Databeschikbaarheid in de gezondheidszorg is cruciaal. Voor het leveren van goede zorg is het immers essentieel dat de juiste gegevens op de juiste plek tijdig beschikbaar zijn. Wil een arts bijvoorbeeld bepaalde medicatie toedienen, dan is inzicht in het huidige medicijngebruik nodig.
In termen van (gezondheids)databeschikbaarheid ken je wellicht het Landelijk Schakelpunt (LSP): een netwerk waar zorgaanbieders op aan kunnen sluiten en medische gegevens over hun patiënten kunnen uitwisselen. Dit is een schoolvoorbeeld van een elektronisch uitwisselingssysteem. Wordt een systeem als zodanig gekwalificeerd, dan brengt dat verschillende praktische gevolgen met zich mee. Zo stelt het Besluit elektronische gegevensverwerking door zorgaanbieders (het Besluit) het voldoen aan de NEN-normen 7510; 7512 en 7513 dan verplicht. En de patiënt moet voorafgaande uitdrukkelijke toestemming hebben gegeven voor de opname van zijn gegevens in het systeem.
Om tot de kwalificatie als een dergelijk systeem te komen, zijn de begrippen push en pull van belang (deze leg ik zo uit). Maar ken je de term notified pull al? En als die uitwisselmethode wordt gebruikt, wat betekent dat dan voor de juridische kwalificatie van het systeem (en bijbehorende verplichtingen)?
De Wabvpz definieert een elektronisch uitwisselingssysteem als “een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier”.
Het gaat erom dat de patiëntgegevens raadpleegbaar gemaakt kunnen worden voor toekomstige situaties. Hierdoor kan een andere zorgaanbieder, die met de patiënt te maken krijgt, de gegevens inzien zonder dat daarvoor nog een actieve handeling nodig is van de zorgaanbieder die de gegevens beschikbaar heeft gemaakt. Dit wordt pull-verkeer genoemd. Het kan gaan om een heel medisch dossier, maar ook om slechts een gedeelte ervan.
Je komt niet tot de kwalificatie als elektronisch uitwisselingsysteem als er (uitsluitend) sprake is van push-verkeer. Bij push-verkeer moet je denken aan het gericht sturen van een bericht door de ene zorgaanbieder naar de andere in het kader van de behandeling. Bijvoorbeeld een verwijzing of een overdracht. Hierbij kunnen noodzakelijke patiëntgegevens meegestuurd worden naar de nieuwe behandelaar. Voor dit soort push-verkeer wordt volgens de wet (de WGBO) uitgegaan van veronderstelde toestemming van de patiënt.
Een combinatie van push en pull is notified pull. Dit wil zeggen dat de zorgaanbieder niet direct de medische gegevens verstuurt, maar de ontvanger eerst een bericht stuurt dat er gegevens opgehaald kunnen worden (notify). Vervolgens kan de ontvanger de gegevens opvragen (een pull aanroep). De informatie wordt hierbij niet ‘ongevraagd’ ter beschikking gesteld, maar pas wanneer de ontvanger hierom vraagt. En daar is ook direct wezenlijke verschil als je kijkt naar de wettelijke definitie van een elektronisch uitwisselingssysteem: de gegevens worden niet raadpleegbaar gemaakt voor toekomstige situaties, maar op aanvraag en voor de dan beschreven situatie.
Deze uitwisselmethode wint steeds meer terrein, omdat de informatie wordt opgehaald op basis van behoefte en deze wijze van gegevensuitwisseling beter te beveiligen is. Voor de uitwisseling van de Basisgegevensset Zorg (BgZ) via het LSP worden nu dan ook zowel pull als notified pull als vormen van uitwisseling ondersteund (zie de Autorisatierichtlijn BgZ van VZVZ van afgelopen juli).
Notified pull is niet exact hetzelfde als push, maar juridisch gezien heeft dit mechanisme wel dezelfde gevolgen als push-verkeer. Namelijk: je komt niet tot de kwalificatie als elektronisch uitwisselingssysteem. Dat betekent dat de vereisten uit het Besluit voor een elektronisch uitwisselingssysteem niet van toepassing zijn en als de gegevens in het kader van een behandeling worden gestuurd er veronderstelde toestemming van de patiënt geldt.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.