Privacy & slimme medische hulpmiddelen

Onlangs stonden wij op de vakbeurs Zorg & ICT waar ook wij onze ogen uitkeken vanwege de vele innovaties die gaande zijn op dat gebied. Een van de trends die wij zien is dat medische hulpmiddelen steeds vaker een ‘slim’ karakter krijgen: ze kunnen worden afgestemd op de specifieke zorgbehoefte van een patiënt, maar kunnen ook gedrag signaleren of zelfs diagnoses stellen. Om zulke zaken te constateren zijn vaak een hoop gegevens nodig van een patiënt, denk aan sensoren en meters, maar misschien ook artificial intelligence (‘AI’) om bepaalde analyses te maken en voorspellingen te doen. Misschien kan de patiënt wel een app gebruiken om zichzelf te monitoren. Aangezien deze gegevens te herleiden zijn tot een persoon – de patiënt – is de Algemene verordening gegevensbescherming (‘AVG’) van toepassing. In deze blog lichten we een aantal aandachtspunten toe.

Wie is verantwoordelijk?

Onder de AVG bepaalt de verwerkingsverantwoordelijke het doel en de middelen van de verwerking. Deze is dus eindverantwoordelijk voor de meeste AVG-verplichtingen. Vaak koopt een zorginstelling medische hulpmiddelen in bij een andere partij. De zorginstelling levert zorg, de leverancier heeft de expertise om hulpmiddelen en bijbehorende software en misschien wel app voor de eindgebruiker te ontwikkelen. Omdat de zorginstelling de hulpmiddelen inzet en bepaalt hoe deze worden gebruikt, is deze de verwerkingsverantwoordelijke. De leverancier verwerkt persoonsgegevens ten behoeve van de zorginstelling en zal over het algemeen de verwerker zijn.

Bij ‘slimme’ hulpmiddelen zal de leverancier echter ook geïnteresseerd zijn in de patiëntgegevens: deze kunnen gebruikt worden om algoritmes te trainen, om productanalyses uit te voeren en om door te ontwikkelen. Dat zijn verwerkingen voor eigen doeleinden, waar de leverancier snel de verwerkingsverantwoordelijke voor zal zijn. Zoals we eerder al schreven, heeft de Franse privacytoezichthouder – de CNIL – hier (strenge) richtlijnen over gepubliceerd. Hierover dienen niet alleen scherpe afspraken te worden gemaakt zodat de rolverdeling ook voor de zorginstelling duidelijk is, de leverancier dient ook zelf te beschikken over een uitzonderingsgrond (art. 9 AVG) en grondslag (art. 6 AVG).

Transparantie

Zowel voor de zorginstelling als de leverancier en de eindgebruiker dient het duidelijk te zijn wie waarvoor verantwoordelijk is en waar de patiënt terecht kan om zijn/haar rechten uit te oefenen. Dit kan bijvoorbeeld worden toegelicht in een privacyverklaring op de website, waarnaar een hyperlink of QR-code op het hulpmiddel of de handleiding kan worden toegevoegd. Hierbij is het wel van belang dat deze voldoende toegankelijk is voor de gehele doelgroep. Ook voor personen die minder digitaal vaardig zijn, dient het duidelijk te zijn waarvoor hun gegevens worden gebruikt. Denk bijvoorbeeld aan het fysiek verstrekken van de privacyverklaring, of het mondeling toelichten hiervan bij ingebruikname.

Rechten van betrokkenen

Naast transparantie heeft de patiënt ook een aantal rechten ten aanzien van verwerkingen door slimme hulpmiddelen. Denk bijvoorbeeld aan het recht om te weten welke persoonsgegevens van hem/haar worden verwerkt, voor welke doeleinden, met welke partijen deze gegevens worden gedeeld en of dit al dan niet buiten de Europese Economische Ruimte is. De patiënt heeft in sommige gevallen ook het recht om gegevens te verwijderen, of om de toestemming in te trekken. Ook hier is het van belang dat helder is waar de zorginstelling aan dient te voldoen en waar de leverancier aan dient te voldoen.

Leveranciersmanagement

Niet alleen op basis van de verwerkersovereenkomst, maar ook op basis van de NEN7510-norm, heeft de zorginstelling het recht respectievelijk de plicht om te controleren of de leverancier zich wel houdt aan de afspraken. Worden er niet meer gegevens verzameld dan beloofd? Zijn en blijven deze wel passend beveiligd? Is er stiekem een Amerikaanse subverwerker ingeschakeld? In het kader van leveranciersmanagement is het goed om dergelijke zaken regelmatig na te gaan.

Hulp nodig? Neem gerust contact met ons op.

New call-to-action


Meer lezen over dit onderwerp?

Terug naar overzicht