Hoe werkt de AVG door in uw praktijk? - Deel 2

woensdag 27 juni 2018
timer 7 min
Door de drukte met de aanpassing van uw praktijk aan de AVG hebt u waarschijnlijk nauwelijks tijd gehad om erbij stil te staan hoe de AVG in uw dagelijkse praktijk doorwerkt. Welke gevolgen heeft de AVG voor de behandelrelatie met uw patiënten? Waar moet u op letten bij de uitwisseling van patiëntengegevens met derden, zoals andere zorgverleners? En hoe moet u omgaan met andere regels over patiëntengegevens, zoals de WGBO? Dit artikel geeft antwoord op deze vragen.

Informatieverstrekking via een elektronisch gegevensuitwisselingssysteem

U bent aangesloten op een elektronisch gegevensuitwisselingssysteem, waar andere zorgverleners onder voorwaarden gegevens van uw patiënten kunnen inzien, bijvoorbeeld het LSP, hebben deze zorgverleners dan toestemming van de patiënt nodig voor deze inzage?


 Nee, niet als de inzage noodzakelijk is voor het behandelen van een actuele zorgvraag.  Wel hebt uzelf voor het raadpleegbaar maken van de patiëntengegevens via het systeem expliciete en geïnformeerde toestemming van de patiënt nodig. Dit kan door middel van een door de patiënt ondertekende schriftelijke machtiging.  Maar ook een notitie in het dossier van de toestemming én de verstrekte informatie over de aansluiting volstaat.  U moet dan bovendien de patiënt wijzen op het recht om op ieder gewenst moment de toestemming weer in te trekken. Overigens gold het toestemmingsvereiste in deze situatie al vanaf 1 juli 2017 op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.


Gegevensverstrekking aan niet- zorgverleners: uitgangspunt toestemming van de patiënt

U hebt ook geregeld te maken met verzoeken om informatie van niet-zorgverleners. Vaak gaan deze vergezeld van een schriftelijke machtiging van de patiënt. Een voorbeeld: een WA verzekeraar benadert u als huisarts met het verzoek tot afgifte van het dossier voor de afwikkeling van de aansprakelijkstelling van uw patiënt na een aanrijding.  Hij stuur hierbij de machtiging van de patiënt mee.

Volgens de AVG hebt u in dit geval gerichte toestemming nodig van de patiënt voor het geven van informatie aan de verzekeringsmaatschappij. Het moet voor de patiënt met andere woorden in zo’n geval duidelijk zijn waarvoor hij toestemming geeft: welke informatie het betreft en voor welk doel deze informatie wordt gebruikt. Een algemene machtiging is nooit voldoende.  Hier heeft de of de verzekeringsmaatschappij niet het hele dossier nodig heeft voor haar doel, namelijk de afwikkeling van de schadeclaim. Het meest praktisch is aan de verzekeringsmaatschappij te verzoeken om een vragenlijst en een schriftelijke toestemming van de patiënt voor het beantwoorden van deze vragen.  Mondelinge toestemming van de patiënt met een notitie in het dossier is ook voldoende.


Soms geen toestemming vereist voor informatie aan niet-zorgverleners

Ook onder de werking van de AVG mag u in bepaalde gevallengegevens zonder toestemming ter beschikking stellen van niet- zorgverleners. Allereerst als de wet u hiertoe verplicht. Zo moet u in het kader van een materiële controle de zorgverzekeraar inzage geven in patiëntendossiers, uiteraard mits aan hiervoor geldende eisen is voldaan. En verstrekt u bij een melding van een calamiteit aan de Inspectie Gezondheidszorg en Jeugd voor zover nodig patiëntengegevens. Daarnaast hebben huisartsen en zorgverleners in de GGZ nog wel eens te maken met de wettelijke informatieplicht tegenover de gezinsvoogd.


Ook staat de AVG toe dat u informatie doorgeeft aan derden, als dit nodig is om vitale belangen van de patiënt of anderen te beschermen. De WGBO kent deze uitzondering niet. Het gaat hier om de in de rechtspraak erkende uitzondering van conflicterende plichten: gevallen waarin het belang van de patiënt bij geheimhouding moet wijken voor het belang om ernstige schade voor een ander of de patiënt zelf te voorkomen. De een beroep op deze uitzondering is alleen toegestaan, als aan voldaan is aan strikte voorwaarden, vastgelegd in de tuchtrechtspraak, richtlijnen en beroepscodes. Voor de situatie van kindermishandeling bestaat een specifieke regeling.


Er gaat iets mis met de gegevensverwerking

U stuurt per mail of per gewone post een brief met behandelingsinformatie aan de verkeerde patiënt. Of u verwisselt per ongeluk enveloppen en geeft de patiënt de envelop mee waar een kopie van een dossier in zit. Het kan de beste zorgverlener overkomen: gegevens van een patiënten komen onbedoeld terecht bij een derde.  Anders gezegd er is sprake van een datalek. Een datalek is ook aan de orde bij verlies van gegevens of als onrechtmatige verwerking niet uit te sluiten is. Veel zorgverleners denken bij een datalek aan een hack van hun systeem waardoor ze niet meer bij hun gegevens kunnen of waardoor hun gegevens door anderen kunnen worden gebruikt. Toch worden de meeste datalekken niet veroorzaakt voor inbreuken van buitenaf maar door gedrag van de zorgverleners of hun medewerkers.


Wat moet u doen bij een datalek en wat voor gevolgen kan dit voor de relatie met de patiënt?

U moet allereerst alle mogelijke maatregelen nemen om schade voor de patiënt(en) te voorkomen. Dus in het eerste geval direct contact opnemen met de andere patiënt en vragen of hij de gegevens wil vernietigen c.q. terugbrengen. Vervolgens beoordeelt u of u een melding moet doen aan de Autoriteit Persoonsgegevens (AP). Bij een datalek van medische gegevens hebt u in het algemeen een meldplicht en wel binnen 72 uur (voor de wijze waarop u een melding doet zie de site van AP) U moet in geval van een melding aan de AP ook de patiënt zelf informeren over aard en toedracht van het datalek en de door u genomen schadebeperkende maatregelen, tenzij u er zeker van bent dat het  datalek  vanwege de van tevoren of nadien getroffen maatregelen  geen ongunstige gevolgen heeft voor de patiënt. Belangrijk is het datalek en alle stappen die u hebt ondernomen registreert, ook als u geen melding aan de AP doet.


Hebt u nog andere verplichtingen bij een datalek?

Ja, een datalek is vaak ook een incident in de zin van de Wkkgz (Wet kwaliteit, klachten en geschillen zorg): een onverwachte of onbedoelde gebeurtenis die betrekking heeft op de kwaliteit van de zorg. Als dit incident merkbare gevolgen heeft voor de patiënt, moet u volgens de Wkkgz de patiënt direct informeren over de aard en de toedracht van het incident en de maatregelen die u hebt genomen of nog zult nemen. Of wel u hebt een mededelingsplicht aan de patiënt te vergelijken met die op basis van de AVG. Ook moet u het incident, het tijdstip en de namen van de betrokken zorgverleners in het patiëntendossier noteren.  Een incident, ook zonder merkbare gevolgen, moet u bovendien registreren en analyseren volgens de in uw praktijk geldende procedure voor het veilig melden van incidenten.


Als er iets is misgegaan of als er een misverstand is gerezen, ook zonder dat er sprake is van een datalek of incident, dan is het in uw belang daar open over te zijn tegenover uw patiënt.  En als er fouten zijn gemaakt, biedt u excuses aan. Daarmee zorgt ervoor dat het probleem niet escaleert en uitmondt in een klacht of juridische procedure, die u uiteindelijk meer tijd en energie zal kosten.


Meer bewust over zorgvuldigheid   

De AVG werkt dus door in uw praktijk en de behandelrelatie. Al zal het verschil met de situatie voor 25 mei 2018 voor u vaak niet merkbaar zijn, omdat de regelgeving in de zorg over patiëntengegevens vaak domineert. Uw verantwoordelijkheid op grond van de AVG houdt in dat u zich nog meer bewust bent van het belang van het zorgvuldig omgaan met patiëntengegevens , hierover transparant bent in het privacystatement en het verwerkingsregister én dat u snel en open reageert op vragen en kritiek van de patiënten. Als u weet wat uw rechten en plichten zijn, dan is het verstandig advies in te winnen bij uw beroepsorganisatie, rechtsbijstandsverzekeraar, uw eventuele Functionaris Gegevensbescherming, of de Autoriteit Persoonsgegevens. 


Mr. Annemarie Smilde, senior specialist gezondheidsrecht bij VvAA.        

Dit is het vervolg op een voorgaand artikel. Het eerste deel leest u hier.

 

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
Hoe werkt de AVG door in uw praktijk? - Deel 2

Lees verder - met dit thema

Terugvorderen door de zorgverzekeraar: wanneer en bij wie?
flash_onNieuws

Terugvorderen door de zorgverzekeraar: wanneer en bij wie?

19 sep 2018 timer6 min
Zorgverzekeraars zijn wettelijk verplicht te controleren of de zorg rechtmatig en doelmatig is verleend. Om dit…
Lees verder »
Informatieberaad Zorg start project Veilige Mail
flash_onNieuws

Informatieberaad Zorg start project Veilige Mail

17 sep 2018 timer2 min
Het veilig per e-mail versturen van medische informatie. Dat is het doel van het project Veilige Mail van het…
Lees verder »
‘De kosten van de zorg aan huis lopen onnodig op’
flash_onNieuws

‘De kosten van de zorg aan huis lopen onnodig op’

13 sep 2018 timer4 min
“De financiering van de zorg aan huis zit zo in elkaar dat het vanzelf onnodig duur wordt en preventie niet op…
Lees verder »
Tandartsen leven regels röntgenfoto’s bij kinderen niet goed na
flash_onNieuws

Tandartsen leven regels röntgenfoto’s bij kinderen niet goed na

11 sep 2018 timer2 min
Tandartsen moeten zich beter houden aan de regels voor het nemen van röntgenfoto’s bij kinderen. Dat concludeert…
Lees verder »
Spectaculaire stijging in het aantal patiëntportalen
flash_onNieuws

Spectaculaire stijging in het aantal patiëntportalen

10 sep 2018 timer3 min
Twee op de drie ziekenhuizen heeft een patiëntportaal dat online inzage biedt in medische gegevens. Vorig jaar was…
Lees verder »
Aanwijzing voor tandartspraktijk 0900 Dentist in Amsterdam
flash_onNieuws

Aanwijzing voor tandartspraktijk 0900 Dentist in Amsterdam

7 sep 2018 timer1 min
Het bevel aan tandartspraktijk 0900Dentist in Amsterdam is beëindigd. Er mag weer tandheelkundige zorg worden…
Lees verder »
'Bijscholing in plaats van BIG-herregistratie'
flash_onNieuws

'Bijscholing in plaats van BIG-herregistratie'

30 aug 2018 timer3 min
Vervanging van de BIG-herregistratie door een continue kennispeiling. Daar pleiten Jan Kremer en Leo Ottes,…
Lees verder »
Tuchtcollege: 'Tandarts beëindigt behandelrelatie onzorgvuldig'
flash_onNieuws

Tuchtcollege: 'Tandarts beëindigt behandelrelatie onzorgvuldig'

30 aug 2018 timer2 min
Het Regionaal Tuchtcollege in Zwolle stelde deze week een patiënt van een tandarts in het gelijk. Volgens de…
Lees verder »