• Nieuws

Elektronische inzage en afschrift van het patiëntendossier: hoe kan de zorgaanbieder voldoen aan de nieuwe, ruimere verplichtingen per 1 juli 2020?

14 juli 2020
IT & privacy - Privacy - Zorg

Per 1 juli 2020 zijn er nieuwe wetsbepalingen in werking getreden die verplichtingen scheppen voor zorgaanbieders. Het betreft de inwerkingtreding van een onderdeel van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (“Wabvpz”). Met de gedeeltelijke inwerkingtreding van dit soort bepalingen, kunnen zorgaanbieders zich beetje bij beetje voorbereiden op de toekomst, waarin het elektronisch patiëntendossier aldus wordt ingericht dat cliënten/patiënten steeds meer zelf de regie houden over hun gegevens. Wat staat er nu precies in artikelen 15d en 15e Wabvpz? Wat is er nieuw ten opzichte van de Algemene verordening gegevensbescherming (“AVG”) en de Wet op de geneeskundige behandelingsovereenkomst (“WGBO”)? En hoe voldoe je hier als zorgaanbieder aan?

Recht op elektronische inzage en afschrift

Artikel 15d Wabvpz:

  1. Indien de cliënt verzoekt om inzage of afschrift van het dossier van de desbetreffende cliënt, of van de gegevens betreffende deze cliënt die de zorgaanbieder via een elektronisch uitwisselingssysteem beschikbaar stelt, wordt de inzage of het afschrift op verzoek van de cliënt, met redelijke tussenpozen, door de zorgaanbieder op elektronische wijze verstrekt.
  2. Bij de afgifte van medicijnen door een apotheker, verschaft de apotheker de cliënt desgevraagd direct op elektronische wijze inzage in zijn medicatiegegevens. Op verzoek van de cliënt worden door de apotheker desgevraagd door de cliënt verstrekte gegevens over het gebruik van zelfmedicatie beschikbaar gesteld via het elektronisch uitwisselingssysteem.
  3. De in het eerste en tweede lid bedoelde elektronische inzage, en de in het eerste lid bedoelde elektronische afschriften, worden kosteloos verschaft.

Vanaf nu heeft een cliënt (c.q. patiënt) het recht op kosteloze elektronische inzage én afschrift van zijn/haar dossier en van zijn/haar gegevens die de zorgaanbieder via een elektronisch uitwisselingssysteem beschikbaar stelt aan de cliënt. Dit betekent niet dat de inzage en het afschrift online beschikbaar gesteld dienen te worden. De wet stelt geen eisen aan de vorm van de elektronische inzage en het elektronisch afschrift. Wel gaat het hier om medische gegevens en die worden gekwalificeerd als ‘bijzondere persoonsgegevens.’ Deze gegevens moeten (extra) goed beveiligd worden.

In het Besluit elektronische gegevensuitwisseling door zorgaanbieders is bepaald dat een elektronisch uitwisselingssysteem moet voldoen aan de NEN-normen NEN7510 en NEN7512. Als de zorgaanbieder inzage en afschrift (nog) niet op een veilige manier via het elektronisch uitwisselingssysteem kan faciliteren, zal deze op zoek moeten gaan naar andere manieren.

In de nota van toelichting van minister van medische zorg Van Rijn en een brief van minister van medische zorg Van Rijn worden bijvoorbeeld het beschikbaar stellen van een PDF-bestand op een USB-stick of een beveiligde e-mail met daarin een link naar een beveiligde website waar het afschrift beschikbaar wordt gesteld, genoemd als alternatief (zie over veilig mailen in de zorg ook ons recente artikel hierover).

Daarnaast omvat lid 2 van artikel 15d Wabvpz specifieke regels omtrent de gegevensuitwisseling bij medicatie en zelfmedicatie. Zo dient de apotheker op verzoek van de cliënt gelijktijdig met de afgifte van de medicatie op elektronische wijze inzage in de medicatiegegevens te bieden. Ook stelt de apotheker op verzoek van de cliënt gegevens over het gebruik van zelfmedicatie beschikbaar via het elektronisch uitwisselingssysteem.

Dit artikel maakt het ook mogelijk dat de cliënt/patiënt desgewenst zijn gegevens kan laten aanvullen met informatie over zelfmedicatie. Deze gegevens worden dan ook beschikbaar voor raadpleging via een elektronisch uitwisselingssysteem. Via de loggegevens (zie hieronder: artikel 15e Wabvpz) is dan duidelijk dat het om gegevens gaat die bij de apotheek zijn ingevoerd. Het moet daarmee duidelijk zijn dat het niet gaat om informatie over een door de zorgverlener voorgeschreven medicijn, aldus de Memorie van Toelichting.

“Logging”

Artikel 15e Wabvpz:

Onverminderd het bepaalde in artikel 15 van de Algemene verordening gegevensbescherming, wordt in een afschrift als bedoeld in artikel 15d, eerste lid, op verzoek van de cliënt opgenomen:

  1. wie bepaalde informatie via het elektronisch uitwisselingssysteem beschikbaar heeft gesteld en op welke datum;
  2. wie bepaalde informatie heeft ingezien of opgevraagd en op welke datum.

De tweede nieuwe bepaling regelt dat de cliënt bij elektronische inzage of afschrift kan verzoeken om een overzicht van wie wanneer bepaalde informatie beschikbaar heeft gemaakt, heeft ingezien of heeft opgevraagd. Het bijhouden van dergelijke informatie wordt ook wel “logging” genoemd. Voornoemd Besluit elektronische gegevensuitwisseling door zorgaanbieders bepaalt de norm voor deze logging, namelijk de norm NEN7513. Deze norm houdt voorschriften in voor zorgverleners en hun systeemleveranciers over wat er precies moet worden “gelogd” in een patiëntdossier. Deze norm verplicht de zorgverleners onder meer om de gelogde gegevens in een voor de cliënt begrijpelijke vorm beschikbaar te stellen.

Wabvpz vs. AVG en WGBO

De Wabvpz geldt in aanvulling op de AVG en de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Als de AVG of WGBO meer bescherming biedt, gaan deze voor. Hoe zit dat met deze nieuwe bepalingen? Wat was er al geregeld door de AVG en WGBO?

Met betrekking tot artikel 15d Wabvpz geldt dat artikel 15 lid 3 AVG ook al het recht op een elektronisch afschrift van verwerkte persoonsgegevens regelt, maar alleen als de betrokkene het verzoek daartoe elektronisch indient. Artikel 15d van de Wabvpz is dan ook specifieker en stelt dat de zorgaanbieder een elektronisch afschrift én een elektronische inzage moet verstrekken, ongeacht de vorm van het verzoek van de cliënt. De WGBO kent ook een dergelijk recht op inzage in en afschrift van het dossier (art. 7:456 BW) voor de patiënt (weliswaar met mogelijke een redelijke vergoeding voor administratiekosten), maar de WGBO is niet van toepassing op alle zorgaanbieders, de Wabvpz wel.

Het tweede lid van artikel 15d, over gegevensuitwisseling omtrent (zelf)medicatie door apothekers was nog niet geregeld in de AVG of WGBO. De AVG en de WGBO kennen ook geen expliciete bepalingen over logging. Wel is het zo dat men in veel gevallen op grond van de AVG al wel uitkomt bij logging als benodigde beveiligingsmethode voor gegevensverwerking; zeker bij gezondheidsgegevens.

Wat moet je nu als zorgaanbieder doen?

Deze nieuwe artikelen in de Wabvpz verschaffen cliënten (c.q. patiënten) aanvullende rechten t.o.v. de rechten van cliënten op grond van de AVG. Vanaf nu moet kosteloos elektronische inzage en afschrift worden geboden van het dossier en van de gegevens die middels een elektronisch uitwisselingssysteem beschikbaar worden gesteld. Ook is er recht op inzage en uitwisseling van gegevens over (zelf) medicatie bij afgifte van de medicatie en kan de patiënt verzoeken gegevens over zelfmedicatie in zijn of haar dossier op te nemen. Tot slot moet de zorgaanbieder bijhouden wie wanneer bepaalde informatie beschikbaar heeft gemaakt, heeft ingezien of heeft opgevraagd. Kortweg een wettelijke verplichting om aan “logging” te doen en daarover desgevraagd informatie aan de cliënt te verstrekken.

Als zorgaanbieder is het verstandig om bij uw softwareleverancier uitgebreid na te vragen hoe aan deze nieuwe verplichtingen invulling kan worden gegeven. Indien het niet direct mogelijk is om via een elektronisch uitwisselingssysteem inzage en afschrift te bieden, bent u als zorgaanbieder verplicht om de gevraagde informatie op een andere veilige manier, zoals een beveiligde USB-stick of een beveiligde e-mail, te verstrekken. Ook bent u verplicht om te gaan loggen, als u dat nog niet deed; en deze informatie op verzoek aan de cliënt te verstrekken.

Zonder software die hiermee helpt, kan dit een tijdrovende klus worden. De tip die wij u geven is dan ook: probeer software te gebruiken die dit voor u vergemakkelijkt. Zorg wel voor goede overeenkomsten, o.a. om privacy van cliënten te waarborgen. Controleer ook of de software aan de daarvoor geldende (NEN-)normen voldoet en op welke manier de aanbieder voldoet aan de daarin opgenomen criteria.

Wij adviseren ook om bij het loggen een controlemechanisme te implementeren, om naleving van de regelgeving door o.a. personeel te controleren. Ook is het verstandig om protocollen op te stellen (bijv. met betrekking tot het verlenen van toegang tot dossiers, omgang met datalekken en onbevoegde inzage, de verdeling van taken en verantwoordelijkheden binnen uw organisatie op dit gebied) en deze herhaaldelijk te controleren en waar nodig actualiseren. Dit om te voldoen aan de geldende (privacy-)wetgeving.

Vragen?

Voor juridische vragen omtrent deze nieuwe bepalingen, de AVG, het opstellen of updaten van een gegevensbeschermingsbeleid of een softwareovereenkomst, kunt u uiteraard contact met ons IT & Privacy team opnemen. Wij denken graag met u mee! Ook bieden wij awareness trainingen aan voor uw personeel, waarmee we bijdragen aan het continue aandacht vragen voor privacyaspecten in de zorg. Mail ons voor meer informatie: privacy@ploum.nl.

Meer informatie

Nina Witt

M +31 6 30 29 34 05
E n.witt@ploum.nl

Print dit artikel