Ringholm-Logo Ringholm Ringholm page header
Training    Services   |   Whitepapers    Blog    Events    Links   |   About us    Partners    Clients    Contact
Home > Current column | Ringholm bv | Tel. +31 33 7 630 636| rene.spronk@ringholm.com

De Algemene Verordening Gegevensbescherming (AVG) in de zorg

Publication date: Sep 19, 2017

Recent was ik bij een IHE XDS seminar waar een spreker een praatje hield over het project GTS (Gespecificeerde Toestemming Structureel) dat tot doel heeft de patiŽnttoestemmingen (zoals geregeld in de wet Wzc, zie onder) op nationaal niveau in een elektronisch register vast te leggen. Die toestemmingen kunnen dan worden geraadpleegd door zowel het LSP als regionale (bijv. XDS gebaseerde) infrastructuren. In het verhaal ontbrak de relatie met de AVG (ook bekend als de GDPR), een niet-zorgspecifieke Europese verordening over data uitwisseling en gebruik.

Inleiding

De Wcz (Wet Clientrechten in de Zorg, zie flyer of wetstekst) is een wet waarin (onder andere) de elektronische uitwisseling van medische gegevens tussen zorgverleners (binnen Nederland) wordt geregeld.

De Algemene Verordening Gegevensbescherming (AVG) is de Nederlands vertaling van de GDPR (General Data Protection Regulation). De AVG is een Europese Richtlijn, die in alle lidstaten recht van wet heeft. De AVG is van toepassing op de elektronische verwerking van persoonsgegevens ongeacht over welke bedrijfstak het gaat, en is dus eveneens van toepassing op de zorgsector. Zie een eerdere blogpost voor een impactanalyse van de GDPR (en dus van de AVG) op gegevensuitwisseling in de zorgsector.

Vraag is: wat is de impact van de AVG op hetgeen in de Wcz staat, en wat zijn de implicaties voor de projecten GTS, MedMij en VIPP ?

Analyse: Wcz en AVG

Een van de kernpunten van de Wcz is (Wcz, Art. 15a lid 1) ďDe zorgaanbieder [vanaf juli 2017] stelt gegevens van de cliŽnt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliŽnt daartoe uitdrukkelijk toestemming heeft gegeven.Ē

De AVG zegt dat consent niet nodig is voor het uitwisselen/gebruik van gegevens indien ďde verwerking is noodzakelijk voor doeleinden [zoals] het verstrekken van gezondheidszorg of sociale diensten of behandelingen [.. ] en diensten, op grond van Unierecht of lidstatelijk recht Ē. (AVG Artikel 9, para 2.h) Ergo, voor het leveren van Ďreguliere zorgí mogen hen die een zorgrelatie hebben met de patiŽnt onbekommerd gegevens onder elkaar uitwisselen.

De Wcz is (op het gebied van elektronische gegevensuitwisseling) dus veeleisender dan de AVG. Dat heeft onder andere gevolgen wat betreft het recht op data overdraagbaarheid (engels: Data Portability) zoals opgenomen in de AVG:

  • De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien: a) de verwerking berust op toestemming [ .. ] en b) de verwerking via geautomatiseerde procedťs wordt verricht. (AVG/GDPR Artikel 20)
  • Met andere woorden: als je als zorgverlener consent hebt gevraagd voor gegevensuitwisseling van een X gegeven (wat volgens de Wcz vanaf 1 juli 2017 verplicht is), dan heeft de patiŽnt het Data Portability recht (vanaf 1 mei 2018) de gegevens elektronisch te kunnen opvragen, waarbij de gegevens in een gestructureerd, industrie-standaard (bijv. HL7, DICOM), manier aan de patiŽnt moeten worden geleverd.
  • De AVG limiteert wel de scope van de gegevens die aan patiŽnt ter beschikking moeten worden gesteld: als je het vergelijkt met het SOEP model, dan vallen Subjectie en Objectieve gegevens onder Data Portability, maar Evaluatie en Plan niet. Kun je als zorgverlener geen (elektronisch) onderscheid maken tussen de SO en EP categorie gegevens, dan zul je alle gegevens aan de patiŽnt moeten kunnen opleveren.

De Wcz stelt eveneens dat ďVanaf 2020 kan hij bovendien aangeven welke gegevens wel of niet door welke (categorieŽn van) zorgverleners mogen worden ingezien (gespecificeerde toestemming). Voor alle duidelijkheid: het gaat altijd uitsluitend om zorgverleners waarmee de cliŽnt (dan) een behandelrelatie heeft. Andere zorgverleners mogen zijn gegevens niet zien.Ē In die gevallen waarin de AVG toestemming van de patiŽnt vereist, en dat zal in de praktijk veelal op het gebied van elektronische gegevensuitwisseling zijn (AVG is breder in scope dan dat, overigens), zal deze toestemming al vanaf 1 mei 2018 vastgelegd moeten worden, en niet pas vanaf 2020.

De scherpe eisen van de Wcz t.a.v. toestemmingen hebben dus in combinatie met de AVG tot gevolg dat per 1 Mei 2018 alle zorgverleners alle informatie die zij elektronisch delen met andere zorgverleners ook in een gestructureerde, elektronisch opvraagbare, versie aan de patiŽnt zelf moeten kunnen leveren. Dat gaat ver boven de scope van de projecten MedMij en VIPP uit.

Het lijkt me dat er werk aan de winkel is.. niet alleen juridisch, maar ook in praktische zin voor zorgorganisaties: zij moeten de toestemmingen eerder gaan vastleggen dan wellicht gepland, en zij moeten de zorginformatie gestructureerd aan de patiŽnt ter beschikking gaan stellen.

Nabrander

Het blijft een zwak punt dat elektronische uitwisseling tussen zorgverleners niet verplicht is, en de bovengenoemde complicatie (het feit dat men dan ook toestemmingen moet verzamelen, en de gegevens gestructureerd aan de patiŽnt moet kunnen aanbieden) zal zorgverleners niet echt extra motiveren dat te gaan doen.

Daarnaast: het concept behandelrelatie is juridisch wel goed beschreven, maar wordt het niet onderbouwd door een geautomatiseerd register, zoals Finland dit bijvoorbeeld wel heeft. Wordt je daar opgenomen in een Ziekenhuis, dan wordt meteen vastgelegd op nationaal niveau dat die instelling (en een specifiek specialisme) een zorgrelatie met de patiŽnt heeft. Doet men een overplaatsing/verwijzing naar een derde partij, dan wordt tevens vastgelegd dat die partij vanaf dat moment ook een zorgrelatie bezit. De Nederlandse verzekeraars houden ook nu al bij wie de huisarts van een patiŽnt is, waarmee de zorgrelatie tussen huisarts en patiŽnt in ieder geval al wel bekend is, al is dat register helaas niet bevraagbaar voor zorgaanbieders. Een centraal register met daarin de behandelrelaties maakt het mogelijk de toegangscontrole geautomatiseerd te regelen. Of een geautomatiseerd register noodzakelijk is hangt af van de inschatting van de kans op misbruik van de huidige ik-verklaar-plechtig-een-behandelrelatie-te-hebben methode en de daaraan verbonden risicioís.

Terug naar het project GTS: dat kan ik alleen maar toejuichen, we moeten naar een centrale vastlegging van de patiŽnttoestemmingen, o.a. om het dubbel vastleggen te voorkomen, en om een betrouwbare bron te hebben van zulke toestemmingen. Ik ben wel benieuwd welke impact de AVG gaat hebben op het project en op de timing van de projectstappen.

-Rene

PS: Als internationaal trainer op het gebied van interoperabiliteitsstandaarden is mijn focus gericht op heel europa, mijn primaire expertise ligt niet bij allerlei nederlandsspecifieke projecten. Mede om die reden zie ik correcties/aanvullingen gaarne tegemoet.

PermaLink to this page: http://www.ringholm.com/column/AVG_GDPR_zorg_nederland_MedMij_VIPP_GTS.htm

Index of columns:


About Ringholm bv

Ringholm bv is a group of European experts in the field of messaging standards and systems integration in healthcare IT. We provide the industry's most advanced training courses and consulting on healthcare information exchange standards.
See http://www.ringholm.com or call +31 33 7 630 636 for additional information.
Rene's Column (English) Rene is the Tutor-in-chief of Ringholm.
[e-mail]