Ja, je mag patiëntgegevens in de cloud verwerken. Je hebt ook geen toestemming nodig van je patiënten om hun gegevens in de cloud te plaatsen. Maar het werken met patiëntgegevens in de cloud brengt wel privacyrisico’s met zich mee. Bijvoorbeeld omdat je het niet of pas te laat merkt als er gegevens zijn gelekt.

Daarom is er een aantal punten waar je op moet letten:

• Wees kritisch op welke cloudprovider je kiest.
• Maak je gebruik van een cloudprovider buiten de EU (denk aan Amerika)? Dan gelden er speciale regels.
• Maak vooraf afspraken met de cloudprovider om ervoor te zorgen dat je ook toegang houdt tot de gegevens als de provider wordt overgenomen, failliet gaat of als je de samenwerking wil stopzetten.
• Blijf de cloudprovider monitoren wanneer de gegevens eenmaal in de cloud zitten.

Voordat je in zee gaat met een cloudprovider, moet je een risicoanalyse (laten) uitvoeren. Dan weet je welke risico’s je loopt. Deze risicoanalyse moet je regelmatig actualiseren.

Daarnaast kan een erkend certificaat je meer zekerheid geven over de kwaliteit van de cloudprovider. Een certificaat is niet verplicht. Het bewijst wel dat de cloudprovider voldoet aan bepaalde praktijknormen. De meest relevante praktijknormen zijn:

• ISAE 3402
• ISO 27017
• NEN 7510

Tevens spelen ook de algemene beveiligingsnormen ISO 27001 en ISO 27002 een rol.

 

De Algemene verordening gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG.

Zorgverleners zijn onder de AVG gebonden aan zowel de regels over het medisch beroepsgeheim als aan de regels van de AVG. Als zorgverlener mag je bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als je een grond hebt om het medisch beroepsgeheim te doorbreken.

 

Je mag als zorgverlener patiëntgegevens delen met andere zorgverleners die rechtstreeks bij de behandeling van jouw patiënt betrokken zijn. Doe je dit via een elektronisch uitwisselingssysteem of het LSP? Dan heb je daarvoor toestemming van de patiënt nodig.

Uitzondering op medisch beroepsgeheim

Je hebt medisch beroepsgeheim. Dat betekent dat je in principe geen medische gegevens van patiënten aan anderen mag doorgeven. Maar hierop zijn enkele uitzonderingen. Bijvoorbeeld als de patiënt toestemming heeft gegeven.

Je mag patiëntgegevens delen met degenen die rechtstreeks betrokken zijn bij de behandeling van de patiënt. Dit kunnen zowel andere zorgverleners zijn als bijvoorbeeld secretaresses of financieel medewerkers. In de Wet op de geneeskundige behandelingsovereenkomst (WGBO) staat dat toestemming van de patiënt dan wordt verondersteld. Let op: je mag de patiëntgegevens alleen delen als dat noodzakelijk is voor de behandeling van de patiënt.

Elektronisch uitwisselingssysteem

Je hebt toestemming van je patiënt nodig als je gegevens uitwisselt via een elektronisch uitwisselingssysteem. Je moet je patiënten hierover informeren en vervolgens om toestemming vragen.

Landelijk Schakelpunt

Ben je aangesloten op het Landelijk Schakel Punt (LSP)? Ook dan heb je toestemming van je patiënt nodig voor je de gegevens van deze patiënt mag uitwisselen via het LSP.

Tot slot

Je moet kunnen aantonen dat je daadwerkelijk toestemming van je patiënt hebt gekregen. Dit is onderdeel van de verantwoordingsplicht die je onder de Algemene verordening gegevensbescherming (AVG) hebt.

Let op: het is niet genoeg om alleen de toestemming zelf vast te leggen. Je moet ook kunnen laten zien op basis van welke informatie jouw patiënt toestemming heeft gegeven.

In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het delen van persoonsgegevens via e-mail verboden is. Wel is het je taak om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.

Norm e-mail in de zorg

Wanneer het om gezondheidsgegevens gaat, is extra zorgvuldigheid bij het beveiligen gepast. De ‘NTA 7516’ biedt meer duidelijkheid over de voorwaarden waaronder het gebruik van e-mail in de zorg veilig is.

 

Als NVDA krijgen we soms vragen over de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 van kracht is geworden. Wat betekent deze verordening voor mijn werk als doktersassistent in de praktijk. Waar moet ik rekening mee houden en wat mag wel en wat mag niet? Op basis van de site van de Autoriteit Persoonsgegevens, hebben we onderstaand de meest gestelde vragen verzameld. We hebben een splitsing gemaakt tussen vragen waar doktersassistenten mee te maken hebben en meer algemene vragen over de AVG in de zorg. Deze verduidelijken ongetwijfeld een hoop vragen, maar het blijft een lastige materie. Dus als er twijfel is, neem contact op met de Autoriteit Persoonsgegevens, of raadpleeg een specialist. Het niet naleven van de AVG kan tot  aanwijzingen en ook tot hoge boetes leiden. In de FAQ gaan we in op situaties bij individuele artsen, maar ook bij grote instellingen. De site van de Autoriteit Persoonsgegevens wordt regelmatig aangepast. Raadpleeg de site bij vragen.

Nee. Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Alleen in je persoonlijke werkaantekeningen hoef je geen inzage te geven. Nieuw is wel dat je straks geen vergoeding meer mag vragen voor de inzage.

Vergoeding voor kopieën

Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag je onder de AVG geen kosten in rekening brengen. Maar verzoekt een patiënt om meer dan een kopie van alle gegevens? Dan mag je hiervoor wel een redelijke vergoeding vragen.

Geen volledige inzage medisch dossier

Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag je de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier en/of log-in gegevens in te zien.

Je moet dan wel kunnen aantonen dat dit het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

Relevante wetten

Het recht op inzage is geregeld in zowel de AVG als de Wet op de geneeskundige behandelovereenkomst (WGBO).

Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

Welke gegevens wel

De persoonsgegevens die jouw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloedrukmeter genereert.

Welke gegevens niet

De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit.

Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die je als behandeld arts of doktersassistent op basis van de door de patiënt verstrekte gegevens vaststelt.

Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De Algemene verordening gegevensbescherming (AVG) biedt namelijk ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Patiënten mogen je wel vragen om gegevens uit hun medisch dossier te verwijderen.

Regels in Wgbo

In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wet op de geneeskundige behandelovereenkomst (Wgbo). Hierin is bepaald dat je  medische dossiers 15 jaar moet bewaren.

Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. Je moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat je de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

Reageren op een verzoek

Heeft een patiënt jou gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet je als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer je het verzoek afwijst, dan moet je de patiënt laten weten waarom. Het liefst schriftelijk.

Verwijder je alleen een onderdeel uit het medisch dossier? Dan kunt je in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.

Als zorgaanbieder mag je onder de Algemene verordening gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars.

De regels die onder de huidige Wet bescherming persoonsgegevens (Wbp) gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle blijven onder de AVG dus bestaan.