Hoe werkt de AVG door in uw praktijk? - Deel 2
Informatieverstrekking via een elektronisch gegevensuitwisselingssysteem
U bent aangesloten op een elektronisch gegevensuitwisselingssysteem, waar andere zorgverleners onder voorwaarden gegevens van uw patiënten kunnen inzien, bijvoorbeeld het LSP, hebben deze zorgverleners dan toestemming van de patiënt nodig voor deze inzage?
Nee, niet als de inzage noodzakelijk is voor het behandelen van een actuele zorgvraag. Wel hebt uzelf voor het raadpleegbaar maken van de patiëntengegevens via het systeem expliciete en geïnformeerde toestemming van de patiënt nodig. Dit kan door middel van een door de patiënt ondertekende schriftelijke machtiging. Maar ook een notitie in het dossier van de toestemming én de verstrekte informatie over de aansluiting volstaat. U moet dan bovendien de patiënt wijzen op het recht om op ieder gewenst moment de toestemming weer in te trekken. Overigens gold het toestemmingsvereiste in deze situatie al vanaf 1 juli 2017 op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
Gegevensverstrekking aan niet- zorgverleners: uitgangspunt toestemming van de patiënt
U hebt ook geregeld te maken met verzoeken om informatie van niet-zorgverleners. Vaak gaan deze vergezeld van een schriftelijke machtiging van de patiënt. Een voorbeeld: een WA verzekeraar benadert u als huisarts met het verzoek tot afgifte van het dossier voor de afwikkeling van de aansprakelijkstelling van uw patiënt na een aanrijding. Hij stuur hierbij de machtiging van de patiënt mee.
Volgens de AVG hebt u in dit geval gerichte toestemming nodig van de patiënt voor het geven van informatie aan de verzekeringsmaatschappij. Het moet voor de patiënt met andere woorden in zo’n geval duidelijk zijn waarvoor hij toestemming geeft: welke informatie het betreft en voor welk doel deze informatie wordt gebruikt. Een algemene machtiging is nooit voldoende. Hier heeft de of de verzekeringsmaatschappij niet het hele dossier nodig heeft voor haar doel, namelijk de afwikkeling van de schadeclaim. Het meest praktisch is aan de verzekeringsmaatschappij te verzoeken om een vragenlijst en een schriftelijke toestemming van de patiënt voor het beantwoorden van deze vragen. Mondelinge toestemming van de patiënt met een notitie in het dossier is ook voldoende.
Soms geen toestemming vereist voor informatie aan niet-zorgverleners
Ook onder de werking van de AVG mag u in bepaalde gevallengegevens zonder toestemming ter beschikking stellen van niet- zorgverleners. Allereerst als de wet u hiertoe verplicht. Zo moet u in het kader van een materiële controle de zorgverzekeraar inzage geven in patiëntendossiers, uiteraard mits aan hiervoor geldende eisen is voldaan. En verstrekt u bij een melding van een calamiteit aan de Inspectie Gezondheidszorg en Jeugd voor zover nodig patiëntengegevens. Daarnaast hebben huisartsen en zorgverleners in de GGZ nog wel eens te maken met de wettelijke informatieplicht tegenover de gezinsvoogd.
Ook staat de AVG toe dat u informatie doorgeeft aan derden, als dit nodig is om vitale belangen van de patiënt of anderen te beschermen. De WGBO kent deze uitzondering niet. Het gaat hier om de in de rechtspraak erkende uitzondering van conflicterende plichten: gevallen waarin het belang van de patiënt bij geheimhouding moet wijken voor het belang om ernstige schade voor een ander of de patiënt zelf te voorkomen. De een beroep op deze uitzondering is alleen toegestaan, als aan voldaan is aan strikte voorwaarden, vastgelegd in de tuchtrechtspraak, richtlijnen en beroepscodes. Voor de situatie van kindermishandeling bestaat een specifieke regeling.
Er gaat iets mis met de gegevensverwerking
U stuurt per mail of per gewone post een brief met behandelingsinformatie aan de verkeerde patiënt. Of u verwisselt per ongeluk enveloppen en geeft de patiënt de envelop mee waar een kopie van een dossier in zit. Het kan de beste zorgverlener overkomen: gegevens van een patiënten komen onbedoeld terecht bij een derde. Anders gezegd er is sprake van een datalek. Een datalek is ook aan de orde bij verlies van gegevens of als onrechtmatige verwerking niet uit te sluiten is. Veel zorgverleners denken bij een datalek aan een hack van hun systeem waardoor ze niet meer bij hun gegevens kunnen of waardoor hun gegevens door anderen kunnen worden gebruikt. Toch worden de meeste datalekken niet veroorzaakt voor inbreuken van buitenaf maar door gedrag van de zorgverleners of hun medewerkers.
Wat moet u doen bij een datalek en wat voor gevolgen kan dit voor de relatie met de patiënt?
U moet allereerst alle mogelijke maatregelen nemen om schade voor de patiënt(en) te voorkomen. Dus in het eerste geval direct contact opnemen met de andere patiënt en vragen of hij de gegevens wil vernietigen c.q. terugbrengen. Vervolgens beoordeelt u of u een melding moet doen aan de Autoriteit Persoonsgegevens (AP). Bij een datalek van medische gegevens hebt u in het algemeen een meldplicht en wel binnen 72 uur (voor de wijze waarop u een melding doet zie de site van AP) U moet in geval van een melding aan de AP ook de patiënt zelf informeren over aard en toedracht van het datalek en de door u genomen schadebeperkende maatregelen, tenzij u er zeker van bent dat het datalek vanwege de van tevoren of nadien getroffen maatregelen geen ongunstige gevolgen heeft voor de patiënt. Belangrijk is het datalek en alle stappen die u hebt ondernomen registreert, ook als u geen melding aan de AP doet.
Hebt u nog andere verplichtingen bij een datalek?
Ja, een datalek is vaak ook een incident in de zin van de Wkkgz (Wet kwaliteit, klachten en geschillen zorg): een onverwachte of onbedoelde gebeurtenis die betrekking heeft op de kwaliteit van de zorg. Als dit incident merkbare gevolgen heeft voor de patiënt, moet u volgens de Wkkgz de patiënt direct informeren over de aard en de toedracht van het incident en de maatregelen die u hebt genomen of nog zult nemen. Of wel u hebt een mededelingsplicht aan de patiënt te vergelijken met die op basis van de AVG. Ook moet u het incident, het tijdstip en de namen van de betrokken zorgverleners in het patiëntendossier noteren. Een incident, ook zonder merkbare gevolgen, moet u bovendien registreren en analyseren volgens de in uw praktijk geldende procedure voor het veilig melden van incidenten.
Als er iets is misgegaan of als er een misverstand is gerezen, ook zonder dat er sprake is van een datalek of incident, dan is het in uw belang daar open over te zijn tegenover uw patiënt. En als er fouten zijn gemaakt, biedt u excuses aan. Daarmee zorgt ervoor dat het probleem niet escaleert en uitmondt in een klacht of juridische procedure, die u uiteindelijk meer tijd en energie zal kosten.
Meer bewust over zorgvuldigheid
De AVG werkt dus door in uw praktijk en de behandelrelatie. Al zal het verschil met de situatie voor 25 mei 2018 voor u vaak niet merkbaar zijn, omdat de regelgeving in de zorg over patiëntengegevens vaak domineert. Uw verantwoordelijkheid op grond van de AVG houdt in dat u zich nog meer bewust bent van het belang van het zorgvuldig omgaan met patiëntengegevens , hierover transparant bent in het privacystatement en het verwerkingsregister én dat u snel en open reageert op vragen en kritiek van de patiënten. Als u weet wat uw rechten en plichten zijn, dan is het verstandig advies in te winnen bij uw beroepsorganisatie, rechtsbijstandsverzekeraar, uw eventuele Functionaris Gegevensbescherming, of de Autoriteit Persoonsgegevens.
Mr. Annemarie Smilde, senior specialist gezondheidsrecht bij VvAA.
Dit is het vervolg op een voorgaand artikel. Het eerste deel leest u hier.
Reactie toevoegen