De Algemene Verordening Gegevensbescherming (AVG) heeft nieuwe verantwoordelijkheden met zich meegebracht, ook voor zorgverleners. De regels dwingen zorgverleners om zorgvuldig om te gaan met de privacygevoelige informatie van patiënten. Dit speelt met name een rol in de digitalisering van informatie. De AVG heeft invloed op de manier hoe in de zorg omgegaan wordt met patiëntinformatie.
Grondslag wettelijke verplichting
De AVG regelt dat het verwerken van persoonsgegevens over de gezondheid of geestelijke gesteldheid alleen mag met een grondslag. Die grondslag is meestal te vinden in de wet. Bijvoorbeeld de Wet geneeskundige behandelovereenkomst (WGBO).
Hierin stat dat een arts een dossier van de patiënt moet bijhouden. Dat is belangrijk voor de zorgverlening. De arts kan dan vastleggen wat de klachten waren en welke behandeling de patiënt heeft gehad.
Voor andere hulpverleners, instellingen en voorzieningen voor gezondheidszorg en maatschappelijke dienstverlening geldt ook vaak een wettelijke dossierplicht. Dat betekent dat ook zij een dossier moeten bijhouden over de mensen die ze behandelen.
Voorbeelden van wetten:
- Wet Geneeskundige BehandelOvereenkomst (WGBO)
- Uitvoeringswet AVG (UAVG)
- Jeugdwet
Wat als de wet geen grondslag biedt om gezondheidsgegevens te verwerken?
Dan zijn er ook andere mogelijkheden:
- Uitdrukkelijke toestemming van de patiënt. Hiervoor gelden strenge eisen.
- Een publieke taak. In dit geval is toestemming van de patiënt niet nodig. De patiënt kan wel bezwaar maken tegen de verwerking van de gegevens.
Naast een grondslag moeten verwerkingen ook voldoen aan de andere eisen uit de AVG.
Grondslag toestemming
De meeste gegevensverwerkingen in de zorg zijn voldoende geregeld in de wet. Toestemming vragen is dan niet nodig. De AVG vereist alleen toestemming als er geen andere grondslag is om gezondheidsgegevens te verwerken. Voor deze toestemming gelden strenge eisen. Er bestaat soms verwarring over het vragen van toestemming. Dit komt namelijk voor in de AVG en in andere wetten.
Dit moet je erover weten:
- Voor het doorbreken van het beroepsgeheim is toestemming nodig van de patiënt.
Deze toestemming is bijvoorbeeld nodig als een arts de gezondheidsgegevens wil delen met hulpverleners die niet betrokken zijn bij de behandeling.
- Voor de verwerking van gezondheidsgegevens in een elektronisch uitwisselingssysteem is toestemming van de patiënt nodig (vanuit de Wabvpz)
- De AVG vereist alleen toestemming als er geen andere grondslag is om gezondheidsgegevens te verwerken.
Voor deze toestemming gelden strenge eisen. Voor de meest voorkomende gegevensverwerkingen in de zorg is echter geen toestemming op grond van de AVG nodig, omdat de grondslag in de wet staat.
Geheimhoudingsplicht
Als je in de gezondheidszorg betrokken bent bij de verwerking van gezondheidsgegevens, heb je een geheimhoudingsplicht. Zo’n geheimhoudingsplicht kan bijvoorbeeld voortkomen uit:
- Het beroep van de hulpverlener
- De behandelovereenkomst die is afgesloten met de patiënt
- Een arbeidsovereenkomst
- De wet
De geheimhoudingsplicht betekent voor zorgaanbieders dat zij alleen gezondheidsgegevens aan anderen mogen verstrekken met toestemming van de patiënt of als het verplicht is op grond van de wet. Daarnaast mogen gezondheidsgegevens niet door onbevoegden worden ingezien.
Identiteit controleren
In de gezondheidszorg bestaat een identificatieplicht. Een hulpverlener controleert aan de hand van het identiteitsbewijs de identiteit van een patiënt. Een kopie of scan maken van het identiteitsbewijs mag niet. De soort en het nummer van het identiteitsbewijs in de administratie opnemen mag wel.
Hulpverleners zijn ook wettelijk verplicht het burgerservicenummer (BSN) te gebruiken. Als hulpverlener moet je het BSN vastleggen in de administratie en gebruik je het bij het uitwisselen van patiëntgegevens met andere zorgaanbieders en zorgverzekeraars.
De oplossing van Verne
We zorgen dat de architectuur erop is ingericht dat de het verwerken van gegevens mogelijk is. Hierbij houden we rekening met de rollen van de zorgverleners en rechten tot (deel) dossiers die daarbij horen. Er zal altijd een (wettelijke) grondslag of toestemming moeten zijn om gegevens te delen of in te zien. Je kunt het zien als een ‘contract’ die achter een inlog hangt of achter de dataverwerking hangt waar de grondslag en toestemmingen in zijn vastgelegd. Alle handelingen rondom een dossier worden in een logging vastgelegd en kan op deze manier worden teruggezien of gecontroleerd worden.
