Privacy in de Zorg: Klaar voor 2020? | Audittrail, jouw partner in compliance
Privacy in de zorg: Klaar voor 2020?
04 juli 2019 
in Privacy

Privacy in de zorg: Klaar voor 2020?

Algemene verordening gegevensbescherming

Veel zorginstellingen hebben het toepassen van de Algemene verordening gegevensbescherming (AVG) aangevlogen als een project. Een projectgroep samen met de (verplichte) functionaris gegevensbescherming (FG) én documentatie vormen de kern van het project. De focus van het project AVG lag vooral op de privacy van de patiënt, maar door deze focus werd de privacy van de werknemer vaak vergeten. Door tijdsgebrek en het niet goed op orde hebben van de privacy van patiënten bleven veel zorginstellingen achter de feiten aanlopen. Met het oog op de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, waarvan het laatste deel op 1 juli 2020 van kracht zal worden, is het belangrijk privacy niet langer als een tijdelijk project aan te pakken maar als een doorlopend programma onderdeel te maken van de organisatie.  

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Wat gaat er eigenlijk veranderen in de wet? Cliënten krijgen meer zeggenschap over welke gegevens beschikbaar worden gesteld via het elektronisch uitwisselingssysteem en welke zorgaanbieder deze gegevens kan inzien. Alleen na het geven van specifieke, voorafgaande en uitdrukkelijke toestemming mogen de patiëntgegevens (via het elektronisch uitwisselingssysteem) beschikbaar worden gesteld voor andere zorgaanbieders. Deze toestemming moet door de zorgaanbieder worden geregistreerd. Cliënten mogen deze toestemming ook tussentijds wijzigen, mocht er bijvoorbeeld een nieuwe zorgaanbieder aansluiten bij het elektronisch uitwisselingssysteem. Bovendien krijgen cliënten ook inzicht in logging in het systeem en geldt voor zorgverzekeraars, keuringsartsen, bedrijfsartsen en verzekeringsartsen een verbod op inzage in het elektronisch uitwisselingssysteem.  

Besluit elektronische gegevensverwerking door zorgaanbieders

Per 1 januari 2018 is het Besluit elektronische gegevensverwerking door zorgaanbieders (hierna: het Besluit) in werking getreden. De technische, organisatorische en functionele eisen aan het elektronisch uitwisselingssysteem zijn in dit besluit opgenomen. Net zoals bij de AVG is de Autoriteit Persoonsgegevens ook toezichthouder op het Besluit.  

Onpraktisch?

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het Besluit blijken in de praktijk nog niet werkbaar. De wetten zijn bedoeld om digitale gegevensuitwisseling via systemen een snelle en pragmatische oplossing te laten zijn voor problemen waar professionals in de praktijk tegenaan lopen. Denk hierbij aan het faxen of mailen van patiëntgegevens. Zoals de wet nu is, zal dit in de praktijk meer werk met zich meebrengen. Zorginstellingen moeten namelijk specifieke, voorafgaande en uitdrukkelijke toestemming vragen aan de patiënt voordat ze gegevens aan andere zorgpartijen beschikbaar mogen stellen via het elektronisch uitwisselingssysteem. 

Zoals minister Bruins van Volksgezondheid, Welzijn en Sport in zijn brief van 9 april 2019 aan de Tweede Kamer stelde, mogen patiëntgegevens zonder deze toestemming niet beschikbaar worden gesteld in het elektronisch uitwisselingssysteem. Ook niet in acute situaties. De uitzondering die in de Wet op de geneeskundige behandelingsovereenkomst (WGBO) is opgenomen, namelijk dat toestemming niet nodig is bij een behandelrelatie, geldt niet. De minister van Volksgezondheid, Welzijn en Sport pleit in deze brief voor een aanpassing van het Besluit, zodat de elektronische uitwisseling en het elektronisch beschikbaar stellen van patiëntgegevens niet wordt bemoeilijkt door de wet. ­­

Privacy van cliënten is erg belangrijk en medische gegevens worden in de AVG als bijzondere persoonsgegevens aangemerkt. Het is belangrijk dat zorginstellingen de implicaties van deze wet serieus nemen. Om een goede start te maken met het privacyprogramma is een benchmark van de huidige situatie een goed startpunt. Wat heeft u met het privacyproject opgebouwd en hoe ver bent u hiermee? Wat zijn de belangrijkste vervolgstappen voor de organisatie? Met nog een jaar te gaan tot 1-7-2020 wordt het hoog tijd serieus werk te maken van privacy.

Reactie plaatsen