Aanzienlijke boete voor een ziekenhuis wegens niet naleven regels bescherming persoonsgegevens

Het ziekenhuis was het slachtoffer van twee computeraanvallen: (i) de eerste in 2019 en (ii) de tweede in 2021. Naar aanleiding van de tweede aanval werd een onderzoek ingesteld door de inspectiedienst van de GBA. De inspecteurs die belast waren met de uitvoering van dit onderzoek waren van mening dat het ziekenhuis niet de nodige stappen had ondernomen om te voldoen aan de AVG, ondanks de eerste cyberaanval in 2019. Hoewel deze conclusie door het ziekenhuis werd betwist, oordeelde de geschillenkamer dat de bevindingen van de inspecteurs gegrond waren en legde het ziekenhuis een financiële boete op.

De beslissing is interessant voor ziekenhuizen, omdat de geschillenkamer in haar beslissing bepaalde technische of organisatorische beveiligingsmaatregelen specificeert die ziekenhuizen moeten toepassen. In de beslissing staat bijvoorbeeld dat de geschillenkamer van mening is dat een wachtwoord van minder dan 12 tekens niet robuust genoeg is voor gebruik in een ziekenhuisomgeving (zie punt 122 en 123 van de beslissing). Met betrekking tot de opleiding van personeel wordt gesteld dat ziekenhuismedewerkers een passende en regelmatige opleiding moeten krijgen (punt 99 van het besluit). Die opleiding moet aan een voldoende aantal medewerkers worden gegeven. In de bestreden beslissing oordeelt de geschillenkamer dat de opleidingsmaatregelen ontoereikend waren omdat "deze opleiding slechts voor een zeer klein deel van het personeel geldt (...)" (punt 104 van de beslissing; vrije vertaling). Ziekenhuizen houden hiermee best rekening bij het implementeren van organisatorische maatregelen in de toekomst. Andere aspecten van organisatorische maatregelen worden door de geschillenkamer in haar beslissing beoordeeld.

De geschillenkamer heeft zich ook uitgesproken over het juridisch statuut van het ziekenhuis. In België kan een "overheid" in de zin van de AVG en de wet van 30 juli 2018 niet worden beboet (op voorwaarde dat zij geen goederen of diensten op een markt aanbiedt) op grond van artikel 122, §2 van de wet van 30 juli 2018 "betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens". Het betrokken ziekenhuis - dat een VZW naar privaatrecht is - voerde aan dat het moest worden behandeld als een “overheid”. Dit argument werd niet gevolgd door de geschillenkamer. Om gelijkgesteld te worden met een “overheid” moet een ziekenhuis aantonen dat aan drie voorwaarden is voldaan (artikel 5, 3° van de wet van 30 juli 2018):

i. Het ziekenhuis moet specifiek zijn opgericht om te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn; en

ii. Het ziekenhuis moet rechtspersoonlijkheid hebben; en

iii. De activiteit van het ziekenhuis moet aan ten minste een van de volgende criteria voldoen:

a. voornamelijk gefinancierd worden door de federale staat, de gefedereerde entiteiten en de lokale overheden (of publiekrechtelijke rechtspersonen);

b. het beheer van het ziekenhuis moet onder toezicht van de overheid staan;

c. of meer dan de helft van de leden van het bestuurs-, leidinggevend of toezichthoudend orgaan door deze autoriteiten of organen is benoemd.

In haar beslissing oordeelde de geschillenkamer dat door het ziekenhuis niet was voldaan aan de eerste en derde voorwaarde om te kunnen worden gelijkgesteld met een overheidsinstantie. Naar onze mening is de analyse van de geschillenkamer op dit punt voor discussie vatbaar. Als het betrokken ziekenhuis tegen deze beslissing in beroep zou gaan, zal het interessant zijn om te zien of het Marktenhof het eens is met de conclusie van de contentieuze kamer (of niet).

Samenvattend kan worden gesteld dat de beslissing van de geschillenkamer, naast het aanzienlijke karakter van de opgelegde sanctie, nuttig is voor ziekenhuizen die willen bepalen of sommige van de huidige organisatorische en technische maatregelen voldoen aan de verwachtingen van de geschillenkamer. De uitspraak maakt het mogelijk om de verwachtingen van de geschillenkamer ten aanzien van de bescherming van persoonsgegevens in ziekenhuizen te kennen.

Guillaume Pomes

Geïnformeerde toestemming toegang gezondheids-gegevens en KB 15 december 2024

Artikel 36 legt concrete regels vast omtrent de geïnformeerde toestemming voor toegang tot gezondheidsgegevens. Hierbij staan drie doelen centraal: zelfbeschikkingsrecht van de patiënt, kwalitatieve en veilige zorg, en minimale administratieve lasten. Patiënten moeten hun zorgverleners vrij kunnen kiezen en verzekerd zijn van transparantie en gegevensbescherming. Alleen relevante gegevens mogen worden gedeeld, en zorgverleners moeten het beroepsgeheim respecteren. Volgens het Verslag aan de Koning is voor een goede samenwerking binnen multidisciplinaire teams toegang tot relevante informatie cruciaal, bijvoorbeeld in ziekenhuizen en andere zorginstellingen waar gemeenschappelijke patiëntendossiers worden gebruikt. De geïnformeerde toestemming kan mondeling, schriftelijk, of elektronisch worden verleend. Via het eHealth-platform kunnen patiënten hun akkoord registreren en ook intrekken. Daarnaast kan de patiënt ook specifieke zorgverleners uitsluiten van deze toegang tot gegevens. Deze uitsluiting moet minstens 10 dagen op voorhand gebeuren, opdat de verwerkingsverantwoordelijke zich nog kan organiseren.

Artikel 37 wijst categorieën gezondheidszorgbeoefenaars aan die geen toegang krijgen tot gedeelde gezondheidsgegevens, zoals verzekerings- en controlegeneeskundigen. Zij werken vaak met andere belangen dan de directe gezondheid van de patiënt en mogen gegevens alleen in specifieke wettelijk bepaalde gevallen inzien.

In het Verslag aan de Koning is benadrukt dat de toegang tot gezondheidsgegevens zonder therapeutische relatie enerzijds en de toegang door de patiënt zelf tot de betreffende gezondheidsgegevens niet tot het toepassingsgebied van de Kwaliteitswet hoort en dat deze toegangen in afzonderlijke wetgevingen geregeld worden.

Brigje Verhasselt

Wie is een ziekenhuisarts? Het Hof van Cassatie verduidelijkt

De Ziekenhuiswet definieert een ziekenhuisarts als “de arts verbonden aan het ziekenhuis of aan het lokaal-regionaal klinisch ziekenhuisnetwerk” (art. 8, 4°). Voor het Hof van Cassatie impliceert deze uitdrukking “verbonden aan het ziekenhuis” dat er noodzakelijkerwijs een juridische band met het ziekenhuis is. Het Hof trok een parallel met artikel 145 Ziekenhuiswet en oordeelde dat enkel een overeenkomst of een benoemingsakte de fameuze juridische band kunnen creëren die de arts het statuut van ziekenhuisarts verleent.

Veel rechtsbeoefenaars, waaronder ook enkele rechters, waren in het verleden van mening dat deze band tussen de arts en de beheerder zeer ruim moest worden geïnterpreteerd. De samenwerking tussen een arts en een ziekenhuis kon bijvoorbeeld voortvloeien uit een mondelinge overeenkomst, zonder dat de basis van de samenwerking noodzakelijkerwijs formeel schriftelijk werd vastgelegd. In dat geval is dhet dan het gewone verbintenissenrecht en de bepalingen van de ziekenhuiswet die van toepassing zijn[1]. Het is op die manier dat sommige artsen met verwijzing naar een mondelinge overeenkomst hebben geargumenteerd dat zij dezelfde bescherming genieten die de wet aan ziekenhuisartsen verleent, met name voor wat betreft de verplichting voor de beheerder om het advies van de Medische Raad in te winnen alvorens een sanctie op te leggen of de samenwerking te beëindigen (artikelen 137 en 138 van de wet op de ziekenhuizen).

Artikel 145 Ziekenhuiswet vereist een schriftelijk document, met name een overeenkomst of een benoemingsakte. Nochtans is er in de rechtspraak een tendens om de afdwingbaarheid van de Algemene Regeling te laten afhangen van dit geschreven document, veerleer dan het te beschouwen als een constitutief element voor het statuut van ziekenhuisarts. De definitie van “ziekenhuisarts” in artikel 8, 4° vermeldt trouwens niet de vereiste van een geschrift[2].

Ook de eerdere rechtspraak van het Hof van Cassatie ondersteunt deze tendens. In een arrest van 27 mei 2019 stelde het Hof van Cassatie:

“Uit het geheel van deze bepalingen en de wetsgeschiedenis volgt dat de algemene regeling bedoeld in artikel 130 Ziekenhuiswet 1987 een algemeen kader bepaalt waarbinnen in een schriftelijke individuele overeenkomst de concrete individuele rechten en verplichtingen van de ziekenhuisgeneesheer en de beheerder worden bepaald en dat bij gebrek aan concretisering in een schriftelijke individuele overeenkomst, het niet mogelijk is zich op de algemene regeling te beroepen om rechtstreeks verplichtingen te scheppen in hoofde van de ziekenhuisgeneesheer.”

In dit arrest van 2019 leek het Hof van Cassatie, ondanks de afwezigheid van een schriftelijke overeenkomst, het statuut van de betrokken arts als ziekenhuisarts niet in vraag te stellen. Met andere woorden, met dit arrest van 2019 werd alleen het ziekenhuis geviseerd: de beheerder kon de arts niet de rechten en plichten opleggen die voortvloeien uit de algemene regeling[3]. Daarentegen werd de arts zijn hoedanigheid van “ziekenhuisarts” in de zin van de Ziekenhuiswet niet ontnomen, ondanks het feit dat hij geen schriftelijke overeenkomst had met de beheerder.

Deze uitspraak lag ook in de lijn van eerdere rechtspraak van het Hof van Cassatie, waarin is geoordeeld dat het ziekenhuis zich niet kon beroepen op een nieuwe algemene regeling zolang de individuele schriftelijke overeenkomst van de arts daar niet naar verwees. De oude overeenkomst bleef in dat geval van kracht[4].

Het arrest van 4 oktober 2024 gaat evenwel verder dan dat. Door artikel 145 van de Ziekenhuiswet te koppelen aan artikel 8, 4° van die wet, maakt het Hof van de schriftelijke overeenkomst de exclusieve juridische band die de arts aan het ziekenhuis moet binden, waardoor hij als ziekenhuisarts wordt gekwalificeerd. Met andere woorden, bij ontstentenis van een schriftelijke overeenkomst - die bovendien een hele reeks in artikel 145 opgesomde elementen moet bevatten - is de arts geen ziekenhuisarts in de zin van de ziekenhuiswet en geeft hij als dusdanig niet de rechten en plichten die in die wet zijn vastgesteld. Hij kan onder andere niet stemmen voor de Medische Raad en kan geen beroep doen op de bescherming van de Medische Raad krachtens de artikelen 137 en volgende. Hij valt evenmin onder de centrale inning georganiseerd door de artikelen 147 en volgende van de wet, noch is hij verplicht bij te dragen in de kosten van het ziekenhuis zoals bepaald in artikel 154, aangezien deze artikelen enkel van toepassing zijn op ziekenhuisartsen.

Interessant is dat uit de weinige feitelijke elementen die in het gepubliceerde arrest worden aangehaald, blijkt dat de arts in feite al enkele jaren in het ziekenhuis werkte. Hij voerde operaties uit, nam deel aan de wachtdiensten en zijn honoraria werden centraal geïnd door de ziekenhuisbeheerder. Desondanks oordeelde het Hof van Cassatie - in navolging van het Hof van Beroep - dat deze elementen enkel het bestaan van een feitelijke band tussen de ziekenhuisbeheerder en de arts aantoonden, niet de juridische band. Hoewel hij geen ziekenhuisarts was, was hij niettemin onderworpen aan de verplichtingen die uit dit statuut voortvloeiden, waaronder de centrale inning van zijn honoraria, wat opmerkelijk is aangezien deze inning - waarin de wet enkel voorziet voor bedragen die bestemd zijn om de prestaties van ziekenhuisartsen te vergoeden - over het algemeen gepaard gaat met inhoudingen op de honoraria die bedoeld zijn om de niet door het BMF gedekte kosten van het ziekenhuis te dekken die voortvloeien uit de geleverde medische prestaties (art. 147 en 154). A priori geeft alleen een uitdrukkelijk akkoord van een niet-ziekenhuisarts de beheerder de toelating om de honoraria te innen die voortvloeien uit zijn diensten. Ook is zijn akkoord omtrent het bedrag van de inhoudingen op zijn honoraria vereist. Het akkoord van de Medische Raad volgens het mechanisme van artikel 155, §4 en 5 is niet op hem van toepassing.

Artikel 30 Ziekenhuiswet, dat voorziet in de centrale verantwoordelijkheid van het ziekenhuis, wordt niet beïnvloed door deze nieuwe uitspraak van het Hof van Cassatie, aangezien de wetgever er zorgvuldig op heeft toegezien om “alle beroepsbeoefenaars die in het ziekenhuis werken” te viseren en niet alleen de ziekenhuisartsen. Er kunnen echter andere vragen rijzen met betrekking tot de aansprakelijkheid. In het bijzonder vereist dit artikel dat ziekenhuizen ervoor zorgen dat elke beroepsbeoefenaar “die daar niet werkt op basis van een arbeidsovereenkomst of een wettelijke aanstelling” de rechten van patiënten respecteert (artikel 30, lid1). Artikel 21 van de Wet op de ziekenhuizen dat is gewijzigd in 2023 om de hoofdartsen twee handhavingsbevoegdheden te geven (een instructiebevoegdheid en een waarschuwingsbevoegdheid) om hen in staat te stellen de naleving van het in het ziekenhuis vastgestelde medische beleid af te dwingen[5], is echter alleen van toepassing op ziekenhuisartsen. Met andere woorden, het ziekenhuis zou op grond van zijn centrale verantwoordelijkheid kunnen worden aangesproken op het handelen van een arts die werkt op een vestiging en die geen ziekenhuisarts is, ook al is er geen contractuele band is. Maar de hoofdarts die eventueel op de hoogte is van het problematisch gedrag van de arts met betrekking tot de kwaliteit van de zorg of de veiligheid van de patiënt, zou niet zomaar een initiatief kunnen nemen.

De gevolgen van deze uitspraak zijn dus zeer belangrijk, vooral omdat de interpretatie ervan breed kan gaan. Een andere vraag die kan ook rijzen omtrent de draagwijdte van het nieuwe arrest houdt verband met de contractspartij van een overeenkomst of van een benoemingsakte die nodig is om van een ziekenhuisarts te kunnen spreken. Moet die akte afkomstig zijn van de huidige ziekenhuisbeheerder, met uitsluiting van de vorige beheerder? In de afgelopen jaren heeft de ziekenhuissector een aantal wettelijke en maatschappelijke veranderingen ondergaan, die een impact hebben gehad op het ziekenhuisbeheer. Op dit moment zijn bijna alle ziekenhuizen in het land ontstaan uit opeenvolgende fusies of overdrachten van activiteiten, hebben ze netwerken opgezet en zijn ze in sommige gevallen van beheerder veranderd. Niet al deze veranderingen steunen op een bijgewerkte versie van een overeenkomst met de artsen. Bijgevolg hebben zij niet altijd een individuele overeenkomst met de huidige beheerder van het ziekenhuis. In het licht van de bewoordingen van het arrest van 4 oktober - waarin wordt gesteld dat er, om ziekenhuisarts te zijn, een benoemingsakte of een aanstelling van een ziekenhuisbeheerder moet bestaan - kan men zich afvragen of het feit dat men destijds een dergelijke overeenkomst met een voormalige beheerder heeft gesloten, voldoende is dan wel zal worden beschouwd als ‘het ontbreken van een schriftelijke overeenkomst’.

Céline Bachez

[1] Zie bijvoorbeeld Luik, 31 maart 2006, 200RG387, samenvatting beschikbaar op www.juportal.be

[2] Er dient echter te worden opgemerkt dat, hoewel de Ziekenhuiswet de vereiste van een schriftelijke overeenkomst niet in de definitie opneemt, artikel , 1° van het koninklijk besluit van 10 augustus 1987 tot vaststelling van de regels met betrekking tot de samenstelling en de werking van de medische raad in uitvoering van de artikelen 24, 25 en 26 van de Ziekenhuiswet van 23 december 1963 dit uitdrukkelijk vermeldt: “ 1° Worden als ziekenhuisgeneesheren beschouwd :

a) de geneesheren werkzaam in het ziekenhuis en waarvan de activiteit geregeld wordt door een individuele overeenkomst of een benoemingsakte, bedoeld in artikel 33 van de wet van 23 december 1963 op de ziekenhuizen, ingevoegd bij het koninklijk besluit nr. 407 van 18 april 1986”.

[3] Cass. (3e ch.), 27 mei 2019, C.16.0081.N, T. Gez. R./Rev. dr. santé, 2020-21, 4, 310 en E. DELBEKE, “ De algemene regeling van het ziekenhuis is niet afdwingbaar zonder een schriftelijke individuele overeenkomst”, T. Gez.R./Rev. dr. santé, 2020-21, liv. 4, 311 à 315.

[4] “Overwegende dat, nadat een algemene regeling door de beheerder van het ziekenhuis is vastgesteld overeenkomstig artikel 130 Ziekenhuiswet, de bestaande individuele overeenkomsten tussen de ziekenhuisartsen en de beheerder van het ziekenhuis vervangen dienen te worden door nieuwe overeenkomsten, waarin de respectieve rechten en verplichtingen van de individuele ziekenhuisgeneesheer en de beheerder schriftelijk worden vastgesteld, onder verwijzing naar de algemene regeling; Dat evenwel zolang tussen de beheerder en de ziekenhuisgeneesheer geen nieuwe individuele overeenkomst is gesloten, waarin verwezen wordt naar de in artikel 130 bedoelde algemene regeling, de oude overeenkomst van kracht blijft, met inbegrip van de daarin vastgestelde wijzen van beëindiging, voor zover deze op zich niet in strijd zijn met dwingende wetsbepalingen; dat de artikelen 130 en 131 van de Ziekenhuiswet noch enige andere wettelijke bepaling de opzegging als wijze van beëindiging van de rechtsverhouding tussen de beheerder en de ziekenhuisgeneesheer uitsluit noch de modaliteiten ervan regelt”, Cass. (3e ch.), 8 april 2002, C.00 .0118.N, T. Gez. R/Rev.Dr. Santé, 2002-03, 5, 322, noot S. CALLENS.

[5] Wetsontwerp houdende verschillende bepalingen in de gezondheidszorg, De Kamer, 2022-2023, n°3538/001, p. 8 en 9.

Bemiddeling onder de nieuwe Wet Patiëntenrechten

Dit Wetsontwerp voert een nieuw artikel 16/1 in de Wet Patiëntenrechten in en verwijst naar de ombudsfunctie. Deze ombudsfunctie heeft onder andere de taak om te bemiddelen bij bepaalde klachten. Alle documenten en schriftelijke of mondelinge mededelingen die in het kader van deze bemiddeling vergaard worden, zijn vertrouwelijk. Dit betekent dat ze enkel binnen de context van de bemiddeling gebruikt mogen worden. Het is dus verboden om deze informatie in een andere procedure aan te wenden of voor te leggen als bewijs. Indien deze gegevens toch in een procedure betrokken zouden worden, moeten ze uit de debatten geweerd worden.

Wel zijn hier enkele uitzonderingen op mogelijk. Zo vallen de vraag tot bemiddeling, het bemiddelingsakkoord en het document dat de mislukking van de bemiddeling vaststelt, niet onder deze vertrouwelijkheidsplicht. Deze mogen dus in principe wel gebruikt worden in een procedure. De partijen kunnen zich hier echter schriftelijk tegen verzetten.

De partijen kunnen ook schriftelijk verklaren dat zij de vertrouwelijkheidsplicht willen opheffen. Ook dan is het mogelijk om de documenten en mededelingen van de bemiddeling in een procedure te gebruiken.

Brigje Verhasselt

Is het beheersen van een van de drie landstalen een voorwaarde voor het verkrijgen van een visum?

De regering lijkt de voorwaarden voor het verkrijgen van een visum te willen uitbreiden met de verplichting om één van de drie landstalen te beheersen2 . Zoals het ontwerp er nu uitziet, is het de bedoeling dat beroepsbeoefenaars hun talenkennis moeten bewijzen door een Nederlandstalig, Franstalig of Duitstalig diploma van middelbaar, hoger of universitair onderwijs voor te leggen. Bij gebrek aan zo'n diploma kunnen aanvragers hun taalvaardigheid ook aantonen door een certificaat van een taalniveau voor te leggen. Het taalvaardigheidscertificaat moet een C1-niveau aantonen voor zorgverleners met een masterdiploma (met uitzondering van de schrijfvaardigheid, waarvoor een B2-niveau voldoende is). Voor diploma's van een lager niveau zal het niveau dat moet worden aangetoond ook lager zijn (bijvoorbeeld B2-niveau voor houders van een bachelordiploma).

Er wordt echter een uitzondering gemaakt wanneer een beroep wordt gedaan op een buitenlandse beroepsbeofenaar met speciale expertise.

Hoewel de toelichting bij het wetsontwerp stelt dat deze taalvaardigheidseis enkel van toepassing zal zijn op nieuwe visumaanvragen, stelt het wetsontwerp dat gezondheidszorgbeoefenaars steeds één van de drie landstalen moeten beheersen. Hoewel houders van visa die zijn afgegeven vóór de inwerkingtreding van dit wetsontwerp niet worden getroffen door de verplichting om de nodige gegevens in de portfolio bij te houden om de taalvaardigheid aan te tonen, lijkt de huidige formulering van de wet de Federale Commissie voor toezicht op de praktijkvoering in de gezondheidszorg niet te beletten om een visum in te trekken als de Commissie van oordeel is dat de taalvaardigheid van de beroepsbeoefenaar in de gezondheidszorg in één van de drie landstalen onvoldoende is.

Als deze regels worden aangenomen, is betwisting in rechte niet uitgesloten (bevoegdheidsverdelende regels, evenredigheid, naleving van het Europees recht, non-discriminatie, enz...). Wordt vervolgd.

Guillaume Pomes

1 De Koning moet nog bij Koninklijk Besluit bepalen op welke datum deze verplichting zal gelden voor ambulancemedewerkers, bandagisten, orthopedisten en prothesisten.

2 https://overlegorganen.gezondheid.belgie.be/nl/documenten/voorontwerp-van-wet-tot-wijziging-van-de-wet-van- 220419-en-van-de-wet-van-100515-voor-wat

3 https://www.lachambre.be/kvvcr/showpage.cfm?section=flwb&language=fr&cfm=/site/wwwcfm/flwb/flw bn.cfm?

dossierID=3832&legislat=55&inst=K.