×

Gedeeltelijke inwerkingtreding van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

17 jul 2017

Home  »  Legal Updates  »  Gedeeltelijke inwerkingtreding van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Per 1 juli jl. is de Wet cliëntenrechten bij elektronische verwerking van gegevens (gedeeltelijk) in wer­king getreden. De bepalingen van de wet zijn opgenomen in de Wet gebruik burgerservicenummer in de zorg, die voortaan heet: de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Niet alle bepalingen van de nieuwe wet zijn gelijktijdig in werking getreden. In sommige gevallen wordt zorgaanbieders drie jaar de tijd gegund om aan de specifieke bepalingen te voldoen. In deze Legal Update geven wij aan welke verplichtingen per 1 juli jl. gelden en welke bepalingen per 1 juli 2020 in werking zullen treden.

Nieuwe wet vervangt de Wbp en WGBO niet
De bestaande wetgeving omtrent gegevensverwerking in de zorg, de Wbp en WGBO, verplichten zorgaanbieders al om zorgvuldig met medische gegevens om te gaan. De nieuwe wet doet niets af aan de bepalingen uit deze wetten die van toepassing zijn op dossiervorming, waaronder toestem­ming bij inzage van gegevens, het passend beveiligen van gegevens en het verstrekken van gege­vens aan derden. De wet vormt slechts een aanvulling op de Wbp en WGBO en maakt duidelijk welke extra rechten en waarborgen voor cliënten van toepassing zijn bij elektronische gegevensuitwisseling en de beschikbaarheid van gegevens via een elektronisch uitwisselingssysteem.

Met een elektronisch uitwisselingssysteem wordt bedoeld: ‘’een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaan­bieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaan­bieder, voor het bijhouden van een elektronisch dossier’’.

Algemeen recht op informatie onder de nieuwe wet
De cliënt zal op grond van de nieuwe wet moeten worden geïnformeerd over zijn rechten bij elektroni­sche gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen, de werking van het elek­tronisch uitwisselingssysteem en welke zorgaanbieders zijn aangesloten op het systeem.

Ook zal de zorgaanbieder de cliënt moeten informeren als er een nieuwe categorie zorgverleners ge­bruik maakt van het op het door de zorgaanbieder gebruikte elektronische uitwisselingssysteem (arti­kel 15c lid 1).

Uitdrukkelijke toestemming onder de nieuwe wet
Een zorgaanbieder mag op grond van de nieuwe wet slechts gegevens van een cliënt beschikbaar stellen via een elektronisch uitwisselingssysteem voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven (artikel 15a lid 1). Op deze wijze kan de cliënt actief bepalen al dan niet deel te willen nemen aan de uitwisseling van zijn medische gegevens. Voor de toestemming voor het raadplegen van de gegevens blijft de WGBO de basis vormen. Dat betekent dat toestemming niet nodig is voor hulpverleners die rechtstreeks bij de behandeling betrok­ken zijn en vervangers van de hulpverleners. Het is nog onvoldoende duidelijk of dit ook geldt voor medebehandelaars buiten de organisatie van de zorgaanbieder. In andere gevallen is toestemming voor het raadplegen van gegevens wel noodzakelijk.

Wat verandert er per 1 juli 2020?
–       De zorgaanbieder zal gespecificeerde toestemming van de cliënt moeten verkrijgen voordat gege­vens elektronisch worden uitgewisseld (artikel 15a lid 2);
–       De zorgaanbieder dient een registratie bij te houden van de door zijn cliënten verleende toestem­mingen (artikel 15c lid 2);
–       De cliënt heeft recht op het (kosteloos) verkrijgen van een elektronisch afschrift van het eigen medisch dossier (artikel 15d);
–       De cliënt heeft recht op (kosteloos) elektronische inzage in het eigen medisch dossier (artikel 15d);
–       Op verzoek heeft de cliënt recht op een elektronisch overzicht wie bepaalde informatie in een elektronisch uitwisselingssysteem beschikbaar heeft gesteld en op welke datum (‘logging’) (artikel 15e).

Besluit elektronische gegevensuitwisseling tussen zorgaanbieders
Naast de nieuwe wet zullen er op grond van artikel 26 van de Wbp in een AMvB, het Besluit elektroni­sche gegevensuitwisseling tussen zorgaanbieders, specifieke functionele, technische en organisatori­sche eisen aan elektronische gegevensuitwisseling door zorgaanbieders worden vastgelegd. Doordat de eisen in een AMvB worden neergelegd, kan steeds worden ingespeeld op de actuele stand van de techniek.

Op dit moment is nog onduidelijk wanneer het besluit in werking treedt. Voor de volledigheid hebben wij in deze Legal Update alvast de verplichtingen opgenomen die vanaf het moment dat het besluit in werking treedt, zullen gelden:

  1. Verplichting tot benoemen functionaris voor de gegevensbescherming;
  2. Vastleggen van beleid, de procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen;
  3. Ervoor zorg dragen dat gebruikte elektronische uitwisselingssystemen en interne zorginformatie­systemen voldoen aan de veiligheids- en zorgvuldigheidseisen van NEN-7510 voldoen;
  4. Ervoor zorg dragen dat overeenkomsten tussen zorgaanbieder en de verantwoordelijke van een elektronisch uitwisselingssysteem voldoen aan NEN-7510;
  5. Ervoor zorg dragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN-7512;
  6. Ervoor zorg dragen dat de ‘logging’ van cliëntengegevens voldoet aan NEN-7513.

Handhaving en sancties
Op grond van de Wbp is de Autoriteit Persoonsgegevens vanuit het oogpunt van bescherming van persoonsgegevens de toezichthouder voor naleving van de bepalingen uit het nieuwe besluit. Indien een zorgaanbieder niet voldoet aan de verplichtingen onder het besluit riskeert de zorgaanbieder een last onder dwangsom van de Autoriteit Persoonsgegevens en reputatieschade indien het openbaar wordt dat de zorgaanbieder niet aan het besluit voldoet.

Voor de bepalingen omtrent toestemming en registratie uit de nieuwe wet geldt dit echter niet. Uit de memorie van toelichting van de wet blijkt dat via de Wet BIG en de Wkkgz (voorheen: Kwaliteitswet zorginstellingen) de IGZ belast is met het toezicht en handhaving van deze bepalingen.
De bepalingen vormen immers een aspect van goede zorg die zorgaanbieders ingevolge artikel 2 van de Wkkgz ver­plicht zijn te verlenen. De IGZ kan in dat kader een schriftelijke aanwijzing of bevel geven.

Indien u vragen heeft over bovengenoemde wijzigingen kunt u altijd contact met ons opnemen.

Dit is een Legal Update van Elze ’t Hart en Annelouk Luigies.

Annelouk Luigies                                                    Elze ’t Hart
+31 30 259 5553                                                     +31 30 259 5578
anneloukluigies@vbk.nl  elzethart@vbk.nl

 

Share This