Privacyregels in de zorg

  • event22-04-2021
  • schedule14:00
  • timer1 minuut

Privacy in de zorg is een onderwerp waar menig zorgprofessional liever niet te lang over nadenkt. Weet u bijvoorbeeld welke gegevens genoteerd mogen worden? Hoe digitale gegevens beveiligd moeten worden? Wie recht heeft op inzage? Of wanneer medische gegevens verstrekt moeten worden?

De privacyregels die gelden voor de zorgsector zijn verankerd in veel verschillende wetten. Daardoor ziet men vaak door de bomen het bos niet meer. In dit blog zullen wij de belangrijkste regels duidelijk voor u op een rijtje zetten.

 

Verschillende wetten
Medische gegevens (ook wel genoemd ‘gegevens over de gezondheid’) worden aangemerkt als bijzondere persoonsgegevens in de zin van artikel 9 AVG (Algemene verordening gegevensbescherming). Als zorgverlener moet u een (medisch) dossier bijhouden waarin de gegevens van uw patiënt verwerkt worden. Het uitgangspunt moet altijd zijn dat u alleen gegevens verwerkt die van belang zijn voor de behandeling van de patiënt.

Voorbeeld: gegevens met betrekking tot een bepaalde religie of geloofsovertuiging kunnen noodzakelijk zijn voor de behandeling. In dat geval mag u dergelijke gegevens verwerken. Zijn deze gegevens echter niet noodzakelijk, dan mogen zij ook niet in het medisch dossier worden vastgelegd.

De privacyregels zijn onder andere terug te vinden in de volgende wetten:

  • de AVG (Algemene verordening gegevensbescherming);
  • de UAVG (Uitvoeringswet Algemene verordening gegevensbescherming);
  • de WGBO (de Wet op de geneeskundige behandelingsovereenkomst);
  • de Wkkgz (Wet kwaliteit, klachten en geschillen zorg);
  • de Wet BIG (Wet op de beroepen in de individuele gezondheidszorg);
  • de Zvw (Zorgverzekeringswet);
  • de Wmg (Wet marktordening gezondheidszorg); en
  • de Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg)

 

Verantwoordingsplicht
Op basis van de zojuist genoemde wetten heeft u als zorgverlener onder meer de verplichting om de gegevens van uw patiënt voldoende te beveiligen. U moet daarvoor de juiste technische en organisatorische maatregelen nemen. Aangetoond moet worden dat u niet méér persoonsgegevens verwerkt dan noodzakelijk is voor de behandeling van de patiënt (dataminimalisatie), dat niet iedereen binnen uw organisatie zomaar toegang heeft tot de gegevens en dat de gegevens niet langer bewaard worden dan nodig is.

Een zorginstelling dient in de regel te voldoen aan diverse NEN-normen (bijvoorbeeld NEN 7510, 7512 en NEN 7513; Informatiebeveiliging in de zorg).

 

Toegang tot de gegevens
Het uitgangspunt is altijd dat alleen degene die een behandelrelatie heeft met een patiënt toegang mag hebben tot de gegevens. Deze toegang moet bovendien alleen noodzakelijk zijn voor de werkzaamheden van deze specifieke medewerkers en zij moeten zich aan een geheimhoudingsplicht houden.

Volgens de Autoriteit Persoonsgegevens mogen zorginstellingen een ‘break the glass-procedure’ hebben zodat patiëntgegevens in geval van nood toegankelijk zijn zonder dat voorafgaande autorisatie vereist is.

 

Inzage en afschrift in de gegevens
Een patiënt heeft recht om de gegevens die u van hem of haar bijgehouden,in te zien. Hieronder valt ook het recht om te weten wie de gegevens hebben ingezien. U moet dus bijhouden wie toegang heeft gehad tot de gegevens van een patiënt.

Er bestaan uitzonderingen op het recht op inzage. Een patiënt heeft geen recht om uw eigen aantekeningen in te zien en ook de gegevens die betrekking hebben op anderen dan de patiënt mogen niet worden ingezien. Hiermee wordt voorkomen dat door het recht van inzage de privacy van anderen wordt geschaad.

Sinds 1 juli 2020 heeft een patiënt recht op elektronische inzage en een elektronisch afschrift van de gegevens. Er mogen sinds 1 juli 2020 ook geen kosten meer in rekening worden gebracht voor het verstrekken van een elektronisch afschrift van de gegevens.

Elektronisch uitwisselen van gegevens
U mag gegevens van uw patiënt delen, ook via een elektronisch uitwisselingssysteem. Een elektronisch uitwisselingssysteem is een systeem waarmee bepaalde gegevens via een elektronische weg toegankelijk kunnen worden gemaakt voor andere zorgverleners. Bijvoorbeeld een systeem waarmee een huisarts inzage kan krijgen in de gegevens die van zijn patiënt zijn verzameld en verwerkt door het ziekenhuis.

Welk medium u hiervoor gebruikt (een speciaal portaal of wellicht via e-mail) is aan u.

Als u gebruik maakt van een elektronisch uitwisselingssysteem, dan moet u ervoor zorgen dat u passende technische en organisatorische maatregelen heeft genomen om de gegevens voldoende te beveiligen en bent u verplicht om de geldende NEN normen na te leven. Ook moet een patiënt uitdrukkelijke toestemming hebben gegeven om zijn gegevens via een elektronisch uitwisselingssysteem beschikbaar te stellen.

Wilt u weten of uw organisatie voldoet aan de wettelijke eisen rondom privacy? Heeft u specifieke vragen rondom de NEN normering; informatiebeveiliging in de zorg? Of heeft u een andere vraag? Neem dan contact op met Kristien Croezen of Mart Dijkstra.

Uw eerste aanspreekpunt:

Kristien Croezen

Als kind was ik erg nieuwsgierig. Ik zaagde volwassenen overal over door, wilde precies weten waarom iets gebeurde en hoe iets in elkaar zat. Die lijn heb ik in mijn werk doorgetrokken. Altijd wil ik exact achterhalen waar het pijnpunt zit, om daar vervolgens een concrete oplossing voor te bedenken. Het mooie aan het recht vind ik dat er altijd twee kanten van een verhaal zijn. Tegenover de cliënt wil ik eerlijk zijn over de risico’s die kleven aan zijn kant van de zaak. Geen gouden bergen beloven. Een geschil kan een cliënt behoorlijk dwars zitten en bezighouden. Ik vind het daarom belangrijk om goed bereikbaar te zijn om zo snel mogelijk het verhaal van de cliënt aan te horen en daarop in te kunnen springen.


Mart Dijkstra

Nauwe samenwerking met de cliënt vind ik essentieel voor het behalen van het optimale resultaat. Ik benader een probleem met een helikopterview en kies voor de juiste strategie voor de cliënt.