Een zorgverlener die aan anderen elektronisch informatie wil verstrekken over een patiënt heeft daarvoor eerst toestemming nodig van de patiënt of diens vertegenwoordiger.
Gegevens over iemands gezondheid zijn gevoelig. De Algemene verordening gegevensbescherming (AVG) bepaalt dan ook dat dit bijzondere persoonsgegevens zijn. En dat organisaties deze gegevens alleen mogen gebruiken als aan bijzondere voorwaarden wordt voldaan. Deze voorwaarden zijn verder uitgewerkt in de Uitvoeringswet AVG (UAVG).
Persoonsgegevens zijn alle gegevens waarmee je een persoon direct kunt identificeren, of waarmee je dat met moeite kunt herleiden. Bekende voorbeelden zijn naam, adres, geboortedatum en -plaats, foto en e-mailadres, patiëntnummer en BSN-nummer.
Mensen die vanwege hun beroep met medische gegevens werken, zijn gebonden aan een geheimhoudingsplicht. Dat betekent dat zij in principe geen gegevens van een patiënt aan anderen mogen verstrekken. Als een zorgverlener een patiënt doorverwijst of binnen een MDO bespreekt dan mag toestemming van de patiënt over de uitwisseling van informatie worden verondersteld. Hiervoor gelden wel voorwaarden:
- De patiënt moet van tevoren goed zijn geïnformeerd over de hulpverleners die over zijn/haar gegevens moeten kunnen beschikken wanneer dat noodzakelijk is voor een goede diagnostiek en/of behandeling.
- Het moet voor de patiënt duidelijk zijn dat alleen noodzakelijke gegevens voor concrete zorgdoeleinden worden verstrekt.
- De patiënt heeft geen bezwaar gemaakt.
Wat moet er gebeuren?
- Voorwaarden betreffende de uitwisseling van informatie moeten bekend en beschikbaar zijn.
- Een proces voor vragen en archiveren van gegeven toestemming moet beschikbaar zijn.
Wie zijn er nodig?
- functionaris gegevensbescherming
- privacy officer
- security officer
Wat zijn de belangrijkste to-do’s?
- Zorgdragen dat het elektronisch uitwisselingssysteem voldoet aan de veiligheids- en zorgvuldigheidseisen van de NEN 7510 (deel 1 en deel 2) norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg.
- Zorgdragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN 7512.
- Het vastleggen van beleid, procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen. Dit kan door middel van data protection impact assessments (DPIA’s).
- Specificeren van de plichten en de daaraan verbonden vereisten in de zorgprocessen van alle organisaties in de keten. De functionaris gegevensbescherming kan hierover advies geven.
Meer weten?
- In de factsheet over de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz vind je informatie over de rechten van de patiënt, de plichten van de patiënt en vooral de plichten van de zorgverlener met betrekking tot elektronische verwerking, inzage en afschrift van gegevens en het medische dossier.
- In de factsheet over toestemmingen voor het uitwisselen van medische gegevens tussen zorgverleners staat beschreven wanneer toestemming vereist is bij uitwisseling van cliëntgegevens en wat rechtsgeldige toestemming betekent. Ook worden de uitzonderingen op deze toestemming vereisten weergegeven, waaronder veronderstelde toestemming (van belang in de ketenzorg). Belangrijk om rekening mee te houden: de factsheet gaat niet in op de toestemming die de patiënt moet geven voor het uitvoeren van een medische behandeling, oftewel het informed consent (art. 7:450 BW).
- Deel 4 van het eindrapport: Van wet naar praktijk. Implementatie van de WGBO (2004), gaat in op de mogelijkheden en beperkingen van het verlenen van toegang tot patiëntgegevens.
- Meer informatie kun je vinden in de Gedragscode Elektronische Gegevensuitwisseling in de zorg (EGiZ) en de samenvatting Deze is door de koepels opgesteld. De EGiZ bundelt de bestaande regels voor gegevensuitwisseling en helpt zorgverleners met de naleving. Het bevat dus geen extra regels.
- In deze richtlijn van de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) vind je meer informatie over hoe om te gaan met medische gegevens.
- Op de website van de autoriteit persoonsgegevens lees je meer over de Algemene Verordening Gegevensbescherming (AVG).