Ja, je mag patiëntgegevens in de cloud verwerken. Je hebt ook geen toestemming nodig van je patiënten om hun gegevens in de cloud te plaatsen. Maar het werken met patiëntgegevens in de cloud brengt wel privacyrisico’s met zich mee. Bijvoorbeeld omdat je het niet of pas te laat merkt als er gegevens zijn gelekt.

Daarom is er een aantal punten waar je op moet letten:

• Wees kritisch op welke cloudprovider je kiest.
• Maak je gebruik van een cloudprovider buiten de EU (denk aan Amerika)? Dan gelden er speciale regels.
• Maak vooraf afspraken met de cloudprovider om ervoor te zorgen dat je ook toegang houdt tot de gegevens als de provider wordt overgenomen, failliet gaat of als je de samenwerking wil stopzetten.
• Blijf de cloudprovider monitoren wanneer de gegevens eenmaal in de cloud zitten.

Voordat je in zee gaat met een cloudprovider, moet je een risicoanalyse (laten) uitvoeren. Dan weet je welke risico’s je loopt. Deze risicoanalyse moet je regelmatig actualiseren.

Daarnaast kan een erkend certificaat je meer zekerheid geven over de kwaliteit van de cloudprovider. Een certificaat is niet verplicht. Het bewijst wel dat de cloudprovider voldoet aan bepaalde praktijknormen. De meest relevante praktijknormen zijn:

• ISAE 3402
• ISO 27017
• NEN 7510

Tevens spelen ook de algemene beveiligingsnormen ISO 27001 en ISO 27002 een rol.

 

De Algemene verordening gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG.

Zorgverleners zijn onder de AVG gebonden aan zowel de regels over het medisch beroepsgeheim als aan de regels van de AVG. Als zorgverlener mag je bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als je een grond hebt om het medisch beroepsgeheim te doorbreken.

 

Je mag als zorgverlener patiëntgegevens delen met andere zorgverleners die rechtstreeks bij de behandeling van jouw patiënt betrokken zijn. Doe je dit via een elektronisch uitwisselingssysteem of het LSP? Dan heb je daarvoor toestemming van de patiënt nodig.

Uitzondering op medisch beroepsgeheim

Je hebt medisch beroepsgeheim. Dat betekent dat je in principe geen medische gegevens van patiënten aan anderen mag doorgeven. Maar hierop zijn enkele uitzonderingen. Bijvoorbeeld als de patiënt toestemming heeft gegeven.

Je mag patiëntgegevens delen met degenen die rechtstreeks betrokken zijn bij de behandeling van de patiënt. Dit kunnen zowel andere zorgverleners zijn als bijvoorbeeld secretaresses of financieel medewerkers. In de Wet op de geneeskundige behandelingsovereenkomst (WGBO) staat dat toestemming van de patiënt dan wordt verondersteld. Let op: je mag de patiëntgegevens alleen delen als dat noodzakelijk is voor de behandeling van de patiënt.

Elektronisch uitwisselingssysteem

Je hebt toestemming van je patiënt nodig als je gegevens uitwisselt via een elektronisch uitwisselingssysteem. Je moet je patiënten hierover informeren en vervolgens om toestemming vragen.

Landelijk Schakelpunt

Ben je aangesloten op het Landelijk Schakel Punt (LSP)? Ook dan heb je toestemming van je patiënt nodig voor je de gegevens van deze patiënt mag uitwisselen via het LSP.

Tot slot

Je moet kunnen aantonen dat je daadwerkelijk toestemming van je patiënt hebt gekregen. Dit is onderdeel van de verantwoordingsplicht die je onder de Algemene verordening gegevensbescherming (AVG) hebt.

Let op: het is niet genoeg om alleen de toestemming zelf vast te leggen. Je moet ook kunnen laten zien op basis van welke informatie jouw patiënt toestemming heeft gegeven.

In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het delen van persoonsgegevens via e-mail verboden is. Wel is het je taak om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.

Norm e-mail in de zorg

Wanneer het om gezondheidsgegevens gaat, is extra zorgvuldigheid bij het beveiligen gepast. De ‘NTA 7516’ biedt meer duidelijkheid over de voorwaarden waaronder het gebruik van e-mail in de zorg veilig is.

 

Gezondheidsgegevens zijn zeer gevoelige persoonsgegevens. Daarom moet je het patiëntauthenticatie- en identificatieproces rondom medische dossiers zorgvuldig inrichten. Je wilt als zorgverlener immers zeker weten dat de persoon die inlogt in zijn dossier ook werkelijk degene is voor wie hij zich uitgeeft.

Betrouwbaarheidsniveau substantieel tot hoog

De betrouwbaarheid van een authenticatiemiddel wordt ingedeeld in de volgende 3 niveaus: laag, substantieel en hoog.
De minister van Volksgezondheid, Welzijn en Sport (VWS) heeft aangegeven dat het betrouwbaarheidsniveau van patiëntauthenticatie in ieder geval ‘substantieel’ moet zijn.

Als jouw patiënten digitale inzage kunnen krijgen in persoonsgegevens waarop het medisch beroepsgeheim van toepassing is, geldt betrouwbaarheidsniveau ‘hoog’. Dit is bijvoorbeeld het geval bij patiëntportalen en persoonlijke gezondheidsomgevingen.

Maak gebruik van tweefactorauthenticatie

Authenticatiemiddelen die voldoen aan de veiligheidsniveaus ‘substantieel’ en ‘hoog’ zijn nog niet breed beschikbaar. Tot die tijd moet je als zorgverlener in ieder geval gebruikmaken van tweefactorauthenticatie. Zoals inloggen met DigiD in combinatie met sms.

Daarnaast moet je de resterende beveiligingsrisico’s wegnemen en andere beveiligingsmaatregelen nemen die in jouw situatie passend zijn.

 

Een passend beveiligingsbeleid voor patiëntgegevens bestaat onder meer uit een omschrijving van de volgende 5 onderdelen:

1. authenticatie
2. autorisatie
3. logging van de toegang
4. controle van de logging
5. bewustwording medewerkers ten aanzien van informatiebeveiliging

1. Authenticatie

Wil iemand toegang krijgen tot een patiëntendossier? Dan moet je als zorgorganisatie zijn/haar identiteit vaststellen door authenticatie met minimaal 2 factoren.

Iemand krijgt dan pas toegang tot een patiëntendossier als zijn identiteit op 2 verschillende manieren is vastgesteld. Bijvoorbeeld op basis van een wachtwoord en van een personeelspas.

2. Autorisatie

Zo min mogelijk mensen mogen toegang hebben tot patiëntgegevens. Dit leg je ook vast in het toegangscontrolebeleid. Hierin regel je onder meer welke medewerkers toegang mogen hebben tot welke gegevens.

In het algemeen mogen mensen alleen toegang krijgen tot persoonlijke gezondheidsinformatie in de volgende situaties:

• er bestaat een zorgrelatie tussen de gebruiker en de patiënt
• de gebruiker voert een activiteit uit namens de persoon op wie de gegevens betrekking hebben
• de specifieke gegevens zijn nodig om deze activiteit te ondersteunen

3. Logging van toegang

Als zorgorganisatie moet je controleren wie er toegang heeft gehad tot gezondheidsinformatie. Je moet daarom logbestanden maken en registreren wie wanneer welke informatie raadpleegt. Ook moet je beveiligingsincidenten met persoonsgegevens vastleggen in een datalekregister.

4. Controle van de logging

Als zorgorganisatie moet je regelmatig en proactief controleren wie wanneer welk patiëntendossier heeft geraadpleegd. De controle op de loggegevens moet systematisch en consequent zijn. Alleen op deze manier kun je als zorgorganisatie tijdig opmerken wanneer iemand onbevoegd toegang zoekt tot patiëntgegevens. En maatregelen nemen.

5. Bewustmaken medewerkers

Als zorgorganisatie moet je medewerkers bewustmaken van hun verantwoordelijkheden rond de informatiebeveiliging. De medewerkers voor wie dat relevant is voor hun functie moeten een passende bewustzijnsopleiding en –training krijgen. Ook moeten zij regelmatig bijscholing krijgen om hun kennis over beleidsregels en procedures van de organisatie actueel te houden.

 

Als NVDA krijgen we soms vragen over de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 van kracht is geworden. Wat betekent deze verordening voor mijn werk als doktersassistent in de praktijk. Waar moet ik rekening mee houden en wat mag wel en wat mag niet? Op basis van de site van de Autoriteit Persoonsgegevens, hebben we onderstaand de meest gestelde vragen verzameld. We hebben een splitsing gemaakt tussen vragen waar doktersassistenten mee te maken hebben en meer algemene vragen over de AVG in de zorg. Deze verduidelijken ongetwijfeld een hoop vragen, maar het blijft een lastige materie. Dus als er twijfel is, neem contact op met de Autoriteit Persoonsgegevens, of raadpleeg een specialist. Het niet naleven van de AVG kan tot  aanwijzingen en ook tot hoge boetes leiden. In de FAQ gaan we in op situaties bij individuele artsen, maar ook bij grote instellingen. De site van de Autoriteit Persoonsgegevens wordt regelmatig aangepast. Raadpleeg de site bij vragen.

De bestaande regels over privacy worden door de AVG bevestigd en op onderdelen versterkt. De volgende wetten blijven dus gelden:

• Wet op de geneeskundige behandelingsovereenkomst (WGBO);
• Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
• Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
• Zorgverzekeringswet (Zvw);
• Wet marktordening gezondheidszorg (Wmg);
• Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Voor het vertrouwen van de patiënt in jou als zorgaanbieder is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat verandert niet met de komst van de Algemene verordening gegevensbescherming (AVG). Nieuw onder de AVG is wel de verantwoordingsplicht.

Heb ik een verantwoordingsplicht?

De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat je de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens van je patiënten te beveiligen. En dat je gegevensverwerkingen aan de AVG voldoen.

Dat houdt bijvoorbeeld in dat je:

• niet méér persoonsgegevens verwerkt dan noodzakelijk is voor het doel van de verwerking;
• de toegang van medewerkers tot de persoonsgegevens beperkt;
• de persoonsgegevens niet langer bewaart dan nodig is.

Moet ik verplichte en extra maatregelen nemen ?

In de AVG staan een aantal verplichte maatregelen, waaronder NEN 7510, genoemd waarmee je aan je verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Voor zorgaanbieders geldt onder meer dat:

• De NEN 7510 een belangrijke norm voor informatiebeveiliging in de zorg blijft. Je moet deze richtlijnen dus blijven volgen.
• Je van elke individuele medewerker moet bijhouden wanneer hij/zij en van welke patiënt een dossier heeft bekeken. Dit heet logging.
• Het nodig kan zijn om een gegevensbeschermingsbeleid op te stellen. Daarin regel je onder meer welke medewerkers toegang mogen hebben tot welke gegevens.
• In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.
• Je verplicht kunt zijn om een data protection impact assessment (zie elders) uit te voeren, een functionaris voor de gegevensbescherming aan te stellen en een register van verwerkingsactiviteiten bij te houden.

Nee. Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Alleen in je persoonlijke werkaantekeningen hoef je geen inzage te geven. Nieuw is wel dat je straks geen vergoeding meer mag vragen voor de inzage.

Vergoeding voor kopieën

Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag je onder de AVG geen kosten in rekening brengen. Maar verzoekt een patiënt om meer dan een kopie van alle gegevens? Dan mag je hiervoor wel een redelijke vergoeding vragen.

Geen volledige inzage medisch dossier

Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag je de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier en/of log-in gegevens in te zien.

Je moet dan wel kunnen aantonen dat dit het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

Relevante wetten

Het recht op inzage is geregeld in zowel de AVG als de Wet op de geneeskundige behandelovereenkomst (WGBO).

Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

Welke gegevens wel

De persoonsgegevens die jouw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloedrukmeter genereert.

Welke gegevens niet

De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit.

Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die je als behandeld arts of doktersassistent op basis van de door de patiënt verstrekte gegevens vaststelt.

Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De Algemene verordening gegevensbescherming (AVG) biedt namelijk ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Patiënten mogen je wel vragen om gegevens uit hun medisch dossier te verwijderen.

Regels in Wgbo

In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wet op de geneeskundige behandelovereenkomst (Wgbo). Hierin is bepaald dat je  medische dossiers 15 jaar moet bewaren.

Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. Je moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat je de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

Reageren op een verzoek

Heeft een patiënt jou gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet je als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer je het verzoek afwijst, dan moet je de patiënt laten weten waarom. Het liefst schriftelijk.

Verwijder je alleen een onderdeel uit het medisch dossier? Dan kunt je in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.