Mogen patiëntgegevens bij het gebruiken van een digitale oplossing worden doorgegeven aan partijen buiten de EU?

Als er aan de eisen wordt voldaan mag dat. Voor doorgifte van gegevens stelt de AVG namelijk regels (o.a. artikel 46-49 AVG). Deze regels zorgen ervoor dat het door de AVG gewaarborgde beschermingsniveau niet wordt ondermijnd. Het derde land moet hetzelfde beschermingsniveau kunnen bieden als de AVG.

Dit betekent concreet dat elke verwerkingsactiviteit moet voldoen aan de relevante bepalingen inzake gegevensbescherming. Er moet meervoudige test worden toegepast:

i. Bepalen van de rechtsgrondslag van de gegevensverwerking

ii. Toetsen of aan de algemene bepalingen van de AVG wordt voldaan (o.a. beveiliging, doelbinding, dataminimalisatie, etc)

iii. Toetsen bepalingen van hoofdstuk V (doorgifte)

Adequaatheidsbesluit

Als eerste dient dan ook gecontroleerd te worden of er voor het derde land in kwestie een adequaatheidsbesluit genomen is door de Europese Commissie. Als er zo’n besluit genomen is, dan mogen op basis daarvan doorgiftes plaatsvinden.

Doorgifte op basis van passende waarborgen

Passende waarborgen kunnen worden gecreëerd worden door bijvoorbeeld het sluiten van een overeenkomst met de ontvanger in het derde land op basis van Standard Contractual Clauses van de Europese Commissie. In veel gevallen zal er bij dergelijke toepassing sprake zijn van een verwerkersovereenkomst, omdat een derde partij voor het ziekenhuis een bepaalde handeling verricht. In het kader van de verplichting om in die situatie een verwerkersovereenkomst te sluiten, kunnen ook de bepalingen voor doorgifte worden meegenomen. Dit kan snel gebeuren, er zijn standaard passages voor. Zie bijvoorbeeld de verwerkersovereenkomst BOZ of de Standard Contractual Clauses (EDPB).

Specifieke uitzondering indien een adequaatheidsbesluit of passende waarborgen niet mogelijk zijn.

Overwogen kan worden of een beroep gedaan kan worden op de uitzonderingen genoemd in artikel 49 AVG. Wanneer de doorgifte echt noodzakelijk is voor het stellen van een goede diagnose bij de individuele patiënt, kan gedacht worden aan de situatie van artikel 49, lid 1, onder f: de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven. De EDPB heeft guidelines gepubliceerd over doorgifte naar derde landen.

Belangrijk is dat de uitzonderingen van artikel 49 restrictief worden geïnterpreteerd, zodat de uitzondering niet de regel wordt. Dit dient dusdanig te worden opgevat dat er alleen naar deze uitzondering kan worden gekeken als de ‘gewone waarborgen’ niet mogelijk zijn.

Dit moet gezien worden als een soort last resort. Het gaat dan ook om incidentele doorgiften. In deze crisissituatie kan naar deze uitzonderingen gekeken worden, waarbij het belangrijk is elke situatie op zichzelf goed te evalueren. Ook hier geldt, overleg met de PO of FG en leg dit vast in een privacy impact assessment. Er kan in overleg met elkaar bijvoorbeeld worden beoordeeld voor welke specifieke (groep van) patiënten de doorgifte echt noodzakelijk is voor de individuele vitale belangen van die patiënt. De doorgifte mag dan ook alleen betrekking hebben op het individuele belang van de betrokkene en noodzakelijk zijn voor een essentiële diagnose. Deze afwijking kan niet worden gebruikt om medische persoonsgegevens buiten de EU door te geven als de doorgifte niet bedoeld is om het specifieke geval van de betrokkene of dat van een andere persoon te behandelen, maar bijvoorbeeld om algemeen medisch onderzoek uit te voeren dat pas op enig moment in de toekomst resultaten zal opleveren. Zie hiervoor ook de toelichting van de EDPB haar guidelines.

Meer details

Zie voor meer details de beleidslijn inzake het verzamelen van onderzoeksdata en doorgifte buiten EU vanwege COVID-19.