Zoals we begin deze maand al schreven, ligt momenteel het wetsvoorstel over elektronische gegevensuitwisseling in de zorg (Wegiz) bij de Raad van State. Het doel van de wet is om gegevensuitwisselingen te standaardiseren, en om specifieke gegevensuitwisselingen in de zorg verplicht elektronisch te laten verlopen. De naam zegt het al, de uitwisseling van gegevens – waaronder natuurlijk persoonsgegevens – van patiënten staat daarbij centraal. En waar persoonsgegevens worden verwerkt, is de Algemene verordening gegevensverwerking (AVG) van toepassing. Ook geldt het gezondheidsrecht van elke lidstaat. In dit tweede deel van deze blogreeks ga ik daarom verder in op de privacywaarborgen die aanwezig dienen te zijn bij de uitvoering van de Wegiz.
Bijzondere persoonsgegevens, waaronder gezondheidsgegevens, mogen niet worden verwerkt, tenzij een uitzonderingsgrond uit de AVG van toepassing is. Is het verbod doorbroken, dan is er ook een rechtsgeldige grondslag nodig om persoonsgegevens te verwerken. Belangrijk is om voorop te stellen dat de Wegiz niet regelt óf er uitgewisseld mag worden, maar, als dat mag of moet, hóe dat dan dient te gebeuren, namelijk elektronisch en aan welke eisen dat dient te voldoen. Dat betekent dat de eerste stap dus altijd is om te toetsen of het verwerkingsverbod uit de AVG doorbroken kan worden, of er vervolgens een grondslag aanwezig is, en of het medisch beroepsgeheim doorbroken kan worden. Levert dit problemen op, dan is de vraag hoe er uitgewisseld dient te worden ook niet aan de orde. Levert dit geen problemen op, dan kan men door naar de Wegiz.
Een interessant aspect is dat de patiënt op grond van de Wabvpz uitdrukkelijk toestemming dient te geven voor het beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem. Bij het Landelijk Schakelpunt (LSP) dienen patiënten bijvoorbeeld uitdrukkelijke toestemming te geven, zodat de huisarts en de apotheek het BSN aan kunnen melden bij de verwijsindex. Andere zorgaanbieders kunnen hiermee zien welke zorgaanbieders welke gezondheidsgegevens delen. Het gaat hierbij om toestemming voor het gebruik van het systeem, niet om de uitwisseling an sich. Dit kan tot de situatie leiden dat gegevens uitgewisseld mogen worden (het verwerkingsverbod is doorbroken en er is een grondslag), dat dit elektronisch dient te verlopen op grond van de Wegiz, maar dat er geen toestemming is voor het gebruik van het elektronisch uitwisselingssysteem. In dit geval zal de uitwisseling op een andere manier elektronisch moeten plaatsvinden dan via het systeem waar toestemming voor nodig is.
Aan de andere kant dienen persoonsgegevens ‘passend’ te worden beveiligd. Het is inmiddels welbekend dat bijzondere persoonsgegevens extra beveiligingsmaatregelen behoeven. Dat betekent enerzijds bijvoorbeeld encryptie in transit en at rest, en anderzijds het inrichten van strenge autorisaties, het loggen van handelingen in het medisch dossier en het controleren van die logbestanden. Vooral dat laatste staat hoog op de agenda bij de Autoriteit Persoonsgegevens (AP). Dat is vorige week nog eens bevestigd met wederom een fikse boete voor een ziekenhuis. Er waren niet genoeg maatregelen genomen om onbevoegde toegang tot het medisch dossier te voorkomen. De AP heeft daarom al in 2013 aangegeven dat het (aantoonbaar) kunnen voldoen aan het NEN7510-normenkader ‘passend’ is in de zorgsector. Bovendien is dit al verplicht voor zorgaanbieders bij het gebruik van een elektronisch uitwisselingssysteem. Mogelijk wordt het in specifieke situaties ook verplicht om te voldoen aan de uitwerkingen van de NEN7510-norm, zoals de NEN7512. Dit is bijvoorbeeld al het geval op grond van de Regeling zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten.
Om beveiliging te waarborgen bij de uitvoering van de Wegiz, gaat het Nederlands Normalisatie Instituut (NEN) in opdracht van het Ministerie van VWS en samen met het zorgveld specifieke normen en certificatieschema’s ontwikkelen. Denk daarbij aan het standaardiseren van de ‘taal’ en informatie die wordt uitgewisseld, of uniforme toepassing van end-to-end encryptie. Er komt een set normen met algemene eisen, maar ook specifieke normen voor specifieke gegevensuitwisselingen. Organisaties krijgen niettemin de tijd om een en ander te implementeren, de daadwerkelijke wettelijke verplichting wordt pas rond 2026 verwacht.
Een ander interessant aspect van de Wegiz ziet op toezicht en handhaving. De bestuursrechtelijke aspecten hiervan laat ik even buiten beschouwing. Waar ik namelijk op doel is dat toezichthouders op grond van de Wegiz bijzondere persoonsgegevens in kunnen zien als dat noodzakelijkheid is voor het toezicht op de naleving van de verplichtingen. Denk bijvoorbeeld aan de situatie dat een verkeerde diagnose is gesteld op basis van elektronisch verstrekte informatie over de patiënt. De toezichthouder kan deze informatie inzien om te controleren of is gewerkt volgens de eisen die zijn gesteld aan eenheid van taal. De zorgaanbieder die hier geen medewerking aan verleent, kan een last onder dwangsom opgelegd krijgen. Wel is de toezichthouder gebonden aan een geheimhoudingsverplichting. Op grond van de AVG zal inzage uiteraard ook zoveel mogelijk beperkt dienen te worden tot hetgeen absoluut noodzakelijk is.
In het volgende deel van deze blogserie gaat mijn collega Sari Jansen in op interoperabiliteit, AMvB’s en open standaarden.
Wilt u meer te weten komen over Wegiz? Lees hier meer over in de blogserie:
Wegiz #2: privacywaarborgen
Wegiz #4: keuzevrijheid voor de zorgaanbieder
Wegiz update: wanneer moet u in actie komen en digitaal uitwisselen?
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.