Privacy en het landelijk Elektronisch Patiënten Dossier (EPD) Een onderzoek naar het Landelijk EPD op basis van een juridisch raamwerk van de Wet Geneeskundige Behandelingsovereenkomst(beroepsgeheim), de Wet Bescherming Persoonsgegevens en de NEN 7510.
M.J. Bonthuis www.itsprivacy.nl
[email protected]
Privacy en het EPD
oktober 2007
Inhoudsopgave Inleiding ............................................................................................................... 4 1. Privacy in de zorg; juridisch kader in de traditionele situatie.................................... 6 1.1 Inleiding....................................................................................................... 6 1.2 Wet Geneeskundige Behandelingsovereenkomst................................................ 6 1.2.1 Goed hulpverlenerschap, professionele standaard ........................................ 7 1.2.2 Het dossier ............................................................................................. 7 1.2.3 Geheimhouding; het beroepsgeheim ........................................................ 10 1.2.4 Doorbreking van het beroepsgeheim ........................................................ 12 1.2.5 Toestemming ........................................................................................ 13 1.2.6 Samenvatting........................................................................................ 15 1.3 Bescherming van persoonsgegevens .............................................................. 16 1.3.1 Inleiding ............................................................................................... 16 1.3.2 Soorten persoonsgegevens ..................................................................... 16 1.3.3 Grondslagen.......................................................................................... 17 1.3.4 Doelbepaling ......................................................................................... 17 1.3.5 Informatieverplichting en rechten van betrokkenen .................................... 17 1.3.6 Toezicht................................................................................................ 18 1.3.7 Beveiliging ............................................................................................ 18 1.4. Normen in de zorg ...................................................................................... 19 1.4.1. NEN 7510 ............................................................................................ 19 1.4.2 De Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst .. 20 1.4.3 Nationale Patiënten en Consumenten Federatie ......................................... 21 1.5 Conclusie.................................................................................................... 22 2. Het EPD .......................................................................................................... 23 2.1. De aanleiding voor de ontwikkeling van een EPD ............................................ 23 2.2. De inrichting van het EPD ............................................................................ 23 2.3 Invoering ................................................................................................... 27 2.4 Samenvatting ............................................................................................. 28 3. Het normatieve kader en het EPD ...................................................................... 30 3.1 EPD en de WGBo ......................................................................................... 30 3.1.1 Goed hulpverlenerschap, professionele standaard ...................................... 30 3.1.2 Dossier ................................................................................................. 30 3.1.2 Geheimhouding ..................................................................................... 33 3.1.3 Toestemming ........................................................................................ 34 3.1.4 Conclusie .............................................................................................. 35 3.2 EPD en de WBP ........................................................................................... 35 3.2.1 Verwerken van gegevens ........................................................................ 36 3.2.2 Grondslag ............................................................................................. 36 3.2.3 Doel ..................................................................................................... 37 3.2.4 Informatieplicht van de zorgaanbieder...................................................... 37 3.2.5 Rechten van de patiënt........................................................................... 37 3.2.6 Toezicht................................................................................................ 38 3.2.7 Beveiliging ............................................................................................ 39 3.2.8 Conclusie .............................................................................................. 39 3.3 Normen uit de beroepsgroep......................................................................... 39 3.3.1 NEN7510 .............................................................................................. 39 3.3.2 KNMG................................................................................................... 40 3.3.3 NPCF .................................................................................................... 40 3.4 Nieuwe risico’s ............................................................................................ 40 3.5 Aanvullende wetgeving ................................................................................ 42 3.5.1 Wet gebruik BSN in de zorg..................................................................... 42 3.5.2 Wet EPD ............................................................................................... 42 3.6 Conclusie.................................................................................................... 42 Conclusie ............................................................................................................ 44 Literatuurlijst ...................................................................................................... 47
3
Privacy en het EPD
oktober 2007
Inleiding Zorgverleners verzamelen gegevens omtrent de gezondheid van patiënten. Goede zorgverlening valt of staat met goede informatie over de patiënt. De vertrouwelijke omgang met de patiëntgegevens is daarbij van essentieel belang. De patiënt moet kunnen rekenen op een verantwoorde omgang met zijn, grotendeels gevoelige, gegevens. De patiënt zou immers niet onverkort alles aan de zorgverlener meedelen wanneer de geheimhouding daarvan niet kan worden gegarandeerd. De gegevens kunnen dan opduiken in situaties waarin dat niet wenselijk is. Gezondheidsgegevens van patiënten zouden bijvoorbeeld door de zorgverzekeraar kunnen worden gebruikt om op basis daarvan premies te berekenen, of nog erger: de patiënt te weigeren voor een bepaalde verzekering. Ook is de uitwisseling naar de bedrijfsarts als onwenselijk te beschouwen. De werkgever kan het functioneren koppelen met de gezondheidsgegevens, waardoor bijvoorbeeld een contract niet zou kunnen worden verlengd. Het belang van de vertrouwensbasis in de arts-patiëntrelatie kent een lange geschiedenis en is uitgewerkt in wet- en regelgeving. De vertrouwelijke omgang met medische gegevens en de bescherming van persoonsgegevens stoelt juridisch gezien op twee principes, namelijk de al in 400 v Chr. door Hippocrates aangevoerde plicht tot geheimhouding en het zelfbeschikkingsrecht van de patiënt als het gaat om de bescherming van zijn persoonsgegevens. De geheimhoudingsplicht van de arts, ook wel beroepsgeheim genoemd, is geënt op een zwijgplicht en een verschoningsrecht. Door de zwijgplicht is verstrekking aan anderen dan de patiënt in beginsel niet mogelijk. Tevens bevat het beroepsgeheim een verschoningsrecht, hetgeen een beroep op geheimhouding bij gerechtelijke procedures omvat. Dit leidt in de meeste gevallen tot een betrouwbare omgang met patiëntengegevens. Ten tweede is voor de vertrouwelijkheid het zelfbeschikkingsrecht van belang, ook wel het recht op privacy genoemd. De betrokkene is zelf degene die beschikt over welke personen gemachtigd zijn gegevens over hem te verwerken. De zorg valt of staat dus bij de vertrouwelijke omgang met patiëntgegevens. Toch kan, wanneer zorgverleners sneller en nauwkeuriger informatie met elkaar uitwisselen, efficiënter en kwalitatief beter gewerkt worden (bijvoorbeeld doordat bij het behandelen van een patiënt de zorgverlener door zoveel mogelijk medische gegevens beschikbaar te maken optimaal geïnformeerd en ondersteund wordt). Als gevolg van het ontbreken van informatie worden fouten gemaakt en vinden onnodige onderzoeken en behandelingen plaats. Uit een recente studie1 in opdracht van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) blijkt dat als gevolg van vermijdbare medicatiefouten ruim 1.200 patiënten overlijden. De helft is te vermijden door een betere uitwisseling van medicatiegegevens van patiënten. Daarnaast levert een gebrek aan uitwisseling van gegevens een kostenpost op. Het ministerie van VWS heeft ter verbetering van de kwaliteit van de zorg besloten een landelijk virtueel patiëntendossier op te zetten: het elektronisch patiënten dossier (EPD). Er zal op landelijke schaal tussen allerlei zorgaanbieders op een veilige en betrouwbare manier patiëntgegevens uitgewisseld kunnen gaan worden. Door middel van het EPD zal door een doelmatiger gebruik van de beschikbare informatie, fouten en het doen van onnodig onderzoek voorkomen kunnen worden. De gegevens zijn immers elders al beschikbaar. Het behoeft nauwelijks betoog dat een Elektronisch Patiëntendossier (EPD) een grote maatschappelijke betekenis heeft, maar dat het ook aanzienlijke risico’s met zich mee kan brengen. Met name als het gaat om de vertrouwelijke omgang met de medische informatie door de verschillende zorgaanbieders ontstaat door de invoerig van het EPD 1
Ministerie van VWS 2007f
4
Privacy en het EPD
oktober 2007
een nieuw risico. De vraag is of door de komst van het EPD de vertrouwelijke omgang op basis van de huidige wet- en regelgeving nog steeds gegarandeerd kan worden. Deze vraag zal in dit onderzoek worden behandeld. In het kader van dit onderzoek zijn voornamelijk de bepalingen omtrent de vertrouwelijke omgang ten opzichte van het EPD bekeken. Het beroepsgeheim uit de wet Geneeskundige Behandelingsovereenkomst (WGBo), die in beginsel stelt dat de medische gegevens geheim dienen te blijven, staat hierin centraal. De persoonsgegevens van de patiënt zijn eveneens onderworpen aan de bepalingen van de Wet Bescherming persoonsgegevens (WBP). Volgens de WBP worden medische gegevens als gevoelige gegevens beschouwd, aangezien zij over de gezondheid van de patiënt gaan. De garantie dat er zorgvuldig met de bijzondere gegevens wordt omgegaan, zorgt dus voor een optimale gang van de patiënt naar de zorg. Dit is zowel in zijn eigen individuele belang, alsmede in het belang van de volksgezondheid in zijn geheel, ook al zorgt een grotere beschikbaarheid van die gegevens voor een hogere kwaliteit. Deze regelgeving zal ik in hoofdstuk 1 behandelen. Daarbij zal worden gekeken naar de wet geneeskundige behandelingsovereenkomst (WGBo), de wet bescherming persoonsgegevens (WBP) en de normen uit de beroepspraktijk. Vervolgens zal in hoofdstuk 2 het EPD worden geschetst. Tenslotte zal in hoofdstuk 3 aandacht worden besteed aan de nieuwe risico’s dat een dergelijk EPD met zich meebrengt. Uiteindelijk zal de vraag of met het EPD in voldoende mate rekening is gehouden met de privacyaspecten kunnen worden behandeld. Dit onderzoek is mede tot stand gekomen met behulp van dr. mr. J.J. Dijkstra van de sectie Recht & ICT van de Rijksuniversiteit Groningen.
5
Privacy en het EPD
oktober 2007
1. Privacy in de zorg; juridisch kader in de traditionele situatie 1.1 Inleiding De vertrouwensrelatie tussen zorgverlener en patiënt is van evident belang. Het belang van het vertrouwelijke karakter van de relatie tussen zorgverlener en patiënt kent al een lange geschiedenis, aangezien Hippocrates al in 400 voor Christus het volgende in zijn eed aflegde: ”…… In ieder huis waar ik binnentreed, zal ik slechts komen in het belang van mijn patiënten. (…) Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep of in het dagelijks verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en niemand openbaren. “ 2 In 1878 werd er in Nederland een artseneed ingevoerd, die was gebaseerd op deze eed van Hippocrates. Medische studenten leggen momenteel nog steeds een eed of gelofte af op het moment dat zij hun zorgverlenerbevoegdheid krijgen. De gelofte houdt globaal in dat de zorgverlener de gegevens die hij over de patiënt verzamelt in beginsel geheim houdt en niet verstrekt aan anderen dan de patiënt, behoudens enkele uitzonderingen. In de Wet Geneeskundige Behandelingsovereenkomst (WGBo) zijn dergelijke bepalingen gecodificeerd onder andere in de vorm van het ‘beroepsgeheim’. Het verzamelen van gegevens over de patiënt door de zorgverlener is noodzakelijk voor het verlenen van goede zorg en komt in de WGBo tot uitdrukking in het verplicht voeren van een dossier. Ondanks de noodzaak om medische gegevens vast te leggen door zorgverleners is het aan de patiënt om te bepalen aan wie deze worden verstrekt. Dit wordt ook wel zelfbeschikking genoemd. Het moet voor de patiënt dus vooraf en te allen tijde kenbaar zijn wat er met zijn gegevens gebeurt en hoe hij zijn rechten kan uitoefenen. De belangrijkste regels omtrent het vastleggen en gebruiken van persoonsgegevens is geregeld in de Wet bescherming persoonsgegevens (WBP). De WBP stelt onder andere de eis om als organisatie passende technische en organisatorische maatregelen te implementeren. Voor wat betreft de invulling van deze eis is de norm NEN 7510 door de Inspectie voor de Gezondheidszorg goed bevonden. In dit hoofdstuk zal het juridische kader vanuit de WGBo, de WBP en de normen uit de beroepspraktijk worden geschetst waarop de vastlegging van de medische gegevens en de vertrouwelijke omgang ervan is gestoeld.
1.2 Wet Geneeskundige Behandelingsovereenkomst De vertrouwelijke en transparante omgang met de medische gegevens zijn onder andere uitgewerkt in de Wet Geneeskundige Behandelingsovereenkomst (WGBo). De zorgverlener verleent als goed hulpverlener op verzoek van de patiënt én op basis van een overeenkomst inzake de geneeskundige behandeling, de zogenoemde behandelingsovereenkomst, zorg. De WGBo is opgenomen als onderdeel van boek 7 van het Burgerlijk Wetboek. Afdeling 5, vanaf artikel 7:446 BW, bevat wettelijke regels omtrent de behandelingsovereenkomst. De regels dwingen zorgaanbieders onder andere tot het voeren van een dossier (artikel 7:454 BW). De medeaansprakelijkheid van het ziekenhuis voor wat betreft de uitvoering van de behandelingsovereenkomst en het dossier is geregeld in artikel 7:462 BW. Ook de informatieverplichtingen jegens de patiënt en diens rechten ten aanzien van het dossier zijn in de wet opgenomen. De geheimhouding van de gegevens van de patiënt is geregeld in artikel 7:457 BW en geeft 2
KNMG, Richtlijn Nederlandse artseneed
6
Privacy en het EPD
oktober 2007
tevens regels omtrent de doorbreking ervan. Zorg kan in beginsel slechts worden verleend met toestemming van de patiënt, hetgeen in artikel 7:450 is opgenomen. In de meeste gevallen begint de behandelingsovereenkomst dan ook op verzoek van de patiënt, de behandeling start pas met diens toestemming. De toestemming moet zodanig zijn gegeven, dat de patiënt weet waarvoor hij toestemming geeft. Dit wordt ook wel de geïnformeerde toestemming genoemd. De regels zijn van dwingend recht (artikel 7:468 BW). De bepalingen uit de WGBo dienen onder toezicht te staan om de effectiviteit ervan te garanderen. De Inspectie voor de gezondheidszorg (IGZ) is daarvoor de aangewezen instantie. De bepalingen omtrent het goed hulpverlenerschap, de dossiervoering, aansprakelijkheid en de rechten van patiënten zal ik hieronder als eerste behandelen. Vervolgens komt het beroepsgeheim aan de orde. Daarna wordt ingegaan op de voorwaarden voor de doorbreking van de geheimhoudingsplicht met de toestemming van de patiënt als belangrijkste optie. Tot slot zal het toezicht aan bod komen. 1.2.1 Goed hulpverlenerschap, professionele standaard Iedere zorgaanbieder heeft de verplichting zich als een ‘goed hulpverlener’ te gedragen. Deze plicht staat bekend als ‘zorgplicht’ en geldt zowel voor de zorgverlener als voor de instelling3. De verplichtingen omtrent het goed hulpverlenerschap betreffen onder andere de gebondenheid van de hulpverlener aan de medische professionele standaard. De hulpverlener richt zijn medische handelen dan in volgens de laatste inzichten van de medische wetenschap en ervaring4. Het gaat daarbij om de eigen verantwoordelijkheid van de hulpverlener die niet door de patiënt opzij kan worden gezet. Dit is bijzonder relevant in (psychische) noodsituaties waarin de zorgverlener aan patiënten zorg verleent en de patiënt daarvoor geen toestemming wil of kan geven. Zodra van een behandelingsovereenkomst sprake is, wordt ook het dossier aangemaakt. 1.2.2 Het dossier Het verzamelen van gegevens over de patiënt door de zorgverlener is noodzakelijk als geheugensteun, om te communiceren met het behandelteam en voor de verrekening van de zorg. De bepalingen omtrent de omvang en de bewaartermijnen, de aansprakelijkheid voor de inhoud en het gebruik ervan en de rechten die patiënten kunnen uitoefenen worden in deze paragraaf behandeld. Omvang
Zorgaanbieders hebben een dossierplicht. Het gaat dan om de vastlegging van díe gegevens die voor een goede hulpverlening aan de patiënt noodzakelijk zijn. De dossierplicht ziet op het belang dat een patiënt heeft bij een goede informatievoorziening. Een patiënt heeft immers ook recht op inzage en afschrift van deze bescheiden. Een curatief (genezend) dossier bevat naast persoonsgebonden gegevens en episodegebonden5 gegevens ook de werkaantekeningen van de zorgverlener. Een dossier kan tevens een verpleegkundig dossier bevatten. Correspondentie, meldingen aan de inspectie, keuringsgegevens horen niet in een dossier6. Het dossier moet zo weinig mogelijk identificerende gegevens bevatten7 aangezien het niet meer gegevens mag bevatten dan noodzakelijk is voor de behandeling. De rechtmatig verzamelde gegevens mogen eenmaal door de patiënt verstrekt uiteraard niet eeuwig worden bewaard. Bewaartermijnen
3 4 5 6 7
Nouwt 2007a Leenen 2000, Gegevens die horen bij een bepaalde behandeling binnen een bepaalde periode (episode). Nouwt 2007a, p. 9 Nouwt en Lucieer 2006, p. 9
7
Privacy en het EPD
oktober 2007
Het bewaren van (medische) gegevens is onderworpen aan wettelijke bewaartermijnen. De bewaartermijn is ingesteld ter voorkoming van een te actieve rol van de patiënt om zijn privacy te beschermen. Hij moet erop kunnen vertrouwen dat na enig ogenblik zijn gegevens worden vernietigd zonder dat hij dit zelf in de gaten hoeft te houden. Deze vernietiging vindt veelal plaats als de gegevens niet meer nodig zijn voor het doel waarvoor zij zijn vastgelegd. De gegevens zullen na verloop van de bewaartermijn moeten worden vernietigd. Het kan voorkomen dat het onwenselijk is de gegevens te vernietigen, bijvoorbeeld in het geval van een zwaarwegend belang. In het kader van erfelijke ziekten of gegevens over anderen dan de patiënt kan worden besloten de gegevens langer te bewaren. De bewaartermijn voor medische gegevens is op 1-4-2004 verlengd van 10 naar 15 jaar8. Afwijkende bewaartermijnen gelden er tevens voor situaties die vallen onder het Besluit opneming psychiatrische ziekenhuizen (BOPZ), en voor Universitaire medische centra. Voor UMC’s geldt een bewaartermijn van 115 jaar voor kerngegevens9 te rekenen vanaf de geboortedatum. Het beroepsgeheim vervalt echter niet na het aflopen van de bewaartermijn10. Aansprakelijkheid
De wijze van het voeren van het dossier, alsook het vernietigen van gegevens ervan, is primair de verantwoordelijkheid van de zorgverlener. Binnen zorginstellingen zijn zorgverleners ofwel zelfstandig opererend dan wel in loondienst van de zorgaanbieder. De constructie is van belang als het gaat om de eventuele gedeelde verantwoordelijkheid van het dossier. Als de zorgverlener zelfstandig werkend is binnen de instelling, dan is alleen hij verantwoordelijk voor onder andere de beveiliging van het dossier en dus niet de instelling. Is de zorgverlener in loondienst dan is naast de zorgverlener de instelling verantwoordelijk voor de dossiers als het gaat om de beveiliging ervan. Voor de inhoud is dat te allen tijde alleen de zorgverlener. Zowel de zorgverlener als de zorginstelling is verplicht een dossier te voeren (artikel 7:454 BW). De zorginstelling kan dan worden beschouwd als houder. Let wel, als patiënt is men geen eigenaar van het dossier, maar heeft wel zeggenschap over het dossier11. De zeggenschap uit zich voornamelijk in de informatieverplichtingen van de zorgaanbieder en de rechten van de patiënt. Informatieverplichting en rechten van de patiënt
Het zal voor de patiënt kenbaar moeten zijn hoe de verwerking van zijn gegevens geschiedt en hoe het beleid voor opslag, bewaren en toegang bij de zorgverlener is ingericht. De vast te leggen informatie moet bij aanvang van de behandelingsovereenkomst aan de patiënt worden medegedeeld door de verantwoordelijke dan wel de feitelijk zorgdrager, vanaf het eerste moment van vastlegging of de eerste verstrekking. De zorgaanbieder zal de patiënt periodiek moeten informeren welke gegevens van hem vastgelegd zijn. Daarnaast heeft de patiënt een aantal eigen rechten. De patiënt heeft onder andere het recht op inzage, aanvulling, correctie, vernietiging en kan zich tenslotte verzetten tegen dan wel bepaalde uitwisselingen blokkeren. In bepaalde gevallen kan hiervan worden afgeweken, met dien verstande dat hier strikt mee om moet worden gegaan. Het geheel aan informatieverplichtingen en rechten van de patiënt heeft betrekking op zowel de persoonsgebonden gegevens als op de episodegebonden gegevens. Informatie moet worden gegeven over het doel van de verwerking, de categorieën van de te verwerken gegevens, de dossiervorming, de eventuele ontvangers, de bewaar- en vernietigingstermijnen de mogelijkheden voor bezwaar en beroep. Indien er gebruik gemaakt wordt van elektronische dossiers zal het voor de patiënt tevens kenbaar moeten zijn wie daarin inzage heeft of heeft gehad. Naast de beveiligingsmaatregelen die 8
Staatsblad 837/2006 De archiefwet voor academische ziekenhuizen sluit een aantal gegevens uit voor vernietiging, o.a het eerste hulpverslag, operatieverslag, anesthesieverslag en de ontslagbrief. 10 Dute e.a. 2003, hoofdstuk 4 p. 9 11 Nouwt 2005, p.66 9
8
Privacy en het EPD
oktober 2007
kenbaar moeten zijn voor de patiënt heeft de patiënt ook ná de vastlegging te allen tijde rechten als inzage en vernietiging van zijn dossier. Het recht op inzage is te vinden in artikel 7:456 BW en in artikel 35 WBP. De patiënt heeft naast inzage ook recht op een afschrift van het dossier. De inzage kan slechts worden geweigerd indien dit schadelijk is voor anderen dan de patiënt. De derde moet een zwaarwegend belang hebben bij de weigering van de inzage. Na inzage kan het nodig blijken de gegevens aan te vullen dan wel te corrigeren. Het recht op aanvulling is van belang indien blijkt dat er gegevens ontbreken, het is te vinden in artikel 36 WBP. De patiënt heeft vervolgens het recht zijn gegevens te corrigeren, indien er gegevens onjuist zijn (art. 36 WBP). De patiënt heeft daarnaast het recht zijn gegevens al dan niet in zijn geheel te vernietigen12 (artikel 7:455 lid 1 BW). Het gaat dan om de vernietiging van zowel de persoonsgebonden als de episodegebonden gegevens, ook binnen de wettelijke bewaartermijn. Het recht op vernietiging is echter niet onvoorwaardelijk. Wanneer een belang van anderen aanwezig is, de wet zich tegen vernietiging verzet, de zorgverlener een eigen procedureel belang heeft, er een andere wettelijke termijn geldt óf vernietiging in het kader van de volksgezondheid niet gewenst is, kan dit recht op vernietiging worden beperkt (art. 7:455 lid 2 BW). Onder vernietigen wordt ook anonimiseren verstaan, de gegevens zijn dan immers niet meer tot de persoon herleidbaar. De werkaantekeningen vallen niet onder de informatieplicht en de rechten van de patiënt strekken zich er niet uit over uit. Medische gegevens zullen in beginsel voor anderen dan de patiënt geheim moeten blijven, dit is bepaald in het zogenaamde beroepsgeheim. Het beroepsgeheim komt in paragraaf 1.4.1 aan de orde. In bepaalde gevallen kunnen medische gegevens tóch worden verstrekt aan derden, deze komen in paragraaf 1.2.4 als doorbreking van het beroepsgeheim uitgebreid aan bod. De patiënt kan zich echter wel verzetten tegen de (rechtmatige) uitwisseling of verstrekking van zijn gegevens wanneer hij dat onwenselijk vindt. Door middel van het absolute verzet kan de patiënt zich dan tegen een algemene verstrekking verzetten, bijvoorbeeld in het kader van alle vormen van direct marketing of wetenschappelijk onderzoek. Er kan tevens sprake zijn van relatief verzet. Dit kan het geval zijn als het verzet zich richt op een bepaalde verstrekking. De grondslag hiervoor ligt ook in artikel 8 onder e en f WBP. Gesteld moet worden dat het verzet is gerechtvaardigd doordat degene een ‘bekende’ is die de gegevens niet mag inzien (artikel 45 WBP). De patiënt heeft tevens het recht zijn gegevens te blokkeren, indien de patiënt de eerste wenst te zijn die bijvoorbeeld na een keuring zijn uitslagen ontvangt. Tot die tijd zijn de gegevens voor anderen dan hijzelf geblokkeerd, inclusief de behandelende zorgverlener, zie daarvoor artikel 4:457 BW. Uitzonderingen
De zorgaanbieder houdt, behoudens enkele uitzonderingen, de hem toevertrouwde informatie en de gegevens die zijn vastgelegd in het dossier geheim voor anderen dan de patiënt. Toch kunnen situaties ontstaan waarin het wenselijk is de gegevens te verstrekken aan anderen dan de patiënt, bijvoorbeeld bij minderjarigheid, na overlijden, bij het doen van wetenschappelijk onderzoek, de verstrekking aan verzekeraars, bedrijfszorgverlener en justitie. Voor patiënten in de leeftijd tot 12 jaar zijn de ouders of de voogd degenen die de rechten kunnen uitoefenen. Een nuancering op de hoofdregel is door de Hoge Raad aangebracht als het gaat om zeer bijzondere omstandigheden. In het “Bolderkararrest”
12
Nouwt 2005, p. 66
9
Privacy en het EPD
oktober 2007
heeft de rechter beslist dat het privacybelang van de kleuter prevaleerde boven het belang van de van incest verdachte vader13 en werd de inzage door de vader geweigerd. Het uitwisselen van gegevens over overledenen kan volgens de WGBo slechts geschieden indien er sprake is van een veronderstelde toestemming, dan wel een wettelijke plicht als het verrichten van onderzoek naar de doodsoorzaak14. Verstrekking is dus ook niet zonder meer toegestaan aan bijvoorbeeld nabestaanden15. Voor verstrekking van medische informatie aan verzekeraars kan verwezen worden naar het verstrekkingbesluit ziekenfondsverzekering. Het verwerkingsdoel is slechts een ‘controle op de doelmatigheid van de verleende zorg’. De verstrekte informatie moet zich daartoe dus beperken. Ook zijn verzekeraars gebonden aan het door het CBP goedgekeurde Addendum Zorgverzekeraars bij de bestaande Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. Hierbij dient te worden opgemerkt dat in het kader van verstrekking wegens de Diagnose Behandel Combinatie (codes over zorgvraag, diagnose en behandeling) het CBP van oordeel is dat dit een bovenmatige verwerking is en daarom strijdig is met het beroepsgeheim16. Verstrekking aan de bedrijfszorgverlener dan wel de verzekeringszorgverlener is slechts mogelijk indien het gaat om een verzuimbegeleiding of het beoordelen van een schadeclaim17 . De verstrekking moet zich beperken tot die specifieke taak. Er is altijd toestemming voor deze gegevensuitwisseling nodig. Politie en justitie kunnen in het kader van de opsporing behoefte hebben aan bepaalde medische informatie. Doorbreking van het beroepsgeheim in het kader van opsporing in het algemeen is in beginsel verboden. De verstrekking van medische gegevens aan politie en justitie is alleen gerechtvaardigd als er sprake is van een conflict van plichten. De verstrekking is pas gerechtvaardigd als de zorgverlener invloed kan uitoefenen op dit conflict én er kans is op ernstige schade. Wanneer de patiënt als slachtoffer wordt aangemerkt, kunnen gegevens ten behoeve van forensisch onderzoek overigens wel worden verstrekt. Indien de patiënt als verdachte wordt aangemerkt is verstrekking van medische gegevens alleen toegestaan met toestemming van de patiënt, uitgezonderd de gegevensverstrekking in het kader van staande of aanhouden. Er kan geen beslag op patiëntendossiers worden gelegd, tenzij er sprake is van een noodtoestand of conflict van plichten, hetgeen slechts in zeer uitzonderlijke omstandigheden het geval is. Samengevat heeft de zorgverlener naast een zorgplicht, de plicht een dossier te voeren en de patiënt te informeren over de verwerking hiervan. De patiënt heeft een grote invloed op de uitwisseling van zijn gegevens, behoudens enkele uitzonderingen, onder andere door het uitoefenen van zijn (toegangs-)rechten ten aanzien van zijn dossier. 1.2.3 Geheimhouding; het beroepsgeheim Het beroepsgeheim is één van de belangrijkste fundamenten om te komen tot een vertrouwelijke omgang met informatie over de patiënt. Het betreft de vrije toegang tot de gezondheidszorg, zodat de patiënt zonder schroom hulp kan inroepen. Het verstrekken van vertrouwelijke informatie is daarbij namelijk vaak onvermijdelijk. Sommigen hebben een geheimhoudingsplicht op grond van hun beroep, anderen op grond van een ambt dat zij bekleden, of vanwege een wettelijk voorschrift dat de geheimhouding regelt. Op grond van artikel 88 Wet op de Beroepen in de Individuele Gezondheidszorg hebben artsen, tandartsen, apothekers, gezondheidspsychologen, 13 14 15 16 17
Rechtbank Rotterdam, Rb 22-03-1989, KG 1989, 170 Nouwt 2005, p. 71 Idem, p. 96 Idem, p. 110 Idem, p.109
10
Privacy en het EPD
oktober 2007
psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen een medisch beroepsgeheim18. Het beroepsgeheim is een recht van de patiënt19. Het is opgebouwd uit een zwijgplicht en een verschoningsrecht. De zwijgplicht dwingt de zorgverlener dat zonder (schriftelijke) toestemming geen informatie mag worden verstrekt aan anderen dan de patiënt. Het verschoningsrecht is de plicht van de zorgverlener te zwijgen tegenover een derde. Het belang van het verschoningsrecht is gelegen in het feit dat iedere burger medische hulp moet kunnen zoeken, zonder dat openbaring van informatie hierover voor bijvoorbeeld een rechtbank kan worden afgedwongen. De Hoge Raad heeft beslist dat het belang van waarheidsvinding moet wijken voor het maatschappelijke belang en dat een ieder zich zonder vrees voor openbaarmaking van het toevertrouwde moet kunnen wenden tot een verschoningsgerechtigde20. De geheimhouding is ook na leven geboden21. Slechts in uitzonderlijke gevallen kan de inbreuk op het verschoningsrecht worden gerechtvaardigd. Doorbreking is bijvoorbeeld mogelijk indien er sprake is van een (ernstige) verdenking van de verschoningsgerechtigde, de aard en omvang van de gegevens in de strafprocedure van belang (inhoud en frequentie) zijn én deze niet op andere wijze te verkrijgen zijn22. De WGBo is niet de enige plaats waar het beroepsgeheim is geregeld. Artikel 88 van de wet Beroepen in de Individuele Gezondheidszorg (Wet BIG) vereist tevens geheimhouding bij de uitoefening van een beroep op het gebied van de individuele gezondheidszorg. De schending van de geheimhoudingsplicht is strafrechtelijk geregeld in artikel 272 van het wetboek van strafrecht (WvSr.) en in artikel 218 van het wetboek van strafvordering (WvSv.). In het bestuursrecht kan worden verwezen naar artikel 33 van de algemene wet bestuursrecht (Awb), dat verwijst naar artikel 191 van de Wet Rechtsvordering (WRv.). Dat betreft een verschoningsrecht voor getuigen en deskundigen op grond van hun ambts- of beroepsgeheim. Ook is voor de tuchtrechter het geheim een te beschermen norm23. De omvang van de geheim te houden gegevens, de voorrang die het heeft op andere bepalingen, de inhoud en het afgeleide beroepsgeheim komen hier aan bod. Het gaat bij het beroepsgeheim niet alleen om de geheimhouding van medische gegevens. De geheimhouding geldt ook ten aanzien van de logistieke gegevens die zijn opgenomen in het dossier zoals de financiële gegevens en persoonlijke gegevens. De wet spreekt immers over ‘inlichtingen’ en ‘bescheiden’ van en over de patiënt. De behandelrelatie dient ruim te worden geïnterpreteerd, zo valt de verleende zorg in het kader van een vriendendienst eveneens onder het beroepsgeheim24. De primaire verantwoordelijkheid voor goede zorg inclusief de vertrouwelijke omgang met de patiëntgegevens ligt bij de zorgverlener zelf. Bij een conflict van wettelijke regelingen, bijvoorbeeld als er volgens de WBP informatie verstrekt móet worden en volgens de WGBo is dit niet toegestaan, gaat het beroepsgeheim in beginsel voor25. De zorgaanbieders die geen zelfstandig beroepsgeheim bezitten, maar wel toegang hebben tot de gegevens (zie hiervoor: doorbreking van het beroepsgeheim) vallen onder
18 19 20 21 22 23 24 25
Nouwt 2005, p. 71 KNMG 2004c, p. 17 HR 2 oktober 1990, Kg 1990, nr. 45/46, p. 1877 CBP 2006c Nouwt en Lucieer 2005, p. 6 Leenen 2000, p. 221 Nouwt en Lucieer 2005, p. 7 Hooghiemstra 2004c, p. 2
11
Privacy en het EPD
oktober 2007
een afgeleide zwijgplicht. Het kan beschouwd worden als een beroep op het verschoningsrecht van de zorgverlener26. Er kunnen zich situaties voordoen die een doorbreking van het beroepsgeheim vereisen. De voorwaarden om het beroepsgeheim te kunnen doorbreken komen hier aan bod. 1.2.4 Doorbreking van het beroepsgeheim Er zijn enkele uitzonderingen die het beroepsgeheim kunnen doorbreken. Het verstrekken van informatie is dan zonder (of met minder) toestemming gerechtvaardigd. In de volgende gevallen kan het beroepsgeheim worden doorbroken: -vanwege het algemene belang, -vanwege het behoren tot hetzelfde behandelteam of -wegens een conflict van plichten. Op grond van het algemene belang, zoals bijvoorbeeld het geval is bij een landelijke uitbraak van een ziekte die voorkomt op de lijst van “Infectieziekten” of bij een wettelijke ontheffing kan het beroepsgeheim worden doorbroken. De patiënt kan, gezien de hulpvraag en de omstandigheden, in redelijkheid verwachten dat de gegevens beschikbaar moeten zijn voor direct betrokkenen. Een manier om het beroepsgeheim te kunnen doorbreken is dan ook het behoren tot hetzelfde behandelteam. De zorgverlener moet dan wel rechtstreeks betrokken zijn bij de behandeling van de patiënt. De toestemming van de patiënt wordt stilzwijgend verleend, ofwel verondersteld27. Onder de categorie ‘direct betrokkenen’ kunnen ook medewerkers voor intercollegiale toetsing en de administratieve of financiële afhandeling behoren. Van belang voor de omvang van inzage door het behandelteam is de mate van gevoeligheid van de gegevens van doorslaggevende betekenis. Het criterium voor rechtstreekse betrokkenheid is dat de medebehandelaar over de gegevens op basis van noodzakelijkheid moet beschikken Er moet dus sprake zijn van een concrete behandeling, een verwijzing of zorgoverdracht of van materiele verzorging. De zorgaanbieders die binnen het behandelteam behoren maar geen zelfstandig beroepsgeheim bezitten, vallen onder een afgeleid beroepsgeheim en zijn dan aan dezelfde bepalingen gebonden. Opgemerkt dient te worden dat het behandelteam als een eenheid gezien moet worden. Het kan voorkomen dat de eenheid bestaat uit behandelaars die niet tot dezelfde instelling behoren, bijvoorbeeld de verstrekking tussen de huiszorgverlener en een specialist in het ziekenhuis, maar niet tussen de huiszorgverlener en de maatschappelijk werker28. De informatie over patiënten binnen een bepaalde instelling kan dus niet voor álle zorgverleners toegankelijk zijn29. Voor verstrekking aan álle anderen dan rechtstreeks betrokken is immers toestemming vereist. De zwijgplicht kan ook worden doorbroken bij een conflict van plichten. Een voorbeeld van een conflicterende plicht is het geval bij een zwaarwegend belang van de patiënt zelf of een ander. De doorbreking moet dan gerechtvaardigd zijn door dat zwaarwegende belang, hetgeen in uitzonderlijke situaties het geval kan zijn. Het moet dus gaan om een noodsituatie. Een voorbeeld van een zwaarwegend belang kan het melden van kindermishandeling zijn. Het verschoningsrecht kan eveneens worden doorbroken wegens een conflict van plichten, hetgeen het geval kan zijn bij ernstige strafbare kwesties (beraamde moord, kindermisbruik) én de zorgverlener is in staat om in te grijpen door bijvoorbeeld de
26 27 28 29
KNMG 2004c, p. 18 Roscam-Abbing 2000, p. 335 idem, p. 44 Dute e.a. 2003, hoofdstuk 4 p. 47
12
Privacy en het EPD
oktober 2007
politie te waarschuwen30. De zorgverlener beroept zich dan op wettelijke overmacht. Er moet dus duidelijk sprake zijn van gewetensnood én een kans op ernstige schade. De zorgaanbieder zal dus in beginsel aan ieder ander dan de patiënt de gegevens geheim moeten houden. Echter, de meest voorkomende en belangrijkste doorbreking van het beroepsgeheim is dat de patiënt toestemming verleent. De bepalingen en de verschillende vormen van toestemming worden hier apart behandeld. 1.2.5 Toestemming Eén van de belangrijkste mogelijkheden om het beroepsgeheim te doorbreken is indien de patiënt toestemming geeft. Toestemming kan mondeling of schriftelijk gegeven worden. Na de invoering van de WBP (in opvolging van de Wet Persoonsregistraties) is de schriftelijkheidseis verdwenen. Op verzoek van de patiënt legt de hulpverlener deze toestemming wél schriftelijk vast indien er sprake is van een ingrijpende situatie (art. 4:451 BW). Voor minderjarigen tussen de 12 en de 16 jaren geldt een dubbel toestemmingsvereiste. Voor het aangaan van de behandelingsovereenkomst en de verstrekking van patiëntinformatie aan anderen is naast de toestemming van de patiënt de toestemming van de ouders vereist (7:450 lid 2 BW). Voor jongeren ouder dan 16 jaren geldt het dubbele toestemmingsvereiste alleen indien deze niet in staat is voor zichzelf op te komen (lid 3). De verschillende vormen van toestemming komt hier aan bod. Uiteraard kan de toestemming te allen tijde weer worden ingetrokken. Er kan sprake zijn het geven van verschillende gradaties van toestemming. De meest duidelijke is de geïnformeerde toestemming. De toestemming wordt dan uitdrukkelijk en ondubbelzinnig gegeven. Er kan ook sprake zijn van een minder uitgesproken vorm, namelijk door het geven van expliciete, veronderstelde of stilzwijgende of generieke toestemming. De zorgverlener kan er dan vanuit gaan dat de patiënt instemt door dit uit zijn gedrag te concluderen. Als de patiënt geen bezwaar maakt, kan de toestemming als verleend worden beschouwd. Uiteraard moet het voor de patiënt kenbaar (te overzien) zijn waarvoor hij toestemming verleent en de patiënt moet bewust zijn van het feit dát hij toestemming verleent, uiteraard moet de toestemming in vrijheid zijn gegeven. De volgende invullingen van het toestemmingsvereiste uit de WGBo worden gehanteerd binnen de zorgverlener-patiëntrelatie die hieronder aan bod gaan komen zijn: -geïnformeerde toestemming, -expliciete toestemming, veronderstelde toestemming en -generieke toestemming. Geïnformeerde toestemming
Onder geïnformeerde toestemming wordt een vrije, specifieke en op informatieuitwisseling beruste wilsuiting verstaan. De patiënt aanvaardt daarmee de verwerking van zijn persoonsgegevens. Bij het geven van geïnformeerde toestemming, ook wel uitdrukkelijke of ondubbelzinnige toestemming genoemd, is het van belang dat er geen twijfel is over de verleende toestemming door de patiënt. De afwezigheid van de twijfel kan ook blijken uit het gedrag van de patiënt. Bij twijfel moet de verantwoordelijke de gegeven toestemming bewijzen. De WBP spreekt van een zwaardere eis van uitdrukkelijke toestemming als het gaat om gegevens betreffende iemands gezondheid. Een algemene machtiging voldoet dus niet aan voldoende omschreven doel31. Ondubbelzinnige toestemming moet worden gegeven bij de verstrekking aan niet-hulpverleners of indien sprake is van een nieuwe behandelrelatie dan wel nieuwe behandelepisode. Daarnaast is bij de verwerking van
30 31
Nouwt 2005, p. 87 idem
13
Privacy en het EPD
oktober 2007
zeer gevoelige gegevens ondubbelzinnige toestemming altijd vereist, zelfs als het gaat om wetenschappelijk onderzoek. Expliciete toestemming
Van expliciete toestemming is sprake als de zorgverlener de patiënt al kent uit een eerdere behandelepisode. De zorgverlener moet zich dan nog wel nadrukkelijk vergewissen of de patiënt toestemming verleent voor de nieuwe behandelepisode. De patiënt zal vooraf geïnformeerd moeten worden over het doel, de inhoud en mogelijke consequenties. De verwerking is eveneens onderhevig aan de beperkte omvang (noodzakelijkheidsvereiste32). Veronderstelde toestemming
Als het gaat om een actuele zorgvraag naar een andere hulpverlener, die dus rechtstreeks betrokken is binnen een functionele eenheid, dan kan de verstrekking op basis van veronderstelde toestemming plaatsvinden. De uitwisseling kan dan ook plaatsvinden in het kader van secundaire doelen, bijvoorbeeld het beheer van dossiers, de financiële afwikkeling, intercollegiale toetsing, intervisie, supervisie, kwaliteitsbewaking en/ of kwaliteitsbevordering. Met dien verstande dat zoveel mogelijk gegevens geanonimiseerd dienen te worden. De voorwaarden voor een verwerking op basis van veronderstelde toestemming zijn dat de toegang wordt verleend in een concrete situatie (inclusief spoedeisende zorg), het voor de patiënt redelijkerwijs te verwachten is (kenbaarheid), het om zorgdoeleinden (ook secundair) gaat, er geen sprake van bezwaar is door de patiënt en de verstrekking beperkt is tot noodzakelijkheid (bij de ontvanger). Indien er sprake is van spoed kan er terug gegrepen worden op een zogenoemde noodprocedure. Naast de eis van noodzakelijkheid wordt de verstrekking achteraf gecontroleerd door middel van logging. Dit om te kunnen controleren op eventueel misbruik. Geen toestemming hoeft te worden verleend indien sprake is van een wettelijke verplichting. Een voorbeeld van een doorbreking op basis van een wettelijke verplichting is de verwerking van persoonsgegevens naar aanleiding van een uitbraak van een ziekte die voorkomt op de lijst Infectieziekten. Een voorbeeld van een onterechte doorbreking van het beroepsgeheim op basis van een wettelijke verplichting illustreert de volgende casus: casus MRSA; In een ziekenhuis was een epidemie ontstaan door de gevaarlijke ziekenhuisbacterie MRSA. Men wilde medische gegevens van werknemers inzien en opslaan in een nieuw bestand om te kunnen controleren of medewerkers besmet waren. Aangezien er sprake was van een structurele en centrale opslag en er geen ontheffing was verleend door het CBP (de bacterie kwam niet voor op de lijst Infectieziekten), er geen sprake was van rechtstreekse betrokkenheid, én er geen conflict van plichten was (immers: structureel verwerkt), was deze verwerking niet toegestaan.33
De veronderstelde toestemming, bijvoorbeeld voor verstrekking binnen het behandelteam, heeft de patiënt het recht om (achteraf) bezwaar te maken, de zogenoemde opt-out. Een veelvoorkomende en pragmatische uitwerking van de veronderstelde/ impliciete toestemming is de open brief van de zorgverlener die aan de patiënt wordt meegegeven34.
32
Op 24 februari 2004 hebben het CBP en het Ministerie van Volksgezondheid, Welzijn en Sport Werkwijze in een brief omtrent privacyaspecten bij de invoering van DBC-systematiek onder meer het “noodzakelijkheidsvereiste” (doel van de verstrekking, aard en omvang van de gegevens) nader uitgewerkt. 33 CBP 2001 34 Dute e.a., hoofdstuk 4 p. 9
14
Privacy en het EPD
oktober 2007
Generieke toestemming
Generieke toestemming kan worden gebruikt indien men de toestemming wil gebruiken voor toekomstige, althans nog niet concrete situaties, vooruitlopend op een behandelrelatie. De criteria voor een rechtmatige toepassing van generieke toestemming zijn dat de toestemming voldoende specifiek moet worden gegeven en daarnaast dat de verstrekking beperkt moet zijn tot noodzakelijke informatie, bijvoorbeeld als de zorgketen van tevoren vast staat35. Het CBP beoordeelde een uitwisseling binnen een zorgregio in West-Brabant op basis van generieke toestemming als rechtmatig omdat toestemming voldoende specifiek was gegeven. Zij kwam tot dit oordeel ook omdat de verstrekking op beperkte schaal plaatsvond en noodzakelijkheid was voor een goede behandeling36. Tevens was het voor patiënten kenbaar doordat zij goed geïnformeerd en geïdentificeerd konden worden. Een belangrijk criterium bij het rechtmatige gebruik van de generieke toestemming is dus de specificiteit of bepaaldbaarheid, dat de verwerking is gericht op specifieke gegevens en de verstrekking aan specifieke zorgaanbieders. Ook de generieke toestemming kan altijd worden ingetrokken. 1.2.6 Samenvatting De zorgverlener heeft de plicht zich als een goede hulpverlener te gedragen door zorg te verlenen volgens de actuele professionele standaard, door een dossier te voeren en de patiënt over de opgenomen gegevens te informeren. Het dossier heeft beperkingen qua omvang en de bewaartermijn. De zorgverlener is te allen tijde verantwoordelijk voor de inhoud. De patiënt heeft op zijn beurt verschillende mogelijkheden door het uitoefenen van zijn rechten de omvang van de verstrekking te beïnvloeden. De zorgverlener is gehouden de gegevens geheim te houden aan ieder aan ander dan de patiënt. De zorgverlener kan de geheimhouding slechts doorbreken op basis van verleende toestemming van de patiënt, dat op verschillende wijzen kan worden verleend. Daarnaast kan het beroepsgeheim worden doorbroken wanneer de verstrekking plaats vindt binnen het behandelteam of als er sprake is van een conflict van plichten. Hoe qua bescherming volgens de Wet bescherming Persoonsgegevens met medische gegevens van de patiënt omgegaan zal moeten worden, zal in de volgende paragraaf worden behandeld.
35 36
zoals bijvoorbeeld de keten voor diabetes van tevoren voldoende vast staat. Nouwt 2005, p. 57
15
Privacy en het EPD
oktober 2007
1.3 Bescherming van persoonsgegevens Door de toenemende automatisering kunnen steeds méér gegevens over personen worden verzameld, gekopieerd, verstuurd, oftewel worden “verwerkt”. Hierdoor is de mogelijkheid van schending van iemands privacy ook toegenomen. Een aanpassing van wetgeving wordt gezien de toenemende digitalisering van persoonsgegevens noodzakelijk. Digitaal beschikbare gegevens zijn immers makkelijker en op grotere schaal te verspreiden. Ook in de zorg maken vorderingen van informatietechnologieën de verwerking en uitwisseling van gegevens aanzienlijk makkelijker. We spreken in het kader van de WBP over regels omtrent de bescherming van persoonsgegevens, ook wel informationele privacy. De Nederlandse Wet Bescherming Persoonsgegevens (WBP) is gebaseerd op de Europese privacyrichtlijn 95/46/EG. De wet legt aan de verantwoordelijken van de verwerkingen verplichtingen op om garanties te kunnen geven voor de vastgestelde rechten van de betrokken personen. Het is niet alleen de zorgverlener die belang heeft bij een goede verwerking en een zorgvuldige omgang met de gegevens. Dit treft ook zeker het individuele belang van de patiënt. De patiënt mag er op rekenen dat de gegevens die zijn opgenomen correct zijn en correct worden gebruikt. De rechten van de betrokkene zijn daarom wettelijk verankerd. 1.3.1 Inleiding De Wet Bescherming Persoonsgegevens (WBP) is een uitwerking van de Europese privacyrichtlijn 95/46/EG. Vanwege het vaak grensoverschrijdende karakter van verwerkingen waren uniforme maatregelen binnen de gehele EU noodzakelijk. De Europese algemene beginselen zijn geïmplementeerd in de Wet Bescherming persoonsgegevens die op 1-9-2001 in werking is getreden. In 2001 verving de WBP de Wet persoonsregistraties. De grootste verandering was dat vanaf dat moment niet alleen persoonsregistraties aan privacybepalingen moesten voldoen, maar álle handelingen omtrent persoonsgegevens, van verzamelen tot en met het vernietigen en alles wat daartussen zit. De wet spreekt dan ook over het verwerken van persoonsgegevens. Van belang is voor de mate van de beschermende maatregelen is het onderscheid dat de wet maakt tussen gewone en bijzondere (ook wel gevoelige) gegevens. Daarnaast is de omvang van die verwerkingen, de grondslagen, de doelbepaling, het toezicht en de beveiliging van de persoonsgegevens37 van invloed op de te nemen maatregelen. 1.3.2 Soorten persoonsgegevens De WBP maakt onderscheid tussen gewone en gevoelige persoonsgegevens. Gevoelige gegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, lidmaatschap van een vakbond, gezondheid en ten slotte de strafrechtelijke gegevens. Alle andere gegevens worden als gewone persoonsgegevens aangemerkt. Aangezien de meeste inbreuk op de informationele privacy wordt verondersteld bij de verwerking van gevoelige gegevens verbiedt de WBP in artikel 16 de verwerking van die gegevens. Medische gegevens zijn bijzondere gegevens en vallen in beginsel onder het verwerkingsverbod. Aangezien het in bepaalde situaties, bijvoorbeeld in de zorg, van belang is deze gegevens te verwerken, denk ook aan de dossierplicht, zijn er enkele verplichte en facultatieve uitzonderingen op het verwerkingsverbod. De uitzonderingen zijn te vinden in de artikelen 21 en 23 van de WBP. Zorgverleners met een BIG-registratie38 vallen onder de uitzondering uit artikel 21 WBP voor zover de 37
gegevens die personen identificeren of tot personen te herleiden zijn. De Wet op de beroepen in de individuele gezondheidszorg, de Wet BIG, regelt de zorgverlening door beroepsbeoefenaren. Alleen wie in het register is ingeschreven, mag de door de wet beschermde titel voeren. De deskundigheid van de geregistreerde beroepsbeoefenaren is hiermee voor iedereen herkenbaar. 38
16
Privacy en het EPD
oktober 2007
verwerking van medische gegevens met het oog op een goede behandeling noodzakelijk is. Ook als de verwerking geschiedt voor doeleinden van preventieve geneeskunde, bijvoorbeeld ten behoeve van een medische diagnose, kunnen zorgverleners medische gegevens verwerken. Daarnaast is het toegestaan in het belang van het beheer van gezondheidsdiensten medische gegevens te verwerken. De bijzondere persoonsgegevens moeten worden verwerkt door zorgverleners die zijn onderworpen aan het in wet- en regelgeving vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt39(art. 12 WBP). Het verbod om medische gegevens te verwerken, wordt kort samengevat dus opgeheven voor instanties die gehouden zijn aan bepalingen omtrent het beroepsgeheim. Tevens moeten verwerkingen, uitgaande van de doeleinden waarvoor zij worden verzameld, ter zake dienend en mogen niet bovenmatig zijn (art. 6 WBP). De gegevens moeten bovendien nauwkeurig zijn en waar nodig worden bijgewerkt. Zorgverleners kunnen de medische gegevens niet zomaar verwerken, daarvoor is een wettelijke grondslag vereist. 1.3.3 Grondslagen In artikel 8 van de WBP worden de grondslagen voor een rechtmatige verwerking limitatief opgesomd. Ten eerste mogen persoonsgegevens worden verwerkt door middel van uitdrukkelijke toestemming, ten tweede kan de verwerking geschieden indien dit in het vitale belang van de betrokkene is. De overige grondslagen, namelijk de verstrekking in het belang van een wettelijke taak of voor de uitvoering van een overeenkomst zulle verder onbesproken blijven, aangezien zij voor de zorg niet relevant zijn. De toestemmingsgrondslag komt neer op een vrije, specifieke en op informatie berustende wilsuiting. Indien deze wordt gegeven onder dreiging van niet-behandeling of een minder goede behandeling in een medische situatie, dan kan het geven van toestemming niet als vrij worden beschouwd. De “specifieke toestemming” moet betrekking hebben op een welbepaalde, concrete situatie waarin het voornemen bestaat medische gegevens te verwerken. Dat wil zeggen dat de specifieke toestemming op informatie berust, volledig en nauwkeurig is, informatie verschaft over de aard, de doeleinden, de ontvangers van mogelijke doorgifte, de rechten van de patiënt, en dat de patiënt bewust is van gevolgen van het onthouden van de toestemming. Ten tweede kan de verwerking voor de zorg geschieden wanneer dit in het vitale belang van de betrokkene is, bijvoorbeeld indien deze lichamelijk of juridisch niet in staat zijn toestemming te verlenen, denk bijvoorbeeld aan bewusteloosheid na een ongeluk. De persoonsgegevens die rechtmatig zijn verkregen, dus op basis van een hiervoor omschreven grondslag, mogen daarna echter niet voor ieder doel worden aangewend. 1.3.4 Doelbepaling De gebruiksbeperking of doelbepaling van artikel 7 en 9 van de WBP verbiedt onder meer verdere verwerking die onverenigbaar is met het doel of de doeleinden waarvoor de gegevens zijn verzameld. De gegevens die voor zorgdoeleinden zijn verzameld kunnen dus ook enkel voor dat doel worden gebruikt. Artikel 10 van de WBP stelt dat persoonsgegevens niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is. Naast de beperkingen die zorgverleners in acht moeten nemen ten aanzien van het verwerken van medische gegevens, hebben zij tevens de plicht de patiënt te informeren, teneinde zijn rechten uit te kunnen oefenen. 1.3.5 Informatieverplichting en rechten van betrokkenen Evenals de WGBo vereist de WBP dat de verantwoordelijke van de verwerking, in dit geval de zorgverlener, bepaalde informatie moet verstrekken aan de patiënt (art. 33 39
Roscam-Abbing 2000, p. 336
17
Privacy en het EPD
oktober 2007
WBP), waaronder begrepen de doeleinden van de verwerking, de ontvangers van de gegevens en het bestaan van een recht op toegang. Het recht van toegang uit artikel 36 WBP geeft de patiënt het recht de juistheid van de gegevens na te gaan en erop toe te zien dat de gegevens bijgewerkt worden. 1.3.6 Toezicht Het College Bescherming Persoonsgegevens (CBP) is de onafhankelijke toezichthouder met betrekking tot de naleving van de WBP en ziet erop toe dat de (informationele) privacy burgers, en dus ook van patiënten, gewaarborgd blijft. Het CBP houdt op basis van artikel 51 e.v. WBP toezicht op de naleving ervan. Zorgverleners dienen verwerkingen aan het CBP te melden. Daarnaast geeft het CBP adviezen over en antwoorden op vragen omtrent privacykwesties. Ook doet het CBP onderzoek binnen bepaalde maatschappelijke sectoren en publiceert daarover achtergrondstudies. Aangezien de verwerkingen niet beperkt zijn tot de nationale landsgrenzen is tevens aandacht voor het Europese kader. Het CBP neemt samen met andere nationale toezichthoudende autoriteiten deel in de Artikel 29 Werkgroep van de EU (WP29)40 om gezamenlijk beleid te ontwikkelen als het gaat om de bescherming van persoonsgegevens onder andere in het digitale tijdperk. Verwerkingen dienen door deze digitalisering en de daardoor toenemende risico’s van onrechtmatige verspreidingen op passende wijze beveiligd te worden. 1.3.7 Beveiliging De zorgverlener dient volgens art. 13 van de WBP ten aanzien van de verwerkingen met patiëntgegevens passende technische en organisatorische maatregelen te nemen. De medische gegevens dienen te worden beveiligd tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig. Tevens zullen de maatregelen moeten voorkomen dat de verwerking op niet toegelaten wijze kan worden verspreid. Het CBP spreekt een voorkeur uit voor technische methoden, gezien het gemak ervan betreffende de controle en werkingsfeer41. De beveiliging van medische persoonsgegevens is geen doel op zich, maar een middel ter realisatie van de vertrouwelijkheid, integriteit en beschikbaarheid van medische gegevens42. De vereiste mate van beveiliging hangt onder andere af van stand van de informatie- en communicatietechnologie43 en de aard en omvang van de gegevens. Medische gegevens moeten als bijzondere of gevoelige gegevens worden beschouwd en vereisen dan ook een hoger beschermingsniveau.
40 41 42 43
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm CBP zelfreguleringinstrumenten, http://www.cbpweb.nl Nouwt 2007a, p. 3 idem, p. 15
18
Privacy en het EPD
oktober 2007
1.4. Normen in de zorg De WGBo en de WBP laten ruimte voor de praktijk om bepaalde begrippen nader in te vullen. Het draagt bij aan een zo uniform mogelijke garantie van de vertrouwelijke omgang met gegevens en de bescherming van de privacy. De NEN 7510 is bijvoorbeeld een uitwerking van de beveiligingseis uit artikel 13 WBP. De Koninklijke Nederlandse Maatschappij ter bevordering van de Geneeskunst (KNMG) heeft het begrip ‘goed hulpverlenerschap’ uit de WGBo nader uitgewerkt in verschillende richtlijnen. De belangenorganisatie van de patiënt, de Nederlandse Patiënten en Consumenten Federatie (NPCF) ontwikkelt beleid dat het patiëntenbelang behartigt. De drie normerende instellingen komen hieronder aan bod. 1.4.1. NEN 7510 De norm NEN 751044 bevat regels over informatiebeveiliging binnen de zorgsector. Onder informatiebeveiliging in de zorg wordt verstaan dat de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden wordt gewaarborgd. Instellingen worden door de IGZ gecontroleerd op een deugdelijke implementatie van deze norm. De norm kan worden beschouwd als een kader. Binnen dit kader kan elke proceseigenaar de voor zijn/haar proces relevant geachte informatiebeveiliging specificeren, inclusief de daarbij behorende maatregelen. De zorginstelling kan per hoofdstuk nadere invulling geven aan de opsomming die daarin gegeven is. Wanneer men aandacht besteedt aan deze punten wordt men geacht een compleet pakket aan beveiligingsmaatregelen te hebben. De norm bevat onder andere bepalingen over beveiligingseisen ten aanzien van personeel en toegang. Aspecten als het laten afgeven van een verklaring omtrent het gedrag door personeel dat met gevoelige informatie werkt, het hebben van beschrijvingen van functies met diens rollen, verantwoordelijkheden, toegangsrechten, zwijgplichten en geheimhouding, maar ook het uitvoeren van beleid omtrent bewustwording over de beveiligingseisen worden in de norm behandeld. De norm bevat tevens richtlijnen om het fysieke beveiligingsbeleid deugdelijk op te zetten en gaat daarbij voornamelijk over de beveiliging van de omgeving. Aspecten als versleuteling, toegangsbeheer, firewalls, virusscanners (naast de fysieke beveiliging als sloten op kantoorruimtes ) komen in de norm aan bod. Met betrekking tot het onderdeel ‘operationeel beheer van ICT’ gaat de norm voornamelijk in op aspecten als functionaliteit, betrouwbaarheid, doelmatigheid, onderhoudbaarheid en overdraagbaarheid van ICT. Ook schrijft de norm bepalingen voor omtrent functiescheidingen, ISO 9126, de norm om kwaliteitseisen aan ICT-diensten of producten te operationaliseren, de te nemen maatregelen tegen kwaadaardige apparatuur, het maken van reservekopieën, de keuze en beveiliging van gebruikte media en systeemdocumentatie, maar bevat vooral beleid omtrent gegevensuitwisseling. De norm is gebaseerd op de eisen uit de relevante wetgeving. Zij noemt daarbij de hiervoor beschreven WGBo, de WBP, maar ook de Wet Computercriminaliteit (WCC) en de Wet Identificatie bij Dienstverlening (WID). Naast het borgen van de kwaliteitscriteria vereist de norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht voordat kan worden gesproken over adequate informatiebeveiliging. De norm is voornamelijk gespitst op technische maatregelen, voor de organisatorische maatregelen kunnen we kijken naar de normen zoals opgesteld door de praktijk.
44
http://www.nen7510.org
19
Privacy en het EPD
oktober 2007
1.4.2 De Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst De Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst (KNMG) is een federatieve organisatie van en voor zorgverleners die staat voor de bevordering van de kwaliteit van de beroepsuitoefening en van de kwaliteit van de volksgezondheid. De normen zijn opgesteld door de beroepsgroep zelf en zijn voor zowel zorgverleners die zijn aangesloten bij de KNMG van toepassing, als van toepassing op niet-leden45. De KNMG heeft verscheidene uitwerkingen opgesteld zoals bijvoorbeeld de Gedragsregels voor artsen46, de Richtlijn inzake het omgaan met medische gegevens47 en de Richtlijn online arts-patiënt contact48. Gedragsregels voor artsen
De richtlijn ‘Gedragsregels voor artsen’ kan worden gezien als een richtlijn voor de arts, maar richt zich op de relatie arts-patiënt. De uitwerkingen kunnen worden beschouwd als een nadere invulling van het begrip ‘zorg van een goed hulpverlener’ uit de WGbo, danwel de ‘professionele standaard’. De bepalingen die toezien op de privacyaspecten zullen hieronder worden behandeld. De richtlijn bestaat uit een algemeen gedeelte dat gedragsregels bevat over het zelfbeschikkingsrecht. De zorgverlener laat zich bij zijn beroepsuitoefening leiden door het respect voor zelfbeschikking van de patiënt. Naast het algemene gedeelte bevinden zich in de richtlijn gedragsregels voor de zorgverlener in relatie tot de patiënt. Er is onder andere in opgenomen dat de zorgverlener slechts na het verlenen van gerichte toestemming en nadat de patiënt voldoende geïnformeerd is, kan overgaan tot de behandeling. Daarnaast is de plicht te zwijgen tegen een ieder die niet bij de behandeling betrokken is, uitgezonderd de doorbreking op basis van een conflict van plichten, opgenomen in de richtlijn. Het derde onderdeel van de richtlijn betreffen de gedragsregels omtrent de zorgverlener in relatie tot collegae en andere hulpverleners. Medische en/of andere privacygevoelige gegevens, die gericht zijn aan zorgverleners die werkzaam binnen een organisatorisch verband, dienen uitsluitend te worden geopend door en onder ogen te komen van de zorgverlener voor wie deze gegevens zijn bestemd of door personen die door de zorgverlener daartoe uitdrukkelijk zijn geautoriseerd (III.5). De richtlijn bevat tevens gedragsregels over de relatie tussen de zorgverlener en wetenschappelijk onderzoek, de publiciteit en het bedrijfsleven. Tenslotte bevat de richtlijn regels die te maken hebben met de volksgezondheid en de samenleving in het algemeen. Richtlijn omgaan met medische gegevens
De KNMG heeft naar aanleiding van veranderingen in privacywetgeving, de verplichtingen tot het informeren van patiënten, de veranderingen omtrent de uitwisseling van gegevens de richtlijn ‘omgaan met medische gegevens’ opgesteld. De richtlijn, in de zorg ook wel bekend als het groene boekje, bevat regels over de uitwisseling, opslag en vernietiging van gegevens. De richtlijn is onderverdeeld in regels omtrent de dossierplicht en diens bewaartermijnen, rechten van patiënten en het beroepsgeheim in algemene en bijzondere situaties. De regels komen overeen met de bepalingen uit de WGbo en zijn daar waar nodig meer expliciet gemaakt. De regels omtrent het beroepsgeheim in specifieke situaties zien op regels bij de doorbreking van het beroepsgeheim, door bijvoorbeeld de toestemming van de patiënt, het behoren tot de behandelrelatie, de wettelijke plicht en het conflict van plichten. Bij de bepaling over de toestemming wordt bepaald dat deze geïnformeerd moet zijn gegeven. Een schriftelijk verleende toestemming is niet altijd nodig. Ook mondeling gegeven toestemming kan door middel van een aantekening in het dossier worden opgenomen. Voor wat betreft de 45 46 47 48
KNMG 2002 KNMG, Gedragsregels voor artsen KNMG 2004c KNMG/ NPCF 1998
20
Privacy en het EPD
oktober 2007
rechtstreekse betrokkenheid (behandelrelatie) zal de zorgverlener na moeten gaan welke gegevens relevant zijn en verstrekt mogen worden. Er wordt een onderscheid gemaakt tussen gewone en privacygevoelige gegevens én gegevens die extra gevoelig zijn, met name de gegevens omtrent seksuele geaardheid, mishandeling, incestverleden of kunstmatige inseminatie49. De richtlijn bevat tevens een gedeelte over elektronische gegevens en gaat daarbij ook in op het EPD. De uitwisseling zal in de elektronische omgeving aan dezelfde voorwaarden moeten voldoen als in de papieren omgeving, met dien verstande dat de beveiliging zodanig ingericht moet zijn dat onrechtmatig gebruik zoveel mogelijk wordt voorkomen. Er wordt in het kader van de uitwisseling dan ook gesteld dat vooraf duidelijk moet zijn welke zorgverleners toegang hebben tot welke onderdelen van het dossier. Wanneer vervolgens gegevens verzonden worden zullen deze versleuteld moeten zijn. De KNMG heeft tevens normen opgesteld voor het online zorgverlener-patient contact. Richtlijn online arts-patiënt contact
De richtlijn ‘online arts-patiënt contact’ ziet niet op een landelijke uitwisseling van medische gegevens tussen zorgverleners, maar op een gerichte vraag van een patiënt die online wordt gesteld. Een voorbeeld hiervan is een e-consult of het digitaal aanvragen van een herhaalrecept. De belangrijkste regel voor wat betreft de vertrouwelijkheid is dat het uitgangspunt moet zijn dat de online contacten dienen te zijn ingebed in een bestaande behandelrelatie, dat wil zeggen een relatie waarin beide partners elkaar kennen, elkaar hebben ontmoet en zo nodig elkaar weer kunnen ontmoeten. Daarnaast dienen zowel de zorgverlener als de patiënt zich te realiseren dat online communicatie vooralsnog niet volledig veilig is. 1.4.3 Nationale Patiënten en Consumenten Federatie De Nationale Patiënten en Consumenten Federatie (NPCF) is een organisatie die het belang behartigt van de patiënt50. Zij doet dit onder andere door het ontwikkelen van visies en beleid op verschillende gebieden. Daarnaast bewerkstelligt de NPCF innovatie en organiseert activiteiten ten behoeve van de gemeenschappelijke belangen van aangesloten patiënten en consumenten. De NPCF heeft ook ICT (en het EPD) als thema opgenomen. De NPCF is van mening dat alleen met een deugdelijke autorisatie en authenticatie van patiënten de toepassing van ICT in de zorg een bijdrage kan leveren aan de ontwikkeling van een EPD51. De NPCF heeft tevens onderzoek verricht naar de wensen van patiënten over het EPD. Deze uitkomsten zullen in hoofdstuk 3 worden behandeld.
49 50 51
KNMG 2004c, p. 22 http://www.npcf.nl idem
21
Privacy en het EPD
oktober 2007
1.5 Conclusie Het belang van de bescherming van de (informationele) privacy is gestoeld op het zelfbeschikkingsrecht. De patiënt beslist dan ook voor een groot deel de omvang van de verstrekking en de verstrekking van zijn gegevens aan anderen. De WGbo spreekt over patiëntenrechten die de patiënt een zekere mate tot zelfbeschikking over zijn gegevens52 ten aanzien van zijn dossier geven. Het doel van de WGBo is dan ook het versterken van de positie van de patiënt. Een patiënt kan de naleving van deze wet via de rechter afdwingen. Zowel in de Wet Geneeskundige behandelingsovereenkomst (WGBO; Boek 7 BW) als de Wet Bescherming Persoonsgegevens is het zelfbeschikkingsrecht van de patiënt het uitgangspunt teneinde de bescherming van de informationele privacy te waarborgen. Patiënten dienen de gegevensverwerking in te kunnen zien, deze te corrigeren of zelfs te verwijderen. De WBP stelt qua omvang en doel eisen aan de verwerkingen van persoonsgegevens en de patiënt moet over de verwerking worden geïnformeerd. Beide wetten bewaken het privacybelang van de patiënt. Een fundament uit het gezondheidsrecht dat tegemoet komt aan deze zelfbeschikking is het beroepsgeheim. Het beroepsgeheim (als recht van de patiënt) bestaat uit een zwijgplicht en een verschoningsrecht. Het beroepsgeheim kan echter om vooraf bepaalde (zwaarwegende) redenen worden doorbroken. Voor verstrekkingen buiten de uitzonderingen om is toestemming vereist. Dit kan op verschillende manieren blijken uit het gedrag van de patiënt. Toestemming mag echter niet zomaar worden verondersteld. Tegenover de zelfbeschikking staat de dossierplicht van de zorgverlener uit de WGBo. De behandelingsovereenkomst vereist het opstellen van een (medisch) dossier door de zorgverlener en verplicht deze tot geheimhouding van de verstrekte informatie. Het medisch dossier is niet alleen in het belang van de patiënt, maar dient ook om de zorgverlener zijn verantwoordelijkheid waar te laten maken. Van volledige zelfbeschikking is dus geen sprake, wel moet het voor de patiënt mogelijk zijn te kunnen voorkomen dat de medische gegevens die zin verzameld door een bepaalde zorgverlener aan anderen worden verstrekt. Medische gegevens zijn volgens de WBP gevoelige (of bijzondere) gegevens en verdienen, ook vanwege de toenemende digitalisering, een adequaat beschermingsniveau. De regels over de grondslag, de omvang van de te verwerken gegevens en de beveiliging ervan zijn te vinden in de WBP. De beide wetten laten ruimte voor de beroepsgroep bepaalde begrippen nader in te vullen. Dit is van belang om een uniforme werkwijze te bewerkstelligen. Het wettelijke kader is tevens van toepassing op elektronische gegevensverzamelingen, zoals het in ontwikkeling zijnde landelijk Elektronisch Patiënten Dossier (EPD). In het volgende hoofdstuk zal het EPD nader worden beschouwd, waarna het in hoofdstuk 3 geconfronteerd wordt met dit wettelijke kader.
52
Hooghiemstra 2007, p. 207
22
Privacy en het EPD
oktober 2007
2. Het EPD In dit hoofdstuk zal aandacht worden geschonken aan de totstandkoming van het landelijk Elektronisch Patiënten Dossier (EPD). Met name de inrichting van de landelijke structuur van het EPD, de identificatie en authenticatie van de deelnemers komen aan bod. Daarnaast komen de verschillende onderdelen op landelijk en lokaal niveau, de aansprakelijkheid en de invoering van het EPD aan bod.
2.1. De aanleiding voor de ontwikkeling van een EPD Uit een recent gepubliceerde studie53 blijkt dat jaarlijks ongeveer 19.000 ziekenhuisopnames plaatsvinden als gevolg van vermijdbare medicatiefouten, waarvan ruim 1.200 patiënten overlijden. De helft van dit aantal is te vermijden door meer inzicht te hebben in de medicatiegegevens van patiënten bij het voorschrijven van medicatie. Tevens wordt in de studie van het ministerie vermeld dat als gevolg van het ontbreken van informatie bij huisartsenposten en de spoedeisende hulp onnodige onderzoeken en behandelingen plaatsvinden ter waarde van € 36 miljoen per jaar. Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) beschouwt de invoering van een landelijk EPD als mogelijke oplossing om zowel de kwaliteit van de zorg als de efficiency aanzienlijk te verbeteren. Ook de samenwerking tussen zorgaanbieders zal kunnen verbeteren door onder andere het versterken van de communicatie tussen zorgverleners; men zal sneller en nauwkeuriger informatie met elkaar kunnen uitwisselen. Het Ministerie beoogt met het EPD een administratieve lastenverlichting te bewerkstelligen door een eenmalige invoer van gegevens. Zorginstellingen maken al veelvuldig gebruik van lokale elektronische patiëntendossiers (epd’s). Deze dienen niet met het landelijk EPD verward te worden. Het (landelijk) EPD voorziet in een situatie dat een zorgverlener bij het behandelen van de patiënt optimaal en vanuit landelijk perspectief geïnformeerd en ondersteund is, waardoor efficiënter en met een hogere kwaliteit gewerkt kan worden. Dit in tegenstelling tot een ‘epd’ dat slechts op lokaal niveau gegevens binnen de instelling inzichtelijk maakt. Onder een EPD wordt verstaan:
Een volledig medisch dossier of soortgelijke documentatie van de fysieke en mentale gezondheidstoestand van een individu in het heden en het verleden, dat in elektronische vorm is opgezet en deze gegevens onmiddellijk beschikbaar maakt ten behoeve van medische behandeling en andere nauw daarmee samenhangende doeleinden’54 De doelstelling van het ministerie is dat in de tweede helft van 2008 in ieder geval 50% van alle ziekenhuizen, apothekers en huisartsen in Nederland zijn aangesloten op het EPD55.
2.2. De inrichting van het EPD Om de uitwisseling van patiëntgegevens te bewerkstelligen, zal voor het EPD een landelijke infrastructuur gebouwd moeten worden. Er zal een beheerorganisatie ingericht moeten worden met een verwijsindex die de toegang mogelijk maakt en controleert. Daarnaast zullen op lokaal niveau verschillende aanpassingen gerealiseerd moeten worden. AORTA: Landelijk schakelpunt en verwijsindex
Voor de bouw van de landelijke infrastructuur van het EPD heeft het ministerie NICTIZ56 de opdracht gegeven een technische infrastructuur (AORTA) te ontwikkelen. De structuur zal de uitwisseling van patiëntengegevens tussen de zorginstellingen mogelijk maken. Als 53 54 55 56
Squarewise 2007 Artikel 29 werkgroep 2007a NICTIZ, 2006a, p.4 www.nictiz.nl
23
Privacy en het EPD
oktober 2007
spin in het web zal er een Landelijk Schakelpunt (LSP), worden ingericht. Deze draagt zorg voor de vertrouwelijkheid en sturing van de uitwisseling. Het landelijk schakelpunt (LSP) zal als verkeerstoren fungeren en bewaakt de rechtmatigheid van de uitwisseling. Zorgaanbieders wordt toegang tot het LSP verleend op basis van hun registratie Beroepsbeoefenaars in de Individuele Gezondheidszorg (BIG). De registratie is onder andere gebaseerd op het bezit van een geldig diploma. Ook het niet onder toezicht (curatele) staan vanwege een geestelijke stoornis en het feit dat de zorgverlener nog steeds het beroep zonder beperkingen mag uitoefenen wordt in het register bijgehouden. De toegang wordt dus verleend op basis van het functieprofiel. Het LSP toetst daarnaast de toegang op basis van het autorisatieprofiel. Deze is afkomstig van de patiënt die in dit profiel heeft aangegeven welke zorgverleners hij geen toegang verleent. De verwijsindex zorgt voor een doelmatig zoeksysteem naar de relevante stukken. Het moet ervoor zorgen voor een doelmatig gebruik van de gegevens bewerkstelligd wordt en dient te voorkomen dat er teveel informatie wordt opgevraagd. De verwijsindex verschaft geen daadwerkelijke toegang tot patiënteninformatie, maar toont slechts de beschikbaarheid ervan. Het gereguleerd zoeken is van belang omdat de grote stromen informatie die uit het EPD voortvloeien, beheersbaar moeten worden. Zorgaanbieders kunnen hele dossiers of gedeeltes daarvan in de vorm van patiëntstukken aanmelden bij de verwijsindex van het LSP. Aansprakelijkheid
De gegevens blijven decentraal opgeslagen bij de zorginstellingen, waardoor deze zelf verantwoordelijk blijven voor de dossiers. Op lokaal niveau zullen de zorgverleners moeten voldoen aan bepaalde eisen om de landelijke uitwisseling mogelijk te maken. Om aan te mogen sluiten op het LSP en om patiëntstukken veilig en betrouwbaar aan te kunnen melden bij de verwijsindex zal het informatiesysteem (intern) van de zorgaanbieder moeten voldoen aan de eisen van het goed beheerd zorgsysteem (GBZ)57. Goed Beheerd Zorgsysteem en Zorg Service Provider
Er wordt door het LSP veel medische informatie beschikbaar gemaakt. Om tot een betrouwbare uitwisseling te kunnen komen vereist dit ook op lokaal niveau de nodige aanpassingen. Het is vanwege de landelijke uitwisseling door het LSP noodzakelijk dat de eisen die aan de lokale systemen worden gesteld enigszins gestandaardiseerd zijn. Het NICTIZ heeft daarom de eisen uitgewerkt in het document ‘Specificaties van een Goed Beheerd Zorgsysteem’ (GBZ) waar iedere zorgverlener die aangesloten zal worden op het LSP aan moet voldoen. Als onderdeel van het GBZ is onder andere de implementatie van de NEN7510 een vereiste58. De eisen van een GBZ zijn naast de informatiebeveiliging gericht op de externe communicatie. Het gaat dan om de uitwisseling van berichten tussen zorgverleners. Deze extern gerichte communicatie dient te voldoen aan de zogenoemde Health level 7-standaard (HL7)59. HL7 is een internationale standaard voor elektronische uitwisseling van medische, financiële en administratieve gegevens tussen zorginformatiesystemen. De standaard wordt gedefinieerd door de gelijknamige organisatie. De zorgverlener tekent hiervoor de een Eigen Verklaring GBZ60 en geeft daarmee aan te voldoen aan de eisen.
57
NICTIZ 2007a, p.5 NICTIZ 2007a, p. 9 59 HL7 is een internationale standaard voor elektronische uitwisseling van medische, financiële en administratieve gegevens tussen zorginformatiesystemen. De standaard wordt gedefinieerd door de gelijknamige organisatie. 60 NICTIZ 2007f 58
24
Privacy en het EPD
oktober 2007
Als onderdeel van de infrastructuur AORTA fungeren de zogenoemde zorgserviceproviders61 (ZSP). Het NICTIZ heeft in dat kader een document opgesteld dat de eisen specificeert waaraan een datacommunicatienetwerk (DCN) moet voldoen, opdat dit mag worden toegepast voor de verbinding tussen een goed beheerd zorgsysteem en het Landelijk schakelpunt (LSP). De eisen in het document omvatten zowel organisatorische, procedurele, functionele als technische aspecten. Een datacommunicatiedienstverlener die voldoet aan deze eisen kan zich laten kwalificeren als ZSP62. De ICT-leverancier van de zorgaanbieder zal ervoor moeten zorgdragen dat het netwerk voldoet aan de eisen van een ZSP. Het NICTIZ zal dit landelijk faciliteren, met name voor wat betreft de contractering tussen zorgverleners en de ICT-levenaciers. Waar het bij een GBZ veelal om informatiebeveiliging en externe communicatie gaat, spitsen de eisen van de ZSP zich op het datacommunicatienetwerk. Nu intern en extern de eisen qua systemen helder zijn zal nu ingegaan worden op het beschikbaar stellen van patiëntgegevens via het LSP en de Verwijsindex. De decentrale patiëntendossiers bevatten verschillende patiëntstukken, een geheel van samenhangende patiëntgegevens die door middel van een patiëntbericht worden verstuurd. Hiervan bestaan verschillende soorten. Zorgaanbieders gaan voor het versturen van patiëntberichten, die één of meerdere patiëntstukken kunnen bevatten, gebruik maken van een virtuele zorgaanbiederpostbus; een verzameling van organisatorisch en geografisch verspreide postbussen die op een willekeurige plaats bereikbaar zijn. De zorgaanbiederpostbus is een verzameling van verzoeken, antwoorden en meldingen gericht aan één zorgaanbieder. Alle verzoeken, antwoorden en meldingen m.b.t. tot een patiënt zijn patiëntgegevens en vastgelegd in patiëntberichten. Een patiëntbericht is dus een geheel van samenhangende patiëntgegevens dat in het kader van samenwerking wordt uitgewisseld tussen zorgaanbieders. Tussen een patiëntstuk en een patiëntbericht kunnen de volgende relaties bestaan: Een patiëntbericht kan patiëntstukken als uittreksel uit een dossier bevatten of een patiëntbericht kan zelf als patiëntstuk worden beschouwd en als zodanig worden opgeborgen in een dossier. Ook de berichten zelf zullen ooit terechtkomen in een dossier, maar voor zover ze nog niet zijn verwerkt en toegedeeld aan het juiste dossier, vormen deze als het ware een postbus met werkvoorraad voor de desbetreffende zorgaanbieder. De toedeling van de patiëntstukken aan het juiste dossier vereist een grote mate van precisie voor wat betreft de identificatie en authenticatie. Identificatie en authenticatie
Om zeker te kunnen weten dat de patiënt is wie hij zegt dat hij is, hetgeen zeer belangrijk is als het gaat om de toedeling van bepaalde gegevens aan het juiste dossier alswel bij de koppeling en uitwisseling ervan, moet de patiënt uniek geïdentificeerd kunnen worden. Momenteel maken zorgaanbieders gebruik van zogenoemde patiëntnummers. Omdat iedere zorgaanbieder zijn eigen stelsel van patiëntnummers hanteert is dit niet geschikt voor uniform gebruik en de koppeling van gegevens tussen verschillende zorgaanbieders. De zorgaanbieders dienen dus allen gebruik te maken van eenzelfde nummer. Binnen het EPD is gekozen voor het gebruik van het Burgerservicenummer (BSN), hetgeen in de plaats is gekomen van het SoFi-nummer. Aangezien het BSN momenteel slechts gebruikt mag worden door overheden, is voor ander gebruik (door niet-overheden) een wettelijke grondslag vereist. De grondslag om dit nummer in de zorg te gaan gebruiken is te vinden in het Wetsvoorstel Gebruik BSN in de zorg (WBSN-z). Het wetsvoorstel is inmiddels aangenomen door de Tweede Kamer. Ondanks het feit dat de koploperregio’s al met de invoering zijn begonnen is het officiële “go-moment” afhankelijk van de zekerheid omtrent de invoering van het BSN in de zorg. 61
Marktpartij die een beveiligde verbinding aanbiedt tussen GBZ en LSP en die de beheerder van het GBZ inhoudelijke ondersteuning geeft. 62 NICTIZ
25
Privacy en het EPD
oktober 2007
Het gebruik van een sofinummer als identificatie is echter niet voldoende. Om identiteitsfraude tegen te gaan alsook om het risico op de vervuiling van de patiëntendossiers door een onjuiste koppeling van een persoon aan een BSN zoveel mogelijk te voorkomen dient er sprake te zijn van authenticatie. De burger legitimeert zich dan ook met een wettelijk legitimatiemiddel, bijvoorbeeld het paspoort (authenticatie) waar naast een pasfoto ook het BSN op vermeld staat. De verscherpte identificatieplicht door de Wbsn-z voor zorgaanbieders is verplicht bij het eerste bezoek, daarna kan worden volstaan met een zogenoemde vergewisplicht. De zorgaanbieder hoeft dan alleen bij twijfel vragen aan de patiënt of deze zich kan legitimeren. De Sectorale Berichten Voorziening (SBV) is de toegangspoort tot de beheervoorziening van het BSN. Deze geeft op basis van de Gemeentelijke Basisadministratie (GBA) het burgerservicenummer uit en beheert deze. Naast de patiënt dient ook de zorgverlener zich te identificeren. Zij doet dit door middel van een Unieke Zorgverleners Identificatie (UZI)-pas. Het Centraal Informatiepunt voor Beroepen in de gezondheidszorg (CIBG) beheert de certificaten en houdt de geldigheid ervan in de gaten. Er is een koppeling gemaakt met het BIG-register. De toegang tot het systeem wordt verleend op basis van het functieprofiel vanuit het BIG-register en het door de zorgaanbieder opgestelde autorisatieprotocol. Het protocol bevat de bevoegdheden omtrent de toegang tot het EPD-systeem. Zorgaanbieders, indicatieorganen en verzekeraars kunnen een BSN van een patiënt opvragen, opzoeken en verifiëren. Voor zorgverzekeraars is er de Unieke Zorgverzekeraars Identificatie (UZOVI). Alle toegang wordt automatisch gelogd bij het LSP. Nu de patiënt en de zorgverlener zijn geïdentificeerd, zullen ook de systemen van de zorgaanbieders aan bepaalde veiligheidseisen moeten voldoen. Zowel de interne structuur zal betrouwbaar en integer moeten functioneren, alsook het netwerk dat communicatie met andere zorgverleners mogelijk maakt (extern).
26
Privacy en het EPD
oktober 2007
Schematisch ziet één en ander er als volgt uit Figuur ”Informatiesysteemarchitectuur AORTA” (NICTIZ)63
Gebruikte afkortingen: CIBG= Centraal Informatiepunt Beroepen Gezondheidszorg SBV= Sectorale Berichtenvoorziening UZI= Unieke zorgverlener Identificatie LSP= Landelijk Schakelpunt VWI= Verwijsindex ZSP= Zorg Service Provider DCN= Data Communicatie Netwerk HIS= Huisartsinformatiesysteem AIS= Apotheekinformatiesysteem ZIS= Ziekenhuisinformatiesysteem
2.3 Invoering Binnen het EPD is gekozen voor een gefaseerde invoering van verschillende hoofdstukken. De eerste twee hoofdstukken zijn het waarneemdossier voor huisartsen (WDH) en het Elektronisch medicatiedossier (EMD). Bij het eerste hoofdstuk ontsluiten huisartsen een zogenoemde professionele samenvatting zodat de huisartsenpost (HAP) inzage krijgt in de dossiers van alle patiënten binnen de regio64. De vaste huisarts van de
63
NICTIZ 2007e
64
van Ardenne 2007
27
Privacy en het EPD
oktober 2007
patiënt ontvangt na een consult door de HAP, dat in de avonden, nacht of weekenden heeft plaatsgevonden, een retourbericht. Het tweede hoofdstuk, het elektronisch medicatiedossier (EMD) voorziet in een behoefte van meerdere zorgaanbieders door het beschikbaar stellen van informatie over het medicatieverleden van patiënten. Het EMD zal uit twee delen bestaan, namelijk een overzicht van het medicatieverleden van de patiënt (EMD) en een elektronisch voorschrijfsysteem (EVS). De hoofdstukken die in de toekomst zullen volgen, zijn het e-Laboratoriumdossier, waarbij informatie over de aanvraag, uitslagen en inzage van laboratorisch onderzoek ontsloten worden en op afstand raadpleegbaar is. Zonder contextuele informatie hebben deze gegevens echter weinig betekenis65. Een ander hoofdstuk betreft het elektronisch kinddossier (EKD). Dit dossier zal als hoofddoel een signaleringsfunctie hebben en zal beschikbaar zijn binnen de hele keten van de jeugdzorg66. De integrale werkwijze is voor jeugdzorg niet nieuw, maar zal gedigitaliseerd worden voortgezet67. Op dit moment is de discussie over de omvang van de beschikbaarheid en de eventuele uitbreiding naar andere sectoren binnen de het kabinet onderwerp van gesprek. Verschillende politieke partijen gaven in een kamerdebat aan dat ook hulpverleners van Bureau Jeugdzorg, School Maatschappelijk Werk en Geestelijke Gezondheidszorg voor de jeugd zouden het dossier moeten kunnen raadplegen68. Tot slot wordt gedacht aan een elektronisch dossier dat informatie binnen de keten diabetes beschikbaar maakt. Ieder dossier wordt geïmplementeerd vanuit zijn eigen invalshoek. In 2008 verwacht de minister de landelijke uitrol van de eerste twee hoofdstukken te kunnen realiseren. Momenteel zijn er koplopers (zorgaanbieders) al aan een uitrol hiervan begonnen.
2.4 Samenvatting Het EPD als virtueel patiëntendossier zal een verzameling van organisatorisch en geografisch verspreide patiëntendossiers zijn die zodanig toegankelijk zijn, als ware zij één groot patiëntendossier. Het LSP fungeert als belangrijke speler in de landelijke structuur, het controleert immers de rechtmatigheid van de toegang door middel van autorisatie op basis van het functieprofiel opgenomen in het autorisatieprotocol. Door logging is achteraf te controleren wie inzage heeft gehad en of deze rechtmatig is geweest. De verwijsindex zorgt voor een doelmatige zoekmethode. De zorgverlener identificeert en authenticeert zichzelf door middel van de UZI-pas, de patiënt doet dat op basis van het BSN. Daarvoor is de SBV als beheerorganisatie ingesteld. Op lokaal niveau zullen zorgverleners moeten voldoen aan de eisen van een GBZ. Daarnaast zal het datacommunicatienetwerk waarover de uitwisseling plaatsvindt als ZSP moeten zijn aangemerkt. De dossiers zullen niet centraal worden opgeslagen, maar blijven decentraal onder de verantwoordelijkheid van de zorgaanbieders. Er is gekozen voor de decentrale variant omdat een centrale opslag van medische gegevens sowieso in strijd is met de reikwijdte van het medisch beroepsgeheim69. Het EPD wordt gefaseerd ingevoerd en men begint met het EMD en het WDH. In de toekomst zal de directe toegang door de patiënt worden gerealiseerd. In 2009 zal het grootse deel van de zorgaanbieders aangesloten moeten zijn op het LSP.
65 66 67 68 69
van Ardenne 2007 Stichting EKD 2007 Idem nieuws.nl 2007 Dute e.a. 2003, hoofdstuk 4, p. 47
28
Privacy en het EPD
oktober 2007
Schematisch ziet het EPD er op zorgverlenersniveau als volgt uit: Figuur “Basisspecificaties in de zorg” (NICTIZ)70
In hoofdstuk 1 is het juridische kader geschetst. In hoofdstuk 2 is het EPD aan de orde geweest. In hoofdstuk 3 wordt het EPD met het juridische kader vergeleken. Er zal worden ingegaan op de veranderende begrippen en de keuzes die de initiatiefnemers daarbij hebben gemaakt. Daarnaast komen de nieuwe risico’s die een EPD met zich meebrengt aan bod. Daarna kan geconcludeerd worden of met de komst van het voorgestelde EPD de vertrouwelijke omgang met gegevens gewaarborgd blijft.
70
NICTIZ 2007b
29
Privacy en het EPD
oktober 2007
3. Het normatieve kader en het EPD Om de vertrouwelijke omgang met patiëntgegevens te kunnen garanderen is het van belang dat er een transparante regeling is voor de omgang met de gegevens. Dit geldt ook ten aanzien van de gegevens die binnen het EPD worden vastgelegd, ontvangen en uitgewisseld. De regelgeving met betrekking tot de dossierplicht en de geheimhouding van de medische gegevens, zoals beschreven in hoofdstuk 1, zijn dan ook onverkort van toepassing op het EPD. In dit hoofdstuk wordt bekeken hoe de privacyregels die in de huidige omgang met medische gegevens gehanteerd worden binnen de context van het EPD een andere invulling gaan krijgen. Daarnaast wordt bezien of door de grootschalige uitwisseling sprake is van nieuwe risico’s. Daarbij worden de keuzes die de initiatiefnemers hebben gemaakt als uitgangspunt genomen. Tot slot wordt ingegaan op de aanvullende wetgeving die in aantocht is in het kader van het EPD. We hebben het dan voornamelijk over de ‘Wet BSN in de zorg’ en de ‘Wet EPD’, die momenteel in de Eerste Kamer ter goedkeuring liggen. Beide zullen in dit kader worden besproken, waarna de vraag kan worden beantwoord of binnen het EPD voldoende rekening gehouden wordt met de privacyaspecten van de patiënt.
3.1 EPD en de WGBo Zoals we in hoofdstuk 1 hebben gezien, heeft de WGBo onder andere als doel het versterken van de positie van de patiënt. De basis daarvoor is te vinden in de geheimhouding van zijn gegevens door de arts. Deze geheimhouding is het recht van de patiënt. Daarnaast stelt de WGBo eisen ten aanzien van het goed hulpverlenerschap en het dossier. De toestemming van de patiënt is één van de mogelijkheden om de geheimhouding te mogen doorbreken en beheersen de toegang door anderen dan de patiënt. De patiënt zal binnen de huidige situatie, maar ook bij het EPD goede en volledige informatie over de vastgelegde gegevens van de zorgverlener moeten krijgen. De vereisten uit de WGBo zijn onverkort van toepassing op het EPD en komen in deze paragraaf aan bod. 3.1.1 Goed hulpverlenerschap, professionele standaard De plicht voor zorgverleners én instellingen om in overeenstemming te handelen met verantwoordelijkheden die voortvloeien uit de professionele standaard staat ook wel bekend als ‘zorgplicht’. Door de komst van het EPD zal dit als gevolg hebben dat de zorgverlener niet alleen gebonden is aan de professionele standaard, maar hij ineens ook gebonden is aan de lokale zoekfaciliteiten van de ICT binnen zijn instelling. Deze zullen dus aan bepaalde kwaliteitseisen moeten voldoen. Zoals in hoofdstuk 1 al aan de orde kwam, kunnen wegens goed hulpverlenerschap aan bepaalde inzageverzoeken geen gehoor worden gegeven of worden bepaalde bewaartermijnen opgerekt. Beide aspecten kunnen complex worden in een landelijke uitwisseling. Hoe met de vereisten in de virtuele omgeving omtrent de verlengde bewaartermijn op basis van goed hulpverlenerschap omgegaan zal moeten worden zal per arts ingevuld moeten worden en zal dus niet voor de hele keten gelden. Binnen het EPD is de informatie in beginsel wel voor alle zorgverleners beschikbaar. Daarnaast kan de inzage door de ene zorgverlener worden geweigerd, bijvoorbeeld op basis van gegevens uit de eigen werkaantekeningen. De patiënt zou een andere arts kunnen bewegen de inzage wel te honoreren. 3.1.2 Dossier Zoals bij de behandeling van de WGBo in hoofdstuk 1 bleek, is in de traditionele omgang met patiëntgegevens de zorgverlener verantwoordelijk voor de inhoud. De instelling is houder van het dossier. Binnen de zorg wordt lokaal al op geringe schaal gebruik gemaakt van elektronische patiëntendossiers (epd’s). Uit onderzoek71 is gebleken dat het 71
Spaink 2005
30
Privacy en het EPD
oktober 2007
gebruik van digitale gegevens op deze schaal al tot grote problemen kan leiden. Met de komst van het EPD zullen deze problemen vergroot terug keren. Daarnaast zullen begrippen als omvang, verantwoordelijkheid en aansprakelijkheid in een ander licht moeten worden bezien. Ik zal dit hieronder toelichten. Een goed voorbeeld van problemen omtrent de digitalisering van medische gegevens is te vinden in het boek ‘Medische Geheimen’ van Karin Spaink72. Daarin uit zij kritiek op de huidige stand van informatiebeveiliging binnen de zorg. Naar aanleiding van het onderzoek waarop deze stelling is gebaseerd is gebleken dat het vrij eenvoudig is op onrechtmatige wijze aan medische gegevens te komen. De huidige problemen met het digitaliseren van gegevens zullen met de komst van een EPD dan ook in vergrote vorm ontstaan. Daarbij komt dat door een (handmatige) overgang van papieren dossiers naar digitale invoerfouten kunnen optreden. Aangezien met deze problemen is de WGbo geen rekening gehouden is, schieten de bepalingen omtrent de in de WGBo vereiste dossierplicht van zorgaanbieders tekort bij digitale dossiers73. Extra waarborgen omtrent de patiëntenrechten zijn dan ook van groot belang. Het EPD functioneert niet of nauwelijks indien sprake is van allerlei verschillende vormen van digitale dossiers. Het is dan ook van belang dat er gewerkt wordt met gestandaardiseerde informatiesystemen om de ‘overdracht’ zo soepel mogelijk te laten verlopen. Er zijn meer problemen te constateren als het gaat om de digitalisering van gegevens. Gedigitaliseerde gegevens zijn namelijk makkelijker en sneller op grote schaal te kopiëren dan de gegevens in de papieren dossiers. Daarnaast is de verstrekking van patiëntengegevens aan derden in de huidige situatie controleerbaar doordat de zorgaanbieder zich fysiek en zichtbare toegang moet verschaffen tot de dossiers. Een mogelijke inbreuk blijft qua omvang beperkt omdat de dossiers, gezien de kleinschaligheid van de beschikbaarheid van de medische gegevens maar een gedeelte beslaan van het geheel van wat er over iemand bekend is. Dit geldt echter niet voor digitale gegevens. Zorgaanbieders zullen dus door de uitwisseling landelijk mogelijk te maken de huidige papieren dossiers zoveel mogelijk moeten digitaliseren. Bij het ontwikkelen van beveiligingsmaatregelen zal daarmee rekening gehouden moeten worden. Uit meerdere onderzoeken is gebleken dat de implementatie van de beveiligingsmaatregelen binnen zorginstellingen tot nu toe onder de maat is74. Omvang
Het onderscheid tussen persoonsgebonden gegevens en episodegebonden gegevens, zoals in hoofdstuk 1 aan de orde kwam, is van belang voor het bepalen van de bewaartermijn en de toegang75. Om dit onderscheid technisch aan te brengen hoeft niet ingewikkeld te zijn. Wel moet een heldere indeling komen waaruit blijkt welke soort gegevens bijvoorbeeld op grond van ´goed hulpverlenerschap´ langer bewaard moeten blijven. De werkaantekeningen van de zorgverlener behoren niet tot het dossier en zullen elders moeten worden opgeslagen, hetgeen tot het up-to-date houden van twee systemen kan leiden. Niet alle ontvangers hebben recht op dezelfde set gegevens. Daarbij komt dat de per zorgverlener de rol waarin hij de gegevens opvraagt per geval kan verschillen. De wet vereist dan ook een selectieve uitwisseling van medische gegevens. De huidige dossiers zijn niet of niet goed geschikt voor deze selectieve informatie-uitwisseling76. Door ICT kan dit manco wellicht worden opgelost. Echter, de huidige toegang tot de gegevens is momenteel aan de royale kant77. Daarbij zijn zorgverleners niet bekend met de 72 73 74 75 76 77
Spaink 2005 Nouwt 2005 IGZ 2007a KNMG 2004a, deel 3, p. 43 KNMG 2004a, deel 3, p. 44 Nouwt 2005
31
Privacy en het EPD
oktober 2007
selectieve verstrekking78. De gegevens zullen dan ook moeten worden onderverdeeld worden in categorieën zodat per soort zorgverlener de beschikking over de juiste set gegevens kan worden gerealiseerd en niet beschikking krijgt over alles of niets. Er zal dus sprake moeten zijn van modulaire toegangsrechten. Het EPD zal dan ook aan moeten sluiten bij deugdelijk uitgewerkte (wettelijke) selectiecriteria. Vooral bij de ketenzorg (e-Diabetes, EKD) waarbij sprake is van een (echt) gedeeld dossier, zullen de regels omtrent de uitwisseling goed moeten worden uitgewerkt. Aansprakelijkheid
Er is ook binnen het EPD, net als in de traditionele situatie, sprake van een decentrale opslag. De zorgverlener is en blijft verantwoordelijk voor de opslag en de inhoud, zoals reeds eerder is gebleken bij de behandeling van de WGBo in hoofdstuk 1. De verantwoordelijke zorgaanbieder is ook voor de naleving van de termijnen en de daaruit volgende vernietiging verantwoordelijk. Dit vloeit voort uit de dossierplicht. Zorgverleners zullen met de komst van het EPD echter wel het dossier kunnen gaan aanvullen met gegevens van anderen, aangezien deze landelijk beschikbaar zijn. Er kan dan tóch worden gesproken over een centraal virtueel dossier. De grotere beschikbaarheid van de gegevens levert een extra verantwoordelijkheid op. De aansprakelijkheidsvraag wordt bij het gebruik van de gegevens door meerdere zorgverleners complex. Het gaat dan met name om vraagstukken in welke mate de zorgaanbieder het EPD moet bestuderen en welke consequenties het heeft als er om technische redenen geen toegang is. Er zal grondig onderzoek gedaan moeten worden naar de nieuwe aansprakelijkheidsvraagstukken. Daarnaast zal de verantwoordelijkheid voor de juistheid van de opgeslagen gegevens is lastig als een zorgverlener een diagnose stelt op basis van een onjuiste interpretatie van de door derden ingevoerde gegevens. Ook zal door de vergrote kans op inbreuken op de persoonlijke levenssfeer van de patiënt als gevolg van de opslag en verstrekking gecompenseerd moeten worden door de aansprakelijkheid voor schade door onjuist of onbevoegd gebruik van het EPD vast te stellen. Door raadpleging van de toegangslog kan een situatie gereconstrueerd worden, waardoor kan worden bepaald of de gegevens van cruciaal belang waren en de zorgverlener hierop aangesproken kan worden. Opslaan en vernietigen van gegevens
Er zullen uit praktische overwegingen mogelijkheden ontstaan om de gegevens elders te bewerken en op te slaan, bijvoorbeeld via een Application Service Provider (APS)79. De kans bestaat dus dat bepaalde stukken op meerdere locaties zijn opgeslagen. Wanneer de opslag buiten Nederland gaat plaatsvinden, kan het probleem ontstaan dat de gegevens onder een niet-Nederlandse wetgever zullen vallen. Binnen Europa is de privacywetgeving geharmoniseerd, daarbuiten kan het echter voorkomen dat er sprake is van een lager beschermingsniveau en een soepeler uitwisselingsbeleid. Dit brengt risico’s met zich mee als het gaat om de vertrouwelijke omgang met de patiëntgegevens. Het vernietigen van een papieren dossier is vrij eenvoudig. Het vernietigen van een digitaal dossier niet. Voor het (elektronisch) vernietigen van gegevens moet de harde schijf van het systeem overschreven of geformatteerd worden. De verwijderde bestanden kunnen anders gemakkelijk aan elkaar geplakt worden of softwarematig worden hersteld80. Ook is hiermee niet te garanderen dat alle aftreksels of back-ups zijn verwijderd. Het kan dus voorkomen, dat, als gevolg van het verstrijken van de bewaartermijn of op verzoek van de patiënt, de gegevens zijn verwijderd, terwijl deze nog op allerlei plaatsen (digitaal of op papier) kunnen “opduiken”. In het EPD is een herstelmogelijkheid ingebouwd als er een vernietiging op verzoek van de patiënt plaatsvindt. De patiënt is daarbij wel de sleutelbewaker. Dit vergt een actieve
78 79 80
KNMG 2004a, deel 4 Via het internet software van een derde op basis van een abonnement gebruiken. KNMG 2004a, deel 3, p. 41
32
Privacy en het EPD
oktober 2007
rol van de patiënt als hij moet controleren waar zijn te vernietigen gegevens zich allemaal bevinden. Daarnaast stelt de KNMG in de richtlijn ‘omgaan met medische gegevens’ dat wanneer er sprake is van een behandelrelatie met een zelfstandige zorgverlener, deze bij overdracht van de verantwoordelijkheid en dus ook het dossier géén kopie mag achterhouden. Hiervan mag slechts worden afgeweken indien deze gegevens nodig zijn voor een juridische procedure. Echter, er wordt door het NICTIZ een procedure geschetst dat wanneer bij een overdracht van een dossier de status van het patiëntstuk wijzigt van origineel naar kopie81. Het EPD maakt het dus mogelijk dat na overdracht kopieën achterblijven bij de eerstverantwoordelijke. Daarbij dient te worden opgemerkt dat er geen sprake meer is van een overdracht van een dossier. In plaats van de overdracht van gegevens is bij het EPD sprake van autorisatie. 3.1.2 Geheimhouding Het EPD dient rekening te houden met de geheimhoudingsplicht uit de WGBo. Voor wat betreft de geheimhoudingsplicht van art 7:457 BW oordeelde het CBP dat de verplichte aansluiting van zorgaanbieders op het LSP als een doorbreking van het beroepsgeheim opgevat moet worden. Zoals in het wettelijk kader uit hoofdstuk 1 al aan de orde kwam, kan de geheimhoudingsplicht alleen worden doorbroken in de in de WGBo opgesomde situaties. De mogelijkheden om het beroepsgeheim te doorbreken zijn het geven van toestemming door de patiënt, het behoren tot dezelfde functionele eenheid, wegens een conflict van plichten of op basis van een wettelijke plicht. Eén van de mogelijkheden in de traditionele situatie is het behoren tot dezelfde functionele eenheid, ook wel behandelrelatie genoemd. Als anderen dan de zorgverlener inzage wilden, moest dit aangevraagd worden bij de verantwoordelijke, die op deze manier zicht had op wie de dossiers had geraadpleegd. Zo is vooraf te controleren of op basis van het behoren tot dezelfde behandelrelatie toegang kon worden verschaft. We spreken hier over het zogenoemde haalprincipe, hetgeen het uitgangspunt is van de WGBo. Bij het EPD plaatst een zorgverlener de relevante gegevens die de behandeling van de patiënt heeft opgeleverd in een landelijk ontsluitbaar systeem. Een andere zorgverlener die bijvoorbeeld bij een latere behandeling gegevens nodig heeft over de betreffende patiënt, stelt vast of de patiënt instemt met het ophalen van de gegevens dan wel of sprake is van spoed. De zorgverlener die de patiëntgegevens nodig heeft, moet weten wie de gegevens beschikbaar heeft én diegene kunnen bereiken om aan de gegevens te komen. Er is dus sprake van een brengprincipe. Bij het brengprincipe is een extra beslissing vereist, namelijk die van de ‘brenger’ van de gegevens. Dit is een novum en de WGBo houdt daarmee geen rekening82. In plaats van de overdracht van gegevens is bij het EPD dus sprake van autorisatie. Dit heeft gevolgen voor de doorbreking van het beroepsgeheim zoals in de paragraaf over de autorisatie blijkt. Autorisatie
De meest bruikbare optie voor het waarborgen van de rechtmatige toegang vooraf is de autorisatie van zorgaanbieders en patiënten. Autorisatie geschiedt in het EPD op basis van identificatie en authenticatie. Dit houdt in dat men er zeker van moet zijn dat er toegang wordt verleend als met zekerheid kan worden vastgesteld dat men met de juiste zorgverlener en patiënt te maken heeft. Dit moet betrouwbaar zijn vanwege de kans op het behandelen van de verkeerde persoon of het verlenen van onrechtmatige toegang aan de zorgverlener. Daarnaast zal de autorisatie van de zorgverlener moeten afhangen van de rol die de zorgverlener op dat moment heeft. Het hangt er dan bijvoorbeeld vanaf 81 82
NICTIZ 2007b van der Wel 2005, p. 3
33
Privacy en het EPD
oktober 2007
of er sprake is van een psychiater of verpleger, behandelend zorgverlener of supervisor, dit moet ondubbelzinnig vast te stellen zijn. Vervolgens zal moeten worden gewerkt met verschillende gegevensmodules met aparte toegangsvereisten en beveiliging. Het autorisatieprotocol van het LSP bepaalt welke zorgaanbieders op grond van hun functie welke gegevens mogen inzien. De verschillen per rol kunnen daarbij niet worden aangegeven. De behandelrelatie evenmin. De patiënt bepaalt vervolgens door middel van het autorisatieprofiel welke zorgaanbieders de toegang niet wordt verleend. Het bijwerken van het autorisatieprofiel van de patiënt zal in de praktijk niet plaatsvinden bij de zorgaanbieder. Een derde onafhankelijke en betrouwbare partij zou deze taak kunnen uitvoeren. In de toekomst kan de patiënt dit eventueel zelf gaan doen. Controle op de toegang tot het EPD dient zoveel mogelijk vooraf en automatisch te geschieden. Echter, alle toegang tot het EPD wordt gelogd, teneinde achteraf te kunnen controleren of de toegang rechtmatig is geweest. Het CBP geeft aan dat de toegang op basis van deze autorisatie op basis van het functieprofiel niet conform de wet- en regelgeving is. Om toegang te mogen krijgen moet men immers tot dezelfde functionele eenheid behoren, ook wel behandelrelatie genoemd. Een logging achteraf wordt niet als een passende waarborg beschouwd. Deze constructie is dan ook meer geschikt als het om spoedeisende gevallen gaat, waarbij de behandelrelatie van tevoren moeilijk vast te stellen is en de gegevens op dat moment noodzakelijk zijn. Het CBP heeft dit standpunt al eerder verkondigd in een achtergrondverkenning83 waarbij de toegang op basis van functie een goede eerste stap is, maar niet voldoende passend. De tweede stap van de toegang moet namelijk ‘rechtmatige’ toegang zijn, hetgeen betekent dat er toegang is op basis van de behandelrelatie of wanneer dit voor de behandeling noodzakelijk is. “(…) om van de autorisatie ook gebruik te mogen maken, moet aan voorwaarden zijn voldaan, wil de in principe geautoriseerde raadpleger, gelet op zijn positie, ook rechtmatig toegang krijgen. Met andere woorden het gaat hier om de rechtmatigheidsvraag. Deze vraag staat in relatie tot de zeggenschap van de patiënt over diens medische persoonsgegevens.” 84 Ook vanuit het perspectief van de patiënt kan geconcludeerd worden dat de toegang te ruim wordt bevonden. Het NPCF heeft namelijk onderzocht dat maar liefst 85% van de ondervraagden85 alleen inzage wil toestaan voor noodzakelijke gegevens voor daadwerkelijk bij de behandeling betrokken zorgverleners. Van de ondervraagden wil 37% delen van het dossier kunnen afschermen en personen kunnen uitsluiten, 59% van de ondervraagden laat alle informatie zien en 71% heeft bezwaar tegen inzage door zorgverzekeraars86. 3.1.3 Toestemming Eén van de mogelijkheden om het beroepsgeheim te mogen doorbreken, naast de hiervoor behandelde behoren tot het behandelteam, is door middel van het geven van toestemming door de patiënt. Er mag namelijk slechts toegang worden gegeven tot dát deel van het dossier dat noodzakelijk is voor de behandeling. In andere gevallen is toestemming van de patiënt vereist. In het EPD wil men gebruik gaan maken van de generieke toestemming met een bezwaarmogelijkheid (opt-out)87. De toestemmingsvorm zou dan bijdragen aan een verbetering van de kwaliteit van de zorg, doordat de patiëntengegevens op deze wijze gemakkelijker bijeen kunnen worden gebracht in één virtueel patiëntendossier. 83 84 85 86 87
Hooghiemstra 2002, p. 52 idem Patiënten en ‘gemiddelde Nederlanders’ NPCF 2004 Taakgroep Toegang tot Patiëntengegevens 2005, p. 1
34
Privacy en het EPD
oktober 2007
Het CBP heeft echter in de casus Zorggroep West-Brabant beslist dat generieke toestemming, oftewel toestemming afgegeven voor toekomstige situaties, alleen kan worden toegepast op beperkte schaal, de toestemming voldoende specifiek is en gebruikt wordt in gevallen waarin de keten vooraf vaststaat. Daarnaast moet worden opgemerkt dat men ervoor moet waken door de logging niet een ongekende hoeveelheid persoonsgegevens extra wordt opgeslagen. Het gebruik van de veronderstelde of expliciete toestemming zal nader moeten worden bezien als het gaat om het gebruik ervan binnen het EPD. Zoals in hoofdstuk 1 aan de orde is geweest, kan toestemming alleen om praktische reden worden verondersteld en tenzij de patiënt daartegen geen bezwaar heeft gemaakt. De zorgverlener kan daarbij in verschillende mate zijn oordeel doen gelden. Door deze flexibiliteit in beschermingsgraad, die afhankelijk is van de schadelijkheid en gevoeligheid van de gegevens, is de praktische uitvoerbaarheid van de behandelingsovereenkomst gewaarborgd. De patiënt heeft op zijn beurt de mogelijkheid om te voorkomen dat verstrekking aan bepaalde zorgaanbieders plaatsvindt. Hij kan dit doen door de toegang in te trekken of het afschermen van bepaalde gegevens. Het NPCF heeft vanuit het perspectief van de patiënt tevens onderzocht dat slechts 37% van de ondervraagden akkoord zou willen gaan met het verlenen van generieke toestemming. De overige groep (63%) wil de toestemming alleen per situatie of per groep zorgverleners verlenen88. Het afschermen van gegevens door de patiënt voor een bepaalde zorgverlener gebeurt op basis van “alles-of-niets”. Zou de blokkade gedeeltelijke toegang tot het dossier inhouden, dan zou de zorgaanbieder geconfronteerd kunnen worden met onvolledige gegevens. Een praktisch ongemak is dat de blokkade niet direct bij het bezoek van een nieuwe zorgaanbieder ongedaan gemaakt kan worden. Daarvoor zal hij zich moeten wenden tot de vertrouwde derde of de geautoriseerde zorgaanbieder. 3.1.4 Conclusie De WGBo stelt de normen voor een goede behandeling van de patiënt door de zorgverlener. Aan de ene kant is er voor de zorgverlener de plicht een dossier te voeren, aan de andere kant heeft de patiënt daarover zeggenschap. Het meest elementaire begrip dat de noodzaak tot een vertrouwelijke omgang behelst is het beroepsgeheim als recht van de patiënt. De zorgverlener kan, behoudens enkele uitzonderingen, slechts met de toestemming van de patiënt de gegevens aan anderen verstrekken. We kunnen echter concluderen dat het beroepsgeheim en de toestemming binnen het EPD behoorlijk worden opgerekt, terwijl de gevaren onder andere door de grootschaligheid groter worden. Hieronder zal gekeken worden hoe er met de privacyregels uit de WBP binnen het EPD wordt omgegaan.
3.2 EPD en de WBP Zoals we hoofdstuk 1 hebben gezien, heeft de Wet Bescherming persoonsgegevens (WBP) als doel het bewerkstelligen van een zorgvuldige omgang met persoonsgegevens. Dit wordt ook wel de bescherming van de informationele privacy genoemd. Met name in een elektronische omgeving zijn deze regels van belang, gezien het vergrote risico op inbreuken. Bovendien worden patiëntgegevens als bijzondere of gevoelige gegevens beschouwd en verdienen een hoog beschermingsniveau. Voor een doelmatige bedrijfsvoering wordt ook bij het EPD op intensieve schaal gebruik gemaakt van verwerkingen van gevoelige persoonsgegevens. In deze paragraaf zal worden ingegaan op enkele aanbevelingen die het CBP op verzoek van het NICTIZ heeft gedaan voor wat betreft de inrichting van het EPD. Vervolgens 88
NPCF 2006
35
Privacy en het EPD
oktober 2007
zullen de begrippen uit het wettelijke kader en de keuzes die de initiatiefnemers van het EPD daarbij hebben gemaakt aan bod komen. Er wordt in dat kader ingegaan op het verwerken van gegevens, de grondslag, de doelbepaling, de rechten van de patiënt, het toezicht en de beveiliging binnen het EPD. 3.2.1 Verwerken van gegevens Met de komst van het EPD kunnen steeds méér gegevens over patiënten worden verzameld, gekopieerd, verstuurd, oftewel worden “verwerkt”. Indien de opslag centraal plaatsvindt zullen zaken zorgverleners de dossiers als het ware uit handen moeten geven, aspecten als aansprakelijkheid en de bescherming van de gegevens kan daardoor complex worden. Het CBP is daarom ook positief gestemd over de keuze van de decentrale opslag bij het EPD, aangezien dat het verantwoordelijkheidsvraagstuk ten goede komt. De bestaande documentstructuur blijft ongewijzigd en de zorgverlener blijft ‘onverkort’ verantwoordelijk voor het dossier89. Hoewel de dossiers decentraal blijven opgeslagen en de verantwoordelijkheid bij de betreffende zorgverlener ongewijzigd blijft, spreekt men toch van een landelijk virtueel dossier. De aangemelde stukken worden bij de verwijsindex aangemeld en kunnen door anderen worden opgevraagd. In dat geval is het niet wenselijk dat er gemuteerd kan worden in de documenten, aangezien er dan verschillende versies in omloop raken. Het is niet de bedoeling om opgevraagde stukken vanuit het EPD lokaal op te slaan. Wanneer dit wel gebeurt, zal dat alleen met toevoegingen als ‘alleen-lezen’ of ‘kopie’ kunnen en met de naam van de verantwoordelijke erbij vermeld. Zo min mogelijk kopiëren, dan wel lokaal opslaan vereist echter wel een behoorlijke beschikbaarheid, aangezien de gegevens steeds weer opnieuw moeten kunnen worden opgevraagd. Besloten is dan ook om de eenmaal aan de verwijsindex toegevoegde stukken niet meer te kunnen wijzigen90. Wanneer de zorgverlener gegevens wil veranderen, zal dat moeten gebeuren door middel van een nieuwe toevoeging aan de verwijsindex, die de validiteit van het eerste aangeboden stuk intrekt. Het eerste stuk of dossier inclusief de referenties zullen dan worden vernietigd. Het systeem kan echter niet garanderen dat dit met één druk op de knop zal kunnen en sluit niet uit dat de patiënt of de zorgverlener het verzoek om eerdere versies te laten vernietigen aan iedere zorgverlener gedaan zal moeten worden. De verwijsindex zorgt binnen het LSP voor de doelmatige zoekfunctie. Als doel wordt gesteld dat de verwijsindex bijdraagt aan een doelmatig uitvragen van alleen díe dossiers die de gevraagde gegevens bevatten. De verwijsindex is aan te merken als een verwerking die dus niet meer persoonsgegevens mag bevatten dan nodig is. Daarbij wordt opgemerkt dat niet alle bestaande, en lokaal opgestelde, patiëntendossiers deze karakteristieken kennen. 3.2.2 Grondslag Zoals we in hoofdstuk 1 zagen, verbiedt artikel 16 van de WBP het verwerken van bijzondere gegevens waaronder de gegevens omtrent de gezondheid. Dit kan worden gepareerd met de uitzonderingen van artikel 21 WBP dan wel artikle 23 WBP. Grofweg behelst artikel 21 de uitzondering op het verwerkingsverbod voor zorginstellingen. Artikel 23 is de uitzondering op het verwerkingsverbod vanwege een zwaarwegend algemeen belang. De initiatiefnemers van het EPD zijn ervan uitgegaan dat de verwerking van het LSP onder de werkingssfeer van artikel 21 zou vallen. Als de verwerking niet onder die werkingssfeer zou vallen, is een andere of nieuwe wettelijke grondslag vereist.
89 90
CBP 2006a NICTIZ 2007b, p. 50
36
Privacy en het EPD
oktober 2007
Het CBP heeft zich in dat kader uitgebreid uitgelaten over het voorstel tot wijziging van de wet BSN in de zorg91. In dit voorstel ging men er van uit dat er geen formele wet op het EPD hoefde te komen, aangezien de initiatiefnemers verwachtten dat het LSP onder de werkingssfeer van artikel 16 jo 21 danwel 23 WBP zou vallen. Daarom zijn er een groot aantal normen voor het EPD in de Wet BSN-z opgenomen. Het CBP was echter een andere mening toegedaan. Over de gekozen grondslag, namelijk artikel 21 lid 1 sub a WBP, waarop het LSP zich wilde beroepen, oordeelde het CBP negatief. De voorgenomen gegevensverwerking kan volgens het CBP niet op de uitzondering van artikel 21 worden gebaseerd92, hetgeen de WP29 ook al eerder had vastgesteld. De grondslag geldt namelijk voor instanties die medische gegevens verwerken met het oog op een goede behandeling of verzorging, dan wel voor het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is93. Daarmee wordt aangesloten bij de diverse functies van gegevensverwerkingen die, afgezien van wetenschappelijk onderzoek, meestal binnen de gezondheidszorg worden onderscheiden94. Het EPD valt daar niet onder. De uitzondering van artikel 23 WBP, dat kan worden beschouwd als een algemene restbepaling, namelijk dat de verwerking noodzakelijk moet zijn met het oog op een zwaarwegend algemeen belang en met dien verstande dat passende maatregelen worden genomen, werd vervolgens door het CBP tegen het licht gehouden. Het CBP oordeelde dat, vanwege de voordelen die het EPD met zich meebrengt, sprake is van een zwaarwegend belang. De voorwaarde is echter wel dat het EPD aan passende voorwaarden moet voldoen en het CBP bij beschikking met de verwerking heeft ingestemd95. Dit betekent dat naast de wettelijke grondslag en een verantwoordelijke voor het LSP als aandachtspunt in de nieuwe wet EPD zal moeten worden meegenomen. 3.2.3 Doel Zoals in hoofdstuk 1 aan de orde kwam, zal de verwerking zich moeten beperken tot het doel waarvoor de gegevens zijn verzameld, namelijk een succesvolle medische behandeling door betere informatievoorziening. Het CBP onderschrijft dat het belang én het succes van een EPD afhankelijk is van het feit of het systeem vertrouwelijk omgaat met de patiëntgegevens. De toegang tot het EPD zal dan ook in overeenstemming moeten zijn met het hoofddoel van het EPD. 3.2.4 Informatieplicht van de zorgaanbieder Zoals in hoofdstuk 1 aan de orde is geweest, zal de zorgaanbieder de patiënt periodiek moeten informeren welke gegevens van hem vastgelegd zijn. Het informeren van de patiënt is op grond van de WBP ook voor de verwerkingen binnen het EPD noodzakelijk, aangezien de verwijsindex als verwerking moet worden gezien. De patiënt zal moeten worden geïnformeerd als er gegevens bij de verwijsindex worden aangemeld. In de praktijk zal het neerkomen op het gebruik van de impliciete versie van de informatieverplichting bijvoorbeeld door middel van een folder of affiche in de wachtkamer96. Volgens het CBP ontbreekt de actieve informatieplicht aan patiënten, hetgeen is besproken in hoofdstuk 1. 3.2.5 Rechten van de patiënt De patiënt heeft over zijn dossier het recht op inzage, correctie en verzet. De initiatiefnemers van het EPD hebben aangegeven deze rechten in de toekomst zonder tussenkomst van derden te laten geschieden. Door de patiënt rechtstreekse toegang te 91 92 93 94 95 96
Bijlage bij de brief van het CBP van 14-6-2007 CBP 2007 artikel 21 WBP MvT WBP, p. 110 idem, p. 22 Nouwt 2005
37
Privacy en het EPD
oktober 2007
verschaffen kan hij op elektronische wijze zijn gegevens inzien. Het is dan noodzakelijk dat deze op een gestandaardiseerde wijze gegevens zijn opgeslagen. Tevens is van belang is dat de medische gegevens van anderen afgeschermd zijn en dat het dossier geen informatie bevat die de privacy van anderen schaadt. Het CBP is van mening dat rechtstreekse inzage door de patiënt aanzienlijk kan bijdragen aan het vertrouwen in het EPD, maar stelt dit niet verplicht. Momenteel verloopt inzage via de zorgverlener. Het CBP beoordeelt dat dit onnodig bezwarend kan werken. Het vernietigen van het dossier door de patiënt kan alleen in zijn geheel en bij één bepaalde zorgaanbieder, inclusief de eventuele referenties in de toegangslog. Het wordt door de initiatiefnemers onwenselijk geacht dat de vernietiging rechtstreeks door de patiënt kan worden uitgevoerd. Daardoor is er een herstelmogelijkheid ingebouwd, de patiënt heeft daarvan dan wel de ‘sleutel’. Het is volgens het CBP echter niet helder onder welke voorwaarden een burger zich kan uitschrijven en welke gevolgen dit heeft. De opt-out bepalingen zijn niet helder, ook verschillen deze qua terminologie en regime. Dit heeft als oorzaak dat de patiëntenrechten in vier verschillende bepalingen in de WGBo als in de WBP voorkomen97. 3.2.6 Toezicht Vanwege het bijzondere risicoscenario, het grote aantal gebruikers en de complexiteit van de gegevens is een deugdelijke en structurele controle een ‘must’. Voor wat betreft de zorg is de Inspectie voor de Gezondheidszorg de toezichthoudende autoriteit. Het CBP en de IGZ hebben in het kader van ICT in de zorg in de traditionele situatie al samenlopende bevoegdheden en daardoor een samenwerkingsprotocol98 opgesteld. Gezien de omvang, complexiteit en de risico’s van het EPD kan daarentegen niet met een algemeen toezicht worden volstaan. Het CBP pleit dan ook voor specifiek toezicht. Er kunnen immers ingewikkelde en complexe situaties ontstaan doordat verschillende toezichthoudende organen vanuit hun eigen perspectief naar de verwerking kijken, terwijl een overkoepelende blik noodzakelijk is. Ook omdat de begrippen uit de WGBo en de WBP op sommige punten strijdig met elkaar zijn. Uit de WGBo blijkt bijvoorbeeld dat het beroepsgeheim niet stopt na de bewaartermijn. Bij de WBP is dit wel het geval99. Ook de invulling van het begrip ‘toestemming’ verschilt in beide wetten, de toestemming in combinatie met het begrip ‘minderjarigen’ lopen niet synchroon. De WGBo schiet tekort bij digitale dossiers100, terwijl de WBP hier wel rekening mee houdt. Het CBP en de IGZ hebben aangegeven dat zij de toezichthoudende activiteiten van het EPD niet kunnen uitvoeren. Mede door de complexiteit en de nieuwe risico’s adviseren zij het toezicht te onderwerpen aan een specifiek voor dat doel op te richten autoriteit. Tot nog toe is er geen knoop doorgehakt over de invulling van dat advies. Het NPCF heeft patiënten gevraagd naar de wens om een onafhankelijk instituut dat het gebruik controleert, misbruik straft en klachten behandelt in te richten. Van de ondervraagden wil 92% dat dit instituut zorgvuldig gebruik gaat controleren, 95% wil zich tot dit instituut kunnen wenden bij klachten en 93% wil dat dit instituut kan straffen. Daarnaast kan voor het behartigen van de belangen van de patiënt worden gekozen voor een speciale arbitragecommissie voor geschillen, vooropgesteld dat dit voor de patiënt gemakkelijk en kosteloos is. Er zal een deugdelijke controle op de toegangsprotocollen van het LSP moeten worden ingericht. Een optie is dat op structurele basis een overzicht van opvragers van gegevens aan patiënten wordt meegedeeld. In de memorie van toelichting van het wetsvoorstel 97
Dute e.a 2003 Staatscourant 2006, 233, p.26 99 Nouwt 2005, p. 45 100 van Ardenne 2007 98
38
Privacy en het EPD
oktober 2007
van het gebruik van het BSN in de zorg wordt vervolgens gesteld dat het LSP slechts een uitvoerende taak heeft. Wie verantwoordelijk is voor het LSP is niet helder. Wellicht zal dit in de Wet EPD worden opgenomen. 3.2.7 Beveiliging De WBP stelt in artikel 13 en op basis van hierboven genoemde grondslag (art. 23 WBP) dat het EPD aan passende organisatorische en technische maatregelen zal moeten voldoen. Voor zorgaanbieders is een hoge bruikbaarheid gewenst. De keuze voor de bruikbaarheid mag niet inhouden dat het beschermingsniveau daardoor lager wordt. Vanwege de gevoeligheid van de gegevens zal er ook sprake moeten zijn van een hoog beschermingsniveau. Uit onderzoek is gebleken dat het huidige bewustzijnsniveau bij zorgverleners omtrent de juiste omgang met persoonsgegevens laag is101. Daarbij komt dat norm NEN7510 dusdanig flexibel is dat niet voor iedere zorgverlener hetzelfde pakket aan eisen wordt gesteld. De eisen hangen onder andere van de hoeveelheid en de aard van de gegevens af. Daarbij dient te worden opgemerkt dat zorgverleners moeite hebben met het correct implementeren van de norm. Daarnaast kan als gevolg van de schaalvergroting de verwerking de aandacht krijgen van derden, waardoor onrechtmatige toegang van onbevoegden op de loer ligt. De huidige beveiligingseisen zullen dus in dit grootschalige verband niet meer volstaan, ook gezien het feit dat door het koppelen veel meer informatie ontstaat (1+1=3). Er is naast de aanname van het lokaal voldoen aan de wet- en regelgeving een norm aangehaald die een zekere normalisatie op het gebeid van de bescherming van de privacy beoogd. Tevens wordt aangegeven dat deze nog verre van compleet is. Het NPCF heeft onderzocht in hoeverre de ondervraagden een goede beveiliging van het EPD tegen hackers en dergelijke belangrijk vinden. 51% daarvan maakt zich zorgen over de beveiliging van het EPD, 23% heeft zorgen over fraude of misbruik102. 3.2.8 Conclusie Door toenemende digitalisering van gegevens, door de invoering van een EPD neemt dit nog verder toe, kunnen er op het gebied van de privacy grotere risico’s ontstaan. De WBP bepaalt de eisen ten aanzien van de verwerkingen. Medische gegevens zijn volgens de WBP bijzondere of gevoelige gegevens. Artikel 16 verbiedt in beginsel het verwerken van bijzondere gegevens. De uitzonderingen worden genoemd in artikel 17-23 WBP. De verwerkingen die onder één van de uitzondering valt, zal ook aan de algemene beginselen moeten voldoen. Het EPD valt niet onder de uitzondering van 21 WBP. Wellicht is de restbepaling artikel 23 een optie. De meeste zorg wordt uitgesproken over het toezicht, dat ook door patienten als belangrijk wordt ervaren, dat goed en helder geregeld dient te zijn. Daarnaast veronderstelt de nieuwe werkwijze een aanzienlijke aanpassing als het gaat om (het bewustzijn omtrent) de beveiliging van de gevoelige gegevens.
3.3 Normen uit de beroepsgroep 3.3.1 NEN7510 De norm voor informatiebeveiliging in de zorg, de NEN 7510, is gebaseerd op de eisen uit de WGBo en de WBP, die hiervoor al in voldoende mate aan bod zijn geweest. De norm verwijst echter ook naar de bepalingen uit de Wet Computercriminaliteit (WCC) en de Wet Identificatie bij Dienstverlening (WID) als aandachtspunten. Gezien de grootschalige beschikbaarheid van de medische gegevens en de aandacht van derden daarin, zullen deze wetten niet minder belangrijk zijn en zullen geïmplementeerd moeten worden binnen de structuur van het EPD.
101 102
Spaink 2005 NPCF 2006
39
Privacy en het EPD
oktober 2007
Het CBP wijst erop dat binnen het EPD de normering van de beveiliging ontbreekt. Het CBP had graag een verwijzing naar bijvoorbeeld de NEN7510 gezien, evenals een verwijzing naar de aansluitvoorwaarden van de ZSP’s. Het CBP mist vervolgens een opneming van de disciplinaire maatregelen, bijvoorbeeld door een uitbreiding van het tuchtrecht om overtreding van de EPD-regels tegen te gaan103. 3.3.2 KNMG De KNMG als beroepsvereniging van zorgverleners, is betrokken bij de ontwikkeling van het EPD. Zij heeft zich qua autorisatie en het online contact op de volgende standpunten gesteld: Medische en/of andere privacygevoelige gegevens, die gericht zijn aan zorgverleners die werkzaam zijn binnen organisatorisch verband, dienen uitsluitend te worden gebruikt door de zorgverlener voor wie deze gegevens zijn bestemd. In het EPD zal toegang worden verleend aan die zorgverleners die daartoe uitdrukkelijk zijn geautoriseerd (III.5 van de ‘Gedragsregels voor artsen’). Er wordt in het kader van de autorisatie dan ook gesteld dat vooraf duidelijk moet zijn welke zorgverleners toegang hebben tot welke onderdelen van het dossier. Echter, uit de plannen blijkt dat de patiënt binnen het EPD generiek toestemming moet geven en pas achteraf bezwaar kan maken. Daarnaast is een belangrijk onderdeel voor wat betreft de vertrouwelijkheid dat het uitgangspunt moet zijn dat de online contacten dienen te zijn ingebed in een bestaande behandelrelatie104. Ook hier wordt binnen het EPD behoorlijk ruim mee omgegaan. 3.3.3 NPCF De belangenbehartiger van de patiënt, het NPCF, ondersteunt de invoering van het EPD, met dien verstande dat in het belang van de patiënt de kwaliteit van de zorg verbetert. Patiënten, consumenten en hun vertegenwoordigers moeten een sterke positie gaan innemen in de nieuwe omgeving. De NPCF onderkent dat op dit moment niet altijd de juiste informatie over patiënten beschikbaar is. Een goed functionerend EPD kan door het beschikbaar stellen van medische informatie dan ook bijdragen aan het voorkomen van onnodige onderzoeken, dubbele invoer en medische fouten. Volgens de NPCF zal het EPD onder andere aan de volgende eisen moeten voldoen105: -de beveiliging zal zodanig geregeld moeten zijn dat de patiënten op het EPD durven vertrouwen, -de fysieke toegang tot een eigen EPD voor iedereen gegarandeerd is, -patiënten ook zonder tussenkomst van derden toegang kunnen krijgen, -zorgverleners dragen zorg voor een volledig en eenduidig dossier. De huidige wetgeving is volgens de NPCF te beperkt om de patiënt of consument voldoende te beschermen bij nieuwe ontwikkelingen als ketenzorg en ICT106. Zij heeft met een onderzoek onder patiënten het draagvlak van het EPD gemeten. De resultaten van het onderzoek zijn eerder in dit hoofdstuk verwerkt.
3.4 Nieuwe risico’s Naast het veranderende begrippenkader is tevens sprake van enkele nieuwe risico’s die de komst van een EPD gepaard gaan. Genoemd kunnen worden de risico’s omtrent het slechts digitaal raadpleegbaar zijn van de dossiers, het vertrouwen op de volledigheid, het vergrote afbreukrisico en het gebruik van het BSN. In deze paragraaf komen deze risico’s achtereenvolgens aan bod.
103 104 105 106
CBP 2007 KNMG/NPCF 1998 NPCF 2006a NPCF 2006b
40
Privacy en het EPD
oktober 2007
Dossiers
Zorgverleners zijn verplicht de dossiers goed te beheren. Het goed beheren van een digitaal dossier houdt ook in dat er regelmatig backups moeten worden gemaakt, aangezien het risico bestaat dat door een technische storing de gegevens kunnen verdwijnen of na de storing of een virus verminkt of incompleet zijn. Voor het EPD geldt dan ook dat zowel de dossiers als de logfiles moeten worden voorzien van een regelmatige backup. Daarnaast bestaat het risico dat de gegevens tijdelijk niet beschikbaar zijn. Er zal moeten worden teruggegrepen naar een eerdere versie, de laatste back-up. Alle mutaties tussen de laatste backup en de terugplaatsing zijn dan verloren. Daarnaast lopen backups achter op de actuele situatie, waardoor onbedoeld bewaartermijnen kunnen worden overschreden. Vertrouwen op volledigheid
Er zal voor moeten worden gewaakt dat zorgverleners ervan uitgaan dat het EPD een volledige weergave van beschikbare informatie toont, maar de patiënt kan bepaalde gegevens hebben afgeschermd. Een middel om de ongerechtvaardigde illusie van volledigheid te voorkomen, is melding te maken dát er gegevens zijn afgeschermd. Een ongewenst effect daarvan is het stigmatiserende effect. De initiatiefnemers hebben dan ook gekozen voor het afschermen van gegevens door de patiënt van alles-of-niets. Afbreukrisico
Zoals al eerder aangegeven, is de basis voor een goede gezondheidszorg de garantie van de vertrouwelijkheid. Wanneer er binnen het EPD sprake is van een onzorgvuldige zorgverlener, zal niet de individuele zorgverlener hierop aangesproken worden, maar het EPD als geheel. De vertrouwelijkheid van de zorg in zijn geheel staat dan onder druk. Gebruik BSN in de zorg
In plaats van een lokaal gebruikt identificatienummer per instelling is voor een landelijke uitwisseling eveneens een ‘nationaal’ nummer nodig. Gekozen is voor het voormalige sofinummer. Het Burgerservicenummer (BSN) maakt in de zorgsector een einde aan de verschillende persoonsnummers die zorgaanbieders, indicatieorganen en zorgverzekeraars nu nog gebruiken. Dit vermindert het aantal fouten bij het uitwisselen van patiëntgegevens en het voorkomt persoonsverwisseling. Het maakt declareren eenvoudiger en het geeft betere bescherming tegen identiteitsfraude. Het BSN wordt nu dus ook gebruikt om op een betrouwbare en veilige manier patiëntgegevens uit te wisselen via het elektronisch patiëntendossier. Uiteraard valt het verwerken van persoonsgebonden nummers onder de vigeur van de WBP, aangezien het identificeerbaar is tot natuurlijke personen. Er is voorzichtigheid geboden een nummer te gebruiken dat tevens wordt gebruikt voor andere grootschalige verwerkingen, aangezien een koppeling met andere bestanden waarin het nummer voorkomt een schat aan informatie kan opleveren107. Het BSN wordt gebruikt door overheidsorganen en bepaalde niet-overheidsorganen waarvoor het gebruik van het BSN bij wettelijk voorschrift is voorgeschreven. Daarbij wordt gedacht aan zorgaanbieders, onderwijsinstellingen, pensioenfondsen, maar ook aan werkgevers bij het verstrekken uit de salarisadministratie aan de Belastingdienst. Het CBP heeft haar kritiek geuit over het gebruik van het BSN door niet-overheden, de toelatingscriteria voor de groep niet-overheidsorganen waren namelijk niet duidelijk. Hierdoor wordt het niet duidelijk wanneer het (on)wenselijk is niet-overheidsorganen toe te laten tot het BSN-stelsel. Het CBP krijgt hierdoor geen handreiking waaraan het weten regelgeving met betrekking tot het toelaten van niet-overheidsorganen tot het stelsel kan toetsen108.
107
Hooghiemstra 2004e, p. 9 en Hooghiemstra 2004c, p. 5
108
CBP 2005b
41
Privacy en het EPD
oktober 2007
3.5 Aanvullende wetgeving Onder andere door de grootschaligheid waarop medische gegevens worden uitgewisseld, zullen er begrippen veranderen alsmede (nieuwe) risico’s ontstaan. Mede vanwege de impact op patiënten en de behoefte aan transparantie zal één en ander in een alomvattend juridisch kader gegoten moeten worden. Speciale waarborgen van patiënten zullen daarin gegarandeerd moeten worden. De begrippen uit de WGbo en de WBP veranderen in de nieuwe context van het EPD. Daarnaast is er door het landelijk beschikbaar maken van de informatie een enorme winst te behalen, maar ook sprake van nieuwe risico’s. Deze zijn hiervoor behandeld. In de volgende paragraaf wordt bekeken of de aanvullende wetgeving, namelijk de ‘Wet BSN in de zorg’ (Wet BSN-z) en de ‘Wet EPD’ de privacyrisico’s kan helpen vermijden. 3.5.1 Wet gebruik BSN in de zorg Aangezien voor niet-overheden een wettelijke grondslag is vereist om het BSN te mogen gebruiken, is het wetsvoorstel ‘gebruik BSN in de zorg (BSN-z)’ ingediend bij de Eerste Kamer. De wet BSN-z zal naast de regels omtrent het gebruik van persoonsidentificatienummers tevens de taken en functies van de verwijsindex109 (LSP) vaststellen, alsmede de opsomming van de aanwezige gegevens in de verwijsindex. Men is ervan uitgegaan dat door de algemene wet voor het gebruik van het BSN aan te passen voor de zorg het EPD voldoende wettelijke basis heeft voor de invoering ervan. Nu het CBP anders heeft beslist is een grondslag in een formele wet vereist. 3.5.2 Wet EPD Het succes van het EPD hangt mede af van de mate waarin zorgaanbieders hun dossiers willen aanmelden bij het EPD. Het ministerie wil deze kritische succesfactor afdwingen door de aansluiting verplicht te stellen. Voor de verplichte aansluiting door zorgaanbieders op het EPD is een wettelijke grondslag vereist. Deze grondslag is te vinden in het wetsvoorstel EPD en is onlangs door het kabinet goedgekeurd. De wet EPD vormt uitdrukkelijk geen ‘lex specialis’ ten opzichte van de WGBo. Het regelt onder andere de verplichting voor zorgaanbieders om aan te sluiten op het EPD en de eisen waaraan de beveiliging moet voldoen. Ook de rechten van patiënten inclusief de mogelijkheid om bezwaar te maken tegen deelname aan het EPD, staan in het wetsvoorstel. Het wetsvoorstel, dat in het coalitieakkoord is aangekondigd, zal naar verwachting op 1 januari 2009 in werking treden. De tekst van het wetsvoorstel wordt pas openbaar bij indiening bij de Tweede Kamer110 en zijn op het moment van schrijven dus nog niet raadpleegbaar.
3.6 Conclusie Het wettelijke kader gebaseerd op de WGBo, de WBP en de normen uit de beroepsgroep geldt ook ten aanzien van het EPD. De waarborgen omtrent de vertrouwelijkheid kennen niet voor niets een lange traditie. De vertrouwelijke basis tussen zorgverlener en patiënt is dé kritische succesfactor van de zorg en dus ook van het EPD. De bepalingen omtrent het beroepsgeheim dienen daarbij als eerste te worden nageleefd, inclusief de mogelijke uitzonderingen op de regel dat informatie alleen mag worden verstrekt met toestemming. Daarna komt men pas toe aan de regels van de richtlijn111 van de WP29 en de WBP. Opvallend is dat de initiatiefnemers van het EPD wel een opsomming geeft van de eisen uit de wet- en regelgeving, maar niet overal even concreet aangeeft hoe met deze bepalingen om te gaan binnen het EPD. De oorzaak daarvoor is gelegen in het feit dat zorgaanbieders al aan de bepalingen uit het wettelijke kader moesten voldoen. Voor de 109 Index die aangeeft waar patiëntgegevens zich bevinden. De verwijsindex is dus geen databank, de gegevens blijven bij de bron. 110 P&I 2007, p. 229 111 Nouwt 2007b, p. 160-164
42
Privacy en het EPD
oktober 2007
invoering van een EPD wordt er dan ook van uitgegaan dat zorgaanbieders hier op correcte wijze mee omgaan. Een risico van deze aanname is dat er op verschillende wijze of niet of verkeerd omgegaan wordt met de privacybeschermende maatregelen, hetgeen een landelijke uitwisseling zeker niet ten goede komt. De uitwerkingen van het juridische kader, de veranderingen daarbinnen en de nieuwe risico’s dienen te worden meegenomen zodat ook binnen het EPD de garantie kan worden afgegeven dat nét zo vertrouwelijk omgegaan wordt met de medische gegevens van de patiënt als in de huidige situatie. Alleen dan kan gewerkt worden aan het doel van het EPD, namelijk het terugdringen van medische fouten, het verhogen van de kwaliteit van de zorg door het landelijk beschikbaar te maken van de gegevens. Hoe en of de veranderende begrippen en nieuwe risico’s een plaats krijgen in de nieuwe wet kan met spanning worden afgewacht… Aangezien er momenteel nog geen tekst van het wetsvoorstel EPD beschikbaar is, is het wel opvallend te noemen dat er in de wet slechts aandacht lijkt te zijn voor de formele vereisten om te komen tot een EPD, namelijk de wettelijk verplichte aansluiting voor zorgverleners en het gebruik van het BSN in de zorg.
43
Privacy en het EPD
oktober 2007
Conclusie De vertrouwelijkheid tussen de arts en de patiënt voor wat betreft de omgang met zijn medische gegevens is dé kritische succesfactor voor het EPD. De patiënt moet er immers op kunnen vertrouwen dat zijn (veelal gevoelige) gegevens door de zorgverlener slechts worden gebruikt om de behandelingsovereenkomst optimaal uit te kunnen voeren. De patiënt heeft in dat kader al geen volledig informationeel zelfbeschikkingsrecht door de dossierplicht van de zorgverlener, daarom zijn de privacybeschermende maatregelen van evident belang. Bepalingen omtrent de bescherming van de privacy van de patiënt en diens zeggenschap over zijn gegevens vinden we in de Wet Geneeskundige behandelingsovereenkomst (WGBo) en de Wet bescherming persoonsgegevens (WBP). In de WGBo vinden we bepalingen omtrent de dossierplicht, het medisch beroepsgeheim en de mogelijke doorbrekingen daarvan. Het beroepsgeheim bestaat uit een zwijgplicht en een verschoningsrecht. Het beroepsgeheim kan slechts worden doorbroken met toestemming van de patiënt, het behoren tot het behandelteam, wegens een wettelijke plicht of vanwege een zwaarwegend belang. De WBP stelt regels omtrent de grondslag en het doel van de verwerking van medische gegevens, de informatieverplichtingen van de zorgverlener en de rechten van de patiënt. Daarnaast zijn enkele bepalingen opgenomen over het toezicht. De patiëntenrechten uit de WBP komen ook in de WGBo voor, de twee wetten vullen elkaar dus aan. Tenslotte stelt de WBP eisen aan de beveiliging van verwerkingen die gevoelige gegevens bevatten. Deze eisen zijn voor de zorg uitgewerkt in de NEN 7510. Patiënten zijn vertegenwoordigd in belangenbehartigingsorganisatie NPCF, zoor zorgverleners is dat de KNMG. Deze twee instituten werken bepalingen uit het wettelijk kader op uitvoeringsniveau uit. Het ministerie van VWS heeft besloten de gegevensverwerkingen zoals die in de zorg worden gebruikt landelijk beschikbaar te maken. De aanleiding is dat er op jaarbasis, vanwege het ontbreken van informatie, veel fouten worden gemaakt. Dit kan worden voorkomen door een landelijk raadpleegbaar systeem in te richten dat de gegevens op decntraal niveau voor alle aangesloten zorgaanbieders beschikbaar maakt. Dit zal geschieden in de vorm van een Elektronisch Patiëntendossier (EPD). Het EPD maakt dus gebruik van de decentraal opgeslagen gedigitaliseerde dossiers en kan dus niet worden gezien als een centraal dossier. Het EPD kent een aantal hoofdstukken die gefaseerd in worden gevoerd. Het ministerie start met de uitrol van het Waarneemdossier Huisartsen (WDH) en het Elektronisch Medicatiedossier (EMD). Het Elektronisch Laboratoriumdossier (e-Lab), het Elektronisch Kinddossier (EKD) en het e-Diabetesdossier zullen in de toekomst volgen. De infrastructuur van het EPD, AORTA genaamd, bestaat uit een Landelijk Schakelpunt (LSP), de zogenaamde verkeerstoren, en een verwijsindex. Om aan te kunnen sluiten zullen de zorginstellingen aan de eisen van een Goed Beheerd Zorgsysteem (GBZ) moeten voldoen. Het netwerk zal gekwalificeerd moeten zijn als Zorg Service Provider (ZSP). Autorisatie van de zorgverlener geschiedt op basis van de UZI-pas, waarbij het functieprofiel leidend is. Door middel van een logfile kan achteraf gekeken worden of de toegang rechtmatig is geweest. De patiënt zal worden geauthenticeerd door middel van zijn BSN. De patiënt geeft middels de generieke toestemming aan zorgverleners toegang tot zijn dossier. De patiënt kan bezwaar maken tegen verstrekking aan bepaalde zorgverleners. De bedoeling is dat op 1-1-2009 50% van de zorgaanbieders aangesloten zijn op het LSP.
44
Privacy en het EPD
oktober 2007
Uiteraard is ook bij de uitwisseling van medische gegevens van de patiënt door middel van het EPD de vertrouwelijke omgang met patiëntgegevens het uitgangspunt. Het geschetste normenkader is dan ook onverkort van toepassing. Sterker nog, er zal tevens rekening gehouden moeten worden met veranderende begrippen en nieuwe risico’s. Zo ontstaan er al risico’s door gegevens op grote schaal te digitaliseren. Ook uit de praktijk blijkt dat de stap van papieren naar digitale dossiers op lokaal niveau al de nodige problemen oplevert en hier wordt op landelijk niveau nog onvoldoende rekening mee gehouden. We kunnen daarnaast concluderen dat de huidige wet- en regelgeving niet of nauwelijks is meegenomen in de ontwikkeling van het EPD. De initiatiefnemers stellen zich immers op het standpunt dat deze bepalingen al verplicht waren voor de totstandkoming van het EPD. Waar men echter geen rekening mee heeft gehouden zijn de veranderende begrippen door de nieuwe context, zoals bijvoorbeeld het breng- en haalprincipe dat een behoorlijke oprekking van het beroepsgeheim betekent. De risico’s zouden dan ook moeten worden opgevangen in de nieuwe wetgeving. In het wetsvoorstel EPD maakt de behandelrelatie echter geen onderdeel uit van de autorisatieprocedure. Zorgaanbieders zonder behandelrelatie kunnen dus toegang tot het dossier hebben. Daarbij is het onmogelijk om zonder inzage vooraf te bepalen welke beschikbare patiëntengegevens noodzakelijk zullen zijn voor de te verrichten werkzaamheden. Ook is het pas achteraf controleren van de rechtmatigheid van de toegang binnen de WGBo niet toelaatbaar en kan dan ook als een uitholling van het beroepsgeheim worden aangemerkt. De vraag is ook hoe intensief de controle op rechtmatige toegang op die schaal mogelijk is. Daarnaast wordt de toestemmingseis evenzeer opgerekt door deze generiek in te zetten. Het gebruik van de vooraf gegeven generieke toestemming door de patiënt vanwege het praktische nut is geen passende methode voor het ontsluiten van medische gegevens en kan een containerbegrip worden. Tevens past het past niet binnen de reikwijdte van de noodzakelijkheidseis. Bij meer deelnemers wordt de verantwoordelijkheidsvraag complexer. Ondanks dat de dossiers decentraal blijven opgeslagen zal tóch sprake zijn van een virtueel ‘centraal’ dossier. De verandering van het breng- naar haalprincipe ondersteunt dit nog eens. Ten tweede kan de zorgverlener nu ook worden afgerekend op het niet raadplegen van de beschikbare informatie. Daarnaast loopt hij het risico onterecht te vertrouwen op de volledigheid van het EPD. Zorgverleners dienen ook bij het EPD een gezond wantrouwen te hebben in de beschikbare gegevens. Verificatie blijft te allen tijde geboden. De patiënt blijft bij het EPD weliswaar degene die zeggenschap heeft over de omvang van de verstrekking en kan op die basis bepaalde gegevens afschermen, maar komt deze zeggenschap niet als mosterd na de maaltijd? Welke zorgverlener de behandelrelatie met een patiënt aangaat, is vaak afhankelijk van de beschikbaarheid binnen de gekozen zorginstelling en/of de keuze van de patiënt. Welke medebehandelaars door die hoofdbehandelaar zullen worden betrokken bij de behandeling, is ook sterk afhankelijk van hun beschikbaarheid op dat moment. Vaak is er geen tijd om de precieze betrokkenheid van iedere medebehandelaar vast te leggen. In principe mag een hoofdbehandelaar zonder toestemming van de patiënt een medebehandelaar en medewerker toegang tot diens gegevens verlenen, maar in de praktijk is moeilijk per geval vast te leggen wie dat precies zijn. Eventueel zou een zorgverlener door middel van interne autorisatie van zijn zorgsysteem vooraf kunnen aangeven welke collega’s ooit als medebehandelaar of medewerker zullen optreden, maar ook dit is geen sluitende oplossing112. De eerste vorm van standaardisatie is het gebruik van het BSN in de zorg te noemen. 112
Beuving 2007
45
Privacy en het EPD
oktober 2007
Het gebruik van het BSN in de zorg is in zoverre risicovol dat dit nummer ook door de overheid en door niet-overheden zal worden gebruikt. Door de redelijk eenvoudige koppeling van de verschillende bestanden ontstaat een schat aan nieuwe informatie. De vraag is of de voorgestelde beveiligingseisen hier voldoende rekening mee (kunnen) houden. Daarnaast zal het de aandacht van derden trekken, met alle risico’s van dien. De NPCF is van mening dat patiënten zich bewust moeten zijn over het gebruik van hun medische gegevens en de voorwaarden waaronder andere zorgverleners inzage hebben in deze gegevens. Deze bewustwording is nu nog gebrekkig. Zolang de randvoorwaarden, zoals een goede beveiliging, de technische mogelijkheid om gebruik te maken van patiëntenrechten en controle op misbruik, niet zijn ingevuld vindt de NPCF het noodzakelijk dat patiënten een actieve handeling uit moeten voeren om elektronische uitwisseling van privacygevoelige informatie mogelijk te maken. Patiënten zouden dus expliciet toestemming moeten geven dat ze mee willen werken aan de elektronische uitwisseling van medische gegevens. Gezien de risico’s die ontstaan door de medische gegevens op grote schaal beschikbaar te maken, vereist dus additionele wet- en regelgeving. Er dient dan ook, gezien de hiervoor genoemde risico’s, meer gericht te zijn op de bescherming van de privacy van de patiënt. Tot nu bevat de nieuwe wetgeving (voor zover beschikbaar) slechts de formele vereisten als de verplichte aansluiting van zorgverleners. Het enthousiasme van het ministerie voor het invoeren van een EPD, ook gezien de mislukte initiatieven van andere landen is op zijn zachtst gezegd opmerkelijk te noemen. Zorginstellingen lijken dus (nog) niet klaar om met een dergelijke grootschalige uitwisseling als het EPD te kunnen werken. Het ministerie lijkt dus te kiezen voor de behoefte zoveel mogelijk informatie beschikbaar te stellen en denkt op die basis medische fouten en onnodig onderzoek te kunnen voorkomen. De economische voordelen lijken dus zwaarder te wegen dat de privacy van de patiënt, en dat terwijl het EPD in het belang van de patiënt zou moeten zijn. Met betrekking tot Privacy en het EPD kan dan ook geconcludeerd worden dat momenteel een behoorlijk aantal risico’s wordt genomen. Of met de komst van het EPD meer medische fouten kunnen worden voorkomen of juist meer problemen oplevert is dus nog maar de vraag…
46
Privacy en het EPD
oktober 2007
Literatuurlijst Beuving 2007 J. Beuving, Mag een zorgverlener die naast je woont vrij opzoeken wat je mankeert? Volkskrant, 16-6-2007 College Bescherming Persoonsgegevens Protocol tussen het CBP en de Nederlandse zorgautoriteit, Den Haag, jaar van uitgave onbekend College Bescherming Persoonsgegevens 2007 Brief en Bijlage bij de brief van het CBP van 14-6-2007, z2005-0505 en Landelijk Schakelpunt, z2005-0878 College Bescherming Persoonsgegevens 2006a Advies inzake aanvulling Besluit gebruik BSN in de zorg (z2006/01388), Den Haag 2006. College Bescherming Persoonsgegevens 2006b Voostel van Wet algemene bepalingen burgerservicenummer (z2005-1198 en z20050807), Den Haag 2006 College Bescherming Persoonsgegevens 2006c Informatieblad 33a, Geheimhouding van medische gegevens, Den Haag 2006 College Bescherming Persoonsgegevens 2006d Informatieblad 31A, Informatie delen in samenwerkingsverbanden, Den Haag 2006 College Bescherming Persoonsgegevens 2006e Informatieblad 25A, Verstrekken van persoonsgegevens, Den Haag 2006 College Bescherming Persoonsgegevens 2006f Elektronisch patiëntendossier: toegang te ruim volgens CBP, Privacy en Informatie, jaargang 10 no. 4, p. 189. College Bescherming Persoonsgegevens 2006g Zorgverzekeraars, gezondheidsgegevens en privacy, onderzoeksrapport 2006 College Bescherming Persoonsgegevens 2006h CBP zelfreguleringinstrumenten, http://www.cbpweb.nl College Bescherming Persoonsgegevens 2005a Advies Wet gebruik BSN in de zorg, de heer drs. J.F. Hoogervorst (de minister van VWS), z2005-0108, 2005 College Bescherming Persoonsgegevens 2005b Brief aan de minister voor bestuurlijke vernieuwing 2005, z2004-1734 College Bescherming Persoonsgegevens 2002 Privacy bij ICT in de zorg, Bescherming van persoonsgegevens in de informatieinfrastructuur voor de gezondheidszorg, Den Haag 2002 College Bescherming Persoonsgegevens 2001 CBP 2001, z2000-1330
47
Privacy en het EPD
oktober 2007
Gezondheidsraad 2000 De bewaartermijn voor medische gegevens, Den Haag 2000 Hooghiemstra 2007 T.F.M. Hooghiemstra, Zelfbeschikking bij ICT en het medisch dossier, P&I 2007, p. 204-209 Deventer, 2007 Hooghiemstra 2004a T.F.M. Hooghiemstra, Juridisch Laboratorium, patiënten- en zorgverlenersidentifictie, 2004 Hooghiemstra 2004b T.F.M. Hooghiemstra, Juridische aspecten van het EPD, Juridisch laboratorium/ Nederlands Tijdschrift Klinische Chemische labgeneeskunde 2004, vol. 29, no. 4. Hooghiemstra 2004c Patiënten- en zorgverlenersidentifictie, ZON-ICZ Juridisch Laboratorium Hooghiemstra 2004d Beveiliging van het EPD, ZON-ICZ Juridisch Laboratorium, Nederlands Tijdschrift Klinische Chemische Labgeneeskunde 2004, vol. 29, no. 4 Hooghiemstra 2004e Verwijsindexen, ZON-ICZ Juridisch Laboratorium, 2004 Hooghiemstra 2002 T.F.M. Hooghiemstra, Privacy bij ICT in de zorg, Den Haag 2002 Inspectie voor de gezondheidszorg 2007a Preoperatief traject ontbeert multidisciplinaire en gestandaardiseerde aanpak en teamvorming, Utrecht 2007 Inspectie voor de gezondheidszorg 2007b ICT in ziekenhuizen, beveiliging van informatie nog onvoldoende voor een betrouwbare papierloze patiëntenzorg, Utrecht 2004 KNMG/ NPCF Gedragsregels voor zorgverleners, KNMG, jaar van uitgave onbekend Richtlijn Nederlandse artseneed, KNMG, jaar van uitgave onbekend KNMG/ NPCF 2007 Omgaan met incidenten, fouten en klachten, KNMG Utrecht, 2007 KNMG/ NPCF 2004a Implementatie van de WGBO. Van wet naar praktijk, deel 3 Dossier en bewaartermijnen en deel 4 Toegang tot patiëntgegevens, Utrecht, Samenwerkingsverband KNMG/ NPCF 2004b Implementatieprogramma WGBO 2004 KNMG 2004c Richtlijn inzake omgaan met medische gegevens, KNMG, Utrecht 2004 KNMG 2004d Richtlijn online arts-patiënt contact, KNMG, Utrecht 2004
48
Privacy en het EPD
oktober 2007
KNMG 2000 Preambule Gedragsregels voor artsen, Utrecht, 2002
KNMG/ NPCF 1998 Modelregeling arts-patiënt, NCPF en KNMG, 1998 Leenen 2000 H.J.J Leenen, Handboek gezondheidsrecht deel 1, Bohn Stafleu Van Lochem, Houten/ Diegem, 2000 Ministerie van VWS Invoering EPD, publicatiedatum onbekend Ministerie van VWS 2007a Implementatieorganisatie EMD/WDH Den Haag 2007 Ministerie van VWS 2007b Het EP, Den Haag, 2007 Ministerie van VWS 2007c Handboek Invoering en gebruik BSN in de zorg, Den Haag 2007 Ministerie van VWS 2007d Plan Landelijke invoering EMD en WDH, Den Haag 2007 Ministerie van VWS 2007e Kabinet akkoord met wet elektronisch patiëntendossier, Persbericht ministerraad 6 juli 2007, Den Haag 2007 Ministerie van VWS 2007f Business Cases waarneemdossier huisartsen en elektronisch medicatiedossier, Rapport in opdracht van het ministerie van VWS, 2007 Ministerie van VWS 2006a Elektronisch Patiënten Dossier vraag en antwoord, 2006 Ministerie van VWS 2006b Waarneemdossier huisartsen vraag en antwoord, 2006 Ministerie van VWS 2006c Elektronisch medicatiedossier vraag en antwoord, 2006 NICTIZ Programma van Eisen voor een zorgserviceprovider (ZSP), Nationaal ICT Instituut in de zorg, Leidschendam NICTIZ 2007a Toelichting op het programma van eisen voor een goed beheerd zorgsysteem, NICTIZ Leidschendam 2007 NICTIZ 2007b Specificaties basisinfrastructuur in de zorg, NICTIZ Leidschendam 2007 NICTIZ 2007c Architectuurvisie AORTA, NICTIZ Leidschendam 2007
49
Privacy en het EPD
oktober 2007
NICTIZ 2007d Veel gestelde vragen LSP, www.nictiz.nl NICTIZ 2007e Informatiesysteemarchitectuur AORTA, Nationaal ICT Instituut in de zorg, Leidschendam NICTIZ 2007f Toelichting op de Deelnemersovereenkomst versie 7, Nationaal ICT Instituut in de zorg, Leidschendam NICTIZ 2006a Plan landelijke invoering EMD en WDH, Nationaal ICT Instituut in de zorg, Leidschendam NICTIZ 2006b Jaarverslag 2006, Nationaal ICT Instituut in de zorg, Leidschendam NICTIZ 2006c Toelichting op de Deelnemersovereenkomst versie 7, Nationaal ICT Instituut in de zorg, Leidschendam NICTIZ 2005a Resultaten autorisatiepilot WDH in Twente, Nederlands huisartsen genootschap, NICTIZ, KNMG, NPCF, Leidschendam 2005 NICTIZ 2005b Modelrichtijn en modelvoorlichtingsmateriaal autorisatie voor koplopers WDH, Nederlands huisartsen genootschap, NICTIZ, KNMG, NPCF, Leidschendam 2005 Nouwt 2005 J. Nouwt, Privacy en gegevensuitwisseling in de zorg, Den Haag, Sdu 2005 Nouwt en Lucieer 2006 J. Nouwt en V. Lucieer, Juridisch laboratorium, De staat van de privacybescherming van patiënten en cliënten, 2006 Nouwt 2007a J. Nouwt, Beveiliging van het EPD, Juridisch laboratorium, jaar van uitgave onbekend Nouwt 2007b J. Nouwt, Juridische aanbevelingen voor elektronische patiënten dossiers, P&I 2007, jaargang 10 no. 4, Kluwer Deventer, p. 189 NPCF 2006a Achtergronddocument EPD en telemedicine in de zorg, Utrecht NPCF 2006b 10 punten EPD, Utrecht NPCF 2004 Kort eindverslag behorend bij project autorisatie EPD en patiëntenperspectief, Utrecht Onbekende auteur 2006 DBC’s in impasse door privacyregels, PSY no. 6, 2006 Roscam-Abbing 2000a E.W. Roscam-Abbing, Elektronisch patiëntendossier, beroepsgeheim en privacybescherming, Tijdschrift Geneeskunde en recht, 2000 no. 12
50
Privacy en het EPD
oktober 2007
Roscam-Abbing 2000b Medische informatie, patiënt en epd, NTMA Jaargang 27 no. 102 Spaink 2005 K. Spaink, Medische geheimen, risico’s van het elektronisch patientendossier, Nijgh en van Ditmar, 2005 Stichting EKD 2007 Programma van eisen en wensen van het EKD, Stichting EKD, 2007 Squarewise 2007 Business Cases waarneemdossier huisartsen en elektronisch medicatiedossier, Rapport in opdracht van het ministerie van VWS, 2007 Taakgroep toegang tot patiëntengegevens 2005 De WGBO en verantwoorde omgang met persoonsgegevens, ZonMW ICS, Den Haag 2005. Van Ardenne 2007 De voorgestelde wettelijke regeling voor een landelijk EPD: een brug te ver? Kluwer, P& I, jaargang 10 no. 3, Kluwer, Deventer, 2007 Van Ardenne 2003 Het elektronische medische dossier: wie bewaakt de keerzijden van de sprong voorwaarts? P&I 2003, no. 1, Kluwer Deventer 2003 Van der Wel 2005 J.J. van der Wel, Spoort de medische praktijk nog met de wettelijke regeling voor het beroepsgeheim?, Journaal Privacy gezondheidszorg, p. 3 Vermeulen 2007 M. Vermeulen, Alarm over beveiliging patiëntengegevens, Volkskrant, 16-6-2007 Elektronische bronnen: Dute e.a. 2003 J.C.J. Dute e.a., Rapport Evaluatie WGBo http://www.zonmw.nl/fileadmin/upload/33181/WGBorapport.pdf UZI-register, veilig en betrouwbare informatie, jaar van uitgave onbekend http://www.uziregister.nl College bescherming Persoonsgegevens http://www.cbpweb.nl Nationaal ICT Instituut in de zorg http://www.nictiz.nl Ministerie van VWS http://www.minvws.nl NEN 7510 http://www.nen7510.org Overig http://www.invoering-epd.nl
51
Privacy en het EPD
oktober 2007
http://www.ictzorg.nl Nieuws.nl 2007 Rouvoet onderzoekt bredere toegang kinddossier, 3 oktober 2007
Wetgeving: WGBo 1994 Wet geneeskundige behandelingsovereenkomst, wet van 17 november 1994 tot wijziging van het Burgerlijk Wetboek en enige andere wetten in verband met de opneming van bepalingen omtrent de overeenkomst tot het verrichten van handelingen op het gebied van de geneeskunst, 199 Artikel 29 werkgroep 2007a Richtsnoer juridisch kader EPD, 2007
Artikel 29 werkgroep 2007b Werkdocument inzake de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers, 2007 WBP 2001 Wet Bescherming Persoonsgegevens, wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens). Memorie van Toelichting WBP Tweede Kamer, vergaderjaar 1997–1998, 25 892, nr. 3, p. 110 NEN 7510 2004 NEN 7510, Normcommissie 303 001 “Informatiebeveiliging in de zorg”, Delft 2004 Wet gebruik burgerservice nummer in de zorg 2006 Regels inzake het gebruik van het BSN in de zorg, Voorstel van wet, TK 2005-2006, 30 380, nr. 3 Regels inzake het gebruik van het BSN in de zorg, Memorie van Toelichting TK 20052006, 30 380, nr. 3 Addendum gedragscode verwerking persoonsgegevens financiële instellingen voor zorgverzekeraars, gepubliceerd in de Staatscourant van 2 mei 2006, nr 85 Staatscourant 2006, no. 233, p.26 Rechtspraak Bolderkar-arrest Rechtbank Rotterdam, Rb 22-03-1989, KG 1989, 170 HR 2 oktober 1990, Kg 1990, nr. 45/46, p. 1877
52