Gegevensbescherming in de zorg: deel 3, rechten van de patiënt

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in de zorg in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Update 13-6: mogelijk wordt het Besluit pas later van toepassing, gezien dit nieuwsbericht. Er zouden nog te veel kamervragen lopen. VWS heeft daarom aan GGZ Nederland aangegeven dat het besluit wordt uitgesteld.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 3 uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Hiervoor verschenen deel 1: nieuwe regels per 1 juli 2017, en deel 2: wat is een elektronisch uitwisselingssysteem? Je kunt de volgende blogs nog verwachten in deze serie:

Rechten van de patiënt

De volgende rechten van de patiënt met betrekking tot het uitwisselingssysteem worden in de nieuwe wet genoemd:

  • het geven van gespecificeerde toestemming voor het beschikbaar stellen van zijn gegevens via het uitwisselingssysteem, en registratie van die toestemming door de zorgaanbieder;
  • de elektronische inzage en afschrift van het medisch dossier of zijn gegevens;
  • elektronisch afschrift van de logging;
  • de informatieplicht van de zorgaanbieder naar de patiënt toe.

Gespecificeerde toestemming voor gebruik van patiëntgegevens

Een zorgaanbieder mag de patiëntgegevens alleen beschikbaar stellen via het uitwisselingssysteem als de patiënt hiertoe uitdrukkelijke toestemming heeft gegeven. Dit houdt in dat de patiënt zelf laat blijken dat hij ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ instemt met het beschikbaar stellen van zijn gegevens. De patiënt kan schriftelijk (elektronisch valt hier ook onder), maar ook mondeling zijn instemming laten blijken.

Wat nieuw is, is dat de uitdrukkelijke toestemming gespecificeerd moet zijn. Dit houdt in dat de patiënt een keuze hoort te kunnen maken uit:

  • welke gegevens er worden opgenomen, en
  • welke zorgaanbieders de gegevens mogen raadplegen (welke zorgaanbieders of categorieën van zorgaanbieders).

De gespecificeerde toestemming en het tijdstip waarop de toestemming is gegeven, moeten worden geregistreerd door de zorgaanbieder. Meer informatie over gespecificeerde toestemming is via de link te vinden.

Informatieplicht bij gebruik patiëntgegevens

De zorgaanbieder moet de patiënt informeren over:

  • zijn rechten bij elektronische gegevensuitwisseling;
  • de manier waarop de hij zijn rechten kan uitoefenen, en
  • de werking van het uitwisselingssysteem.

Als nieuwe zorgaanbieders zich aansluiten op het uitwisselingssysteem moet de patiënt hierover geïnformeerd worden. Zijn toestemming moet hij vervolgens kunnen aanpassen of intrekken. Dit geldt ook wanneer de werking van het uitwisselingssysteem wezenlijk wordt gewijzigd.

Recht op elektronische inzage en afschrift

De patiënt moet op verzoek elektronisch inzage of een afschrift kunnen krijgen van zijn medische dossier, of van zijn gegevens. Daarnaast moet in het afschrift de logging worden opgenomen, als de patiënt daarom verzoekt. Het gaat dan om:

  • wie bepaalde gegevens beschikbaar heeft gesteld en op welke datum, en
  • wie bepaalde gegevens heeft ingezien of opgevraagd en op welke datum.

Er mogen geen kosten in rekening worden gebracht voor de inzage en de afschriften, wat afwijkt van de huidige privacywetgeving waarin gesteld wordt dat voor inzage en afschrift kosten gerekend mogen worden.

Bepaalde rechten gelden pas over drie jaar

Minister Schippers heeft aangegeven dat een aantal regels pas over drie jaar gelden, namelijk:

  • het geven van de gespecificeerde toestemming (zowel het kunnen specificeren als het registreren ervan);
  • het recht op elektronische inzage of afschrift van zowel het dossier als het afschrift van de logging.

Dit omdat de implementatie hiervan technisch nog niet uitvoerbaar zou zijn.

Wat geldt er dan wél per 1 juli?

  • Uitdrukkelijke toestemming van de patiënt voor het beschikbaar stellen van zijn gegevens via het uitwisselingssysteem. Dit vereiste geldt ook al op grond van de huidige privacywetgeving. Door deze toestemming bij te houden kan worden aangetoond dat de toestemming daadwerkelijk is verkregen.
  • De informatieplicht: de patiënt moet weten hoe het uitwisselingssysteem werkt, welke rechten hij heeft en hoe hij deze kan uitoefenen. Ook moet de patiënt van wijzigingen (van nieuwe zorgaanbieders die zich aansluiten op het uitwisselingssysteem en van substantiële wijzingen in het systeem) op de hoogte worden gebracht waarna hij zijn gegeven toestemming kan intrekken.

De beveiligingseisen (waaronder de logging) die gelden voor uitwisselingssystemen en interne informatiesystemen, zoals bepaald in het bijbehorende besluit, gelden ook per 1 juli. Hierover meer in delen 4 en 5 van deze blogserie.

 

Training ICT en gezondheidsrecht

Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?

 

Terug naar overzicht