Gebruik van social media biedt kansen, maar de grenzen tussen professionele en persoonlijke communicatie kunnen vervagen. De KNMG zet de belangrijkste digitale valkuilen en kansen voor artsen op een rij in de handreiking Artsen en social media.
Er komen steeds meer online platformen met sociale netwerken waarbinnen artsen onderling en met patiënten interactieve dialogen aangaan en kennis en ervaringen delen. Ook LinkedIn en Twitter worden steeds populairder. De KNMG wil dat het gebruik van eHealth, inclusief social media, een vanzelfsprekend onderdeel van de gezondheidszorg is. Tegelijk is het van belang dat artsen zich bewust zijn van mogelijke valkuilen. Wie zich in social media als arts profileert, zal zich bijvoorbeeld moeten realiseren dat ook privé uitlatingen in die hoedanigheid worden gedaan.
Voorkom het versturen van patiëntgegevens via WhatsApp die tot de persoon van een patiënt herleidbaar zijn. Dit geldt niet alleen voor gegevens uit een dossier, maar ook voor een foto waarop de patiënt herkenbaar is. Dat betekent dat een arts wel een foto van bijvoorbeeld een wond van een niet herkenbare patiënt naar een collega-arts mag sturen via WhatsApp. Als de patiënt niet herkenbaar is op de foto en de foto ook anderszins niet tot een bepaalde patiënt herleidbaar is, is er geen sprake van een persoonsgegeven en ook geen doorbreking van het beroepsgeheim.
Als de foto wel tot een bepaalde patiënt is te herleiden, eventueel door middel van aanvullende gegevens, dan raden wij het gebruik van WhatsApp af. De communicatie en/of de informatie die wordt verstuurd moet bij voorkeur versleuteld zijn. Dat is bij WhatsApp niet gegarandeerd. In elk geval doen zender en ontvanger er verstandig aan om de foto zo spoedig mogelijk te verwijderen van het mobiele apparaat (smartphone of tablet). Op die manier wordt voorkomen dat de foto’s tussen de vakantiefoto’s van het gezin komen te staan.
Foto’s en andere patiëntgegevens vallen onder het medisch beroepsgeheim. Ook bij het gebruik van WhatsApp moeten artsen zich realiseren dat zij de verantwoordelijkheid dragen voor de vertrouwelijkheid van patiëntengegevens. Alleen als de informatie voor de ontvanger niet herleidbaar is tot een identificeerbare patiënt, is de privacy niet in het geding. Maar zorgvuldig handelen blijft hierin noodzakelijk. Zo blijkt een foto niet altijd zo anoniem als deze lijkt.
Het is niet verboden om collega-artsen via WhatsApp te consulteren voor bijvoorbeeld een diagnose door een foto van een wond te sturen. Een foto kan echter anoniem lijken, maar bijvoorbeeld op basis van context of opgeslagen metadata kan een persoon alsnog te identificeren zijn. Bijvoorbeeld wanneer een foto van een ernstig letsel brede media aandacht heeft gekregen kan deze alsnog verwijzen naar de desbetreffende patiënt. Hiernaast kunnen metadata van foto’s gegevens bevatten over de locatie waar en het tijdstip waarop de foto is gemaakt, tot het IP-adres van bijvoorbeeld de zorginstelling aan toe.
Weliswaar lijkt het juridisch toegestaan als die wordt gestuurd naar een collega-vakgenoot die door de arts wordt geraadpleegd met het oog op de behandeling van de patiënt. Die collega-vakgenoot kan dan worden beschouwd als een persoon die rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst. Daarvoor is geen toestemming van de patiënt nodig. Maar toch raden wij het af omdat de vertrouwelijkheid van de gegevensuitwisseling niet gegarandeerd is.
Artsen dienen bij gegevensuitwisseling altijd stil te staan bij de veiligheid van het medium dat zij gebruiken. Bij WhatsApp valt die veiligheid niet te garanderen. Foto's die via WhatsApp worden ontvangen worden vaak automatisch op de smartphone en/of in de ‘cloud’ opgeslagen. Hierbij bestaat een risico op vermenging met privé fotoverzamelingen. Daarnaast bestaat het risico dat de foto per ongeluk naar een verkeerde contactpersoon uit de WhatsApp-contactenlijst wordt gestuurd.
Als u twijfelt over de herleidbaarheid van patiëntgegevens, kies dan de veilige weg en gebruik andere communicatiemiddelen, zoals beveiligde Messenger Apps of beveiligde e-mail. In oktober 2015 startte in Den Haag een pilot met de beveiligde Kanta Messenger App [1]. Daarnaast zijn verschillende beveiligde e-mail systemen beschikbaar zoals ZorgMail van Enovation, Secure Mail van KPN, Medi-Send en Voltage SecureMail van Software Connection en Voltage Security.
Consultatie van collega’s via WhatsApp kan voordelen opleveren. Zo kan het de kwaliteit van zorg ten goede komen. Tegelijkertijd is vaak onduidelijk waar de inhoud van WhatsApp berichten wordt opgeslagen en of de vertrouwelijkheid van de informatie wel is gewaarborgd. Veilig elektronisch communiceren is niet alleen een zaak voor artsen. Zorginstellingen en zorgpraktijken hebben een verplichting om hun medewerkers te wijzen op het belang van veilig uitwisselen van patiëntinformatie. Zij dragen bovendien verantwoordelijkheid voor een goede informatiebeveiliging binnen de eigen organisatie in het algemeen.
[1] Heleen Croonen, Pilot voor veilig appen in Den Haag. Medisch Contact, 2 oktober 2015
Heeft u in juridische zin voldaan aan de informatieplicht als u een patiënt via de website van het ziekenhuis voorlicht over een operatie? En (wat) mag u per e-mail communiceren met patiënten?
Informed consent via het web
Het informeren van een patiënt over diens ziekte en behandeling gebeurt vooral in de spreekkamer. Maar zou je in deze moderne tijd kunnen overgaan naar digitale informatieoverdracht en je patiënt uitsluitend online informeren?
Niet altijd, zoals een ooglaserkliniek ervoer toen het in maart 2011 een waarschuwing kreeg van het Tuchtcollege Amsterdam. De patiënt hoefde geen “genoegen te nemen met alleen (louter algemene) informatie over de behandeling en de daaraan verbonden risico’s die (hoofdzakelijk) op de website te vinden is”.
Volgens de rechtspraak mag je niet volstaan met online informatie als:
Bij de ooglaserkliniek betrof het een ingrijpende behandeling, waarbij uitvoeriger informatie moest worden verstrekt (zie 1). Bovendien was het mogelijke gebruik van Mytomicine niet onomstreden wat ook een verzwaring van de informatieplicht betekende (zie 2). De ooglaserkliniek had de patiënt dan ook aanvullend mondeling moeten informeren.
Bij een standaardingreep bij een patiënt zonder bijzonderheden kan een arts gerichte informatie op een website als belangrijkste informatiebron gebruiken. Maar dit ontslaat hem niet van de plicht om bij een volgend consult na te gaan of de patiënt de informatie heeft begrepen. En uiteraard moet dan (tenminste) mondeling om toestemming (consent) voor de behandeling worden gevraagd.
Communiceren per e-mail
Een andere vraag: mag je de patiënt vragen laten mailen? En mag je hem zijn bloedsuikerwaarden of gewicht laten doormailen? Of zelf de uitslag van een onderzoek mailen naar een patiënt? Het is wel duidelijk dat dit niet via openbare sociale media zoals Twitter of Facebook kan, maar mag het wel via e-mail?
Ook communicatie per e-mail is niet zonder juridische risico’s. Wie is bijvoorbeeld de ontvanger van de gegevens als informatie wordt gestuurd naar “piet_en_riet@hotmail.com”?
Het risico bestaat dat de informatie bij een ander dan de patiënt terecht komt en dat betekent een doorbreking van het beroepsgeheim. Als de patiënt instemt met verzending naar dat e-mailadres ligt dit wellicht iets minder gevoelig, maar dan nog is communicatie via het openbare internet niet veilig.
Beter is het, zeker als het privacygevoelige informatie betreft, als berichten worden uitgewisseld met een patiënt in een beveiligde communicatie-omgeving. Denk aan het gebruik van patiëntenportalen, zoals mijnRadboud (RadboudUMC), of aan beveiligde e-mail zoals ZorgMail van Enovation, Secure Mail van KPN, Medi-Send en Voltage SecureMail van Software Connection en Voltage Security.
Er bestaat geen wettelijke bepaling die het gebruik van e-mail bij het uitwisselen van medische gegevens reguleert. Daarom moet aansluiting worden gezocht bij meer algemeen geformuleerde regels over de omgang met medische gegevens.
Deze regels zijn onder andere neergelegd in de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en in de Wet bescherming persoonsgegevens (WBP) en komen er op neer dat de hulpverlener op een verantwoorde wijze met de medische gegevens van zijn patiënten moet omgaan. Deze regels gelden ook in het geval dat de medische gegevens per e-mail verzonden worden.
Voordat de gegevens per e-mail naar een ander worden verzonden moet duidelijk zijn dat de ontvanger de te verzenden gegevens wel mag ontvangen. Het beroepsgeheim van de arts verhindert in beginsel namelijk dat de arts medische gegevens aan derden verstrekt. Hij mag alleen gegevens verstrekken aan degene die rechtstreeks bij de behandeling van de patiënt betrokken zijn. Dit zijn bijvoorbeeld verpleegkundigen en/of artsen die bij een behandeling betrokken worden. Ook mogen gegevens worden verstrekt als de patiënt daarvoor toestemming heeft gegeven. In sommige gevallen kan deze toestemming worden verondersteld. Denk daarbij aan het verstrekken van gegevens van een specialist aan de huisarts. Voor meer informatie over het uitwisselen van medische gegevens zie de 'KNMG Richtlijnen inzake het omgaan met medische gegevens'.
Is vastgesteld dát gegevens mogen worden verstrekt, dan blijft de vraag over of dat via e-mail kan. Het communiceren via e-mail is niet zonder risico. Je kunt vooralsnog niet met zekerheid vaststellen wie de ontvanger van de gegevens is. Het risico bestaat dat de gegevens bij iemand anders terechtkomen, hetgeen doorgaans een ongeoorloofde doorbreking van het beroepsgeheim betekent. Met de invoering van de UZI-pas (Unieke Zorgverleners Identificatie-pas / zie ook www.nictiz.nl) wordt het mogelijk om artsen op het internet te identificeren. Tot die tijd blijft het een inschatting van risico’s. Meestal is al eerder met de andere arts via e-mail gecorrespondeerd en kun je ervan uitgaan dat de informatie op de juiste plek terecht komt. Het verdient de voorkeur om gegevens versleuteld te versturen. Hiermee wordt voorkomen dat onbevoegde ontvangers van de informatie deze kunnen lezen.
Ook is het van belang om de computer en het communicatieprogramma (het e-mail programma) voldoende te beveiligen. In de Richtlijn voor online arts-patiënt contact is een aantal praktische eisen opgesteld waaraan voldaan moet worden bij online arts-patiënt contact. Van belang zijn de volgende punten:
Het Comité Permanent Européens heeft reeds een aantal richtlijnen gepubliceerd op het gebied van e-mail gebruik, telemedicine en het aanbieden van medische informatie op het internet. Deze richtlijnen kunt u vinden op www.cpme.eu
Het Nationaal ICT Instituut in de Zorg (NICTIZ) heeft in januari 2015 een verkenning gemaakt over veilig emailverkeer. Hierin worden risico’s en oplossingen benoemd. Verschillende betrokken partijen in de zorg zijn verenigd in NICTIZ: aanbieders van zorg (artsen, ziekenhuizen, e.d.), afnemers (patiëntenverenigingen), zorgverzekeraars en de overheid. Op www.nictiz.nl kunt u meer informatie vinden over de producten van NICTIZ.