Dossier / bijgewerkt: 13 juli 2020
Voor een optimale behandeling van een patiënt dienen artsen over de juiste en actuele persoonlijke medische gegevens beschikken, zoals bijvoorbeeld een actueel medicatieoverzicht. De uitwisseling van medische gegevens, bijvoorbeeld met andere zorgverleners vindt veelal elektronisch plaats. Waarborging van de privacy van de patiënten en beveiliging van deze gegevens zijn belangrijke aandachtspunten bij deze ontwikkeling.
De afgelopen jaren is gewerkt aan regelgeving en infrastructuur om patiëntgegevens elektronisch op een veilige en betrouwbare manier te kunnen uitwisselen tussen zorgverleners. De eerste wettelijke basis hiervoor, het wetsvoorstel EPD, is op 5 april 2011 door de Eerste Kamer verworpen wegens twijfels aan de privacybescherming en de informatiebeveiliging.
Op 4 oktober 2016 heeft de Eerste Kamer een nieuw wetsvoorstel aangenomen: de Wet cliëntenrechten bij elektronische verwerking van gegevens. Deze wet schept de randvoorwaarden waaronder medische gegevens veilig en elektronisch mogen worden uitgewisseld met of ingezien door andere zorgverleners. De wet is formeel in werking getreden per 1 juli 2017 en wordt gefaseerd ingevoerd. De naam van de nieuwe wet luidt: Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en heeft tevens de voormalige Wet gebruik burgerservicenummer in de zorg vervangen. De naam is aangepast, omdat deze wet sinds 1 juli 2017 naast het gebruik van het bsn in de zorg, ook gaat over rechten en plichten bij elektronische gegevensuitwisseling.
Elke zorgverlener is vanaf juli 2017 verplicht om zijn cliënten te informeren over de elektronische gegevensuitwisseling en toestemming te vragen voor het beschikbaar stellen van de cliëntgegevens via een elektronisch uitwisselingssysteem.
Vanaf 1 juli 2020 hebben patiënten recht op kosteloze elektronische inzage in en afschrift van hun medische dossiers. Ook hebben zij vanaf 1 juli 2020 recht op een overzicht van wie informatie in hun elektronische medische dossiers hebben ingezien. Meer informatie leest u in de Juridische Factsheet van VWS over de Wabvpz (juli 2020).
De Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) geeft handvatten aan zorgaanbieders bij de naleving van de regelgeving bij veilige elektronische uitwisseling van patiëntgegevens met andere zorgaanbieders. Ook ondersteunt het bij de informatieverstrekking aan patiënten over elektronische uitwisseling en het geven van toestemming. Tenslotte verheldert de gedragscode verantwoordelijkheden.
Ook de Europese Unie (EU) heeft op 4 mei 2016 nieuwe regels ter bescherming van persoonsgegevens gepubliceerd, die ook hun impact zullen hebben op de zorg. Deze regels, neergelegd in de Algemene Verordening Gegevensbescherming (AVG) zijn op 24 mei 2016 in werking getreden en zullen vanaf 25 mei 2018 van toepassing zijn. Deze verordening zal de Wet bescherming persoonsgegevens vervangen en bevat algemene voorwaarden voor het verwerken van persoonsgegevens in het algemeen en persoonsgegevens over iemands gezondheid in het bijzonder. De AVG bevat het algemene juridische kader voor het verwerken van persoonsgegevens, ook voor andere sectoren dan de gezondheidszorg. De Wet cliëntenrechten bij elektronische verwerking van gegevens bevat specifieke regels voor het uitwisselen van persoonsgegevens over iemands gezondheid via een elektronisch uitwisselingssysteem. Daarop zijn ook de regels uit de AVG van toepassing.
Ik heb snel advies van een collega nodig over een patiënt met een kniebreuk. Mag ik hem via WhatsApp een foto van de knie sturen, met daarbij enkele gegevens uit het medisch dossier van deze patiënt?
Gebruik WhatsApp alleen als de gegevens echt niet tot een patiënt herleidbaar zijn. In andere gevallen is het verstandiger om andere communicatiemiddelen te gebruiken. Denk daarbij bijvoorbeeld aan messenger-apps die speciaal voor zorgprofessionals zijn ontwikkeld, zoals Siilo en Zorg Messenger.
Foto’s en andere gegevens van patiënten vallen onder het medisch beroepsgeheim. Daarom moeten artsen bij het versturen hiervan de vertrouwelijkheid kunnen waarborgen. Dit is een onderdeel van de wettelijke verplichting en verantwoordelijkheid om patiëntgegevens effectief te beveiligen tegen kennisneming door onbevoegden1.
Veiligheid en anonimiteit
Wilt u voor het versturen van foto’s en gegevens van patiënten een berichtendienst gebruiken, zoals WhatsApp? Dan is dat niet verboden. Maar de vraag is of het wel veilig en vertrouwelijk is. Bij WhatsApp valt dat niet te garanderen. Het advies is dan ook om allereerst te onderzoeken hoe veilig de berichtendienst is.
Wilt u toch WhatsApp gebruiken om een collega-arts te consulteren, dan mag dat alleen voor gegevens die niet herleidbaar zijn tot een identificeerbare patiënt. Dat geldt ook voor foto’s. Het kan echter lastig zijn om een foto volledig te anonimiseren. Door de context kan een foto toch herleidbaar zijn. Daarnaast kunnen foto’s voorzien zijn van metadata waaruit blijkt op welke locatie en op welk tijdstip de foto is gemaakt. Dit kan gaan tot aan het IP-adres van bijvoorbeeld de zorginstelling. Dergelijke foto’s zijn daarom niet zo anoniem als men zou denken.
Bovendien worden foto’s die via WhatsApp binnenkomen, vaak automatisch op de smartphone en/of in de ‘cloud’ opgeslagen. Daardoor bestaat een risico op vermenging met privé-fotoverzamelingen.
Alleen als de informatie voor de ontvanger niet herleidbaar is tot een identificeerbare patiënt, is de privacy niet in het geding en kunt u WhatsApp gebruiken. Maar zorgvuldig handelen blijft hierbij noodzakelijk.
Alternatieven
Twijfelt u over de vertrouwelijkheid van de gegevensuitwisseling en over de herleidbaarheid van de gegevens? Kies dan de veilige weg en gebruik andere communicatiemiddelen. Zo zijn er messenger-apps die speciaal voor zorgprofessionals zijn ontwikkeld, zoals Siilo en Zorg Messenger. Ook kunt u kiezen voor beveiligde e-mail, zoals Zivver of ZorgMail.
Taak van de zorginstelling
Veilig elektronisch communiceren is niet alleen een zaak van artsen. Zorginstellingen en zorgpraktijken zijn verplicht om hun medewerkers te wijzen op het belang van een veilige (elektronische) uitwisseling van patiëntgegevens. Zij dragen bovendien de verantwoordelijkheid voor een goede informatiebeveiliging binnen de eigen organisatie in het algemeen.
1 Artikel 32 AVG.