Blog van medewerkers

WP_Query Object
(
    [query] => Array
        (
            [paged] => 2
            [news-type] => blog
        )

    [query_vars] => Array
        (
            [paged] => 2
            [news-type] => blog
            [error] => 
            [m] => 
            [p] => 0
            [post_parent] => 
            [subpost] => 
            [subpost_id] => 
            [attachment] => 
            [attachment_id] => 0
            [name] => 
            [pagename] => 
            [page_id] => 0
            [second] => 
            [minute] => 
            [hour] => 
            [day] => 0
            [monthnum] => 0
            [year] => 0
            [w] => 0
            [category_name] => 
            [tag] => 
            [cat] => 
            [tag_id] => 
            [author] => 
            [author_name] => 
            [feed] => 
            [tb] => 
            [meta_key] => 
            [meta_value] => 
            [preview] => 
            [s] => 
            [sentence] => 
            [title] => 
            [fields] => 
            [menu_order] => 
            [embed] => 
            [category__in] => Array
                (
                )

            [category__not_in] => Array
                (
                )

            [category__and] => Array
                (
                )

            [post__in] => Array
                (
                )

            [post__not_in] => Array
                (
                )

            [post_name__in] => Array
                (
                )

            [tag__in] => Array
                (
                )

            [tag__not_in] => Array
                (
                )

            [tag__and] => Array
                (
                )

            [tag_slug__in] => Array
                (
                )

            [tag_slug__and] => Array
                (
                )

            [post_parent__in] => Array
                (
                )

            [post_parent__not_in] => Array
                (
                )

            [author__in] => Array
                (
                    [0] => 73
                )

            [author__not_in] => Array
                (
                )

            [search_columns] => Array
                (
                )

            [ignore_sticky_posts] => 
            [suppress_filters] => 
            [cache_results] => 1
            [update_post_term_cache] => 1
            [update_menu_item_cache] => 
            [lazy_load_term_meta] => 1
            [update_post_meta_cache] => 1
            [post_type] => 
            [posts_per_page] => 10
            [nopaging] => 
            [comments_per_page] => 50
            [no_found_rows] => 
            [taxonomy] => news-type
            [term] => blog
            [order] => DESC
        )

    [tax_query] => WP_Tax_Query Object
        (
            [queries] => Array
                (
                    [0] => Array
                        (
                            [taxonomy] => news-type
                            [terms] => Array
                                (
                                    [0] => blog
                                )

                            [field] => slug
                            [operator] => IN
                            [include_children] => 1
                        )

                )

            [relation] => AND
            [table_aliases:protected] => Array
                (
                    [0] => wp_term_relationships
                )

            [queried_terms] => Array
                (
                    [news-type] => Array
                        (
                            [terms] => Array
                                (
                                    [0] => blog
                                )

                            [field] => slug
                        )

                )

            [primary_table] => wp_posts
            [primary_id_column] => ID
        )

    [meta_query] => WP_Meta_Query Object
        (
            [queries] => Array
                (
                )

            [relation] => 
            [meta_table] => 
            [meta_id_column] => 
            [primary_table] => 
            [primary_id_column] => 
            [table_aliases:protected] => Array
                (
                )

            [clauses:protected] => Array
                (
                )

            [has_or_relation:protected] => 
        )

    [date_query] => 
    [queried_object] => WP_Term Object
        (
            [term_id] => 56
            [name] => Blog van medewerkers
            [slug] => blog
            [term_group] => 0
            [term_taxonomy_id] => 56
            [taxonomy] => news-type
            [description] => 
            [parent] => 0
            [count] => 1349
            [filter] => raw
        )

    [queried_object_id] => 56
    [request] => SELECT SQL_CALC_FOUND_ROWS  wp_posts.ID
					 FROM wp_posts  LEFT JOIN wp_term_relationships ON (wp_posts.ID = wp_term_relationships.object_id) LEFT  JOIN wp_icl_translations wpml_translations
							ON wp_posts.ID = wpml_translations.element_id
								AND wpml_translations.element_type = CONCAT('post_', wp_posts.post_type) 
					 WHERE 1=1  AND ( 
  wp_term_relationships.term_taxonomy_id IN (56)
) AND wp_posts.post_author IN (73)  AND ((wp_posts.post_type = 'post' AND (wp_posts.post_status = 'publish' OR wp_posts.post_status = 'acf-disabled' OR wp_posts.post_status = 'tribe-ea-success' OR wp_posts.post_status = 'tribe-ea-failed' OR wp_posts.post_status = 'tribe-ea-schedule' OR wp_posts.post_status = 'tribe-ea-pending' OR wp_posts.post_status = 'tribe-ea-draft'))) AND ( ( ( wpml_translations.language_code = 'nl' OR (
					wpml_translations.language_code = 'nl'
					AND wp_posts.post_type IN ( 'attachment' )
					AND ( ( 
			( SELECT COUNT(element_id)
			  FROM wp_icl_translations
			  WHERE trid = wpml_translations.trid
			  AND language_code = 'nl'
			) = 0
			 ) OR ( 
			( SELECT COUNT(element_id)
				FROM wp_icl_translations t2
				JOIN wp_posts p ON p.id = t2.element_id
				WHERE t2.trid = wpml_translations.trid
				AND t2.language_code = 'nl'
                AND (
                    p.post_status = 'publish' OR p.post_status = 'private' OR 
                    ( p.post_type='attachment' AND p.post_status = 'inherit' )
                )
			) = 0 ) ) 
				) ) AND wp_posts.post_type  IN ('post','page','attachment','wp_block','wp_template','wp_template_part','wp_navigation','our_sector','our_rechtsgebieden','acf-field-group','bwl_advanced_faq','tribe_venue','tribe_organizer','tribe_events','mc4wp-form','slider-data','actualiteiten','accordion','failissementens','advocaten','blogs','seminar','juridisch-medewerker','backoffice','rechtsgebied-detail' )  ) OR wp_posts.post_type  NOT  IN ('post','page','attachment','wp_block','wp_template','wp_template_part','wp_navigation','our_sector','our_rechtsgebieden','acf-field-group','bwl_advanced_faq','tribe_venue','tribe_organizer','tribe_events','mc4wp-form','slider-data','actualiteiten','accordion','failissementens','advocaten','blogs','seminar','juridisch-medewerker','backoffice','rechtsgebied-detail' )  )
					 GROUP BY wp_posts.ID
					 ORDER BY wp_posts.menu_order, wp_posts.post_date DESC
					 LIMIT 10, 10
    [posts] => Array
        (
            [0] => WP_Post Object
                (
                    [ID] => 41469
                    [post_author] => 73
                    [post_date] => 2024-03-07 16:30:59
                    [post_date_gmt] => 2024-03-07 15:30:59
                    [post_content] => Recentelijk heeft het Europees Hof van Justitie uitspraak gedaan over een kwestie binnen de online advertentiewereld. De rechtszaak draaide om de vraag of IAB Europe, de koepelorganisatie achter het veel gebruikte Transparancy & Consent Framework (TCF), kan worden aangemerkt als een verwerkingsverantwoordelijke onder de Algemene Verordening Gegevensbescherming (AVG).

Wat is het Transparency & Consent Framework?

Het TCF is een systeem ontwikkeld door IAB Europe om websites en advertentiebedrijven te helpen voldoen aan de AVG bij het verkopen van advertentieruimte via geautomatiseerde online veilingen (het zgn. real-time bidding systeem). Telkens wanneer een gebruiker een website bezoekt, verschijnt er een cookiebanner waarin toestemming wordt gevraagd voor het plaatsen van advertentiecookies. De gebruikersvoorkeuren worden vastgelegd in een unieke TC-tekenreeks die wordt gedeeld met alle partijen in het advertentienetwerk.

Persoonsgegeven of niet?

De kernvraag is of deze TC-tekenreeks, al dan niet in combinatie met het IP-adres, kan worden aangemerkt als een persoonsgegeven onder de AVG. IAB Europe betwist dit, omdat de tekenreeks niet uniek is voor één gebruiker en IAB zelf geen toegang heeft tot de verwerkte persoonsgegevens van haar leden. De Belgische Gegevensbeschermingsautoriteit (GBA) oordeelde echter dat de TC-tekenreeks weldegelijk een persoonsgegeven is en dat IAB Europe als verwerkingsverantwoordelijke optreedt.

Verwerkingsverantwoordelijke?

Indien IAB Europe inderdaad als een verwerkingsverantwoordelijke wordt gekwalificeerd, brengt dit verstrekkende verplichtingen met zich onder de AVG, zoals het hebben van een rechtmatige grondslag, naleving van de transparantievereisten, uitvoeren van gegevensbeschermingseffectbeoordeling, etc. De GBA heeft namelijk vastgesteld dat IAB Europe hier niet aan voldeed en heeft een boete van € 250.000 opgelegd.

Gerechtvaardigd belang?

Deze zaak is ook in hoge mate relevant voor de discussie rond toestemming en het gerechtvaardigd belang als rechtsgrondslagen onder de AVG voor de verwerking van persoonsgegevens in de online reclamesector.

De GBA stelde dat de gebruikerstoestemmingen die via het TCF worden verkregen onvoldoende specifiek, geïnformeerd en granulair zijn om als rechtsgeldige toestemming te kunnen gelden onder de AVG.

Daarnaast oordeelde de Geschillenkamer dat het gerechtvaardigd belang van de Adtech-bedrijven die deelnemen aan het TCF, niet opweegt tegen de privacybelangen van gebruikers gezien de massale en ingrijpende verwerkingen van gebruikersgegevens die hier plaatsvinden. Dit riep de fundamentele vraag op of gerechtvaardigd belang überhaupt een geldige grondslag kan zijn voor gerichte reclame op deze schaal.

De uitspraak: TC-rekenreeks = persoonsgegeven

Het Hof van Justitie heeft bevestigd dat de TC-tekenreeks informatie bevat over een identificeerbare gebruiker, en daarom een persoonsgegeven is in de zin van de AVG. Wanneer de informatie in een TC-tekenreeks wordt gekoppeld aan een identificator, zoals het IP-adres van het toestel van de gebruiker, kan die informatie het namelijk mogelijk maken om een profiel van die gebruiker te maken en hem of haar te identificeren.

Dit geldt ook voor andere, vergelijkbare letter- en tekenreeksen die gebruikersvoorkeuren bevatten met betrekking tot hun toestemming voor de verwerking van hun persoonsgegevens door website- en app-aanbieders, makelaars in persoonsgegevens en reclameplatformen.

Het maakt hiervoor niet uit dat een sectororganisatie die over de tekenreeks beschikt, zoals de IAB, zonder externe medewerking geen toegang heeft tot de gegevens verwerkt door haar leden (binnen de door haar vastgestelde standaarden) en zij deze niet kan koppelen aan andere gegevens.

De uitspraak: IAB = gezamenlijke verwerkingsverantwoordelijke

Bovendien moet IAB Europe volgens het Hof worden beschouwd als een “joint controller” (oftewel: een gezamenlijke verwerkingsverantwoordelijke) in de zin van de AVG, wat betreft de opslag van gebruikersvoorkeuren in een TC-tekenreeks volgens de door haar opgestelde standaard.

Dit staat los van de latere verwerkingsactiviteiten van persoonsgegevens door bedrijven en derden op basis van deze voorkeuren, zoals het doorsturen van gegevens aan derden of het doen van gepersonaliseerde reclameaanbiedingen, waarvoor IAB in principe niet automatisch verantwoordelijk is.

IAB's verantwoordelijkheid als gezamenlijke verwerkingsverantwoordelijke is gebaseerd op haar invloed op de vaststelling van de doeleinden en middelen van de gegevensverwerking, ondanks dat ze niet direct toegang heeft tot de verwerkte persoonsgegevens binnen haar standaard. Deze gezamenlijke verantwoordelijkheid strekt zich niet automatisch uit tot latere verwerkingen door derden. Een sectororganisatie, zoals IAB, is slechts verantwoordelijk voor dergelijke latere verwerkingen indien vaststaat dat zij invloed uitoefent op de vaststelling van het doel van die verwerkingen en van de wijze waarop deze worden verricht.

Relevantie voor de praktijk: land-mark case

Nu is bevestigd dat de TC-tekenreeks een persoonsgegeven is, zal dit de dynamiek binnen de advertentie industrie ingrijpend wijzigen. Websites en advertentiebedrijven zullen hun toestemmingsvragen aan gebruikers waarschijnlijk moeten herzien om aan de AVG-vereisten te (blijven) voldoen.

De zaak illustreert dat het concept "persoonsgegeven" onder de AVG een erg ruime en dynamische invulling krijgt, waarbij zelfs ogenschijnlijk niet-identificeerbare onlinecodes hieronder kunnen vallen. Dit toont het toenemend belang aan van privacy en gegevensbescherming in de digitale economie.

Deze zaak heeft de afgelopen tijd al veel aandacht gekregen omdat ze nauw aansluit bij de Breyer-precedenten van het Europees Hof uit 2016 over de reikwijdte van het concept “persoonsgegeven” en wanneer niet-direct identificerende gegevens toch als persoonsgegevens kunnen worden aangemerkt. In die zaak oordeelde het Hof dat dynamische IP-adressen onder bepaalde voorwaarden als persoonsgegevens kunnen kwalificeren voor een websitebeheerder.

Relevantie voor de praktijk: gerechtvaardigd belang

Aangezien het Hof IAB Europe in beginsel heeft bestempeld als gezamenlijke verwerkingsverantwoordelijke, dient zij over een rechtsgeldige grondslag te beschikken voor het vastleggen en doorgeven van de toestemmings- en bezwaarvoorkeuren van gebruikers via de TC-tekenreeksen. Dit geldt ook voor andere, vergelijkbare sectororganisaties.

Heeft u vragen over wat dit voor u betekent in de praktijk? Neem dan contact op met Jody Esveldt.

Jody Esveldt 1
                    [post_title] => EU-vonnis schudt cookie-praktijken op: nieuwe uitdagingen voor online adverteerders
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => eu-vonnis-schudt-cookie-praktijken-op-nieuwe-uitdagingen-voor-online-adverteerders
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-03-08 10:26:23
                    [post_modified_gmt] => 2024-03-08 09:26:23
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=41469
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [1] => WP_Post Object
                (
                    [ID] => 41340
                    [post_author] => 73
                    [post_date] => 2024-02-28 13:50:43
                    [post_date_gmt] => 2024-02-28 12:50:43
                    [post_content] => 
In de zorg wordt steeds meer gebruik gemaakt van kunstmatige intelligentie (ook wel AI genoemd). Eerder schreven we al over de mogelijkheden van AI, zoals ChatGPT, voor je dagelijkse praktijk als zorgverlener. In dit artikel gaan we in op de ontwikkelingen die sindsdien hebben plaatsgevonden en de (nieuwe) juridische kaders waarmee je rekening moet houden bij het gebruik van ChatGPT als zorgverlener.



AI Act

In onze eerdere blog legden we uit dat er nog geen specifieke regelgeving voor AI bestond. Daardoor was alleen algemenere regelgeving zoals de AVG, de UAVG en de MDR van toepassing op het gebruik van ChatGPT in de zorg.

Sinds begin dit jaar is de tekst van de Europese AI Act rond. De AI Act is nog niet inwerking getreden, maar dat zal naar verwachting dit voorjaar gebeuren. Vanaf dat moment gelden verschillende termijnen voordat de bepalingen daadwerkelijk van toepassing zijn. Voor general purpose systems, zoals ChatGPT, geldt er een termijn van twaalf maanden. De algemenere wet- en regelgeving blijft daarnaast van toepassing.

Wat houdt de AI Act in?

Als je als zorgverlener ChatGPT wilt gebruiken, zal je je onder andere aan de regels moeten houden die voor gebruikers van general purpose systems gelden. Zo geldt er een transparantie verplichting wanneer je een gegenereerde tekst openbaar wilt maken om het publiek te informeren. Bijvoorbeeld de uitleg van complexe gezondheidsonderwerpen in een openbare blog. Je moet dan bekendmaken dat de inhoud gemaakt is door AI, tenzij de inhoud door mensen is gecontroleerd en een persoon de redactionele verantwoordelijkheid draagt voor publicatie.

Verder is het van belang dat, gelet op de risicoclassificatie van de AI Act, ChatGPT naar waarschijnlijkheid als een general purpose AI model with systemic risk zal worden geclassificeerd. Dit betekent dat ChatGPT aan aanvullende eisen moet voldoen, zoals modelevaluaties en risicobeoordelingen. Het is als zorgverlener daarom belangrijk om je bewust te zijn van de impact die ChatGPT kan hebben.

Naast dat het vanwege het medische beroepsgeheim en de AVG niet toegestaan is om patiëntgegevens (zomaar) in ChatGPT te gebruiken, spelen de potentiële negatieve gevolgen voor de volksgezondheid ook een rol bij het gebruik van ChatGPT in de zorg. Wanneer onnauwkeurige, onbetrouwbare of onjuiste informatie wordt gegenereerd en vervolgens wordt gebruikt voor bijvoorbeeld het stellen van diagnoses, levert dit een groot risico voor de gezondheid van patiënten op. Bovendien benadrukt de AI Act het belang van het waarborgen van ieders privacy.

Dit betekent niet dat je als zorgverlener geen gebruik kan of mag maken van ChatGPT, maar voorzichtigheid is zeker geboden.

Wat zegt ChatGPT er ondertussen zelf van?

Niet alleen de regelgeving is de afgelopen tijd in ontwikkeling geweest, ChatGPT geeft inmiddels ook zelf een genuanceerder en uitgebreider antwoord op de vraag “Mag ik als zorgverlener ChatGPT gebruiken?”:

“Als zorgverlener kun je ChatGPT gebruiken als ondersteunend hulpmiddel, maar er zijn enkele belangrijke overwegingen en beperkingen:

    
 	
  1. Privacy en vertrouwelijkheid: Het is cruciaal om de privacy en vertrouwelijkheid van patiëntgegevens te waarborgen. Het delen van persoonlijke gezondheidsinformatie van patiënten zonder hun toestemming kan in strijd zijn met wetgeving zoals de AVG (Algemene Verordening Gegevensbescherming) in de EU of HIPAA (Health Insurance Portability and Accountability Act) in de VS. Zorg ervoor dat je geen persoonlijke gezondheidsinformatie deelt in een omgeving die niet beveiligd is of niet voldoet aan de regelgeving.
    2. 
 	
  2. Besluitvorming en verantwoordelijkheid: ChatGPT kan algemene informatie en advies bieden op basis van de ingevoerde gegevens, maar het is geen vervanging voor professioneel medisch advies, diagnose of behandeling. Beslissingen over de zorg voor patiënten moeten altijd worden genomen door gekwalificeerde zorgverleners die de volledige context en medische geschiedenis van de patiënt kennen.
    3. 
 	
  3. Betrouwbaarheid en nauwkeurigheid: Hoewel ChatGPT getraind is op een breed scala aan informatiebronnen, kan het fouten maken of achterhaalde informatie verstrekken. Het is belangrijk om de door ChatGPT verstrekte informatie kritisch te beoordelen en te verifiëren met betrouwbare medische bronnen en richtlijnen.
    4. 
 	
  4. Regelgeving en richtlijnen: Houd rekening met de lokale en nationale regelgeving en professionele richtlijnen die van toepassing zijn op het gebruik van kunstmatige intelligentie en digitale hulpmiddelen in de gezondheidszorg.
    5. 


Gebruik ChatGPT als een aanvullend hulpmiddel voor algemene informatie, educatie of ideeëngeneratie, maar vertrouw niet op het als primaire bron voor medische besluitvorming of diagnose. Het is altijd aan te raden om kritisch na te denken over de informatie die je ontvangt en deze te toetsen aan je professionele kennis en ervaring.”

Conclusie 

Generatieve AI, zoals ChatGPT, brengt de zorg tal van mogelijkheden om efficiënter en effectiever te werken. De Europese AI Act wijst ons echter op de noodzaak van voorzichtigheid en bewustzijn rond de risico’s voor de volksgezondheid en de bescherming van de privacy van patiënten. Zorgverleners kunnen profiteren van de nieuwe technologieën en mogelijkheden zolang het op een verantwoorde manier gebeurt.

Artikel is geschreven door Jody Esveldt en Noa Rubingh.

Heeft u vragen over het gebruik van AI in de zorg of heeft u andere vragen? Neem gerust contact op met een van onze medewerkers.

Jody Esveldt 1

                    [post_title] => Update: het gebruik van ChatGPT in de zorg
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => update-het-gebruik-van-chatgpt-in-de-zorg
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-02-28 13:50:43
                    [post_modified_gmt] => 2024-02-28 12:50:43
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=41340
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [2] => WP_Post Object
                (
                    [ID] => 41088
                    [post_author] => 73
                    [post_date] => 2024-02-13 12:01:29
                    [post_date_gmt] => 2024-02-13 11:01:29
                    [post_content] => De rechtbank Overijssel deed onlangs uitspraak in een privacy kwestie tussen de Autoriteit Persoonsgegevens en de gemeente Enschede. De gemeente zou door middel van wifi-tracking beginselen uit de Algemene Verordening Gegevensbescherming schenden, waarvoor de AP een boete heeft opgelegd. De gemeente Enschede was het niet eens met de opgelegde boete, en ging in beroep bij de rechtbank Overijssel. In dit artikel ga ik dieper in op de zaak en zal ik uiteindelijk behandelen wat de uitspraak van de rechtbank is.

De feiten

Sinds 2017 maakt  de gemeente Enschede gebruik van sensoren in de binnenstad om het aantal passanten te tellen. Deze sensoren detecteerden de wifi-signalen van voorbijkomende smartphones.

De Autoriteit Persoonsgegevens (AP) startte een onderzoek na aanleiding van verschillende klachten die zij had ontvangen. De AP oordeelde in haar onderzoeksrapport dat de gemeente met deze ‘wifi-tracking’ inderdaad de Europese privacyregels schond.

De AP had naar aanleiding van het rapport het voornemen bekend gemaakt om een bestuurlijke boete en/of een last onder dwangsom op te leggen. De gemeente heeft tegen dit voornemen een zienswijze ingediend. Dit echter zonder succes. De AP legde een boete op aan de gemeente van €600.000,- voor overtreding van de Algemene Verordening Gegevensbescherming (AVG), omdat zij zonder grondslag persoonsgegevens heeft verwerkt van gebruikers van mobiele telefoons waarop de wifi stond ingeschakeld in de binnenstad van Enschede

Wanneer mag de AP een boete opleggen aan een overheidsorgaan?

Onder overweging 26 van de AVG is vastgesteld dat de principes van gegevensbescherming van toepassing zijn op alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Bij het bepalen of een natuurlijke persoon als identificeerbaar wordt beschouwd, wordt rekening gehouden met alle objectieve factoren. Dit omvat de kosten en de tijd die nodig zijn voor de identificatie, evenals de middelen die redelijkerwijs kunnen worden ingezet voor dit doel.

Op grond van artikel 18, eerste lid van de Uitvoeringswet AVG is de AP bevoegd een bestuurlijke boete op te leggen aan een overheidsinstantie of overheidsorgaan. Inbreuken op de basisbeginselen zoals de doelmatigheid, rechtmatigheid en transparantie, kunnen leiden tot geldboetes tot €20.000.000,-.

Het oordeel van de rechtbank

De rechtbank oordeelde dat er onvoldoende bewijs was dat de tracking techniek het daadwerkelijk mogelijk maakte om mensen te identificeren. De sensoren slaan namelijk tijdelijk de MAC-adressen op. Een MAC-adres is een uniek identificatienummer van de netwerkmodule in mobiele apparaten, waarmee je met het internet kunt verbinden.

Het MAC-adres op zichzelf is geen persoonsgegeven. Maar volgens de AP kan het MAC-adres in combinatie met de locatiegegevens wel kwalificeren als een persoonsgegeven.

Doordat de AP de discretionaire bevoegdheid heeft om al dan niet een boete op te leggen, rust volgens vaste rechtspraak  een verzwaarde bewijslast op dat bestuursorgaan om, door middel van overtuigend bewijs, aan te tonen dat de regels zijn overtreden. Volgens de rechtbank heeft de AP niet bewezen dat de gemeente met haar gebruikte methode persoonsgegevens heeft verwerkt.

De rechtbank oordeelde dat de AP niet adequaat had onderzocht of het realistisch was om te verwachten dat medewerkers van door de gemeente ingehuurde bureaus of gemeentemedewerkers, die toegang hadden tot de gegevens, in staat waren om natuurlijke personen direct of indirect te identificeren met behulp van de beschikbare middelen.

Dit onderzoek had mede moeten kijken naar de kosten en de tijd die nodig zijn voor identificatie, rekening houdend met de op het moment van gegevensverwerking beschikbare technologie en de technologische ontwikkelingen.

Hierdoor kon het besluit tot een bestuurlijke boete niet in stand blijven en werd de boete geschrapt.

Conclusie

De Autoriteit Persoonsgegevens heeft als bestuursorgaan met een discretionaire bevoegdheid om boetes op te eggen een verzwaarde bewijslast om aan te tonen dat er sprake is van een schending van de AVG. De eisen aan deze bewijsvoering zijn hoog zodat de rechten van de betrokkenen worden beschermd en dat boetes niet lichtzinnig of zonder voldoende bewijs worden opgelegd, zeker nu deze boetes hoog kunnen oplopen.

Er kan pas sprake zijn van een overtreding van de AVG als voldoende aannemelijk is dat een persoon geïdentificeerd was of kon worden met behulp van de beschikbare middelen.

Heeft u vragen over de AVG, of heeft u een privacy kwestie? Neem dan contact op met een van onze specialisten.

Jody Esveldt 1
                    [post_title] => AVG-boete van AP wegens wifi-tracking door gemeente ongegrond?
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => avg-boete-van-ap-wegens-wifi-tracking-door-gemeente-ongegrond
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-02-14 09:36:39
                    [post_modified_gmt] => 2024-02-14 08:36:39
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=41088
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [3] => WP_Post Object
                (
                    [ID] => 41040
                    [post_author] => 73
                    [post_date] => 2024-02-07 10:27:21
                    [post_date_gmt] => 2024-02-07 09:27:21
                    [post_content] => Het lijkt een vrij simpele vraag, toch is het beantwoorden hiervan vrij complex. Waar moet u beginnen? Naar welke regelgeving moet u kijken? In onderstaand artikel geven we een overzicht van de belangrijkste regels en de grijze gebieden die er bestaan binnen  de geldende wet- en regelgeving.

MDR en IVDR

De regels omtrent de medische hulpmiddelen zijn neergelegd in de Verordening (EU) nr. 2017/745 van de Europese Unie betreffende medische hulpmiddelen (EU MDR) en Verordening (EU) nr. 2017/746 betreffende hulpmiddelen voor in-vitrodiagnostiek (IVDR).

De EU-MDR bevat juridisch bindende definities van medische hulpmiddelen en accessoires voor medische hulpmiddelen, alsook uitsluitingen van het toepassingsgebied van de Verordening om medische hulpmiddelen af te bakenen van andere nauw verwante producten (zoals geneesmiddelen, producten voor geavanceerde therapie, biologische bestanddelen, cosmetica of levensmiddelen).

Daarnaast bevat bijlage XVI van de EU-MDR een lijst van producten zonder medisch doel waarop de verordening ook van toepassing is.

De IVDR bevat de specifieke definities voor hulpmiddelen voor in-vitrodiagnostiek (IVD's), die in feite een subset zijn van medische hulpmiddelen, evenals IVD-accessoires. Daarnaast worden bijbehorende uitsluitingen van het toepassingsgebied vastgesteld, die een differentiële kwalificatie mogelijk maken van medische hulpmiddelen die geen IVD's zijn, maar ook van algemene laboratoriumapparatuur of apparatuur voor uitsluitend onderzoek.

Toepassen van MDR en IVDR

Allereerst is het cruciaal om gedetailleerd te kijken of je product valt onder de definitie van een medisch hulpmiddel zoals beschreven in Artikel 2 van de MDR. Deze definitie is zeer ruim geformuleerd  en omvat medische hulpmiddelen die alleen of in combinatie gebruikt worden voor specifieke medische doeleinden zoals diagnose, preventie, monitoring, behandeling of verlichting van een ziekte. Ook hulpmiddelen voor onderzoek, vervanging of wijziging van anatomie of fysiologische processen vallen hieronder.

Essentieel bij deze beoordeling het door de fabrikant beoogde medische doel van het product. Dit is uiteindelijk het doorslaggevende element voor de kwalificatie onder de MDR. Naast complete medische hulpmiddelen moet je ook kijken naar accessoires, onderdelen en componenten. Als deze het veiligheidsprofiel of de beoogde werking van een medisch hulpmiddel significant veranderen worden deze ook als medisch hulpmiddel gezien.

Daarnaast introduceert de MDR een nieuwe productcategorie in Bijlage XVI met voorheen niet-gereguleerde producten voor esthetische doeleinden die nu ook aan de regels voor medische hulpmiddelen moeten voldoen. Denk aan contactlenzen, middelen voor het invullen van rimpels en hulpmiddelen voor vetverwijdering.

Voor hulpmiddelen met een diagnostische toepassing buiten het menselijk lichaam is vervolgens de definitie van belang zoals beschreven in Artikel 2 van de IVDR. Let op dat een product niet zomaar onder de IVDR valt door het label “voor in-vitro diagnostiek” maar dat het een concreet medisch doel moet hebben zoals gedefinieerd in dit artikel. Ook invasieve monstersystemen vallen overigens onder de MDR en niet de IVDR.

Grijze gebieden 

Als je product niet duidelijk binnen de definitie van medisch hulpmiddel of hulpmiddel voor in-vitrodiagnostiek valt, betekent dat niet automatisch dat wet- en regelgeving geen toepassing vindt. Er zijn namelijk grijze gebieden waar de grens tussen regulering niet altijd even duidelijk is.

Een veelvoorkomend voorbeeld is de grens tussen medische hulpmiddelen en geneesmiddelen. Denk bijvoorbeeld aan antibacteriële spoelmiddelen voor de neus. Valt dit nu onder de regels voor medische hulpmiddelen of voor geneesmiddelen? Een ander voorbeeld zijn medicijnafgiftesystemen zoals pleisters, die zowel onder de geneesmiddelenregels kunnen vallen als onder de regels voor medische hulpmiddelen.

Software en AI-toepassingen kunnen volgens de MDR en IVDR geclassificeerd worden als medische hulpmiddelen. Software die alleen zoekopdrachten uitvoert, gegevens verzendt of opslaat, of als planningshulpmiddel fungeert, wordt niet als medisch hulpmiddel beschouwd. Een stappenteller of een app die de gebruiker helpt herinneren om zijn/haar medicijnen in te nemen, is ook geen medisch hulpmiddel.

Het Europese Hof van Justitie besliste in zaak C-329/16 (Snitem and Philips France) dat software die gebruik maakt van patiënt specifieke gegevens om de arts te helpen bij het voorschrijven van geneesmiddelen door mogelijke contra-indicaties, interacties tussen geneesmiddelen en bijwerkingen te identificeren, medische hulpmiddelen zijn.

Andere grensgebieden waar verschillende interpretaties mogelijk zijn, zijn die tussen medische hulpmiddelen en biociden (bijv. desinfectiemiddelen), cosmetica (bijv. anti-rimpel crèmes), voedingsmiddelen (bijv. voedingssupplementen) en algemene consumentenproducten.

Conclusie 

Er zijn verschillende stappen die doorlopen moeten worden om te weten hoe jouw hulpmiddel kwalificeert. Ook bij grijze gebieden is het zaak om grondig uit te zoeken wat de juiste Europese regelgeving is die op jouw specifieke product van toepassing is. Maak hiervoor gebruik van de beschikbare richtlijnen en gedegen dossieropbouw. Bij vragen kunt u contact opnemen met een van onze medewerkers!

Jody Esveldt
                    [post_title] => Wanneer classificeert uw product als een medisch hulpmiddel?
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => wanneer-classificeert-uw-product-als-een-medisch-hulpmiddel
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-02-07 10:27:21
                    [post_modified_gmt] => 2024-02-07 09:27:21
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=41040
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [4] => WP_Post Object
                (
                    [ID] => 40916
                    [post_author] => 73
                    [post_date] => 2024-01-29 10:52:15
                    [post_date_gmt] => 2024-01-29 09:52:15
                    [post_content] => Verslavingen gaan vaak gepaard met ernstige medische en sociale problematiek. In sommige gevallen is een opname noodzakelijk om een verslaafde goed te kunnen helpen, ook al is dit tegen de wil van deze persoon. Zo’n gedwongen behandeling roept echter principiële vragen op over de persoonlijke vrijheid en autonomie van de betrokkene. Wanneer is verslaving voldoende reden om iemand tegen zijn wil op te nemen? Zorginstellingen, die vaak de eerste signalen opvangen, hebben moeite met het beantwoorden van deze vraag.

Deze vraag speelde ook in een zaak die tot de Hoge Raad is gekomen. Het ging om een verzoek tot een zorgmachtiging voor een 35-jarige man met een ernstige alcoholverslaving. Zowel de officier van justitie als de rechtbank achtten gedwongen behandeling noodzakelijk. Tegen dit oordeel stelde de betrokkene, de man in kwestie, cassatie in.

In deze blog wordt dit arrest nader geanalyseerd. Wat waren de feiten, hoe oordeelde de rechterlijke instanties en wat betekent dit voor de praktijk van de gedwongen zorgverlening aan verslaafden?

Feiten

De 35-jarige betrokkene in deze zaak kampte al geruime tijd met overmatig alcoholgebruik. Hij was hierdoor meermaals opgenomen in een ziekenhuis. Ook vertoonde hij tekenen van ondervoeding en ging zijn gezondheid snel achteruit. Zijn arts stelde dat betrokkene zonder behandeling waarschijnlijk binnen enkele maanden zou overlijden aan de gevolgen van zijn alcoholgebruik.

De officier van justitie verzocht daarom de rechtbank om een zorgmachtiging voor gedwongen opname voor de duur van 6 maanden. De rechtbank stelde vervolgens in haar beslissing dat er sprake was van een psychische stoornis bij betrokkene en verleende de zorgmachtiging. Hierop ging betrokkene in cassatie.

Juridisch kader: zorgmachtiging bij verslaving

Verplichte zorg mag alleen worden verleend door middel van een door een rechter verleende zorgmachtiging. Eenieder (dus ook een zorginstelling) kan bij de gemeente een melding doen over een persoon voor wie de noodzaak tot geestelijke gezondheidszorg, die mogelijk verplicht verleend moet worden, moet worden onderzocht.

Zorginstellingen zijn vaak de eerste die signalen opvangen van een persoon die mogelijk ernstig nadeel ondervindt van een psychische stoornis. Zij kunnen een belangrijke rol spelen in het beoordelen van de situatie en het vaststellen of er mogelijk een noodzaak is voor verplichte zorg.

Wanneer mag iemand tegen zijn wil worden opgenomen voor behandeling van een verslaving? De Wet verplichte geestelijke gezondheidszorg (Wvggz) stelt hiervoor verschillende voorwaarden:

    
 	
  1. Er moet sprake zijn van een psychische stoornis.
    2. 
 	
  2. Als gevolg van die stoornis bestaat een risico op ernstig nadeel voor de betrokkene of anderen.
    3. 
 	
  3. Er zijn geen mogelijkheden voor vrijwillige zorg.
    4. 
 	
  4. De verplichte zorg moet in verhouding staan tot het beoogde doel ervan. De verplichte zorg wordt afgewogen tegen het ernstig nadeel zonder de verplichte zorg, het causale verband.
    5. 


Een alcohol- of drugsverslaving kan op zichzelf worden gezien als een psychische stoornis. Echter, de Hoge Raad heeft eerder bepaald dat deze omstandigheid op zichzelf niet genoeg is voor verplichte zorg. De verslaving moet zodanig ernstig zijn dat iemand hierdoor geen autonome keuzes meer kan maken. Hij moet als het ware een “willoos werktuig” van zijn verslaving zijn geworden. Pas dan is aan het vereisten van psychische stoornis voldaan.

De rechtbank moet in haar beslissing dus goed motiveren waarom bij een persoon dit het geval is. Waaruit blijkt dat hij dermate in de greep van zijn verslaving is komen te zitten dat zijn wilsvorming ernstig is aangetast? Alleen aan de hand daarvan is een zorgmachtiging voor gedwongen behandeling proportioneel.

Oordeel van de rechtbank 

De rechtbank kwam tot het oordeel dat de verslaving de betrokkenen in zijn greep had en dat zijn denken, voelen, willen, oordelen en doelgericht handelen zo ingrijpend werd beïnvloed dat betrokkene het ernstig nadeel, bestaande uit levensgevaar, ernstig lichamelijk letsel, ernstige verwaarlozing en maatschappelijke teloorgang, niet kan worden toegerekend. De betrokkene heeft geen blijk van inzicht in de ernst van zijn situatie, aldus de rechtbank.

De rechtbank oordeelde daarom dat een verplichte opname gerechtvaardigd is om de betrokkene de kans te geven om op andere gedachten en tot herstel te komen. Daarna heeft de rechtbank overwogen dat er geen mogelijkheden zijn voor passende zorg op vrijwillige basis, zodat verplichte zorg nodig is.

Daarna heeft de rechtbank vastgesteld dat er geen alternatieven zijn die minder ingrijpend zijn en hetzelfde doel bereiken, dat de aangedragen verplichte zorg proportioneel en naar verwachting doeltreffend is, en dat bij het kiezen van de juiste zorg rekening is gehouden met de vereisten om de maatschappelijke participatie van de betrokkene te stimuleren, evenals met diens veiligheid.

Cassatie 

Namens de betrokkene uiteindelijk cassatie ingesteld. Allereerst wordt geklaagd dat de rechtbank blijk heeft gegeven van een psychische stoornis in de zin van de wet. Volgens het cassatiemiddel kan een verslaving, ook indien wordt aangenomen dat dit een psychiatrische ziekte is, niet tot het rechtsoordeel leiden dat de verslaving gepaard gaat met (andere) psychische stoornissen die gevaarlijke daden van de betrokkene in overwegende mate beheerst.

Volgens het cassatiemiddel was daar in deze zaak geen sprake van en bleek dit uit noch de bestreden beschikking, noch uit de medische verklaring of de toelichting daarop op zitting (hetgeen ontbrak). De rechtbank zou hiermee onvoldoende hebben vastgesteld dat de betrokkene een “willoos werktuig” is geworden van zijn verslaving. Betrokkene zou er welbewust voor kiezen niet te willen stoppen met drinken van alcohol.

Ten tweede wordt geklaagd dat het ook onduidelijk is gebleven of de rechtbank het vereiste causaal verband tussen de psychische stoornis en ernstig gevaar heeft vastgesteld.

Oordeel op de cassatiemiddelen

De Procureur-Generaal bij de Hoge Raad stelde dat gezien de diagnose en hetgeen door diverse deskundigen ter zitting is verklaard, de rechtbank de door de Hoge Raad geformuleerde maatstaf niet heeft miskend. Deze conclusie is in het licht van de medische verklaring en het zorg-/behandelplan niet onbegrijpelijk en voldoende gemotiveerd, aldus de Procureur-Generaal.

Tevens volgt uit de conclusie dat het ernstig nadeel wordt veroorzaakt door het gedrag van betrokkene (te weten het overmatig drinken van alcohol) dat voortvloeit uit de psychische stoornis, waardoor ook de tweede klacht faalt.

Uiteindelijk oordeelt de Hoge Raad dat de klachten niet kunnen leiden tot vernietiging van de beschikking.

Conclusie 

De vraag of aan het wettelijk stoornisbegrip wordt voldaan is in geval van verslavingsziekte dikwijls niet eenvoudig te beantwoorden. Dat geldt ook voor de onderhavige zaak. Het verzoek tot zorgmachtiging moet met uiterste zorgvuldigheid voorbereid worden. Zorginstellingen die aan de hand van signalen vermoeden hebben dat verplichte zorg nodig is dienen deze signalen goed te noteren in het medisch dossier en een melding doen bij het college van burgemeesters en wethouders.

De zorginstelling moet er ook voor zorgen dat alle procedures en de uitvoering van de zorg in overeenstemming zijn met de Wvggz en andere relevante wet- en regelgeving. Heeft u als zorginstelling behoefte aan advies, of heeft u vragen over de procedures die u kunt doorlopen? Neem contact op met een van onze medewerkers!

Jody Esveldt 1
                    [post_title] => Wanneer kan een verslaving aanleiding vormen voor gedwongen opname?
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => wanneer-kan-een-verslaving-aanleiding-vormen-voor-gedwongen-opname
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-01-29 10:52:15
                    [post_modified_gmt] => 2024-01-29 09:52:15
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=40916
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [5] => WP_Post Object
                (
                    [ID] => 40792
                    [post_author] => 73
                    [post_date] => 2024-01-26 09:03:58
                    [post_date_gmt] => 2024-01-26 08:03:58
                    [post_content] => 
Inleiding

De afgelopen jaren is private equity steeds actiever geworden op de zorgmarkt en is er veel te doen over dit onderwerp. Waar in 2019 nog ongeveer de helft van de investeringen bij grote zorginstellingen werd gedaan door private equity, was dit percentage in 2022 met zo’n 10% gestegen. Transacties in de Nederlandse zorgsector worden dus in steeds grotere mate gedomineerd door private equity. In deze blog staan we daarom stil bij de gevolgen van private equity in de zorg.

Wat is private equity?

Private equity is een veelgebruikte verzamelnaam voor investeringen door gespecialiseerde fondsen of bedrijven die in (privé)bedrijven participeren. Investeringsmaatschappijen kopen bedrijven buiten de beurs om op, vaak met als doel om deze in waarde te laten groeien en na een aantal jaar met winst door te verkopen of naar de beurs te brengen.

Waarom is de zorgsector aantrekkelijk?

De zorg lijkt voor private investeerders in eerste instantie niet de meest makkelijke sector om geld in te verdienen. Het is een streng gereguleerde sector en op grond van de Wet toetreding zorgaanbieders (Wtza) zijn er strikte voorwaarden voordat een zorginstelling mag overgaan tot winstuitkering. Tevens ligt er een wetsvoorstel voor de Wet Integere Bedrijfsvoering zorg- en jeugdhulpaanbieders (Wibz) waarin een winstuitkeringsverbod is opgenomen dat mogelijk gehele zorgsoorten uitsluit van winstuitkering.

De zorg is vanouds echter een stabiele sector. De vraag naar zorg blijft veelal op ongeveer hetzelfde niveau en dit maakt de sector aantrekkelijk voor investeerders die willen investeren in een markt zonder te veel schommelingen. De vergrijzing en de toenemende vraag naar zorg bieden daarnaast ook in de toekomst kansen voor stabiele en voorspelbare inkomstenstromen.

Ook zijn er in de zorg nog veel kleine zorgaanbieders actief. Deze worden door investeerders vaak opgekocht, waarna ze worden toegevoegd aan grotere ketens die fondsen in handen hebben.  Als kleine zorgaanbieders samengaan met grotere ketens, kunnen ze de voordelen van grootschaligheid benutten. Dit houdt in dat ze toegang krijgen tot een gecentraliseerd administratief systeem, voordeliger kunnen inkopen en best practices kunnen uitwisselen. Dergelijke integratie kan resulteren in een efficiëntere bedrijfsvoering en lagere operationele kosten.

Tevens bieden innovaties in de zorg een directe en significante impact op de gezondheid en het welzijn van mensen. Dit geeft investeringen in de zorgsector niet alleen een financiële waarde, maar ook een maatschappelijke waarde.

FactFriday Private equity

Twijfel over de gevolgen voor de zorg

Over de toegevoegde waarde van private equity in de zorgsector zijn de meningen echter verdeeld. Critici zijn van mening dat het leveren van zorg en het behalen van rendement niet samengaan, en dat de zorg geen verdienmodel is. Investeerders zouden daarnaast soms fors overbieden om een praktijk binnen te kunnen halen. Om dit geld terug te kunnen verdienen zou flink bezuinigd worden, waardoor men vreest voor een afname in de kwaliteit van de zorg en de zorg steeds duurder wordt.

Voorstanders zijn echter van mening dat het kapitaal van investeerders juist gebruikt kan worden om te investeren in verbetering van de zorg. Private equity brengt ook vaak netwerken en kennis van de markt mee. Door te investeren in innovatieve medische apparatuur, digitale gezondheidsoplossingen zoals telezorg en e-health, en onderzoek en ontwikkeling, kunnen zorgaanbieders hun serviceaanbod verbeteren en betere gezondheidsuitkomsten bereiken. Dit kan leiden tot een hogere patiënttevredenheid en -retentie, wat uiteindelijk resulteert in financiële voordelen voor de zorginstellingen en aantrekkelijke rendementen voor de investeerders.

Ook kan door middel van digitalisering het groeiende personeelstekort in de zorgsector mogelijk opgelost worden. Daarnaast zou private equity een uitkomst kunnen bieden voor  gepensioneerde huisartsen die nu vaak geen opvolger kunnen vinden voor hun praktijk. Steeds minder jonge huisartsen willen praktijkhouder worden, waardoor de continuïteit van huisartsenpraktijken in het geding komt.

Afgelopen jaar heeft Maarten Hijink, destijds kamerlid van de SP, een aantal vragen aan het voormalige kabinet gesteld over de toenemende activiteit van private equity in de zorgsector. Volgens Ernst Kuipers, destijds minister van VWS, bracht de opkomst van private equity in de zorg mogelijk een aantal risico’s met zich mee. Zo moest ervoor gewaakt worden dat het belang van de investeerders niet boven het belang van goede en toegankelijke zorg kwam te staan. Door Kuipers werd echter ook erkend dat acquisitie door private equity voor een prikkel kon zorgen die zou leiden tot meer innovatie in de zorgsector. Het was hierbij voornamelijk van groot belang dat alle partijen in de zorg zich aan de geldende wet- en regelgeving zouden houden.

Toezicht

Toezichthouders en zorgverzekeraars houden de veranderende Nederlandse zorgsector nauwlettend in de gaten om de kwaliteit van de zorg te kunnen garanderen. Zo heeft de Inspectie Gezondheidszorg en Jeugd (IGJ) in april 2023 een aanwijzing gegeven aan de commerciële huisartsenketen Centric Health. De spoedzorg van de huisartsenketens voldeed niet aan de eisen van de Landelijke Huisartsenvereniging, waardoor verbetering noodzakelijk was om nadere maatregelen te voorkomen. Inmiddels voldoen de praktijken weer aan de eisen, of zijn zij niet langer onderdeel van het bedrijf.

Eerder deze maand werd bekend dat de commerciële huisartsenketen Co-Med afgelopen zomer terecht op de vingers is getikt door de IGJ, zo oordeelde de interne bezwarencommissie van het ministerie van VWS. De IGJ greep deze zomer in nadat er klachten waren binnengekomen over de bij de keten aangesloten huisartsenpraktijken. Deze zouden onvoldoende bereikbaar zijn en de zorg zou daarnaast tekortschieten. Hierdoor voldeed Co-Med niet aan de wettelijke normen, waardoor hun patiënten gezondheidsrisico’s liepen. Door de opgelegde aanwijzing kreeg Co-Med een week de tijd om aan de richtlijnen te kunnen voldoen. Indien dit niet zou lukken, werden er boetes opgelegd.

In november 2023 kwam daarnaast naar buiten dat de Nederlandse Zorgautoriteit (NZa) de overname van twee huisartsenpraktijken in Bergen op Zoom door Co-Med had geblokkeerd. De NZa was er niet van overtuigd dat Co-Med na 1 januari 2024 voldoende huisartsenzorg voor patiënten kon garanderen. Twee eerdere overnameplannen van Co-Med bleken daarnaast niet goed te zijn verlopen, volgens de NZa was er destijds echter nog geen juridische grond om de overnames af te wijzen.

Conclusie

De zorgsector in Nederland wordt in steeds grotere mate gedomineerd door private equity. Het is een aantrekkelijke sector voor investeerders die willen investeren in een markt zonder al te veel schommelingen. De meningen over de gevolgen van private equity in de zorg zijn nogal verdeeld. De opkomst van private equity brengt een aantal risico’s met zich mee, maar daarnaast zijn er ook een aantal voordelen te benoemen. Om de kwaliteit in de zorgsector te kunnen blijven garanderen houden toezichthouders en zorgverzekeraars de veranderende zorgsector nauwlettend in de gaten.

Heeft u vragen of wilt u meer informatie? Aarzel dan niet om contact met ons op te nemen!

Jody Esveldt 1

 

 

 

 

 

 
                    [post_title] => Opkomst van private equity in het Nederlandse zorgstelsel
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => opkomst-van-private-equity-in-het-nederlandse-zorgstelsel
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-01-26 09:03:58
                    [post_modified_gmt] => 2024-01-26 08:03:58
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=40792
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [6] => WP_Post Object
                (
                    [ID] => 40108
                    [post_author] => 73
                    [post_date] => 2023-12-08 08:53:50
                    [post_date_gmt] => 2023-12-08 07:53:50
                    [post_content] => Het delen van medische gegevens bij de buitengerechtelijke afhandeling van claims wegens medische aansprakelijkheid blijft een discussiepunt. In een prejudiciële procedure bij de Hoge Raad is duidelijkheid geschapen over de zeggenschap van de patiënt en de geheimhoudingsplicht van artsen en ziekenhuizen. In dit artikel vatten we het arrest samen en staan we kort stil bij de gevolgen.

De feiten

Een patiënte heeft in 2018 een kijkoperatie ondergaan in het Albert Schweitzer ziekenhuis (ASZ), uitgevoerd door een chirurg. Tijdens deze operatie is de darm van patiënte geperforeerd. Patiënte heeft het ASZ aansprakelijk gesteld wegens een medische fout.

Het ASZ heeft patiënte gevraagd een 'medische machtiging' te ondertekenen, zodat haar medische gegevens gedeeld kunnen worden met de medisch adviseur van de aansprakelijkheidsverzekeraar MediRisk.

De advocaat van patiënte heeft laten weten dat patiënte alleen akkoord gaat met het delen van medische informatie met de medisch adviseur. Als anderen, zoals schadebehandelaars, de medische informatie willen verwerken is er vooraf toestemming nodig.

Het ASZ is vervolgens een procedure gestart bij de rechtbank Rotterdam om vast te laten stellen dat het ziekenhuis ook zonder de toestemming van patiënte de benodigde medische gegevens mag delen met MediRisk.

De kernvragen

De rechtbank Rotterdam heeft een prejudiciële procedure bij de Hoge Raad gestart, waarin de vraag centraal staat of het delen van medische gegevens bij de buitengerechtelijke afhandeling van claims zonder toestemming van de patiënt is toegestaan.

Een prejudiciële vraag is een vraag die een rechter in een lopende procedure aan de Hoge Raad stelt, om zo verduidelijking te krijgen over de interpretatie van een wettelijke regel. Dit gebeurt wanneer de Hoge Raad nog geen eerdere uitspraak heeft gedaan over dezelfde vraag. Het stellen van deze vraag moet noodzakelijk zijn om een weloverwogen beslissing te kunnen nemen in een lopende zaak, bovendien moeten deze vragen relevant zijn voor meerdere vergelijkbare zaken.

De kernvragen in deze zaak zijn als volgt: ‘Is het toegestaan voor een medische hulpverlener om medische informatie van de patiënt aan een jurist te verstrekken zonder de toestemming van de patiënt? En als er geen toestemming is verleend, kan de patiënt dan desondanks verwachten dat het ziekenhuis een substantieel standpunt inneemt met betrekking tot zijn vordering?’

Fact Friday medische gegevens 2

Het oordeel van de Hoge Raad

De Hoge Raad komt in het arrest tot het oordeel dat de patiënt zeggenschap behoudt over zijn of haar medische gegevens. De Hoge Raad oordeelde dat het medisch beroepsgeheim eraan in de weg staat dat medische gegevens zonder toestemming van de patiënt worden gedeeld, ook wanneer dit met een jurist van het ziekenhuis of de aansprakelijkheidsverzekeraar is.

Het belang van een zorgvuldige beoordeling van de claim weegt niet zwaar genoeg om de vertrouwelijkheid van medische gegevens en de zeggenschap van de patiënt opzij te zetten.

Tegelijkertijd moet de patiënt met de consequenties van zijn keuze dealen. Als de patiënt weigert toestemming te geven voor het delen van relevante medische gegevens, kan van het ziekenhuis geen standpunt over de aansprakelijkheid worden verlangd.

De Hoge Raad volgt met zijn uitspraak het advies van de Advocaat-Generaal Hartlief.

Wat betekent deze uitspraak voor de praktijk?

De Hoge Raad geeft in het arrest handvatten over de inhoud van een ‘afdoende’ medische machtiging. Daarmee is er meer duidelijkheid gekomen over de juridische kaders voor het delen van medische gegevens bij de buitengerechtelijke afhandeling van claims.

Tegelijkertijd blijft maatwerk vereist gezien de uiteenlopende omstandigheden van het geval. Het creëren van wederzijds vertrouwen tussen patiënt en ziekenhuis blijft daarbij een essentieel aandachtspunt.

Heeft u vragen of wilt u meer informatie aarzel dan niet om contact op te nemen.

Jody Esveldt
                    [post_title] => Moet een patiënt zijn medische gegevens delen bij de afhandeling van een buitengerechtelijke claim?
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => moet-een-patient-zijn-medische-gegevens-delen-bij-de-afhandeling-van-een-buitengerechtelijke-claim
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-12-08 08:54:48
                    [post_modified_gmt] => 2023-12-08 07:54:48
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=40108
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [7] => WP_Post Object
                (
                    [ID] => 39992
                    [post_author] => 73
                    [post_date] => 2023-12-01 09:28:11
                    [post_date_gmt] => 2023-12-01 08:28:11
                    [post_content] => In oktober 2023 velde de Rechtbank Den Haag een belangrijk oordeel over een octrooigeschil tussen de farmaceutische bedrijven Synthon en Novartis. De zaak ging over de geldigheid van een octrooi op een combinatietherapie van twee geneesmiddelen voor de behandeling van hartfalen. Daarbij ging het onder meer om de vraag of voldaan was aan het vereiste van inventiviteit.

Octrooien: de achtergrond

Een octrooi, ook wel patent genoemd, geeft aan de houder van het octrooi een exclusief recht derden te verbieden de geoctrooieerde uitvinding toe te passen. De bescherming van een Nederlands of Europees octrooi duurt, in beginsel 20 jaar.

Niet iedere uitvinding komt voor octrooirechtelijke bescherming in aanmerking. Hiervoor, moet een uitvinding nieuw, inventief en industrieel toepasbaar zijn. Daarnaast moeten ideeën en concepten concreet en specifiek uitgewerkt zijn in de vorm van een product of proces.

Het geschil: inventief genoeg?

Novartis, een wereldwijd opererende farmaceutische onderneming die zich bezighoudt met de ontwikkeling, productie en verhandeling van innovatieve geneesmiddelen, had een octrooi verkregen op de combinatie van de bloeddrukverlager valsartan en de stof sacubitril. Samen bleken ze de symptomen van hartfalen te verlagen.

Op basis van dit octrooi heeft Novartis ook een aanvullend beschermingscertificaat (ABC) verkregen, dat de exclusiviteit voor deze combinatietherapie verlengt tot 2028.

Het Nederlandse farmaceutisch bedrijf Synthon, als producent van generieke geneesmiddelen, heeft belang bij het kunnen aanbieden van een goedkoper generiek alternatief zodra de exclusiviteit van Novartis afloopt. Door het ABC is echter sprake van een langere periode van marktexclusiviteit.

Synthon betwistte de geldigheid van dit octrooi met het argument dat de combinatie van beide stoffen voor een deskundige al voor de hand had gelegen. Volgens de stand van de techniek op de prioriteitsdatum zou deze uitvinding voor de gemiddelde vakpersoon niet inventief zijn en doet hiermee een poging om het ABC ongeldig te laten verklaren.

Synthon meent dus dat ten onrechte octrooibescherming voor liefst 25 jaar is verleend, wat concurrentie door goedkopere alternatieven te lang blokkeert.

Lees ook: Het belang van voortvarende handhaving van octrooirecht

Fact Friday combinatietherapie 

Het oordeel van de rechtbank

De rechtbank gebruikt de Problem Solution Approach om de inventiviteit van het octrooi te beoordelen. Deze benadering omvat drie stappen:

    
 	
  1. Het vaststellen van het "dichtstbijzijnde stand van de techniek", oftewel de technologische kennis die het meest lijkt op de uitvinding in kwestie.
    2. 
 	
  2. Het identificeren van het "objectief technisch probleem" dat de uitvinding oplost, in vergelijking met deze dichtstbijzijnde stand van de techniek.
    3. 
 	
  3. Beoordelen of de voorgestelde oplossing voor dit probleem voor een vakbekwaam persoon niet voor de hand liggend zou zijn, gegeven de stand van de techniek op de prioriteitsdatum van het octrooi.
    4. 


Deze benadering identificeert als kerninnovatie de toevoeging van de NEP-remmer sacubitril aan de monotherapie met valsartan. Volgens de rechtbank was er geen sprake van een specifieke reden om te zoeken naar een combinatietherapie met valsartan.

De rechtbank verwierp het standpunt van Synthon door te oordelen dat weldegelijk sprake was van een inventieve stap. Hoewel combinatietherapieën in het algemeen gangbaar waren, was specifiek deze combinatie van geneesmiddelen niet eerder onderzocht. De eerdere technische kennis suggereerde niet dat deze combinatie succesvol zou zijn in de behandeling van hypertensie en hartfalen.

Volgens vaste rechtspraak van het Europese Octrooibureau is sprake van een uitvinding indien de combinatie meer oplevert dan een simpele optelling van de afzonderlijke effecten. Aan die voorwaarde voor inventiviteit is hier voldaan.

Beide middelen op zichzelf waren ook niet effectief gebleken bij de behandeling van hartfalen. Dat de combinatie wel effectief bleek, was dus een onverwachte en inventieve stap. Voor een vakpersoon was de specifieke combinatie van valsartan en sacubitril niet logischerwijs als voor de hand liggend te beschouwen.

Conclusie 

Deze uitspraak geeft duidelijkheid over de vereiste inventiviteit voor octrooibescherming van een combinatietherapie. Het gaat erom of de specifieke combinatie en het synergistische effect ervan voldoende onverwacht is in het licht van de stand van de techniek voor de gemiddelde vakpersoon. Die voorwaarde achtte de rechtbank hier vervuld.

Deze uitspraak kan de motivatie van farmaceutische bedrijven om innovatief onderzoek te doen naar doeltreffende medicijncombinaties voor de behandeling van complexe aandoeningen versterken. Het biedt hen de essentiële zekerheid dat hun inspanningen beschermd kunnen worden, mits ze voldoen aan de criteria voor octrooirechtelijke bescherming.

Heb je meer vragen over het handhaven van je octrooirecht, of het verweer voeren tegen een claim op basis van een octrooirecht, neem dan contact op met een van onze medewerkers.

Jody Esveldt 1
                    [post_title] => Combinatietherapie: voldoende inventief voor een octrooi?
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => combinatietherapie-voldoende-inventief-voor-een-octrooi
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-12-01 09:28:11
                    [post_modified_gmt] => 2023-12-01 08:28:11
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=39992
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [8] => WP_Post Object
                (
                    [ID] => 39797
                    [post_author] => 73
                    [post_date] => 2023-11-13 16:48:05
                    [post_date_gmt] => 2023-11-13 15:48:05
                    [post_content] => De nieuwe Europese NIS2-richtlijn verplicht bedrijven om passende cybersecurity maatregelen te nemen. Een recente rechterlijke uitspraak over een datalek bij een hogeschool laat zien wat de gevolgen kunnen zijn als je als bedrijf onvoldoende maatregelen neemt. In dit artikel behandelen we de belangrijkste lessen uit deze zaak en de relevantie met de nieuwe NIS2-richtlijn.

De feiten

De oud-student was in 2021 afgestudeerd met enige studievertraging vanwege persoonlijke omstandigheden. In 2022 kreeg de oud-student een bericht dat zijn gegevens zijn gestolen bij een hack.

De applicatie die was gehackt (een webformulier) bevatte niet alleen de algemene persoonsgegevens van de oud-student, maar ook de reden van zijn studievertraging. De oud-student verzocht een schadevergoeding, maar dit wilde de hogeschool niet betalen.

Datalek onder de AVG

Niet iedere datalek levert een inbreuk op de AVG op; van belang is of het beveiligingsniveau passend was ten tijde van de datalek. Dit betekent niet dat alle mogelijke maatregelen getroffen moeten worden.

Van de verwerkersverantwoordelijke, in dit geval de hogeschool, mag verlangd worden dat ze voor een adequate cybersecurity maatregelen treffen die, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, van haar verwacht konden worden (art. 32 lid 1 AVG).

De datalek heeft plaatsgevonden via een veel voorkomende hackmethode, een SQL-injectie. Dit weegt mee in de beoordeling of de hogeschool alle maatregelen heeft getroffen die van haar verwacht werden.

De oud-student heeft betoogd dat er geen sprake was van een adequate cybersecurity nu de gegevens niet versleuteld waren opgeslagen. Ook waren er al langer kwetsbaarheden bekend in het webformulier op de site van de hogeschool.

De hogeschool had op zitting niet concreet of inzichtelijk gemaakt welke veiligheidsmaatregelen zij had getroffen op het betreffende webformulier en/of de achterliggende server. Hierdoor kwam voor de rechter vast te staan dat ze inbreuk heeft gemaakt op grond van de AVG.

Schadevergoeding onder de AVG

In beginsel geeft zowel materiële als immateriële schade een recht op schadevergoeding. Artikel 82 van de AVG regelt het recht op schadevergoeding voor personen die (im)materiële schade hebben geleden als gevolg van een inbreuk op grond van de AVG. In de overwegingen van de AVG wordt bovendien bepaald dat het begrip schade ruim moet worden uitgelegd.

In een eerder artikel schreven we al dat een betrokkene van een datalek niet altijd recht heeft op schadevergoeding. Het schenden van de AVG is niet voldoende om een vordering op schadevergoeding te rechtvaardigen. De betrokkene moet bewijzen dat de door hem/haar ondervonden negatieve gevolgen hebben geresulteerd in (im)materiële schade.

De oud-student heeft volgens de rechter voldoende concreet gemaakt immateriële schade te ondervinden aan de gevolgen van de datalek. De oud-student had in eerste instantie namelijk al moeite met het delen van de gegevens met de hogeschool en maakt zich veel zorgen over het feit dat hij niet weet wat er met zijn gegevens gebeurt. De rechter oordeelde dat dit enkel gold voor de bijzondere persoonsgegevens van de oud-student.

De hoogte van de schadevergoeding

Artikel 82 AVG benadrukt dat de schade volledig en daadwerkelijk moet worden vergoed. Hierbij is de mate van schuld van de verwerkingsverantwoordelijke geen expliciete factor bij het bepalen van de hoogte van de schadevergoeding. Dit oordeelde het Hof van Justitie van Europa in een ander arrest.

De reden van zijn studievertraging bevatte gegevens over de gezondheid van de oud-student. Dit zijn bijzondere persoonsgegevens die naar hun aard een hoger beschermingsniveau verlangen. In dat geval kan eerder worden aangenomen dat sprake is van schade.

Gezien het feit dat het gevoelige (medische) gegevens betreft, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van € 300,00.

Wat betekent dit voor bedrijven in de praktijk? 

Deze uitspraak laat zien dat het voor bedrijven van groot belang is om de cybersecurity op orde te hebben. Indien dit niet op orde is zal schadevergoeding betaald moeten worden aan de betrokkene in geval van een datalek.

Bent u een essentiële of belangrijke entiteit die actief is in de sectoren die onder de NIS2-richtlijn vallen? Bijvoorbeeld een bedrijf in de financiële- of zorgsector dan wel een publiek instelling? Dan gelden binnenkort des te meer strenge regels voor cybersecurity.

Ook brengt niet-naleving van de NIS2-richtlijn hoge boetes en reputatieschade met zich mee. Daarnaast wordt een inbreuk op de AVG sneller aangenomen indien u niet aan de NIS2-richtlijn voldoet. Wacht daarom niet langer met naleving!

Wilt u meer weten over cybersecurity, de NIS2-richtlijn en hoe u deze boetes kunt voorkomen? Lees dit artikel en neem contact op met ons voor een vrijblijvend adviesgesprek. Wij navigeren u door het complexe landschap van NIS2-compliance.

ECLI:NL:RBGEL:2023:5435

Jody Esveldt 1
                    [post_title] => Cybersecurity en datalekken: pas op voor schadevergoedingen en boetes
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => cybersecurity-en-datalekken-pas-op-voor-schadevergoedingen-en-boetes
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-11-13 16:48:05
                    [post_modified_gmt] => 2023-11-13 15:48:05
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=39797
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [9] => WP_Post Object
                (
                    [ID] => 39704
                    [post_author] => 73
                    [post_date] => 2023-11-09 08:56:54
                    [post_date_gmt] => 2023-11-09 07:56:54
                    [post_content] => De digitalisering in de zorg brengt veel voordelen met zich mee, maar ook risico's op het gebied van cybersecurity. Steeds meer medische apparaten, zoals MRI-scanners en infuuspompen, zijn namelijk verbonden met een netwerk en soms zelfs (direct) met het internet. Dit maakt ze kwetsbaar voor cyberaanvallen.

Een succesvolle hack kan leiden tot onjuiste diagnoses, verkeerde behandelingen en zelfs direct levensgevaar voor patiënten. Ook kunnen gevoelige patiëntgegevens gestolen worden. Het is daarom van groot belang dat zorgmedewerkers, maar ook (software)ontwikkelaars en producenten zich bewust zijn van deze risico's en hoe ze hiermee om moeten gaan.

In een eerder artikel schreven we al dat de zorgsector de meest gehackte sector van Nederland is.

Waarom zijn medische apparaten kwetsbaar?

Medische apparatuur is duur en wordt lang gebruikt. Uit het Cybersecurity Dreigingsbeeld en Adviesrapport 2023 van het Nederlandse Pinewood, specialist in cybersecurity, blijkt dat medische apparaten vaak verouderd zijn of verouderde software bevatten met zwakke plekken.

De systemen zijn specifiek en op maat gemaakt, waardoor patches en updates ingewikkeld zijn. Veranderingen in de software kunnen onvoorziene gevolgen hebben omdat standaardtestprocedures mogelijk niet alle specifieke functies of interacties binnen het op maat gemaakte systeem dekken.

Tevens is het moeilijk om de fysieke toegang tot apparaten te beperken, denk aan medische apparaten in openbare ruimtes waarbij snelle toegang in medische noodsituaties cruciaal is.

Wat zijn de risico’s?

Er zijn verschillende risico’s als er een cyberaanval plaatsvindt op een medisch apparaat:

    
 	
  • Verkeerde diagnoses en behandelingen door gemanipuleerde meetgegevens.
    • 
 	
  • Direct gevaar voor patiënten als apparaten worden uitgeschakeld of verkeerd worden ingesteld.
    • 
 	
  • Diefstal van vertrouwelijke patiëntgegevens.
    • 
 	
  • Mogelijkheid voor hackers om via de apparaten verder binnen te dringen in het ziekenhuisnetwerk.
    • 



NIS2

Met de aankomende NIS2-richtlijn worden hogere eisen gesteld aan risicoanalyses, preventieve maatregelen, beleid en security monitoring. Tevens verhoogt de richtlijn de aansprakelijkheid van organisaties in het geval ze het slachtoffer worden van cyberaanvallen. Bij nalatigheid kunnen zij onderworpen worden aan aanzienlijke boetes en andere sancties.

Hoe kan een zorginstelling bijdragen aan een betere beveiliging?


    
 	
  • Wees terughoudend met het aansluiten van medische apparaten op het ziekenhuisnetwerk of internet, tenzij dit echt noodzakelijk is.
    • 
 	
  • Laat, als het kan, periodiek kwetsbaarheidsscans uitvoeren op apparatuur om risico's in kaart te brengen.
    • 
 	
  • Spreek collega's aan op onveilige omgang met medische apparaten en meld security-incidenten direct.
    • 
 	
  • Stel interne richtlijnen op voor veilig gebruik van medische apparatuur.
    • 
 	
  • Wees terughoudend met het delen van inloggegevens van apparaten en gebruik waar mogelijk sterke wachtwoorden.
    • 
 	
  • Sta open voor bewustwordingstrainingen over het belang van cybersecurity.
    • 



Conclusie 

In een periode waarin zorgorganisaties toenemend doelwit zijn van cyberaanvallen, is verbetering van de cybersecurity onmisbaar. Bij BG.legal adviseren we u graag over het navigeren in het continu evoluerende veld van zorg gerelateerde cybersecurity.

Contacteer ons vandaag nog voor een eenmalige NIS2-complaince check en kom erachter hoe we de cyberweerbaarheid van uw zorginstelling kunnen vergroten. Voorkom boetes en reputatieschade en plan via onderstaande link een meeting in. Wij zijn er om u te helpen door het complexe landschap van NIS2-compliance te navigeren.

Heeft u vragen neem contact op met Jody Esveldt.

Jody Esveldt 1
                    [post_title] => Medische apparaten een groot risico voor de cybersecurity
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => medische-apparaten-een-groot-risico-voor-de-cybersecurity
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-06-03 12:18:34
                    [post_modified_gmt] => 2024-06-03 10:18:34
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=39704
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

        )

    [post_count] => 10
    [current_post] => -1
    [before_loop] => 1
    [in_the_loop] => 
    [post] => WP_Post Object
        (
            [ID] => 41469
            [post_author] => 73
            [post_date] => 2024-03-07 16:30:59
            [post_date_gmt] => 2024-03-07 15:30:59
            [post_content] => Recentelijk heeft het Europees Hof van Justitie uitspraak gedaan over een kwestie binnen de online advertentiewereld. De rechtszaak draaide om de vraag of IAB Europe, de koepelorganisatie achter het veel gebruikte Transparancy & Consent Framework (TCF), kan worden aangemerkt als een verwerkingsverantwoordelijke onder de Algemene Verordening Gegevensbescherming (AVG).

Wat is het Transparency & Consent Framework?

Het TCF is een systeem ontwikkeld door IAB Europe om websites en advertentiebedrijven te helpen voldoen aan de AVG bij het verkopen van advertentieruimte via geautomatiseerde online veilingen (het zgn. real-time bidding systeem). Telkens wanneer een gebruiker een website bezoekt, verschijnt er een cookiebanner waarin toestemming wordt gevraagd voor het plaatsen van advertentiecookies. De gebruikersvoorkeuren worden vastgelegd in een unieke TC-tekenreeks die wordt gedeeld met alle partijen in het advertentienetwerk.

Persoonsgegeven of niet?

De kernvraag is of deze TC-tekenreeks, al dan niet in combinatie met het IP-adres, kan worden aangemerkt als een persoonsgegeven onder de AVG. IAB Europe betwist dit, omdat de tekenreeks niet uniek is voor één gebruiker en IAB zelf geen toegang heeft tot de verwerkte persoonsgegevens van haar leden. De Belgische Gegevensbeschermingsautoriteit (GBA) oordeelde echter dat de TC-tekenreeks weldegelijk een persoonsgegeven is en dat IAB Europe als verwerkingsverantwoordelijke optreedt.

Verwerkingsverantwoordelijke?

Indien IAB Europe inderdaad als een verwerkingsverantwoordelijke wordt gekwalificeerd, brengt dit verstrekkende verplichtingen met zich onder de AVG, zoals het hebben van een rechtmatige grondslag, naleving van de transparantievereisten, uitvoeren van gegevensbeschermingseffectbeoordeling, etc. De GBA heeft namelijk vastgesteld dat IAB Europe hier niet aan voldeed en heeft een boete van € 250.000 opgelegd.

Gerechtvaardigd belang?

Deze zaak is ook in hoge mate relevant voor de discussie rond toestemming en het gerechtvaardigd belang als rechtsgrondslagen onder de AVG voor de verwerking van persoonsgegevens in de online reclamesector.

De GBA stelde dat de gebruikerstoestemmingen die via het TCF worden verkregen onvoldoende specifiek, geïnformeerd en granulair zijn om als rechtsgeldige toestemming te kunnen gelden onder de AVG.

Daarnaast oordeelde de Geschillenkamer dat het gerechtvaardigd belang van de Adtech-bedrijven die deelnemen aan het TCF, niet opweegt tegen de privacybelangen van gebruikers gezien de massale en ingrijpende verwerkingen van gebruikersgegevens die hier plaatsvinden. Dit riep de fundamentele vraag op of gerechtvaardigd belang überhaupt een geldige grondslag kan zijn voor gerichte reclame op deze schaal.

De uitspraak: TC-rekenreeks = persoonsgegeven

Het Hof van Justitie heeft bevestigd dat de TC-tekenreeks informatie bevat over een identificeerbare gebruiker, en daarom een persoonsgegeven is in de zin van de AVG. Wanneer de informatie in een TC-tekenreeks wordt gekoppeld aan een identificator, zoals het IP-adres van het toestel van de gebruiker, kan die informatie het namelijk mogelijk maken om een profiel van die gebruiker te maken en hem of haar te identificeren.

Dit geldt ook voor andere, vergelijkbare letter- en tekenreeksen die gebruikersvoorkeuren bevatten met betrekking tot hun toestemming voor de verwerking van hun persoonsgegevens door website- en app-aanbieders, makelaars in persoonsgegevens en reclameplatformen.

Het maakt hiervoor niet uit dat een sectororganisatie die over de tekenreeks beschikt, zoals de IAB, zonder externe medewerking geen toegang heeft tot de gegevens verwerkt door haar leden (binnen de door haar vastgestelde standaarden) en zij deze niet kan koppelen aan andere gegevens.

De uitspraak: IAB = gezamenlijke verwerkingsverantwoordelijke

Bovendien moet IAB Europe volgens het Hof worden beschouwd als een “joint controller” (oftewel: een gezamenlijke verwerkingsverantwoordelijke) in de zin van de AVG, wat betreft de opslag van gebruikersvoorkeuren in een TC-tekenreeks volgens de door haar opgestelde standaard.

Dit staat los van de latere verwerkingsactiviteiten van persoonsgegevens door bedrijven en derden op basis van deze voorkeuren, zoals het doorsturen van gegevens aan derden of het doen van gepersonaliseerde reclameaanbiedingen, waarvoor IAB in principe niet automatisch verantwoordelijk is.

IAB's verantwoordelijkheid als gezamenlijke verwerkingsverantwoordelijke is gebaseerd op haar invloed op de vaststelling van de doeleinden en middelen van de gegevensverwerking, ondanks dat ze niet direct toegang heeft tot de verwerkte persoonsgegevens binnen haar standaard. Deze gezamenlijke verantwoordelijkheid strekt zich niet automatisch uit tot latere verwerkingen door derden. Een sectororganisatie, zoals IAB, is slechts verantwoordelijk voor dergelijke latere verwerkingen indien vaststaat dat zij invloed uitoefent op de vaststelling van het doel van die verwerkingen en van de wijze waarop deze worden verricht.

Relevantie voor de praktijk: land-mark case

Nu is bevestigd dat de TC-tekenreeks een persoonsgegeven is, zal dit de dynamiek binnen de advertentie industrie ingrijpend wijzigen. Websites en advertentiebedrijven zullen hun toestemmingsvragen aan gebruikers waarschijnlijk moeten herzien om aan de AVG-vereisten te (blijven) voldoen.

De zaak illustreert dat het concept "persoonsgegeven" onder de AVG een erg ruime en dynamische invulling krijgt, waarbij zelfs ogenschijnlijk niet-identificeerbare onlinecodes hieronder kunnen vallen. Dit toont het toenemend belang aan van privacy en gegevensbescherming in de digitale economie.

Deze zaak heeft de afgelopen tijd al veel aandacht gekregen omdat ze nauw aansluit bij de Breyer-precedenten van het Europees Hof uit 2016 over de reikwijdte van het concept “persoonsgegeven” en wanneer niet-direct identificerende gegevens toch als persoonsgegevens kunnen worden aangemerkt. In die zaak oordeelde het Hof dat dynamische IP-adressen onder bepaalde voorwaarden als persoonsgegevens kunnen kwalificeren voor een websitebeheerder.

Relevantie voor de praktijk: gerechtvaardigd belang

Aangezien het Hof IAB Europe in beginsel heeft bestempeld als gezamenlijke verwerkingsverantwoordelijke, dient zij over een rechtsgeldige grondslag te beschikken voor het vastleggen en doorgeven van de toestemmings- en bezwaarvoorkeuren van gebruikers via de TC-tekenreeksen. Dit geldt ook voor andere, vergelijkbare sectororganisaties.

Heeft u vragen over wat dit voor u betekent in de praktijk? Neem dan contact op met Jody Esveldt.

Jody Esveldt 1
            [post_title] => EU-vonnis schudt cookie-praktijken op: nieuwe uitdagingen voor online adverteerders
            [post_excerpt] => 
            [post_status] => publish
            [comment_status] => open
            [ping_status] => open
            [post_password] => 
            [post_name] => eu-vonnis-schudt-cookie-praktijken-op-nieuwe-uitdagingen-voor-online-adverteerders
            [to_ping] => 
            [pinged] => 
            [post_modified] => 2024-03-08 10:26:23
            [post_modified_gmt] => 2024-03-08 09:26:23
            [post_content_filtered] => 
            [post_parent] => 0
            [guid] => https://bg.legal/?p=41469
            [menu_order] => 0
            [post_type] => post
            [post_mime_type] => 
            [comment_count] => 0
            [filter] => raw
        )

    [comment_count] => 0
    [current_comment] => -1
    [found_posts] => 59
    [max_num_pages] => 6
    [max_num_comment_pages] => 0
    [is_single] => 
    [is_preview] => 
    [is_page] => 
    [is_archive] => 1
    [is_date] => 
    [is_year] => 
    [is_month] => 
    [is_day] => 
    [is_time] => 
    [is_author] => 
    [is_category] => 
    [is_tag] => 
    [is_tax] => 1
    [is_search] => 
    [is_feed] => 
    [is_comment_feed] => 
    [is_trackback] => 
    [is_home] => 
    [is_privacy_policy] => 
    [is_404] => 
    [is_embed] => 
    [is_paged] => 1
    [is_admin] => 
    [is_attachment] => 
    [is_singular] => 
    [is_robots] => 
    [is_favicon] => 
    [is_posts_page] => 
    [is_post_type_archive] => 
    [query_vars_hash:WP_Query:private] => 9e210521b0bc65eaba944f50169dad91
    [query_vars_changed:WP_Query:private] => 1
    [thumbnails_cached] => 
    [allow_query_attachment_by_filename:protected] => 
    [stopwords:WP_Query:private] => 
    [compat_fields:WP_Query:private] => Array
        (
            [0] => query_vars_hash
            [1] => query_vars_changed
        )

    [compat_methods:WP_Query:private] => Array
        (
            [0] => init_query_flags
            [1] => parse_tax_query
        )

    [tribe_is_event] => 
    [tribe_is_multi_posttype] => 
    [tribe_is_event_category] => 
    [tribe_is_event_venue] => 
    [tribe_is_event_organizer] => 
    [tribe_is_event_query] => 
    [tribe_is_past] => 
    [tribe_controller] => Tribe\Events\Views\V2\Query\Event_Query_Controller Object
        (
            [filtering_query:Tribe\Events\Views\V2\Query\Event_Query_Controller:private] => WP_Query Object
 *RECURSION*
        )

)

EU-vonnis schudt cookie-praktijken op: nieuwe uitdagingen voor online adverteerders
07 mrt 2024
Jody Esveldt
Recentelijk heeft het Europees Hof van Justitie uitspraak gedaan over een kwestie binnen de online advertentiewereld. De rechtszaak draaide om de vraag of IAB Europe, de koepelorganisatie achter het veel...
Lees meer

Update: het gebruik van ChatGPT in de zorg
28 feb 2024
Jody Esveldt
In de zorg wordt steeds meer gebruik gemaakt van kunstmatige intelligentie (ook wel AI genoemd). Eerder schreven we al over de mogelijkheden van AI, zoals ChatGPT, voor je dagelijkse praktijk...
Lees meer

AVG-boete van AP wegens wifi-tracking door gemeente ongegrond?
13 feb 2024
Jody Esveldt
De rechtbank Overijssel deed onlangs uitspraak in een privacy kwestie tussen de Autoriteit Persoonsgegevens en de gemeente Enschede. De gemeente zou door middel van wifi-tracking beginselen uit de Algemene Verordening...
Lees meer

Wanneer classificeert uw product als een medisch hulpmiddel?
07 feb 2024
Jody Esveldt
Het lijkt een vrij simpele vraag, toch is het beantwoorden hiervan vrij complex. Waar moet u beginnen? Naar welke regelgeving moet u kijken? In onderstaand artikel geven we een overzicht...
Lees meer

Wanneer kan een verslaving aanleiding vormen voor gedwongen opname?
29 jan 2024
Jody Esveldt
Verslavingen gaan vaak gepaard met ernstige medische en sociale problematiek. In sommige gevallen is een opname noodzakelijk om een verslaafde goed te kunnen helpen, ook al is dit tegen de...
Lees meer

Opkomst van private equity in het Nederlandse zorgstelsel
26 jan 2024
Jody Esveldt
Inleiding De afgelopen jaren is private equity steeds actiever geworden op de zorgmarkt en is er veel te doen over dit onderwerp. Waar in 2019 nog ongeveer de helft van...
Lees meer

Moet een patiënt zijn medische gegevens delen bij de afhandeling van een buitengerechtelijke claim?
08 dec 2023
Jody Esveldt
Het delen van medische gegevens bij de buitengerechtelijke afhandeling van claims wegens medische aansprakelijkheid blijft een discussiepunt. In een prejudiciële procedure bij de Hoge Raad is duidelijkheid geschapen over de...
Lees meer

Combinatietherapie: voldoende inventief voor een octrooi?
01 dec 2023
Jody Esveldt
In oktober 2023 velde de Rechtbank Den Haag een belangrijk oordeel over een octrooigeschil tussen de farmaceutische bedrijven Synthon en Novartis. De zaak ging over de geldigheid van een octrooi...
Lees meer

Cybersecurity en datalekken: pas op voor schadevergoedingen en boetes
13 nov 2023
Jody Esveldt
De nieuwe Europese NIS2-richtlijn verplicht bedrijven om passende cybersecurity maatregelen te nemen. Een recente rechterlijke uitspraak over een datalek bij een hogeschool laat zien wat de gevolgen kunnen zijn als...
Lees meer

Medische apparaten een groot risico voor de cybersecurity
09 nov 2023
Jody Esveldt
De digitalisering in de zorg brengt veel voordelen met zich mee, maar ook risico's op het gebied van cybersecurity. Steeds meer medische apparaten, zoals MRI-scanners en infuuspompen, zijn namelijk verbonden...
Lees meer

Seminar

  • Vastgoed evenement

    Lees meer

  • Bagels & Regels - Flexibele arbeidsrelaties in 2025

    Lees meer