8 van de wet, aan de betrokken persoon volgende gegevens meedelen :

• de identiteit van de verantwoordelijke voor de verwerking;
• de verwerkte categorieën van persoonsgegevens;
• de herkomst van de gegevens;
• een precieze omschrijving van de historische, statistische of wetenschappelijke doeleinden van de verwerking;
• de personen of de categorieën van personen voor wie de persoonsgegevens bestemd zijn;
• het bestaan van een recht op raadpleging van zijn eigen persoonsgegevens, alsook van een recht op verbetering ervan;
• het bestaan van een recht van verzet in hoofde van de betrokken persoon.

2/ De toestemmingsplicht

In de veronderstelling dat de gegevens verzameld worden met een zuiver wetenschappelijk en/of statistisch doel, bestaan er bepaalde gevallen waarvoor de wet geen schriftelijke toestemming van de patiënt eist (artikel 20 van het koninklijk besluit van 13 februari 2001 houdende uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (5)).

Iedere patiënt die het niet wenselijk acht dat zijn persoonsgegevens gebruikt worden in het kader van een latere verwerking met wetenschappelijke en/of statistische doeleinden, heeft het recht zich hiertegen te verzetten.

Indien we dit recht op verzet van de patiënt verbinden met de informatieplicht van de arts is vast te stellen dat het onderscheid tussen uitdrukkelijke toestemming en recht op verzet op zijn minst subtiel is.
De Nationale Raad meent bijgevolg dat het goed is dat iedere arts de formele toestemming van zijn patiënten vraagt vóór elke verwerking van persoonsgegevens.
Voorts, zodra de verwerking van gegevens een commercieel doeleinde nastreeft, naast een wetenschappelijk en/of statistisch doeleinde, is de formele geschreven toestemming van de betrokken patiënten wettelijk vereist, voor zover de latere verwerking beschouwd dient te worden als een verwerking die onverenigbaar is met het uitgangsdoeleinde, nl. een diagnostisch of therapeutisch doeleinde.

De Nationale Raad vraagt de arts de verkregen toestemming bij het medisch dossier van zijn patiënt te voegen.

3/ Onafhankelijkheid van de verzamelende arts

De arts die de gegevens verzamelt en verantwoordelijk is voor de anonimisering dient volkomen onafhankelijk te zijn ten opzichte van de promotor van de gegevensverzameling. Deze onafhankelijkheid moet blijken uit hun respectieve contractuele relaties.

Elke gegevensverzameling dient vastgelegd te worden in een duidelijk, precies en exhaustief protocol. Dit protocol dient vóór de gegevensverzameling goedgekeurd te worden door een onafhankelijk ethisch comité, overeenkomstig de wet van 7 mei 2004 inzake experimenten op de menselijke persoon (6).

4/ Vergoeding van de verzamelende arts

De eventuele vergoeding van de arts moet beperkt zijn tot een gerechtvaardigde vergoeding van zijn werkelijke kosten en van de tijd besteed aan de verzameling en de overdracht van de gegevens.

Artikel 18, § 2, van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen (7) verbiedt elke overeenkomst tussen de beoefenaars van gezondheidszorgberoepen en derden, inzonderheid producenten van farmaceutische producten of leveranciers van geneeskundige of protheseapparaten, wanneer deze overeenkomst betrekking heeft op hun beroep en ertoe strekt aan de een of de ander rechtstreeks of onrechtstreeks winst of voordeel te verschaffen.

De arts mag geen voordeel halen uit de commercialisering van de gegevens van zijn patiënten (8). Het ter zijner beschikking krijgen van informaticamateriaal zou in dit vlak probleemstellend kunnen zijn.

5/ Anonimiseringstechniek

De anonimiseringstechnieken dienen beschreven te staan en in overeenstemming te zijn met de meest recente kennis terzake en met de aanbevelingen van de Raad van de Orde.

6/ Controle

De overeenkomsten die de relaties regelen tussen de verzamelende arts en de derde die de gegevens uitbaat, dienen ter goedkeuring voorgelegd te worden aan de bevoegde provinciale raad (art. 173 van de Code van geneeskundige plichtenleer).

Bovendien dient een aangifte gedaan te worden bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer overeenkomstig artikel 17 van de voornoemde wet van 8 december 1992.

B/ Het bijhouden van de gegevensbank

De regels die gelden voor elke databank die gevoelige gegevens bevat, zijn van toepassing op dit bijzondere geval. De algemene beginselen beschreven in de aanbeveling betreffende gegevensbanken die nominatieve gegevens bevatten (9), zijn eveneens mutatis mutandis van toepassing in het onderhavige geval.

Voor de overdracht van de gegevens vanuit de PC van de behandelend arts zijn ook de in dezelfde aanbeveling beschreven regels inzake encryptie en elektronische handtekening van toepassing.

In de regel dient tevens de identiteit van de arts-verzender verborgen te blijven. Hiertoe dient de structuur voor de ontwikkeling en het onderhoud van het programma dat de identiteit van de patiënt codeert, verschillend te zijn van deze die de identiteit van de arts codeert. De codering van de identiteit van de patiënt moet bovendien gerealiseerd worden binnen het gegevensbeheersysteem van de arts vóór elke export van gegevens.

C/ Het uitbaten van de verzamelde gegevens

De persoonsgegevens worden verzameld voor (een) bepaald(e) en beperkt(e) doeleinde(n).

De verzamelde gegevens mogen niet gebruikt worden voor andere doeleinden zonder dat de voorziene procedure heropgestart en gevolg wordt.