Beeldschermzorg als juiste zorg op de juiste plaats, wordt op dit moment overal deel van de dagelijkse zorgpraktijk. Om de kwaliteit van zorg zo goed mogelijk te waarborgen is dit noodzakelijk. Niet alleen in tijden van pandemie, ook daarna. Omdat een zorgaanbieder bij het gebruik van beeldschermzorg nog steeds verantwoordelijk is voor de kwaliteit van zorg, doet hij of zij er goed aan om aan de nodige verplichtingen te voldoen. Maar wat is nodig?
Bij het aanbieden van beeldschermzorg aan cliënten, moet voldaan worden aan bepaalde informatieplichten:
Het aanbieden van beeldschermzorg is een vorm van onlinedienstverlening. Dit betekent dat de dienst gekwalificeerd wordt als een dienst van de infor-matiemaatschappij. Een leverancier van deze diensten, dat kan ook een zorg-aanbieder zijn, is verplicht om in ieder geval de volgende informatie te verstrekken:
Daarnaast gelden er aanvullende informatieverplichtingen als je online producten of diensten aan consumenten verkoopt. Je bent in ieder geval ver-plicht om de consument te informeren over de geldende prijzen, product- en/of dienstinformatie, het bestelproces, betaalmethodes, herroepingsrecht, garantie en een klachtenprocedure. Al deze informatie moet op een gemakkelijke vindbare plaats vermeld worden.
Op deze aanvullende informatieplichten geldt echter een uitzondering als er bepaalde gezondheidsdiensten worden verleend. Hiervan is sprake wanneer een zorgaanbieder in het kader van de geneeskundige behandelingsovereenkomst medische handelingen op afstand verricht. De ICT-leverancier zal doorgaans niet onder deze uitzondering vallen. Maar de zorgaanbieder wel. In plaats van de aanvullende informatieplichten die op grond van het consumentenrecht gelden, geldt het regime uit de WGBO.
Normaliter is het verboden op grond van de Geneesmiddelenwet om na enkel digitaal contact medicatie voor te schrijven. Echter, vanwege het coronavirus is hierop een uitzondering gemaakt. Totdat de Nederlandse Zorgautoriteit anders aangeeft, mag er na digitaal contact medicatie worden voorgeschreven.
Het kan zijn dat u een medisch hulpmiddel inkoopt, ontwikkelt en/of aanbiedt. Er is sprake van een medisch hulpmiddel indien de standalone software een medisch doeleinde heeft, namelijk: het voorkomen, het voorspellen, de diagnose, de behandeling en de monitoring van een ziekte, letsel of beperking.
Indien er sprake is van een medisch hulpmiddel, dan gelden er op grond van de Richtlijn omtrent medische hulpmiddelen een aantal eisen in het kader van patient-veiligheid en kwaliteit. Zo moet een medisch hulpmiddel een CE-markering hebben voordat het op de markt mag worden gebracht.
De Europese Commissie heeft een tweetal Verordeningen aangenomen om de regelgeving omtrent medische hulpmiddelen aan te scherpen. Het van toepassing worden van de Verordeningen is echter met één jaar uitgesteld om prioriteit te geven aan de bestrijding van het coronavirus.
De aanscherping van de regels leidt ertoe dat er strengere eisen voor meer partijen gaan gelden. De fabrikant is de partij die een medisch hulpmiddel laat ontwerpen, vervaardigen, volledig laat reviseren en het onder zijn naam of merk verhandeld.
De fabrikant moet controleren of een CE-markering vereist is en zo ja, zorgen dat aan alle toepasselijke vereisten wordt voldaan om te garanderen dat het hulpmiddel veilig is. Dit zijn bijvoorbeeld veiligheids- en kwaliteitseisen, registratieverplichtingen en nieuwe eisen ten aanzien van het uitvoeren van een klinische evaluatie. Iedere fabrikant moet beschikken over een persoon die verantwoordelijk is voor de naleving van de regelgeving en ieder medisch hulpmiddel moet beschikken over een duidelijke gebruiksaanwijzing en een klachtenprocedure. Daarnaast moeten er maatregelen genomen worden om incidenten en schade te voorkomen of zo snel mogelijk op te lossen. Ook voor de distributeur en importeur gelden er strengere eisen. Zij moeten nagaan of het hulpmiddel voldoet aan de eisen uit de Verordening voordat zij het op de markt brengen of importeren.
Afhankelijk van de rol die de zorginstelling inneemt, kunnen er ook eisen voor zorginstellingen gelden. Als de zorginstelling hulpmiddelen binnenshuis vervaardigd of laat vervaardigen door een ontwikkelaar maar de software zelf als eerste op de markt brengt, dan wordt de zorginstelling gekwalificeerd als fabrikant. Verder, als zorginstellingen hulpmiddelen gaan inkopen, hebben hulpverleners een eigen verantwoordelijkheid. Wanneer u als hulpverlener een medisch hulpmiddel inzet bij de behandeling van uw patiënt, dient u namelijk hierbij uw zorgplicht in acht te nemen. Dat betekent onder meer dat er enkel hulpmiddelen ingezet mogen worden die voldoen aan de kwaliteits- en veiligheidseisen en dat de patiënt over (het gebruik van) het middel is geïnformeerd.
Een medisch hulpmiddel dat door een zorginstelling wordt gemaakt (of onder eigen verantwoordelijkheid laat vervaardigen) en niet (!) op de markt wordt gebracht, moet aan dezelfde veiligheids- en kwaliteitseisen voldoen als een medisch hulpmiddel dat door een fabrikant op de markt wordt gebracht. Er hoeft echter geen CE-markering aangebracht te worden door de zorginstelling.
Met de komst van de Verordening zal er ook een Europese database komen, genaamd EUDAMED, waarin alle medische hulpmiddelen moeten worden opgenomen. Voor u als zorgaanbieder geldt dat u moet controleren of het hulpmiddel dat u wilt gebruiken in deze database is opgenomen. Een hulpmiddel wat niet in de EUDAMED is opgenomen mag niet zonder meer gebruikt worden.
Voor u als leverancier is het van belang dat u de zorgaanbieder hierin kan faciliteren en u bij het aanbieden van het medisch hulpmiddel aan de eisen voldoet.
Lees meer in onze factsheet “software als medisch hulpmiddel” over de regels in het kader van het medisch hulpmiddel nu en in de toekomst.
De dossierplicht uit de WGBO geldt ook bij het verlenen van zorg op afstand middels beeldschermzorg. Dit houdt overigens niet in dat de volledige gesprekken via het communicatiemiddel opgeslagen moeten worden, wel moet de relevante informatie (ook) in het dossier van de patiënt opgenomen worden. Deze plicht ligt in eerste instantie bij de hulpverlener, niet bij de leverancier die de ‘beeldschermzorg’-applicatie levert.
Op de hulpverlener rust een geheimhoudingsplicht met betrekking tot de gegevens van de patiënt. Deze moet de hulpverlener ook opleggen aan zijn leverancier. Het is natuurlijk niet de bedoeling dat de leverancier meeleest, behalve in de gevallen waarin het noodzakelijk is voor het leveren van de dienst en het nakomen van de overeenkomst. Daarnaast geldt dan dat de verwerking niet moet kunnen plaatsvinden op een manier die minder impact maakt op de privacy van de betrokkenen.
De hulpverlener mag de gegevens die onderdeel uitmaken van het dossier niet zomaar weggooien, want de wet bepaalt verplichte bewaartermijnen voor patient-gegevens. De hoofdregel is dat een medisch dossier 20 jaar bewaard moet worden, te rekenen vanaf het tijdstip waarop de laatste wijziging in het dossier heeft plaatsgevonden. Hierna moeten de patiëntgegevens in beginsel worden vernietigd. De hulpverlener moet deze gegevens echter langer bewaren als dit op grond van goed hulpverlenerschap noodzakelijk is.
Ook hier geldt dat het niet de verantwoording is van de leverancier om de bewaartermijnen na te komen. Wel is het goed om de hulpverlener hierbij te ondersteunen. Richt het systeem daarom zo in dat de zorgaanbieder kan voldoen aan zijn bewaarplicht.
Op grond van verschillende wetten kan de bewaartermijn van (onderdelen van) een medisch dossier verschillen. Er bestaat echter overlap wat betreft de toepasselijkheid van de wetten. Dit maakt een en ander minder inzichtelijk. Wij bieden daarom een praktisch overzicht van de geldende termijnen.
20 jaar, gerekend vanaf het moment dat de laatste wijziging in het dossier is aangebracht. De gegevens moeten langer bewaard worden indien dit “uit de zorg van een goed hulpverlener voortvloeit”. Bijvoorbeeld indien de patiënt een erfelijke ziekte heeft, dan kan het voor zijn nabestaanden van zeer groot belang zijn om kennis te kunnen nemen van de gegevens.
20 jaar (gelijk aan de geneeskundige behandelingsovereenkomst) met dien verstande dat in geval van (een vermoeden van) kindermishandeling of huiselijk geweld de gegevens in ieder geval bewaard moeten worden tot het jongste kind van het gezin ook meerderjarig is.
115 jaar. Dit wordt gerekend vanaf de geboortedatum van de patiënt. De bewaartermijn geldt voor de ontslagbrief, het operatie-verslag, het anesthesieverslag, het PA-verslag, het verslag van spoedeisende hulp en bescheiden die gegevens over calamiteiten bevatten.
Minimaal 5 jaar, zodat de patiënt kan opvragen wie op welk moment toegang heeft gehad tot het medisch dossier.
Garanderen de gemaakte afspraken voldoende bescherming van de privacy van de of patiënten? Op grond van de WGBO en de AVG is adequate beveiliging van de verwerkte gegevens noodzakelijk.
Voor zorgaanbieders geldt dat zij met medische gegevens werken, welke worden aangemerkt als bijzondere persoonsgegevens. Dit brengt een zwaarder regime met zich mee. Ook voor het verwerken van bepaalde gegevens, zoals het Burgerservicenummer en het BIG-nummer, bestaat een apart regime. Niet alleen de leveranciers van de dienst moeten de zwaardere technische en organisatorische maatregelen in acht nemen, ook de zorgaanbieder zelf moet zich bewust zijn van zijn rol en verantwoordelijkheden. Denk hierbij in ieder geval aan het gebruik van tweefactor-authenticatie bij de toegang tot de applicatie en daarnaast aan het bij het gebruik van de applicatie voldoen aan NEN 7510, NEN 7513 en indien rele-vant: NEN 7512.
Van organisaties wordt verwacht dat de genomen maatregelen tot beleid wordt uitgewerkt en in de praktijk wordt uitgevoerd. De beveiligingsmaatregelen die worden genomen dienen dan ook te worden uitgewerkt tot een gegevensbeschermingsbeleid. Een gegevensbeschermingsbeleid documenteert hoe een organisatie omgaat met gegevensbescherming, zowel organisatorisch als technisch. Wij adviseren om algemeen beleid te maken dat naleving van de AVG op hoofdlijnen beschrijft en een overzicht geeft van de genomen passende technische en organisatorische beveiligingsmaatregelen en een overzicht van de beveiligingsmaatregelen die medewerkers dienen op te volgen (zoals bijvoorbeeld een wachtwoordbeleid).
Voorgaande kan onderdeel zijn van de implementatie van NEN 7510. Om praktisch invulling te geven aan een passend gegevensbeschermingsbeleid door een organisatie, kan gebruik gemaakt worden van de methodiek van NEN 7510. Passend verwijst namelijk naar risicoanalyse (“risk based approach”), en dat is waar de NEN 7510 om draait.
Indien de applicatie waarmee op afstand zorg wordt geleverd een hoog privacyrisico oplevert voor de cliënten, dan is het uitvoeren van een Data Protection
Impact Assessment (DPIA) verplicht. Bijvoorbeeld, u maakt gebruik van een applicatie in het kader van de geestelijke gezondheid die draait op servers buitenshuis en waarbij de door u ingevoerde gegevens extern worden opgeslagen. Dan is het van belang dat de informatiebeveiliging door de leverancier aan de wettelijke vereisten voldoet en blijft voldoen. Het is aan de Leverancier om de DPIA te faciliteren. Lees hier meer over de DPIA.
Wanneer er op grote schaal bijzondere persoonsgegevens worden verwerkt, is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht. Lees hier meer wat met “op grote schaal verwerken” bedoeld wordt.
De zorgaanbieder en de leveranciers zijn volgens de AVG verplicht om afspraken te maken over de omgang met persoonsgegevens. Deze afspraken dienen te wor-den vastgelegd in een verwerkersovereenkomst.
In deze overeenkomst staan tenminste de verantwoordelijkheden ten aanzien van de persoonsgegevens beschreven, wordt vastgelegd dat de leverancier (de verwerker) uitsluitend in de opdracht van de zorgaanbieder (de verwerkingsverantwoordelijke) de persoonsgegevens mag verwerken en wordt geregeld hoe en op wiens kosten de zorgaanbieder de informatiebeveiliging mag controleren. Ook afspraken over doorgifte van persoonsgegevens naar landen buiten de EU en het inschakelen van onderaannemers, waarvoor de zorgaanbieder altijd toestemming moet geven of bezwaar tegen moet kunnen maken, worden vastgelegd in de verwerkersovereenkomst. De verwerkersovereenkomst kan een opzichzelfstaand document zijn, maar kan ook geïntegreerd worden in de algemene voorwaarden.
Er moet op grond van de AVG een register bijgehouden worden van de verwer-kingen van persoonsgegevens. Een register moet in elk geval worden bijgehouden wanneer een organisatie meer dan 250 personen in dienst heeft.
Zowel een verantwoordelijke als de door hem ingeschakelde hulppersonen (verwerkers) moeten een register bijhouden. Als er minder dan 250 personen in dienst zijn, moet alsnog een register worden bijgehouden indien er sprake is van risicovolle verwerkingen, de verwerking structureel is of indien er gevoelige persoonsgegevens worden verwerkt. Het komt maar zelden voor dat een organisatie niet verplicht is een verwerkingsregister bij te houden. Dit komt omdat bijna elke organisatie structureel persoonsgegevens verwerkt. Lees hierover meer via onze factsheet over het verwerkingsregister.
Zijn het systeem en de praktijk ook zo ingericht dat de toegankelijkheid en indeling van de informatie voldoet aan de wet- en regelgeving? Het systeem, maar ook het reilen en zeilen van de zorgpartij moet de juiste informatiebeveiliging waarborgen. Hierbij moet gebruik gemaakt worden van privacy-by-design en privacy-by-default. Dit betekent dat bij de ontwikkeling van een systeem vanaf het begin zoveel mogelijk rekening wordt gehouden met privacy en dat met de standaard-instellingen maximaal rekening wordt gehouden met privacy.
De toegang moet technisch zo geregeld zijn dat er identificatie en authenticatie aan vooraf gaat met als gevolg dat de geïdentificeerde alleen toegang heeft tot waartoe hij is geautoriseerd. Om dat te kunnen controleren is het wettelijk vastgesteld dat het raadplegen van de medische dossiers gelogd moet worden. De resultaten van de logging dienen ook weer gecontroleerd te worden, waarbij de controle zo is ingericht dat deze gericht is op het opsporen van verdachte situaties.
Verder moet het systeem zo worden ingericht dat het mogelijk is om aan de rechten en verzoeken van betrokkenen (de patiënten) te voldoen.
Denk hierbij aan het recht van de patiënt om (elektronisch) inzage te krijgen in zijn of haar dossier. Desgewenst heeft hij recht op een (elektronisch) afschrift van het dossier. Tevens moet het mogelijk zijn om correcties uit te voeren op verzoek van de patiënt en moeten gegevens vernietigd worden (uitzonderingen daargelaten) als er door de patiënt om gevraagd wordt. Ook heeft de patiënt het recht op dataportabiliteit: hij moet zijn gegevens mee kunnen nemen naar een andere zorgaanbieder.
Om te waarborgen dat zowel toezichthouders, als de uiteindelijke betrokkene(n) tijdig op de hoogte worden gebracht van een datalek, kent de AVG hiervoor een meldplicht. Om aan deze meldplicht te kunnen voldoen is het belangrijk dat organisaties zich goed op voorbereiden. Hiervoor dient een calamiteitenplan datalekken te worden opgesteld. Dit is een begrijpelijk en toegankelijk stappenplan waarin de omgang met datalekken voor medewerkers wordt omschreven. Ook wordt in dit calamiteitenplan onder de aandacht gebracht wat een datalek precies inhoudt.
Met de komst van de AVG dienen organisaties in haar rol als verwerkingsverantwoordelijke tevens ieder datalek, ongeacht of het moet worden gemeld bij de Autoriteit Persoonsgegevens en/of betrokkenen, intern te documenteren in een datalekkenregister. In dit register staat bijvoorbeeld hoe het datalek heeft plaatsgevonden, wanneer en wat er is gebeurd, van hoeveel betrokkenen persoonsgegevens zijn gelekt etc.
Heeft u behoefte aan juridisch advies over beeldschermzorg, ondersteuning bij contracteren of onderhandelingen, neem dan vrijblijvend contact met ons op. Of wilt u meer weten over de juridische aspecten van zorg op afstand?
Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met u op.
Wanneer u een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.