NL / EN / DE

Wet cliëntenrechten bij elektronische verwerking van gegevens

Per 1 juli 2017 is het eerste gedeelte van de Wet cliëntenrechten bij elektronische verwerking van gegevens in werking getreden. Het tweede deel van deze wet wordt ingevoerd per 1 juli 2020. De bepalingen van deze wet zijn opgenomen in de Wet gebruik burgerservicenummer in de zorg.[1] Deze wet maakt duidelijk welke extra rechten en waarborgen voor cliënten/patiënten (hierna: ‘cliënten’) van toepassing zijn bij elektronische gegevensuitwisseling en de beschikbaarheid van gegevens via een elektronisch uitwisselingssysteem. Iedere zorgorganisatie dient deze wet te implementeren en op de voorgeschreven wijze met de elektronische verwerking van gegevens om te gaan. In dit artikel wordt door Christiaan Riemens geschetst wat van iedere zorgorganisatie wordt verwacht en wanneer dat wordt verwacht. 

Elektronische verwerking van gegevens

De afgelopen jaren heeft in de zorg een verschuiving van papieren dossiers naar digitale dossiers plaatsgevonden. Met deze verschuiving is ook de uitwisseling van patiëntgegevens via een elektronisch uitwisselingssysteem sterk toegenomen. De bestaande wetgeving, de Wet persoonsgegevens en de Wet Geneeskundige Behandelovereenkomst (afdeling 7.7.5. van het Burgerlijk Wetboek), is echter niet specifiek toegesneden op de elektronische verwerking van medische gegevens. Hierdoor bestaat er bij zowel zorginstellingen als cliënten veel verwarring. Een aanscherping werd daarom door de wetgever nodig geacht en is er met het op 4 oktober 2016 door de Eerste Kamer aangenomen wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens gekomen. Deze wet schept de randvoorwaarden waaronder medische gegevens veilig en elektronisch mogen worden uitgewisseld of ingezien en brengt veel (extra) werk voor zorgorganisaties met zich mee. Gelukkig is voor de inwerkingtreding van de wet een groeimodel vastgelegd: een gedeelte is per 1 juli 2017 in werking getreden en een gedeelte gaat per 1 juli 2020 in werking treden. 

De wet cliëntenrechten bij elektronische verwerking van gegevens

De Wet cliëntenrechten bij elektronische verwerking van gegevens geldt voor zorgaanbieders en richt zich, anders dan de Wet bescherming persoonsgegevens en de Wet geneeskundige behandelovereenkomst, specifiek op elektronische gegevensuitwisseling. Centraal staat het begrip ‘elektronisch uitwisselingssysteem’. Hieronder wordt verstaan: 

"een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier" 

Bij een elektronisch uitwisselingssysteem kan worden gedacht aan een systeem zoals het Landelijk Schakelpunt. Als eerste stap dient u dus na te gaan of uw organisatie als zorgaanbieder kan worden beschouwd en of zij gebruik maakt van een elektronisch uitwisselingssysteem. Zo ja, dan geldt het volgende. 

De wijzigingen die sedert 1 juli 2017 in werking zijn getreden: toestemming vastleggen en informeren van de cliënt

Sinds 1 juli 2017 wordt van uw zorgorganisatie verwacht dat zij:

  • (bij voorkeur schriftelijk) vaststelt dat de cliënt uitdrukkelijk toestemming (en vanaf 1-7-2020 gespecificeerde toestemming) heeft gegeven voor het beschikbaar mogen stellen van gegevens van de cliënt via een elektronisch uitwisselingssysteem alvorens de medische gegevens beschikbaar worden gesteld via een elektronisch uitwisselingssysteem. Toestemming mag niet worden verondersteld;
  • de cliënt informeert, aangezien de cliënt een goede afweging moet kunnen maken bij het verlenen van de toestemming, over:
    • zijn rechten bij elektronische gegevensuitwisseling;
    • de wijze waarop hij zijn rechten kan uitoefenen; en
    • de werking van het elektronisch uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt;
    • de wijziging alsmede de mogelijkheid om de door hem gegeven toestemming aan te passen of in te trekken in de situatie dat nieuwe categorieën van zorgaanbieders zich aansluiten bij het elektronisch uitwisselingssysteem, of de werking van het elektronisch uitwisselingssysteem anderszins substantieel wordt gewijzigd. 

Wijzigingen per 1 juli 2020: genoeg werk aan de winkel!

Vanaf 1 juli 2020 wordt van uw zorgorganisatie verwacht dat zij:

  • óók over de zogenaamde gespecificeerde toestemming van de cliënt beschikt voordat zij de medische gegevens beschikbaar stelt via het elektronische uitwisselingssysteem. Dit houdt in dat de cliënt gericht moet (kunnen) aangeven welke zorgverleners welke informatie mogen ontvangen. Het geven van gespecificeerde toestemming, vereist van de cliënt volgens de minister dat de cliënt goed nadenkt binnen welke kring hij uitwisseling wenselijk acht;
  • de hierboven weergegeven gespecificeerde toestemming registreert waarbij door uw zorgorganisatie wordt aangetekend vanaf welk tijdstip de toestemming van kracht is geworden;
  • kosteloos de cliënt op diens verzoek inzage in en afschrift van zijn of haar elektronische dossier en/of gegevens op elektronische wijze verstrekt. Van uw zorgorganisatie wordt dus verwacht dat binnen uw digitale infrastructuur vanaf 1 juli 2020 digitale inzage door de cliënt mogelijk is;
  • op verzoek van de cliënt in het hiervoor bedoelde afschrift opneemt:
    • wie bepaalde informatie via het elektronisch uitwisselingssysteem beschikbaar heeft gesteld en op welke datum;
    • wie bepaalde informatie heeft ingezien of opgevraagd en op welke datum, hetgeen bekend staat als ‘logging’. 

Het besluit elektronische gegevensbewerking door zorgaanbieders

Bij de hierboven besproken Wet cliëntenrechten bij elektronische verwerking van gegevens hoort ook een AMvB met als titel ‘Besluit elektronische gegevensverwerking door zorgaanbieders’. In deze AMvB, welke op 1 januari jl. in werking is getreden, worden voor wat betreft onder meer de elektronische gegevensuitwisseling nadere functionele, technische en organisatorische eisen gesteld. Zo moet uw zorgorganisatie onder meer:

  • een functionaris gegevensbescherming benoemen;
  • werken met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria. NEN betreft een door de Stichting Nederlands Normalisatie-instituut uitgegeven norm;
  • voor wat betreft ‘logging’ van het elektronisch uitwisselingssysteem te voldoen aan de NEN 7513;
  • Bij het vastleggen van beleid, procedures en verantwoordelijkheden als bedoeld in NEN 7510, NEN 7512 of NEN 7513 in documenten, voor een elektronisch uitwisselingssysteem de termen en definities als genoemd in NEN 7510, NEN 7512 of NEN 7513 te gebruiken. 

Het besluit is hier te raadplegen. 

Tot slot

Om zorgorganisaties behulpzaam te zijn heeft het Ministerie van VWS zowel een brochure als een factsheet heeft gepubliceerd. De brochure is hier te downloaden. Voornoemde factsheet is hier is te raadplegen. Vanaf 1 juli 2020 wordt verwacht dat uw zorgorganisatie voor wat betreft de Wet cliëntenrechten bij elektronische verwerking van gegevens compliant is. Noteer deze datum dus goed.  

Deze bijdrage is geschreven door: mr. Christiaan Riemens, criemens@thuispartners.nl

[1] Omdat de Wet gebruik burgerservicenummer in de zorg met de nieuwe bepalingen niet meer alleen maar gaat over het gebruik van het burgerservicenummer, krijgt de wet een nieuwe titel: de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.