Privacy en security

Elektronische verwerking van gegevens; een juridische beschouwing

Gezondheidsapps, draagbare technologie (wearables), elektronische ziekenhuissystemen en persoonlijke gezondheidsomgevingen zijn niet meer weg te denken uit ons dagelijks leven. Op vele manieren en op grote schaal wordt vandaag de dag data verwerkt.

Deze toenemende elektronische verwerking van patiëntgegevens leidt ertoe dat patiëntenrechten dienen te worden aangepast aan de huidige tijd.

Eén van die aanpassingen betreft het wetsvoorstel ‘cliëntenrechten bij elektronische verwerking van gegevens’, dat in december 2012 door de regering is ingediend. [1] Een deel van deze wet is op 1 juli 2017 in werking getreden en een ander deel zal per 1 juli 2020 in werking treden.

De nieuwe bepalingen zijn opgenomen in de ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’.[2] Deze wet bevat met name rechten van de patiënt en verplichtingen van de zorgaanbieder in relatie tot elektronische verwerking van gegevens.

Toepassingsgebied

Deze wet is een aanvulling op bestaande wetgeving.[3] De bepalingen uit de wet zijn alleen van toepassing op systemen waarmee zorgaanbieders op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken. Het systeem binnen een zorgaanbieder voor het bijhouden van een elektronisch dossier, valt niet onder het bereik van de wet. Ook de persoonlijke gezondheidsomgevingen – die door patiënten zelf worden opgezet en bijgehouden – lijken volgens de definitiebepalingen van de wet, niet onder het bereik van de wet te vallen.

Verplichtingen van de zorgaanbieder bij elektronische verwerking van gegevens

Gezien de huidige ontwikkelingen van elektronische verwerking van gegevens in de zorg, is het van belang stil te staan bij de verplichtingen die de wet de zorgaanbieder heeft opgelegd en gaat opleggen.

Huidige verplichtingen

Sinds 1 juli 2017 is de zorgaanbieder verplicht vast te stellen of de patiënt uitdrukkelijke toestemming heeft verleend voor het beschikbaar stellen van zijn/haar gegevens via een elektronisch uitwisselingssysteem.[4] Daarnaast dient de zorgaanbieder de patiënt te informeren over zijn/haar rechten en de wijze waarop deze rechten kunnen worden uitgeoefend. Daarnaast dient de zorgaanbieder de patiënt te informeren over de werking van het elektronisch uitwisselingssysteem. Als er nieuwe categorieën van zorgaanbieders worden aangesloten bij het elektronisch uitwisselingssysteem, moet de patiënt worden gewezen op het feit dat hij de eerder verleende toestemming kan aanpassen of intrekken. Dit geldt ook als het elektronisch uitwisselingssysteem substantieel wijzigt.[5]

Toekomstige verplichtingen

Vanaf 1 juli 2020 is de zorgaanbieder bovendien verplicht gespecificeerde toestemming te vragen aan de patiënt voordat de medische gegevens beschikbaar worden gesteld via een elektronisch uitwisselingssysteem. In het kader van die gespecificeerde toestemming dient de zorgaanbieder dan voorts een registratie bij te houden vanaf welk tijdstip de toestemming van kracht is geworden. Ook zal de zorgaanbieder verplicht worden een ‘logging’ bij te houden, hetgeen inhoudt het vastleggen van acties op elektronische patiëntendossiers. Tot slot zal de zorgaanbieder kosteloos elektronische inzage en een elektronisch afschrift van het dossier moeten geven, als de patiënt daarom vraagt. Overigens zou men uit artikel 15 lid 3 van de AVG de conclusie kunnen trekken dat reeds – sinds 25 mei 2018 – de verplichting bestaat de informatie elektronisch te verstrekken wanneer daarom wordt verzocht.

Juridische risico’s

De huidige technische ontwikkelingen zorgen ervoor dat we steeds sneller, via meerdere wegen, de beschikking kunnen krijgen over onze medische gegevens. De keerzijde is dat er tegelijkertijd ook risico’s aan kleven. Zo volgt uit de toelichting op het wetsvoorstel dat de aansprakelijkheidsrisico’s grotendeels gelijk zullen blijven; in de meeste gevallen zal de zorgaanbieder als eerste worden aangesproken.

Het beschikbaar stellen van medische gegevens via een elektronisch uitwisselingssysteem vereist meer van de zorgaanbieder op het gebied van organisatie, techniek en beveiliging dan het bijhouden van een medisch dossier.[6] Ten aanzien van persoonlijke gezondheidsomgevingen geldt dat – gezien het feit dat daar vaak geen behandelrelatie tussen patiënt en zorgverlener aan ten grondslag ligt – het medisch beroepsgeheim niet van toepassing is.

Het risico dat daardoor waardevolle medische gegevens in handen komen van ‘verkeerde partijen’ is groot. De vraag is of een zorgaanbieder bij het verstrekken van een elektronisch afschrift van een medisch dossier aan een patiënt voor een persoonlijke gezondheidsomgeving, de patiënt op dit risico dient te wijzen en mogelijk zelfs een afschrift dient te weigeren – wellicht op grond van het goed hulpverlenerschap (7:453 BW)? – indien het een kwetsbare patiënt betreft.

De technische ontwikkelingen bieden veel nieuwe mogelijkheden. We moeten ons echter bewust zijn van het feit dat dit tevens risico’s met zich meebrengt. De tijd zal uitwijzen of patiënten uiteindelijk gebaat zijn bij deze technologische ontwikkelingen.

Caroline van der Kolk-Heinsbroek is sinds maart 2018 werkzaam bij VvAA Juridisch Advies en Rechtsbijstand als gezondheidsrechtadvocaat. Zij houdt zich bezig met gezondheidsrecht in de breedste zin van het woord. In dat kader adviseert zij verzekerden en staat hen bij in o.a. tuchtrechtelijke procedures en civielrechtelijke procedures. Daarnaast maakt zij deel uit van de redactie van Gezondheidsrecht Updates.

[1] Wijziging van de Wet cliëntenrechten zorg, de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens), Kamerstuk 33509, nr.1.

[2] Dit is de nieuwe naam geworden van de destijds al bestaande ‘Wet gebruik burgerservicenummer in de zorg’, die met de inwerkingtreding van het wetsvoorstel dus niet alleen inhoudelijk is gewijzigd.

[3] Zoals de ‘Wet op de geneeskundige behandelingsovereenkomst’ en de ‘Algemene verordening gegevensbescherming’ (AVG). De ‘Algemene verordening gegevensbescherming’ (AVG) heeft de ‘Wet bescherming persoonsgegevens’ vervangen.

[4] Artikel 15a lid 1 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

[5] Artikel 15c lid 1 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

[6] Memorie van toelichting, Kamerstukken II, 33 509, nr. 3, p. 12.

Reacties