Ziekenhuizen mogen onder de nieuwe wetgeving van de Algemene verordening gegevensbescherming (AVG) iemand die een waarschuwing of toegangsontzegging heeft ontvangen, nog steeds registreren en voor die persoon een incidentregistratie bijhouden en monitoren. Wel moet het ziekenhuis de betrokken persoon laten weten dat hij of zij op een zwarte lijst terechtkomt en hiertegen bezwaar kan maken. Ook moet het ziekenhuis, voordat het de zwarte lijst mag opstellen, melding doen bij de Autoriteit Persoonsgegevens. Hierbij zal het mogelijk een voorafgaand onderzoek moeten aanvragen en een protocol moeten opstellen. Dat zegt Peter Kager, manager privacy bij ICTRecht in Amsterdam, in antwoord op vragen van Veiligezorg.

Beleid voor waarschuwing en toegangsontzegging

Veiligezorg adviseert ziekenhuizen en revalidatiecentra over de aanpak van agressie en geweld, hoe ze een veilige (werk)omgeving kunnen creëren en hoe ze kunnen optreden tegen agressieve patiënten of bezoekers. Het beleid van Veiligezorg daarbij is dat mensen die agressief optreden een officiële waarschuwing van het ziekenhuis krijgen of – als ze het heel bont maken – een officiële toegangsontzegging. In dat laatste geval krijgt iemand alleen toegang tot het ziekenhuis bij acute psychiatrische hulp en spoedeisende hulp. Dit laatste bepaalt een arts. De duur van de ontzegging of waarschuwingsperiode bepaalt de raad van bestuur.

Samenwerking met politie

In dergelijke situaties werken de ziekenhuizen nauw samen met de politie. De basis van deze publiek-private samenwerking is de normale wetgeving, vaak aangevuld met afspraken in een convenant. Als iemand toch naar binnen wil en niet op eerste vordering weggaat, houdt de politie hem of haar aan voor huisvredebreuk. De ziekenhuizen voeren dit beleid uit voor de veiligheid van de patiënten, bezoekers en medewerkers.

Gerechtvaardigd veiligheidsbelang

De ziekenhuizen hebben Veiligezorg gevraagd of zij de personen die een waarschuwing of toegangsontzegging hebben ontvangen onder de AVG, nog mogen registreren en monitoren, en welk gerechtvaardigd eigenbelang hiervoor de grondslag is. Veiligezorg legde de vragen voor aan Peter Kager van ICTRecht. Die antwoordt dat het voor ziekenhuizen mogelijk blijft om zo iemand op een zwarte lijst te zetten.

Kager: ‘Grondslag voor de verwerking van persoonsgegevens op zo’n zwarte lijst is het gerechtvaardigd belang. Een belangrijke factor hierbij is in hoeverre de persoon in kwestie mag verwachten dat zijn of haar persoonsgegevens voor dit doel zullen worden gebruikt. In dit geval mag hij of zij redelijkerwijs verwachten dat het ziekenhuis een dergelijke lijst hanteert. Met het oog op de veiligheid van zowel patiënten als personeel is het noodzakelijk om deze persoonsgegevens te verwerken. De belangen van de betrokkene wegen slechts in uitzonderlijke gevallen op tegen het gerechtvaardigde veiligheidsbelang van het ziekenhuis.’

Betrokkene informeren en reageren op bezwaar

Kager vervolgt: ‘Het ziekenhuis dient de betrokkene in te lichten wanneer hij of zij wordt opgenomen in een zwarte lijst op basis van de AVG. Hierbij moet het de persoon informeren over het bestaan van profilering en de gevolgen daarvan. Dit moet binnen een redelijke termijn. De betrokkene moet de mogelijkheid hebben om vanwege zijn of haar specifieke situatie bezwaar te maken tegen de opname in de zwarte lijst.

Ziekenhuizen zijn volgens de AVG verplicht om zonder onredelijke vertraging en binnen een maand op een bezwaar te reageren. In sommige gevallen moet een ziekenhuis de verwerking van de gegevens staken, tenzij het dwingende gerechtvaardigde gronden kan aanvoeren die het bezwaar passeren. Met andere woorden: als iemand terecht op een zwarte lijst terechtkomt, hoeft een ziekenhuis die naam niet zomaar te verwijderen.’

Rol Autoriteit Persoonsgegevens

‘Volgens de huidige protocollen van de Autoriteit Persoonsgegevens (AP), die vooralsnog ook met de komst van de AVG van belang zijn, moet een organisatie die besluit om een zwarte lijst op te stellen, hiervan melding doen bij de AP. Wanneer op de zwarte lijst strafrechtelijke gegevens of in ieder geval gegevens over hinderlijk of onrechtmatig gedrag zullen verschijnen, moet het ziekenhuis voorafgaand aan de implementatie van de zwarte lijst een onderzoek bij de AP aanvragen. Hiernaast moet het ook een protocol opstellen. Dit zal van geval tot geval verschillen. Bij de melding zal de AP waarschijnlijk aangeven of de situatie zich leent voor een voorafgaand onderzoek en nader protocol. De AP heeft een checklist opgesteld waar een zwarte lijst aan moet voldoen‘, zegt Kager.

Reactie NVZ

Veiligezorg heeft de uitleg van de heer Peter Kager voorgelegd aan de privacyrecht-specialist van de NVZ en deze sluit zich hierbij aan. Wel plaatst de NVZ de praktische kanttekening dat duidelijk dient te zijn welke gegevens van de betrokken persoon worden vastgelegd, zodat is na te gaan of deze proportioneel zijn voor het doel waarvoor het ziekenhuis ze registreert. Ook dient dit te worden opgenomen in het Verwerkingsregister, zodat de interne toezichthouder (Functionaris Gegevensbeschermer, FG) hier ook zicht op heeft.