Privacyregels in de zorg

  • event22-04-2021
  • schedule14:00
  • timer3 minuten

Privacy in de zorg is een onderwerp waar menig zorgprofessional liever niet te lang over nadenkt. Weet u bijvoorbeeld welke gegevens genoteerd mogen worden? Hoe digitale gegevens beveiligd moeten worden? Wie recht heeft op inzage? Of wanneer medische gegevens verstrekt moeten worden?

De privacyregels die gelden voor de zorgsector zijn verankerd in veel verschillende wetten. Daardoor ziet men vaak door de bomen het bos niet meer. In dit blog zullen wij de belangrijkste regels duidelijk voor u op een rijtje zetten.

Verschillende wetten waarin privacyregels zijn opgenomen

Medische gegevens (ook wel genoemd ‘gegevens over de gezondheid’) worden aangemerkt als bijzondere persoonsgegevens in de zin van artikel 9 AVG (Algemene verordening gegevensbescherming). Als zorgverlener moet u een (medisch) dossier bijhouden waarin de gegevens van uw patiënt verwerkt worden. Het uitgangspunt moet altijd zijn dat u alleen gegevens verwerkt die van belang zijn voor de behandeling van de patiënt.

Voorbeeld: gegevens met betrekking tot een bepaalde religie of geloofsovertuiging kunnen noodzakelijk zijn voor de behandeling. In dat geval mag u dergelijke gegevens verwerken. Zijn deze gegevens echter niet noodzakelijk, dan mogen zij ook niet in het medisch dossier worden vastgelegd.

De privacyregels zijn onder andere terug te vinden in de volgende wetten:

  • de AVG (Algemene verordening gegevensbescherming);
  • de UAVG (Uitvoeringswet Algemene verordening gegevensbescherming);
  • de WGBO (de Wet op de geneeskundige behandelingsovereenkomst);
  • de Wkkgz (Wet kwaliteit, klachten en geschillen zorg);
  • de Wet BIG (Wet op de beroepen in de individuele gezondheidszorg);
  • de Zvw (Zorgverzekeringswet);
  • de Wmg (Wet marktordening gezondheidszorg); en
  • de Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg).

Verantwoordingsplicht bij het gebruik van privacygegevens

Op basis van de zojuist genoemde wetten heeft u als zorgverlener onder meer de verplichting om de gegevens van uw patiënt voldoende te beveiligen. U moet daarvoor de juiste technische en organisatorische maatregelen nemen. Aangetoond moet worden dat u niet méér persoonsgegevens verwerkt dan noodzakelijk is voor de behandeling van de patiënt (dataminimalisatie), dat niet iedereen binnen uw organisatie zomaar toegang heeft tot de gegevens en dat de gegevens niet langer bewaard worden dan nodig is.

Een zorginstelling dient in de regel te voldoen aan diverse NEN-normen (bijvoorbeeld NEN 7510, 7512 en NEN 7513; Informatiebeveiliging in de zorg).

Toegang tot de gegevens

Het uitgangspunt is altijd dat alleen degene die een behandelrelatie heeft met een patiënt toegang mag hebben tot de gegevens. Deze toegang moet bovendien alleen noodzakelijk zijn voor de werkzaamheden van deze specifieke medewerkers en zij moeten zich aan een geheimhoudingsplicht houden.

Volgens de Autoriteit Persoonsgegevens mogen zorginstellingen een ‘break the glass-procedure’ hebben zodat patiëntgegevens in geval van nood toegankelijk zijn zonder dat voorafgaande autorisatie vereist is.

Inzage en afschrift in de gegevens

Een patiënt heeft recht om de gegevens die u van hem of haar bijgehouden,in te zien. Hieronder valt ook het recht om te weten wie de gegevens hebben ingezien. U moet dus bijhouden wie toegang heeft gehad tot de gegevens van een patiënt.

Er bestaan uitzonderingen op het recht op inzage. Een patiënt heeft geen recht om uw eigen aantekeningen in te zien en ook de gegevens die betrekking hebben op anderen dan de patiënt mogen niet worden ingezien. Hiermee wordt voorkomen dat door het recht van inzage de privacy van anderen wordt geschaad.

Sinds 1 juli 2020 heeft een patiënt recht op elektronische inzage en een elektronisch afschrift van de gegevens. Er mogen sinds 1 juli 2020 ook geen kosten meer in rekening worden gebracht voor het verstrekken van een elektronisch afschrift van de gegevens.

Elektronisch uitwisselen van gegevens

U mag gegevens van uw patiënt delen, ook via een elektronisch uitwisselingssysteem. Een elektronisch uitwisselingssysteem is een systeem waarmee bepaalde gegevens via een elektronische weg toegankelijk kunnen worden gemaakt voor andere zorgverleners. Bijvoorbeeld een systeem waarmee een huisarts inzage kan krijgen in de gegevens die van zijn patiënt zijn verzameld en verwerkt door het ziekenhuis.

Welk medium u hiervoor gebruikt (een speciaal portaal of wellicht via e-mail) is aan u.

Als u gebruik maakt van een elektronisch uitwisselingssysteem, dan moet u ervoor zorgen dat u passende technische en organisatorische maatregelen heeft genomen om de gegevens voldoende te beveiligen en bent u verplicht om de geldende NEN normen na te leven. Ook moet een patiënt uitdrukkelijke toestemming hebben gegeven om zijn gegevens via een elektronisch uitwisselingssysteem beschikbaar te stellen.

Wilt u weten of uw organisatie voldoet aan de wettelijke eisen rondom privacy? Heeft u specifieke vragen rondom de NEN normering; informatiebeveiliging in de zorg? Of heeft u een andere vraag? Neem dan contact op met Kristien Croezen of Hillie Lunter.

Geschreven door:

Kristien Croezen

Kristien Croezen studeerde Nederlands recht aan de RUG (specialisatie privaatrecht) en in de tussentijd ook HBO-rechten (bestuursrecht en privaatrecht) aan de Hanzehogeschool Groningen. Voordat zij de advocatuur in ging, was zij onder meer griffier bij de sector civiel van de rechtbank Groningen. Kristien heeft ruime ervaring in het privaatrecht en is nu met name actief op het gebied van bestuursrecht en gezondheidsrecht. Zij deelt haar ervaringen en kennis graag door middel van het geven van lezingen en schrijven van blogs. Kristien is lid van de Vereniging voor Gezondheidsrecht.

Kristien Croezen studeerde Nederlands recht aan de RUG (specialisatie privaatrecht) en in de tussentijd ook HBO-rechten (bestuursrecht en privaatrecht) aan de Hanzehogeschool Groningen. Voordat zij de advocatuur in ging, was zij onder meer griffier bij de sector civiel van de rechtbank Groningen. Kristien heeft ruime ervaring in het privaatrecht en is nu met name actief op het gebied van bestuursrecht en gezondheidsrecht. Zij deelt haar ervaringen en kennis graag door middel van het geven van lezingen en schrijven van blogs. Kristien is lid van de Vereniging voor Gezondheidsrecht.

Klik voor meer binnnen de categorie
Neem contact op

Klik hier voor het het privacybeleid van Yspeert advocaten n.v.