In deze blogreeks gaan we in op de actualiteiten rondom het PGO, wat een PGO is en waaraan PGO-leveranciers moeten voldoen om hun PGO geschikt te maken voor gebruik. In deze reeks vindt de leverancier ook een handige checklist met de benodigde juridische documenten bij het aanbieden van een PGO. Deze eerst blog staat in het teken van wat een PGO nu eigenlijk is.
Vanaf juli 2020 moet iedereen in Nederland online zijn medische gegevens kunnen bekijken, beheren en delen op grond van de “Wet Cliëntenrechten bij elektronische verwerking van gegevens”. Een van de initiatieven om dit mogelijk te maken is een persoonlijke gezondheidsomgeving (‘PGO’). Hiervoor stelt Minister Bruins van Medische Zorg & Sport een subsidie ter beschikking voor IT-leveranciers die een PGO ontwikkelen of hebben ontwikkeld. Inmiddels is er aan 24 PGO-leveranciers een subsidie toegekend. Hiermee is de subsidie volledig uitgeput.
Een PGO is een digitale omgeving waarin de gebruiker zijn medische gegevens kan bekijken, beheren en delen. De gebruiker kan zelf beslissen welke informatie van welke zorgaanbieder wordt opgeslagen in het PGO. Naast het PGO bestaat er ook het al langer bekende EPD. Een EPD is het elektronische patiëntendossier van een zorgaanbieder. Een EPD is juridisch iets anders dan een PGO. Hier ga ik hieronder nader op in.
Naast de algemene regelgeving over het verwerken van persoonsgegevens zoals de Algemene Verordening Gegevenbescherming (AVG) zijn er tal aan specifieke regels voor de zorg. Met betrekking tot de elektronische verwerking van gegevens in de zorg heeft de wetgever de laatste jaren niet stilgezeten. Zo zijn er de “Wet Cliëntenrechten bij elektronische verwerking” en het “Besluit elektronische verwerking voor zorgaanbieders” van toepassing geworden. Deze regelgeving gaat over het elektronisch uitwisselen van medische gegevens en de beveiliging daarvan. Specifiek bedoeld voor een PGO zou je in eerste instantie denken. Maar de regelgeving geldt alleen voor een elektronisch uitwisselingssysteem en een zorginformatiesysteem.
Een PGO is geen systeem van één zorgaanbieder voor het verwerken van medische gegevens (zorginformatiesysteem). Een PGO is ook geen uitwisselingssysteem waarbij twee of meer zorgaanbieders medische gegevens uitwisselen (elektronisch uitwisselingssysteem). Een PGO is een systeem waarbij de patiënt toegang heeft tot zijn eigen medische gegevens van verschillende zorgaanbieders. Gebruikers kunnen zelf bepalen welke gegevens er in een PGO komen en met wie de gegevens worden gedeeld.
Een PGO dient ook niet als een medisch dossier. De zorgaanbieder is verplicht om een eigen medisch dossier aan te leggen. De gebruiker bepaalt welke gegevens uit dit medische dossier in het PGO komen en met wie deze gegevens vervolgens gedeeld worden. Hier heeft de zorgaanbieder geen invloed op. Het beroepsgeheim strekt daarom niet tot de gegevens in het PGO, maar alleen tot het medisch dossier. De controle op de gegevens ligt bij de gebruiker. Deze kan de gegevens verwijderen, aanpassen of de rechten aanpassen van personen die de gegevens kunnen inzien.
Maar hoe kunnen we een PGO juridisch dan wèl kwalificeren? Op dit moment wordt een PGO niet op een bepaalde manier in de wet wordt gekwalificeerd. Daarom gelden de specifieke regels voor de zorg niet en vallen we terug op algemene regels. Om voldoende waarborgen te kunnen bieden om de privacy van gebruikers te beschermen heeft de Stichting MedMij een afsprakenstelsel opgesteld voor het uitwisselen van gegevens via een PGO. HetMedMij Afsprakenstelsel heeft als doel het faciliteren van één set regels voor het beheren en delen van medische gegevens voor alle PGO’s. Meer hierover in onze volgende blog over de vereisten waaraan een PGO moet voldoen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.