ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Gegevensbescherming in de zorg: deel 3, rechten van de patiënt

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in de zorg in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Update 13-6: mogelijk wordt het Besluit pas later van toepassing, gezien dit nieuwsbericht. Er zouden nog te veel kamervragen lopen. VWS heeft daarom aan GGZ Nederland aangegeven dat het besluit wordt uitgesteld.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 3 uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Hiervoor verschenen deel 1: nieuwe regels per 1 juli 2017, en deel 2: wat is een elektronisch uitwisselingssysteem? Je kunt de volgende blogs nog verwachten in deze serie:

Rechten van de patiënt

De volgende rechten van de patiënt met betrekking tot het uitwisselingssysteem worden in de nieuwe wet genoemd:

  • het geven van gespecificeerde toestemming voor het beschikbaar stellen van zijn gegevens via het uitwisselingssysteem, en registratie van die toestemming door de zorgaanbieder;
  • de elektronische inzage en afschrift van het medisch dossier of zijn gegevens;
  • elektronisch afschrift van de logging;
  • de informatieplicht van de zorgaanbieder naar de patiënt toe.

Gespecificeerde toestemming voor gebruik van patiëntgegevens

Een zorgaanbieder mag de patiëntgegevens alleen beschikbaar stellen via het uitwisselingssysteem als de patiënt hiertoe uitdrukkelijke toestemming heeft gegeven. Dit houdt in dat de patiënt zelf laat blijken dat hij ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ instemt met het beschikbaar stellen van zijn gegevens. De patiënt kan schriftelijk (elektronisch valt hier ook onder), maar ook mondeling zijn instemming laten blijken.

Wat nieuw is, is dat de uitdrukkelijke toestemming gespecificeerd moet zijn. Dit houdt in dat de patiënt een keuze hoort te kunnen maken uit:

  • welke gegevens er worden opgenomen, en
  • welke zorgaanbieders de gegevens mogen raadplegen (welke zorgaanbieders of categorieën van zorgaanbieders).

De gespecificeerde toestemming en het tijdstip waarop de toestemming is gegeven, moeten worden geregistreerd door de zorgaanbieder. Meer informatie over gespecificeerde toestemming is via de link te vinden.

Informatieplicht bij gebruik patiëntgegevens

De zorgaanbieder moet de patiënt informeren over:

  • zijn rechten bij elektronische gegevensuitwisseling;
  • de manier waarop de hij zijn rechten kan uitoefenen, en
  • de werking van het uitwisselingssysteem.

Als nieuwe zorgaanbieders zich aansluiten op het uitwisselingssysteem moet de patiënt hierover geïnformeerd worden. Zijn toestemming moet hij vervolgens kunnen aanpassen of intrekken. Dit geldt ook wanneer de werking van het uitwisselingssysteem wezenlijk wordt gewijzigd.

Recht op elektronische inzage en afschrift

De patiënt moet op verzoek elektronisch inzage of een afschrift kunnen krijgen van zijn medische dossier, of van zijn gegevens. Daarnaast moet in het afschrift de logging worden opgenomen, als de patiënt daarom verzoekt. Het gaat dan om:

  • wie bepaalde gegevens beschikbaar heeft gesteld en op welke datum, en
  • wie bepaalde gegevens heeft ingezien of opgevraagd en op welke datum.

Er mogen geen kosten in rekening worden gebracht voor de inzage en de afschriften, wat afwijkt van de huidige privacywetgeving waarin gesteld wordt dat voor inzage en afschrift kosten gerekend mogen worden.

Bepaalde rechten gelden pas over drie jaar

Minister Schippers heeft aangegeven dat een aantal regels pas over drie jaar gelden, namelijk:

  • het geven van de gespecificeerde toestemming (zowel het kunnen specificeren als het registreren ervan);
  • het recht op elektronische inzage of afschrift van zowel het dossier als het afschrift van de logging.

Dit omdat de implementatie hiervan technisch nog niet uitvoerbaar zou zijn.

Wat geldt er dan wél per 1 juli?

  • Uitdrukkelijke toestemming van de patiënt voor het beschikbaar stellen van zijn gegevens via het uitwisselingssysteem. Dit vereiste geldt ook al op grond van de huidige privacywetgeving. Door deze toestemming bij te houden kan worden aangetoond dat de toestemming daadwerkelijk is verkregen.
  • De informatieplicht: de patiënt moet weten hoe het uitwisselingssysteem werkt, welke rechten hij heeft en hoe hij deze kan uitoefenen. Ook moet de patiënt van wijzigingen (van nieuwe zorgaanbieders die zich aansluiten op het uitwisselingssysteem en van substantiële wijzingen in het systeem) op de hoogte worden gebracht waarna hij zijn gegeven toestemming kan intrekken.

De beveiligingseisen (waaronder de logging) die gelden voor uitwisselingssystemen en interne informatiesystemen, zoals bepaald in het bijbehorende besluit, gelden ook per 1 juli. Hierover meer in delen 4 en 5 van deze blogserie.

 

Training ICT en gezondheidsrecht

Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?

 

Kirsten Eefsting

Juridisch adviseur

Kirsten Eefsting werkt als juridisch adviseur bij ICTRecht. Zij heeft Psychologie en Recht & ICT gestudeerd aan de Rijksuniversiteit Groningen. Tijdens haar master Rechtsgeleerdheid: internet, intellectuele eigendom en ICT aan de VU in Amsterdam heeft zij onderzoek gedaan naar privacy in keteninformatisering in de zorg. Naast haar werkzaamheden bij ICTRecht bevindt Kirsten zich in de afrondende fase van de master Criminologie, waar ze onderzoek doet naar ransomware bij ziekenhuizen.

Kirsten houdt zich bezig met juridische vraagstukken op het gebied van cloud computing en privacy, voornamelijk in de zorgsector. Daarnaast heeft zij veel ervaring met e-commerce en consumentenrecht.


Er is één reactie

  1. Fijn, we gaan dit eens helemaal doorpluizen. Belangrijk is dat we het voor leden van nobism zo duidelijk mogelijk willen houden.
    Onze opzet is dat een patients niets deelt. Pas als hij uitdrukkelijk toestemming geeft aan zijn specialist, dan kan deze erin en ook alleen zien wat de patient wil. Wil de patient delen met onderzoek dan kan de patient de deel-knop aanzetten voor onderzoek. Hiermee deelt de patient echter nog niets. Een onderzoek moet nog specifiek toestemming vragen aan de patient om ook daadwerkelijk de data te mogen gebruiken. Zegt de patient dan ja, dan kan er data gedeelt worden (anoniem natuurlijk)

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *