ICT infrastructuur

Elektronische verwerking van gegevens; de verplichtingen per 1 juli 2020

Eind vorig jaar heb ik op dit platform een juridische beschouwing geschreven met betrekking tot de elektronische verwerking van gegevens door zorgaanbieders.

In deze beschouwing werden de juridische gevolgen van de toenemende elektronische verwerking van gegevens uiteengezet.

Een van die gevolgen is het feit dat de ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’ is en wordt aangevuld met nieuwe wetsartikelen die de rechten en plichten rondom de elektronische verwerking van gegevens regelen. Over een jaar – op 1 juli 2020 – zullen de ‘laatste’ vier artikel(leden) in werking treden. Om die reden zal ik nog eens kort de huidige en toekomstige verplichtingen nader beschouwen.

Nieuwe wetsartikelen per 1 juli 2017

In hoofdstuk 3a ‘Elektronische verwerking van gegevens’ van voornoemde wet zijn de huidig geldige wetsartikelen opgenomen.[1] Zoals in mijn eerdere blog uiteen is gezet bepalen de huidige artikelen onder meer dat een zorgaanbieder verplicht is vast te stellen of de patiënt uitdrukkelijke toestemming heeft verleend voor het beschikbaar stellen van zijn/haar gegevens via een elektronisch uitwisselingssysteem.[2] Daarnaast dient de zorgaanbieder de patiënt te informeren over zijn/haar rechten en de wijze waarop deze rechten kunnen worden uitgeoefend. Tevens dient de zorgaanbieder de patiënt te informeren over de werking van het elektronisch uitwisselingssysteem en als er nieuwe categorieën van zorgaanbieders worden aangesloten bij het elektronisch uitwisselingssysteem, moet de patiënt worden gewezen op het feit dat hij de eerder verleende toestemming kan aanpassen of intrekken.

Overigens is in de wet ook bepaald dat zorgverzekeraars, keuringsartsen, bedrijfsartsen en verzekeringsartsen geen toegang krijgen/zich geen toegang mogen verschaffen tot patiëntgegevens via het elektronisch uitwisselingssysteem.[3]

Nieuwe wetsartikelen per 1 juli 2020

Per 1 juli 2020 zullen de laatste vier artikel(leden) in werking treden.[4] Per die datum zal de zorgaanbieder verplicht worden om gespecificeerde toestemming aan de patiënt te vragen voordat de medische gegevens beschikbaar worden gesteld via een elektronisch uitwisselingssysteem. Dit betekent dat de patiënt vanaf 1 juli 2020 mag aangegeven welke gegevens wel of niet door welke (categorieën van) zorgverleners – waar de patiënt een behandelrelatie mee heeft – mogen worden ingezien.[5] De zorgaanbieder dient tevens een registratie bij te houden van de gespecificeerde toestemming, waarbij dient te worden aangetekend vanaf welk tijdstip de verleende gespecificeerde toestemming van kracht is geworden. Deze registratie kan beschikbaar gesteld worden via het elektronisch uitwisselingssysteem.

Tevens zal per 1 juli 2020 de zorgaanbieder verplicht worden de patiënt kosteloos elektronische inzage en afschrift van het dossier of gegevens uit dat dossier te verschaffen.[6] Tot slot zal een artikel van kracht worden per 1 juli 2020 die bepaalt dat de zorgaanbieder ervoor moet zorgen dat het elektronisch uitwisselingssysteem dat hij gebruikt, vastlegt wie gegevens beschikbaar heeft gesteld en wie ze heeft ingezien (logging).[7]

NEN-normen

Bij algemene maatregel van bestuur zijn regels vastgesteld over de functionele, technische en organisatorische maatregelen voor het beheer, de beveiliging en het gebruik van een zorginformatiesysteem of een elektronisch uitwisselingssysteem.[8] In dit besluit is onder andere bepaald dat voldaan dient te worden aan de NEN-normen 7510, 7512 en 7513. Dit zijn normen die zien op het organisatorisch en technisch inrichten van de informatiebeveiliging, de veiligheid van gegevensuitwisseling tussen partijen in de zorg en op het vastleggen van acties op elektronische patiëntdossiers (de logging). Hierin is onder andere bepaald dat de logging van het systeem dient te voldoen aan het bepaalde in NEN 7513. De Autoriteit Persoonsgegevens (AP) en de Inspectie voor Gezondheidszorg en Jeugd (IGJ) houden toezicht op de naleving van de eisen, zoals vastgelegd in het besluit.

Mogelijkheden patiënt

Zoals uit het voorgaande blijkt zijn de grootste veranderingen per 1 juli 2020 de mogelijkheden van de patiënt wat betreft de gespecificeerde toestemming, de registratie hiervan en de logging. Hoe het één en ander ingericht, beheerd en beveiligd dient te worden volgt uit het Besluit elektronische gegevensverwerking door zorgaanbieders.

Caroline van der Kolk-Heinsbroek is sinds maart 2018 werkzaam bij VvAA Juridisch Advies en Rechtsbijstand als gezondheidsrechtadvocaat. Zij houdt zich bezig met gezondheidsrecht in de breedste zin van het woord. In dat kader adviseert zij verzekerden en staat hen bij in o.a. tuchtrechtelijke procedures en civielrechtelijke procedures. Daarnaast maakt zij deel uit van de redactie van Gezondheidsrecht Updates.

[1] Het betreft de artikelen 15a t/m 15j.

[2] Artikel 15a lid 1 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

[3] Dit is bepaald in artikel 15f.

[4] Dit betreffen de toekomstige artikelen 15a lid 2, artikel 15c lid 2, artikel 15d en artikel 15e.

[5] Toekomstige artikelen 15a lid 2 en artikel 15c lid 2.

[6] Toekomstig artikel 15d; zoals in mijn vorige blog reeds is opgemerkt volgt uit de AVG (sinds 25 mei 2018) al een (eenmalige) kosteloze elektronische verstrekking van gegevens indien de patiënt daarom verzoekt.

[7] Toekomstig artikel 15e.

[8] Besluit elektronische gegevensverwerking door zorgaanbieders.

Reacties