Nieuwe regelgeving voor elektronische uitwisselingen persoonsgegevens in de zorg

De Wabvpz: hoe zat het ook alweer?

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) is een samenvoeging van twee verschillende wetten, namelijk van de wet gebruik Burgerservicenummer in de zorg en de Wet cliëntenrechten elektronische verwerking van gegevens. De Wet cliëntenrechten bij elektronische verwerking van gegevens trad gefaseerd in werking: het eerste deel per 1 juli 2017 en het laatste deel zal per 1 juli 2020 in werking treden. De bepalingen zijn opgenomen in de Wet gebruik burgerservicenummer in de zorg. Omdat de Wet gebruik burgerservicenummer in de zorg hiermee niet alleen nog gaat over het gebruik van het burgerservicenummer, kreeg de wet in 2017 een nieuwe titel: de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Op grond van die regelgeving is een zorgaanbieder momenteel bijvoorbeeld reeds verplicht om een patiënt te informeren over zijn rechten wanneer zijn elektronisch gegevens worden uitgewisseld (de informatieplicht, artikel 15c lid 1 Wabvpz).

Bij de inwerkingtreding van het laatste deel van de Wabvpz per 1 juli 2020 komen daar nog een tweetal nieuwe rechten voor de patiënt bij. Hieronder geven wij u een overzicht van de wijzigingen.

De wijzingen per 1 juli 2020

• Artikel 15d Wabvpz: het recht op elektronische inzage en afschrift

Op grond van artikel 7:456 Wet geneeskundige behandelovereenkomst (WGBO) beschikt de patiënt in het kader van een geneeskundige behandelingsovereenkomst reeds over hetrecht op inzage of afschrift, zij het op papier of bij de zorgverlener op het scherm. Met ingang van 1 juli 2020 heeft de patiënt daarnaast recht op inzage in of een afschrift van het elektronisch dossier. Het betreft hier inzage of afschrift van het dossier van de betreffende patiënt of van diens gegevens die de zorgaanbieder via een elektronisch uitwisselingssysteem beschikbaar stelt. De vorm van elektronische inzage en elektronisch afschrift is niet voorgeschreven. Het belangrijkste is dat de beveiliging van de persoonsgegevens bij de uitoefening van de rechten gegarandeerd wordt. De uitoefening van de rechten moet met andere woorden veilig gebeuren. Er mogen verder geen kosten in rekening worden gebracht voor de inzage en de afschriften, wat afwijkt van de huidige privacywetgeving en de WGBO waarin gesteld wordt dat voor inzage en afschrift kosten gerekend mogen worden.

Het recht op elektronische inzage brengt met zich mee dat zorgaanbieders een elektronisch uitwisselingsysteem moeten hebben dat elektronische inzage mogelijk maakt. Voor zorgaanbieders die niet reeds over een elektronisch uitwisselingsysteem beschikken brengt de wet dus een belangrijke wijziging met zich mee. Daar komt bij dat het elektronisch systeem moet voldoen aan de normen NEN 7510 en NEN 7512 (zie art. 3 Besluit elektronische gegevensverwerking door zorgaanbieders (‘Begz’). Voorbeelden van een elektronisch uitwisselingssysteem zijn inzageportalen, systemen met verwijsindexen (o.a. LSP, IHE-XDS) en kerndossiers (bijv. op basis van CCR-standaarden). Ook inzage door de huisarts van diagnostische gegevens die verzameld zijn in het ziekenhuis is een voorbeeld van een elektronisch uitwisselingssysteem.

• Artikel 15e Wabvpz: het recht op logging

Per 1 juli 2020 heeft de patiënt daarnaast recht op een afschrift van de logging. Dit betreft een overzicht van wie bepaalde informatie in het systeem beschikbaar heeft gesteld en wie informatie heeft ingezien of opgevraagd.

In de praktijk komt dat erop neer dat de zorgaanbieder per 1 juli 2020 verplicht is zijn elektronisch uitwisselingsysteem op een dergelijke wijze in te richten dat enerzijds wordt vastgesteld wie bepaalde informatie in het systeem beschikbaar heeft gesteld en op welke datum, en anderzijds wordt vastgesteld wie de informatie heeft ingezien of opgevraagd en op welke datum. Op grond van artikel 5 lid 1 Begz moet de logging daarnaast voldoen aan de norm NEN 7513.

• Artikel 15a lid 2 Wabvpz: gespecificeerde toestemming

Volgens de eerdere aankondigingen zouden zorginstellingen per 1 juli 2020 over gespecificeerde toestemming van de patiënt moet beschikken om medische gegevens beschikbaar te mogen stellen via het elektronische uitwisselingssysteem. Eind vorig jaar heeft de voormalig minister voor Medische Zorg (Bruins) echter aangegeven dat de invoering van deze nieuwe verplichting per 1 juli 2020 niet haalbaar is. De kamerbrief is hier te raadplegen. De adviesgroep is zich momenteel aan het beraden over alternatieve mogelijkheden om de gespecificeerde toestemming later dit jaar alsnog te kunnen invoeren.

Let op! Ondanks dat het vereiste van gespecificeerde toestemming niet in werking treedt dient er wel te allen tijde sprake te zijn van uitdrukkelijk gegeven toestemming (artikel 15a lid 1 Wabvpz). Deze verplichting geldt reeds sinds 1 juli 2017. De zorgaanbieder moet dus altijd uitdrukkelijke toestemming van de patiënt hebben voor het beschikbaar stellen van zijn gegevens via het uitwisselingssysteem. De vereisten voor het verkrijgen van uitdrukkelijke toestemming zijn dezelfde als onder de Algemene verordening gegevensverwerking (AVG). De toestemming moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig gegeven zijn. Daarnaast moet de toestemming te allen tijde ingetrokken kunnen worden op een wijze die niet zo eenvoudig is als het geven ervan.

Vragen?

Vraagt u zich af of het door uw organisatie gehanteerde elektronisch uitwisselingsysteem aan de nieuwe bepalingen van de Wabvpz en/of de NEN-normen voldoet? Of heeft u vragen over de uitwisseling of beveiliging van persoonsgegevens binnen uw organisatie in het kader van de verplichtingen van de Avg? Neem dan gerust contact op met ons zorgteam, wij helpen u graag op weg.