Nee. De verwerking van persoonsgegevens moet gebaseerd zijn op één van de grondslagen die worden genoemd in de AVG. Voor de gezondheidszorg is de voornaamste grondslag dat het verwerken van persoonsgegevens noodzakelijk is voor de uitvoering van een behandelingsovereenkomst. Daarbij komt dat zorgverleners vanuit een andere wet, de WGBO, verplicht zijn om een medisch dossier bij te houden als er sprake is van een behandelingsovereenkomst.

Je kunt dus stellen dat de zorgverlener persoonsgegevens van de patiënt, waaronder bijzondere persoonsgegevens zoals medische gegevens, mag verwerken  op basis van de uitvoering van een behandelingsovereenkomst. Daar is geen specifieke toestemming van de patiënt voor nodig.

Dit geldt echter alleen zolang de gegevens worden verwerkt door de verantwoordelijke of door een (sub)verwerker. Zodra de gegevens worden uitgewisseld met een andere  partij, moet de patiënt daar wel uitdrukkelijke toestemming voor geven. Dit doe je door in tabblad ‘3. Bijzonderheden’ van de patiëntkaart de toestemming per partij te registreren.