Dit jaar verzorgden MedicalPHIT en ICTRecht samen een serie van interactieve seminars tijdens de Slimme Zorg Estafette. Onderwerp was hoe je digitale uitwisseling van patiëntgegevens regelt; zowel vanuit de techniek als vanuit de wet- en regelgeving. Na afloop praten Sari, Robert en Geranne met deelnemers na.
Deelnemer: Zal het wetsvoorstel Wegiz de uitwisseling van gegevens versnellen?
Sari: De Wet elektronische gegevensuitwisseling in de zorg (Wegiz) vormt de basis om bij algemene maatregel van bestuur (AMvB) gegevensuitwisselingen aan te wijzen die ten minste elektronisch moeten plaatsvinden, met als uiteindelijke ambitie om te komen tot volledige gedigitaliseerde en gestandaardiseerde uitwisseling van gegevens. Voorbeelden van gegevensuitwisselingen zijn verpleegkundige overdracht en beeldbeschikbaarheid.
De verplichting ziet alleen op het hoe van de uitwisseling, namelijk op elektronische wijze. De Wegiz verandert niets aan de bestaande grondslagen voor uitwisseling en creëert ook geen nieuwe grondslag. De Wegiz is op dit punt aangepast om dat nog duidelijker te maken.
Geranne: Het doel van het wetsvoorstel is eenheid van taal en techniek. Dat is de grootste waarde van het wetsvoorstel. De minister is wel bezig met een onderzoek naar herijking van de grondslagen voor de uitwisseling van gegevens, maar dit ligt buiten de scope van de Wegiz.
Robert: Er is duidelijk behoefte aan landelijke afspraken op o.a. eenheid van taal en techniek. Het gaat niet alleen om de standaarden zelf, maar ook om afspraken die buiten de reikwijdte van standaarden vallen en/of de standaarden praktisch invullen. Door het ontbreken van deze afspraken worden standaarden nu niet overal hetzelfde geïmplementeerd. Veel (regionale) projecten zijn genoodzaakt om zelf keuzes te maken. Deze keuzes blijken in de praktijk te verschillen van andere (regionale) projecten waardoor interoperabiliteit achterblijft of niet tot stand komt. Het blijft van belang dat de zorginstellingen de implementatiekeuzes onderling blijven afstemmen. Ga er met elkaar gewoon mee aan de slag.
Deelnemer: Hoe zit het met onderzoek? Regelt de Wegiz daar iets over?
Geranne: De Wegiz regelt niets over de uitwisseling voor onderzoek. Dat wetsvoorstel gaat enkel over uitwisseling tussen zorgaanbieders in het kader van het primaire proces.
Sari: Ook voor het verwerken van gegevens voor wetenschappelijk onderzoek is een grondslag nodig. In beginsel is toestemming nodig van de onderzoeksdeelnemers.
Deelnemer: Kan je uitgaan van de toestemming die in Mitz is gegeven om de gegevens te gebruiken voor onderzoek?
Geranne: Mitz is een mooi systeem om toestemming van cliënten mee te kunnen registreren, maar Mitz ziet nu niet op gebruik van gegevens voor onderzoek. Mitz is enkel bedoeld voor uitwisseling van gegevens tussen zorgaanbieders in het kader van reguliere zorg. Er wordt wel over nagedacht of Mitz hiermee uitgebreid kan worden in de toekomst, maar voor nu gaat de aandacht uit naar de implementatie van Mitz voor de reguliere zorg.
Sari: Overigens geldt het vereiste van toestemming voor het gebruik van gegevens voor onderzoek ook voor de medewerkers van een zorginstelling. In principe mogen alleen medewerkers die rechtstreeks zijn betrokken bij de behandeling toegang krijgen tot het dossier. Ook als onderzoekers die werkzaam zijn bij de zorginstelling onderzoek willen doen, hebben zij eerst toestemming nodig van de studiedeelnemers voordat zij de gegevens mogen gebruiken.
Robert: Deze wet- en regelgeving bepaalt uiteindelijk ook hoe je dit technisch moet inregelen. Juridische visie hierop vanuit de organisatie is onmisbaar om dit op technisch niveau goed in te regelen.
Deelnemer: Voor het onderzoek in onze instelling gebruiken wij alleen anonieme gegevens met een code.
Sari: Dan denk ik dat je het hebt over gespeudonimiseerde gegevens. Als gegevens gekoppeld zijn aan een code die terug te herleiden is naar de onderzoeksdeelnemer, zijn ze voor het doel van de AVG niet anoniem. De AVG blijft er gewoon op van toepassing. Ook als de onderzoekers zelf niet over de sleutel beschikken.
Geranne: Overigens wel goed dat jullie de gegevens coderen. In principe geldt de eis dat onderzoekers alleen gepseudonimiseerde gegevens mogen ontvangen. In de meeste gevallen hebben zij de direct identificerende gegevens zoals naam en adres niet nodig voor hun onderzoek.
Sari: Als gegevens geanonimiseerd zijn, dan is de AVG er niet meer op van toepassing.
Deelnemer: Heb je toestemming nodig om gegevens te anonimiseren?
Geranne: Strikt genomen is anonimiseren een verwerking waarvoor een grondslag is vereist.
Sari: Het is wel lastig om gegevens volledig te anonimiseren. Gegevens zijn al snel toch herleidbaar naar natuurlijke personen. En vooral in de zorg, waar een combinatie van unieke gegevens (bijvoorbeeld geslacht, leeftijd en ziektebeeld binnen een bepaald ziekenhuis) toch snel herleidbaar is naar een bepaalde patiënt.
Geranne: Bovendien is de vraag of je goed onderzoek kan uitvoeren met anonieme gegevens. Vaak hebben onderzoekers zoveel gegevens nodig dat de gegevens niet meer anoniem te noemen zijn. Voor genetische persoonsgegevens hebben de Europese privacy toezichthouders bijvoorbeeld uitgelegd dat dit soort gegevens niet snel anoniem te noemen is. Daarbij is het voor het doel van het onderzoek vaak nodig om aanvullende gegevens op te kunnen halen of later toe te kunnen voegen. In die situaties is anonimiseren helemaal geen optie en worden de gegevens gepseudonimiseerd.
Deelnemer: Is dan altijd toestemming nodig om gegevens te gebruiken voor onderzoek?
Sari: Er zijn wel uitzonderingen. Denk aan de situatie dat het vragen van toestemming onevenredig veel inspanning vergt omdat er heel veel studiedeelnemers zijn. Waar de grens ligt in aantallen is alleen niet goed te zeggen. Zorginstellingen hebben meestal een eigen medische ethische commissie die kan toetsten of er een uitzondering mogelijk is voor het vragen van toestemming. Als meerdere zorginstellingen samen een onderzoek uitvoeren, kan het nodig zijn om bij die verschillende zorginstellingen te laten toetsen of daarop een beroep kan worden gedaan. Dat kan leiden tot verschillende uitkomsten.
Geranne: Er is een nieuw voorstel vanuit Brussel voor een verordening voor een European Health Data Space. In die conceptverordening gaat het over de uitwisseling van gegevens voor secundair gebruik zoals onderzoek. Voordat die verordening definitief is en wordt aangenomen zijn we echter wel een paar jaar verder. Daarin is overigens ook geen verplichting opgenomen voor het uitwisselen van gegevens voor onderzoek. Ook die verordening gaat vooral over eenheid van taal en techniek om te zorgen dat gegevens herbruikbaar zijn.
Robert: Of die verordening echt zal zorgen voor verandering, ligt er maar aan welke eisen gesteld zullen worden aan taal (medische terminologie) en techniek. Als de eisen te algemeen zijn, blijft er te veel ruimte voor eigen invulling. Bovendien is de vraag of de eisen zullen zien op de verslaglegging van de gegevens zelfs of alleen op de uitwisseling. Als de verslaglegging van de gegevens in de bronsystemen (zoals EPD's) zelf voldoende gestandaardiseerd wordt, dan zijn er echt grote slagen te maken. Daarmee wordt niet alleen het uitwisselen tussen zorgaanbieders makkelijker. Ook secundair gebruik voor bijvoorbeeld onderzoek is daarmee geholpen.
Heeft u nog vragen naar aanleiding van dit blog? Neem dan vrijblijvend contact op met ICTRecht of MedicalPHIT
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.