Zorgaanbieders verwerken in toenemende mate gegevens digitaal. Medische informatie wordt in de regel in digitale dossiers vastgelegd. En digitale uitwisselingen van patiëntgegevens tussen zorgaanbieders is tegenwoordig niet meer weg te denken. Denk bijvoorbeeld aan het Landelijk Schakelpunt (LSP). Een zorgvuldige omgang met de veelal gevoelige en medische persoonsgegevens van patiënten is van belang. De elektronische verwerking en uitwisseling van persoonsgegevens valt daarom onder meer onder de regels van de Wet algemene bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). De Wabvpz kent sinds 1 juli 2020 een aantal nieuwe regels.
Juridisch kader persoonsgegevensverwerkingen in de zorg
Zorgaanbieders die op elektronische wijze persoonsgegevens verwerken en uitwisselen hebben te maken met een veelheid van wet- en regelgeving. Allereerst dienen zorgaanbieders zich te houden aan de Algemene Verordening Gegevensbescherming (AVG) die in de basis de kaders voor de persoonsgegevensverwerkingen bepaalt. Zorgaanbieders hebben ook te maken met specifieke bepalingen uit de Wet op de geneeskundige behandelingsovereenkomst (WGBO). De WGBO bevat bijvoorbeeld regels over het medisch beroepsgeheim en het recht op inzage van de patiënt in zijn medisch dossier.
Daarnaast is ten aanzien van elektronische verwerkingen van persoonsgegevens in de zorg de Wabvpz relevant. De Wabvpz regelt onder andere de voorwaarden voor de elektronische gegevensuitwisseling in de zorg met andere zorgaanbieders en het gebruik van (al dan niet interne) elektronische informatiesystemen. In het Besluit elektronische gegevensverwerking door zorgaanbieders worden er nadere eisen aan de beveiliging van dergelijke elektronische systemen gesteld.
De hiervoor genoemde wet- en regelgeving is niet uitputtend bedoeld. Afhankelijk van de specifieke situatie bij de zorgaanbieder kunnen er ook andere en/of aanvullende regels gelden.
Wabvpz en elektronische gegevensuitwisselingen
De Wabvpz is op 1 juli 2017 in werking getreden. Sindsdien geldt onder meer voor zorgaanbieders de verplichting om de patiënt om uitdrukkelijke toestemming te vragen voor het beschikbaar stellen van medische gegevens via een elektronisch uitwisselingssysteem, zoals het LSP. Via een dergelijk uitwisselingssysteem kunnen andere zorgaanbieders, die op dat systeem zijn aangesloten, immers de medische gegevens van de patiënt raadplegen. De zorgaanbieder dient bij het vragen van toestemming de patiënt te informeren over zijn rechten bij de elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronisch uitwisselingssysteem.
Deze verplichting om uitdrukkelijke toestemming te vragen is overigens alleen verplicht bij het zogeheten ‘pull-verkeer’. Dat betekent dat de zorgaanbieder patiëntgegevens via een elektronisch uitwisselingssysteem ter beschikking stelt aan andere zorgaanbieders. Vooraf is nog niet bekend wie die andere zorgaanbieders zijn. Ook hebben die andere zorgaanbieders niet altijd een behandelrelatie met de patiënt. Bij ‘push-verkeer’ worden de patiëntgegevens daarentegen gericht toegezonden aan een andere zorgaanbieder met het oog op een (beoogde) behandelrelatie. Denk aan een doorverwijzing van de patiënt. Bij dergelijk push-verkeer wordt de toestemming van de patiënt op grond van de WGBO verondersteld en hoeft deze dus niet alsnog aan de patiënt te worden gevraagd.
Nieuwe verplichtingen Wabvpz
Bij de inwerkingtreding van de Wabvpz is bepaald dat een aantal bepalingen pas per 1 juli 2020 van toepassing zullen zijn.
Elektronische inzage en afschriften
Allereerst hebben patiënten het recht om op elektronische wijze inzage in of afschrift van het patiëntendossier in een elektronisch uitwisselingssysteem te krijgen. Patiënten hebben eveneens recht op elektronische inzage in medicatiegegevens bij de apotheker. Zorgaanbieders dienen daarin kosteloos te voorzien zodra zij een dergelijk verzoek van de patiënt krijgen. Dit inzagerecht uit de Wabvpz is, indien het gaat om elektronische uitwisselingssystemen, aanvullend op het reeds bestaande inzagerecht die patiënten op grond van de WGBO hebben.
Zorgaanbieders die gebruik maken van een elektronisch uitwisselingssysteem dienen er derhalve voor te zorgen dat elektronische inzage en afschriften bij dit systeem mogelijk is. Er kan bijvoorbeeld gebruik worden gemaakt van een elektronisch patiëntenportaal, het verstrekken van een USB-stick of door de patiënt op de locatie van de zorgaanbieder mee te laten kijken in het systeem. Uiteraard dient de zorgaanbieder er in dat kader voor te zorgen dat de inzage en het verstrekken van afschriften veilig en zorgvuldig plaats vindt. Daarbij kunnen bijvoorbeeld de in het Besluit elektronische gegevensverwerking door zorgaanbieders verplicht gestelde normen NEN 7510 of NEN 7512 van belang zijn.
Afschrift van logging
In de tweede plaats heeft de patiënt het recht om te weten wie bepaalde informatie op welke datum via het elektronisch uitwisselingssysteem beschikbaar heeft gesteld en wie op welke datum informatie heeft ingezien of opgevraagd. De zorgaanbieder dient op verzoek van de patiënt in het afschrift van het patiëntendossier eveneens kosteloos een afschrift van de logging te overleggen. Derhalve dient het elektronisch uitwisselingssysteem van de zorgaanbieder zodanig te zijn ingericht dat dergelijke loggingsgegevens worden vastgelegd. De logging van een dergelijk elektronisch systeem dient op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders te voldoen aan de norm NEN 7513.
Gespecificeerde toestemming
In eerste instantie zou per 1 juli 2020 ook de verplichting van kracht worden dat patiënten hun uitdrukkelijke toestemming – voor het beschikbaar stellen van hun medische gegevens via een elektronisch uitwisselingssysteem – gespecificeerd moeten kunnen geven. Oftewel, dat patiënten specifiek moeten kunnen aangeven welke gegevens er precies mogen worden gedeeld en welke andere zorgaanbieders daartoe toegang mogen hebben. De zorgaanbieders zouden in dat kader eveneens een registratie moeten bijhouden van de door de patiënten gegeven toestemmingen. De praktische uitvoering van deze verplichtingen bleek echter complex te zijn. De minister voor Medische Zorg heeft daarom besloten om deze verplichtingen vooralsnog niet in te voeren.
Wat betekent de Wabvpz voor zorgaanbieders?
Zorgaanbieders die gebruik maken van een elektronisch uitwisselingssysteem, moeten mogelijk aanpassingen (laten) doorvoeren in hun systemen. Dit systeem moet immers kunnen voorzien in elektronische inzage in en afschriften van het patiëntendossier zodra de patiënt daar om verzoekt. Ook dient dit systeem te worden gelogd, waarbij de patiënt op zijn verzoek een overzicht van de loggingsgegevens dient te kunnen verkrijgen. Bij de aanpassing en inrichting van het elektronisch uitwisselingssysteem dient – naast de Wabvpz – rekening te worden gehouden met onder meer de eisen uit hoofde van de AVG, de WGBO en het Besluit elektronische gegevensverwerking door zorgaanbieders. Het is zaak om de inzage- en afschriftprocedures uit hoofde van de Wabvpz in overeenstemming te brengen met de overige wet- en regelgeving.