Gegevensbescherming in de zorg: rechten van de cliënt

Per 1 juli 2017 is een nieuwe wet en een nieuw besluit in de zorg in werking getreden. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van cliëntgegevens en de beveiliging in de zorg. De regels hebben qua beveiligingseisen een behoorlijke impact op ICT-oplossingen voor de zorg.

Rechten van de cliënt

De volgende rechten van de cliënt met betrekking tot het uitwisselingssysteem worden in de nieuwe wet genoemd:

  • het geven van gespecificeerde toestemming voor het beschikbaar stellen van cliënt’s gegevens via het uitwisselingssysteem, en registratie van die toestemming door de zorgaanbieder;
  • de elektronische inzage in en een afschrift van het medisch dossier of cliënt’s gegevens;
  • een elektronisch afschrift van de logging;
  • de informatieplicht van de zorgaanbieder naar de cliënt toe.

Gespecificeerde toestemming voor gebruik van cliëntgegevens

Een zorgaanbieder mag de cliëntgegevens alleen beschikbaar stellen via het uitwisselingssysteem als de cliënt hiertoe uitdrukkelijke toestemming heeft gegeven. Dit houdt in dat de cliënt zelf laat blijken dat hij/zij ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ instemt met het beschikbaar stellen van zijn/haar gegevens. De cliënt kan schriftelijk (elektronisch valt hier ook onder), maar ook mondeling zijn/haar instemming laten blijken.

Wat nieuw is, is dat de uitdrukkelijke toestemming gespecificeerd moet zijn. Dit houdt in dat de patiënt een keuze hoort te kunnen maken uit:

  • welke gegevens er worden opgenomen;
  • welke zorgaanbieders de gegevens mogen raadplegen (welke zorgaanbieders of categorieën van zorgaanbieders).

De gespecificeerde toestemming en het tijdstip waarop de toestemming is gegeven, moeten worden geregistreerd door de zorgaanbieder. Meer informatie over gespecificeerde toestemming is via de link te vinden.

Informatieplicht bij gebruik cliëntgegevens

De zorgaanbieder moet de cliënt informeren over:

  • zijn/haar rechten bij elektronische gegevensuitwisseling;
  • de manier waarop de hij/zij zijn/haar rechten kan uitoefenen;
  • de werking van het uitwisselingssysteem.

Als nieuwe zorgaanbieders zich aansluiten op het uitwisselingssysteem moet de cliënt hierover worden geïnformeerd. De cliënt moet zijn/haar toestemming vervolgens kunnen aanpassen of intrekken. Dit geldt ook wanneer de werking van het uitwisselingssysteem wezenlijk wordt gewijzigd.

Recht op elektronische inzage en afschrift

De cliënt moet op verzoek elektronisch inzage of een afschrift kunnen krijgen van zijn/haar medische dossier, of van zijn/haar gegevens. Daarnaast moet in het afschrift de logging worden opgenomen, als de cliënt daarom verzoekt. Het gaat dan om:

  • wie bepaalde gegevens beschikbaar heeft gesteld en op welke datum;
  • wie bepaalde gegevens heeft ingezien of opgevraagd en op welke datum.

Er mogen geen kosten in rekening worden gebracht voor de inzage en de afschriften. Dit, in afwijking van de huidige privacywetgeving, waarin wordt gesteld dat voor inzage en afschrift kosten mogen worden gerekend.

Bepaalde rechten gelden pas over drie jaar

Minister Schippers heeft aangegeven dat een aantal regels pas over drie jaar (in 2020 dus) gaan gelden, namelijk:

  • het geven van de gespecificeerde toestemming (zowel het kunnen specificeren als het registreren ervan);
  • het recht op elektronische inzage of afschrift van zowel het dossier als het afschrift van de logging.

Dit, omdat de implementatie ervan op dit moment technisch nog niet uitvoerbaar is.

Wat geldt er dan sinds 1 juli vorig jaar?

  • Uitdrukkelijke toestemming van de cliënt voor het beschikbaar stellen van zijn/haar gegevens via het uitwisselingssysteem. Dit geldt op grond van de huidige privacywetgeving ook al. Door deze toestemming bij te houden en te registreren kan worden aangetoond dat de toestemming daadwerkelijk is verkregen.
  • De informatieplicht. De cliënt moet weten hoe het uitwisselingssysteem werkt, welke rechten hij/zij heeft en hoe hij/zij deze kan uitoefenen. Ook moet de cliënt van wijzigingen (van nieuwe zorgaanbieders die zich aansluiten op het uitwisselingssysteem en van substantiële wijzingen in het systeem) op de hoogte worden gebracht waarna hij/zij zijn/haar gegeven toestemming kan intrekken.

De beveiligingseisen (waaronder de logging), die gelden voor uitwisselingssystemen en interne informatiesystemen, zoals bepaald in het bijbehorende besluit, gelden sinds 1 juli 2017.