Bron: VAST 2022 / B-0034, Anne-Mieke Dumoulin-Siemens, e-ISSN 2667-307X, M.A.D.Lex
Definitie persoonsgegevens en reikwijdte inzagerecht
Het inzagerecht van artikel 15 Algemene Verordening Gegevensbescherming (AVG) heeft alleen betrekking op persoonsgegevens. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 lid 1 AVG). De hiervoor geformuleerde vraag lijkt daarmee te kunnen worden beantwoord: de betrokkene heeft recht op inzage in de persoonsgegevens die de verzekeraar van hem in het schadedossier heeft opgenomen. Echter, dit antwoord moet op basis van jurisprudentie worden genuanceerd.
De reikwijdte van het begrip persoonsgegevens bepaalt welke gegevens de verzekeraar op grond van het inzagerecht aan de betrokkene moet verstrekken. Volgens het Europees Hof van Justitie (HvJ EU) moet het begrip persoonsgegevens ruim worden uitgelegd. Zo oordeelde het HvJ EU dat feitelijke of waarderende uitlatingen over eigenschappen, opvattingen of gedragingen van een persoon, persoonsgegevens zijn. In de Nowak-zaak (ECLI:EU:C:2017:994) ging het om een analyse door een examinator van het examen van een examenkandidaat.
De rechtspraak in Nederland heeft het inzagerecht met betrekking tot het schadedossier op basis van de definitie van persoonsgegevens nader ingevuld en verduidelijkt. Een schadedossier bestaat uit verschillende documenten. Zo kan het interne notities, telefoonnotities en correspondentie tussen de verzekeraar en diens advocaat bevatten, maar ook medische adviezen. Hierna geef ik aan of, en zo ja in hoeverre, deze documenten persoonsgegevens zijn en dus onder de reikwijdte van het inzagerecht vallen. Ik wijs er daarbij kort op dat het in beginsel volstaat om een overzicht van de persoonsgegevens aan de betrokkene te verstrekken. De betrokkene kan op basis van de huidige rechtspraak niet het recht aan de AVG ontlenen een kopie te verkrijgen van de documenten waarin de persoonsgegevens staan.
Welke documenten uit het schadedossier vallen onder het inzagerecht?
- Interne notities en Telefoonnotities
Notities die uitsluitend de persoonlijke gedachten of (beleids)opvattingen van medewerkers van de verzekeraar of van derden bevatten en die uitsluitend bedoeld zijn voor intern overleg, beraad of besluitvorming, zijn geen persoonsgegevens en vallen niet onder het inzagerecht. Wanneer een notitie echter (ook) persoonsgegevens bevat, moet men deze persoonsgegevens bij een inzageverzoek aan de betrokkene verstrekken. Dat kan bijvoorbeeld door een kopie van de notitie te verstrekken waarin de persoonlijke gedachten en interne aantekeningen zwart gemaakt zijn (HvJ EU 17 juli 2014 (IND), ECLI:EU:C:2014:2081 r.o 58) of door een overzicht van de persoonsgegevens te verschaffen. Let wel, het volstaat niet om een notitie als titel ‘interne notitie’ mee te geven. Daarmee valt de notitie niet automatisch buiten het bereik van het inzagerecht. Het gaat om de inhoud van de notitie. Mijn advies aan de verzekeraar is om aandacht te besteden aan wat hij vastlegt in een interne notitie. Overwegingen die de betrokkene betreffen, kwalificeren in beginsel als een persoonsgegeven en moet de verzekeraar bij een inzageverzoek verstrekken. - Stukken relatie verzekeraar en advocaat
De betrokkene heeft geen recht op inzage in de correspondentie tussen de verzekeraar en zijn advocaat. Dat valt onder de bescherming van de vertrouwelijke relatie tussen beiden. - Medisch advies
Het is de vraag of medisch advies een persoonsgegeven is. De kans bestaat dat de Hoge Raad zijn standpunt hierover gaat wijzigen. In het Waterlandziekenhuis-arrest (ECLI:NL:HR:2018:365) oordeelde de Hoge Raad eerder nog dat een medisch advies geen persoonsgegeven betreft.
Is een analyse van persoonsgegevens (gezondheidsgegevens) zelf ook een persoonsgegeven?
Een medisch adviseur beoordeelt in opdracht van de verzekeraar het medisch dossier van een patiënt en geeft daarover een oordeel. In letselschadedossiers gebruikt de verzekeraar de analyse van de medisch adviseur bij de beslissing of een uitkering kan worden gedaan. In geval van een beroepsaansprakelijkheidsdossier onderzoekt de medisch adviseur of de behandeling van de desbetreffende patiënt door de behandelend arts volgens de regels plaatsvond. In beide voorbeelden baseert de medisch adviseur zijn analyse op de gezondheidsgegevens van de patiënt zonder deze zelf aan een (lichamelijk) onderzoek te onderwerpen. De vraag hierbij is of een analyse van persoonsgegevens (gezondheidsgegevens) zelf ook een persoonsgegeven is.
De algemene opvatting in de rechtspraak is dat een dergelijke medische analyse geen persoonsgegeven is en dus niet onder het inzagerecht valt (Waterlandziekenhuis-arrest (ECLI:NL:HR:2018:365). De medische analyse – zo is de redenering – verzamelt geen nieuwe persoonsgegevens van de patiënt, omdat die niet berust op een onderzoek waaraan de patiënt werd onderworpen. Ook is het medisch advies niet opgesteld in het kader van de behandeling van de patiënt en is het niet noodzakelijk voor een goede medische hulpverlening aan de patiënt. De patiënt in kwestie heeft dus op grond van artikel 15 AVG wel recht op inzage in zijn medisch dossier, maar niet op inzage in het medisch advies.
Cassatie in het belang der wet tegen een beslissing van het Centraal Tuchtcollege voor de Gezondheidszorg
Recent heeft advocaat-generaal T. Hartlief (hierna: Hartlief) een oordeel van het Centraal Tuchtcollege voor de Gezondheidszorg in een beroepsaansprakelijkheidskwestie aangegrepen om cassatie in het belang van de wet in te stellen bij de Hoge Raad. Hartlief verzoekt de Hoge Raad de vraag te beantwoorden of een betrokkene doorgaans recht zal hebben op inzage in een medisch advies waaraan zijn medische gegevens ten grondslag liggen. Hij is zelf van mening – zo schrijft hij in zijn conclusie aan de Hoge Raad (ECLI:NL:PHR:2022:762) – dat een medisch advies wel een persoonsgegeven is. Daarom is het volgens Hartlief verdedigbaar dat artikel 15 AVG in beginsel wel een recht op inzage in een medisch advies schept. Als de analyse van een examinator over het examen van een examenkandidaat een persoonsgegeven is (zie de Nowak-zaak waaraan ik hiervoor refereer), waarom zou de analyse van een medisch adviseur dat dan niet zijn, zo vraagt Hartlief zich af.
Toch zal het beroep van een betrokkene op inzage in een medisch advies volgens Hartlief niet kunnen slagen. Het inzagerecht is immers geen absoluut recht, maar kan worden beperkt door de rechten en vrijheden van anderen (artikel 15 lid 4 jo. 23 AVG), in dit geval het recht van het ziekenhuis op grond van artikel 6 EVRM op verdediging en ongestoorde standpuntbepaling. Een ziekenhuis of een aansprakelijkheidsverzekeraar moet een medisch adviseur om advies kunnen vragen zonder het risico te lopen dat de medische analyse aan de patiënt/wederpartij moet worden openbaard.
Uitspraak van de Hoge Raad volgt
Als de Hoge Raad de conclusie van Hartlief volgt, heeft dit (verstrekkende) gevolgen voor de reikwijdte van het inzagerecht. Als het medisch advies een persoonsgegeven is, valt het onder het inzagerecht. De verzekeraar kan een inzageverzoek niet meer afdoen met een korte en algemeen geformuleerde verwijzing naar het feit dat een medisch advies geen persoonsgegeven is. De verzekeraar zal moeten onderbouwen waarom zijn recht op ongestoorde gedachtewisseling in het specifieke geval zwaarder weegt dan het recht van de betrokkene op inzage in het medisch advies. Het arrest van de Hoge Raad wordt verwacht op 31 maart 2023. Dan weten wij meer.
Meer weten over het privacyrecht?
Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.
