Nederlandse ontwikkelingen rondom elektronische gegevensuitwisseling
Anton Ekker Symposium Regelgeving rond patiëntgegevens 24 juni 2014
Actueel
- gedragscode EGiZ - wetsvoorstel cliëntenrechten elektronische gegevensverwerking (CEGV) - rapport Cbp: toegang tot digitale patiëntendossiers binnen zorginstellingen - NEN 7521
NEN 7521 - beschrijft mechanisme waarmee toegang tot patiëntgegevens bij een andere zorgaanbieder kan worden verkregen en hoe de patiënt zijn wil kan uiten; - autorisatieprotollen en toestemmingsprofielen; - veel commentaar op het publieke concept; - voorlopige conclusie: er is behoefte aan een norm, maar consensus en draagvlak zijn moeilijk te vinden
Gedragscode EGiZ
-
rechten van de patiënt informatie en toestemming autorisatie & toetsing behandelrelatie beveiliging
Gedragscode EGiZ
- definitief vastgesteld in juni 2013 - nog niet voorgelegd aan College bescherming persoonsgegevens - afstemming met Wetsvoorstel cliëntenrechten elektronische gegevensverwerking
Rechten patiënt -
informatie over de gegevensverwerking het geven van toestemming of het maken van bezwaar inzage, correctie en afschrift inzage in de logging vernietiging van zijn gegevens informatie over geconstateerd misbruik
Toestemming - pull-verkeer: uitdrukkelijke toestemming voorafgaand aan registratie - push-verkeer: toestemming mag worden verondersteld indien uitsluitend gegevens worden verstrekt binnen de behandelrelatie
Rapport Cbp: digitale patiëntendossiers binnen zorginstellingen - onderzoek naar 9 zorginstellingen - conclusie: toegang nergens beperkt tot behandelrelatie of beheersmatige afwikkeling van de behandeling; - de wet eist dat autorisatie gebeurt nadat is vastgesteld dat er rechtstreekse betrokkenheid is bij behandeling patiënt;
- autorisatie op basis van functie/werkcontext is niet voldoende
Wetsvoorstel cliëntenrechten Elektronisch uitwisselingssysteem: 'een systeem waarmee een zorgaanbieder op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier’ - toelichting: Push-verkeer kan op basis van veronderstelde toestemming
Behandelrelatie Behandelrelatie: ‘de relatie tussen de cliënt en -
-
de zorgverlener met wie de cliënt een behandelingsovereenkomst als bedoeld in artikel 7:446, eerste lid BW heeft, of degene die rechtstreeks betrokken is bij de uitvoering van die behandelingsovereenkomst, of degene die optreedt als vervanger van degene die een behandelingsovereenkomst heeft met de cliënt’
Toestemming bij beschikbaar stellen ‘De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar […] voor zover de zorgaanbieders heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven’ Keuze cliënt: - algemene toestemming: beschikbaar stellen aan alle aangesloten zorgaanbieders - gespecificeerde toestemming: beschikbaar stellen van alle of bepaalde gegevens aan bepaalde (categorieën van) zorgaanbieders.
Toestemming bij raadpleging ‘het raadplegen van gegevens die beschikbaar zijn gesteld via een elektronisch uitwisselingssysteem, of een afschrift maken van die gegevens is alleen toegestaan indien de cliënt binnen die behandelrelatie daartoe uitdrukkelijke toestemming heeft gegeven.’ - dus niet voor iedere raadpleging afzonderlijk - toestemming geldt niet alleen voor zorgverlener zelf, maar ook voor rechtstreeks betrokkene en vervanger - strenger dan gedragscode EGiZ
Recht op informatie ‘de zorgaanbieder geeft de cliënt informatie over zijn rechten bij elektronisch gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronische uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt’ - nader uitgewerkt in gedragscode EGiZ - wat bij uitbreiding?
Toegangsverboden •
Verbod aan verzekeraars en bedrijfs-, verzekerings-, keuringsartsen om zich toegang te verschaffen tot elektronisch uitwisselingssysteem
•
Sanctie verzekeraar: • •
Alle verzekerden kunnen binnen zes weken verzekering opzeggen Boete van max. 500 k / 10 % winst onderneming NL
Besluit elektronische gegevensuitwisseling tussen zorgaanbieders •
• • •
Verantwoordelijke voor een uitwisselingssysteem en aangesloten zorgaanbieder (> 250 wn) benoemen functionaris gegevensbescherming gebruik conform NEN 7510 netwerkverbindingen en ZSP conform NEN 7512 logging conform NEN 7513, bewaartermijn in Stcrt.
Nota van wijziging 27 maart 2014
•
De beheerder van een elektronisch uitwisselingssysteem is bevoegd tot het verwerken van het BSN, voor zover noodzakelijk voor uitoefenen taak als beheerder (artikel 8 lid 2 Wbsn-z).
Amendementen Tweede Kamer
• • •
•
Nr. 13/14: Geen generieke opt-in (Bruins Slot en Leijten); Nr. 17: dossier dient binnen vier weken na bezoek of beëindiging opname te zijn bijgewerkt; Nr. 18: opnieuw informeren bij aansluiten nieuwe categorieën zorgaanbieders of substantiële wijziging van werking van het elektronisch uitwisselingssysteem; Nr. 26: bijhouden papieren dossiers onmogelijk maken.
Moties Tweede Kamer
Motie • Nr. 24: verzoek om nulmeting systemen en tijdspad aanpassing • Nr. 25: zorgpartijen dienen gedragscode EGiZ voor te leggen aan Cbp; • Nr. 27: medische gegevens niet buiten Nl opslaan;
Vragen?
[email protected] 06-43775335
19
