Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Hoe verhouden de AVG en HIPAA zich tot elkaar?

24 juli 2019 Door

Privacy in de Verenigde Staten vormt nog wel eens een struikelblok. Een overkoepelende wet, zoals de Europese Algemene Verordening Gegevensbescherming (AVG), ontbreekt er. Privacy wordt in de VS namelijk per sector geregeld. Zo dienen organisaties in de gezondheidszorg zich al jarenlang aan de Health Insurance Portability and Accountability Act (HIPAA) te houden. Hoe verhouden zulke privacyregels zich nou met de AVG?

Wat is HIPAA?

HIPAA bestaat uit vijf onderdelen, waarvan Title 1 en Title 2 de belangrijkste zijn. Title 1 beschermt het recht op verzekering bij verlies of overgang van een baan. Title 2 beschermt, kort gezegd, medische persoonsgegevens en geeft daarvoor vijf sets ‘rules’:

  • De ‘Privacy Rule’ beoogt de privacy van natuurlijke personen te beschermen ten aanzien van hun gezondheidsgegevens.
  • ‘Transactions and Code Sets Rule’ beschrijft standaard protocollen voor gegevensoverdracht.
  • ‘Security Rule’ vult de Privacy Rule aan en stelt normen ten aanzien van de informatiebeveiliging, waarbij procedurele, technische en fysieke beveiligingsmaatregelen worden genoemd.
  • Op basis van de ‘Unique Identifiers Rule’ krijgt elke zorgverlener een uniek kenmerk (‘National Provider Identifier’).
  • De ‘Enforcement Rule’ legt tot slot boetes vast die bij civielrechtelijke procedures kunnen worden opgelegd.

Verhouding met de AVG

De AVG heeft een breed toepassingsbereik, terwijl HIPAA specifiek bedoeld is voor de gezondheidssector. De Europese privacywet is van toepassing op alle informatie over een direct of indirect geïdentificeerde of identificeerbare natuurlijke persoon: persoonsgegevens. Er geldt een extra strikt regime voor ‘bijzondere’ persoonsgegevens, waaronder bijvoorbeeld genetische, biometrische en gezondheidsgegevens vallen. Gezondheidsgegevens kunnen – logischerwijs – iets zeggen over de lichamelijke of geestelijke gezondheidstoestand van een persoon. Het begrip omvat ook het feit dat zorg wordt verleend, een toegekend nummer ten behoeve van zorgverlening, testresultaten, diagnoses en behandelingen.

HIPAA ziet specifiek op ‘protected health information’ (PHI), en lijkt daarmee veel op ons begrip van gezondheidsgegevens. PHI wordt gedefinieerd als individueel identificeerbare informatie over de vroegere, huidige of toekomstige fysieke of mentale gezondheidstoestand, de verlening van zorg of het vergoeden van zorg. Volgens het Amerikaanse Ministerie van Gezondheid vallen daaronder ook onder naam, adres en andere informatie waaruit blijkt dat een persoon een patiënt is.

Verwerking persoonsgegevens

In contrast met HIPAA dient elke organisatie in Europa die persoonsgegevens verwerkt zich aan de AVG te houden. Dat geldt bovendien ook voor organisaties buiten Europa die hun diensten in Europa aanbieden. In de VS ziet HIPAA slechts op ‘covered entities’ en hun ‘business associates’. Covered entities zijn zorgaanbieders die PHI verzenden voor door HIPAA gedekte transacties, zoals facturering. Business associates verwerken PHI ten behoeve van covered entities voor een door HIPAA gedefinieerd doel. Denk daarbij aan betaling, administratie en management.

Ook ten aanzien van de rechten die personen hebben, is er zekere overlap. De AVG heeft het scala aan rechten dat een persoon toekomt verder uitgebreid. Zo biedt de Europese wet naast de rechten van informatie, inzage, correctie en verwijdering nu ook het recht om vergeten te worden, het recht op overdraagbaarheid van gegevens en het recht om niet te worden onderworpen aan automatische besluitvorming. Op grond van HIPAA hebben personen vergelijkbare rechten van informatie, inzage, correctie. Zorgaanbieders dienen, net als onder de AVG, binnen 30 dagen aan een verzoek tot inzage te voldoen door alle gezondheidsgegevens te verstrekken. Daaronder vallen ook aantekeningen, afbeeldingen, laboratoriumuitslagen en facturatiegegevens. Verschil met de AVG is wel dat zorgaanbieders hier in principe redelijke kosten voor in rekening mogen brengen, terwijl dat in Europa juist niet zo is. De ontvanger mag kiezen of het bestand encrypted of niet-encrypted verzonden moet worden, waarbij de zorgaanbieder dient te informeren over de mogelijke risico’s bij die laatste optie.

Voorschrijven beveiligingsmaatregelen

Dat is het volgende punt waarop HIPAA verschilt met de AVG: het voorschrijven van bepaalde beveiligingsmaatregelen. De Europese wet is technologieneutraal bedoeld en bepaalt alleen dat organisaties gehouden zijn passende technische en organisatorische maatregelen te nemen. Wat ‘passend’ is, is afhankelijk van onder andere de gevoeligheid van de gegevens, het risico van de verwerking en de stand van de techniek. HIPAA noemt bepaalde standaard protocollen en maatregelen en doet daarmee meer denken aan de NEN 7510-norm die bij ons als beveiligingsstandaard voor de zorg geldt.

Betekent voldoen aan HIPAA voldoen aan de AVG?

Voor (zorg)organisaties die zowel in de VS als in Europa actief zijn, zal voldoen aan HIPAA betekenen dat zij goed op weg zijn om aan de AVG te voldoen. Hoewel het toepassingsbereik van de Europese wet veel breder is dan dat van de Amerikaanse, stellen ze soortgelijke normen ten aanzien van de bescherming van gezondheidsgegevens.

Laura Monhemius

Juridisch adviseur

Laura Monhemius werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Bij ICTRecht maakt Laura onderdeel uit van het privacyteam. Binnen deze functie houdt zij zich bezig met het beantwoorden van uiteenlopende privacy- en telecommunicatievraagstukken. Daarbij is zij gespecialiseerd in de specifieke juridische uitdagingen op het gebied van privacy en zorg. Ook houdt zij nauwlettend de ontwikkelingen op het gebied van de aankomende ePrivacy Verordening bij.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie