Privacywet onnodig streng uitgelegd
Zorgverleners hebben alle ruimte om patiëntgegevens te delen
6 reactiesSinds de invoering van de Algemene verordening gegevensbescherming (AVG) is er grote terughoudendheid bij het delen van patiëntinformatie. Ten onrechte, stellen internist Haiko Bloemendal en jurist Jolanda van Boven. Als het om het belang van de patiënt gaat, is veel geoorloofd.
De arts die vanaf het schoolplein via WhatsApp een collega van een ander ziekenhuis consulteert, krijgt op maandagochtend te horen dat hij in overtreding is omdat de patiënt niet expliciet om toestemming is gevraagd. En minstens zo erg: hij heeft een onveilig medium gebruikt. Want er mag alleen gefaxt of gemaild worden via een beveiligde verbinding. Helaas zijn die media op het schoolplein niet voorhanden. Gelukkig kon de patiënt dankzij dat appcontact nog dezelfde dag worden overgeplaatst naar een medisch centrum waar ze gespecialiseerd zijn in de behandeling die nodig is. Patiënt geholpen, iedereen blij. Is hier nou werkelijk sprake van privacyschending en onveilig dataverkeer? Of interpreteren we de wet- en regelgeving onjuist?
Knettergek
Huisartsen en medisch specialisten worden knettergek van de AVG. Steeds maar weer om een handtekening vragen. Voor het delen van gegevens met de ene zorgverlener; voor het delen van gegevens met een andere zorgverlener; voor het delen van gegevens via e-mail, of voor het delen van gegevens via dvd. Het houdt niet op. Een tijdje terug liet het NOS Journaal zien hoe zorgverleners bij de overdracht naar een andere zorgorganisatie patiëntgegevens moeten faxen of via de reguliere post versturen. Gegevens die door de ontvanger overgetypt worden in het eigen systeem, met de nodige kans op fouten. Maar het kon niet anders: alleen fax en post zouden wettelijk zijn toegestaan, dachten de ziekenhuisbestuurders. Een veelvoorkomend misverstand. Ziekenhuizen zijn zo bang voor datalekken en boetes dat ze soms uit het oog verliezen waarvoor ze werkelijk op aarde zijn: het leveren van goede, veilige patiëntenzorg.
Het rapport ‘Privacy van patiënten bij elektronische gegevensuitwisseling’ van het Citrienprogramma ‘Naar regionale oncologienetwerken’ toont aan dat het delen van patiëntgegevens mag, als je kunt bewijzen dat het rechtstreeks in het belang is van de patiënt. En voor goede, veilige patiëntenzorg geldt dat. Altijd.
Praktische benadering
Noch de netwerkontwikkeling in de zorg, noch de elektronische gegevensuitwisseling is qua privacy juridisch al goed uitgekristalliseerd, zo maakt onze inventarisatie en analyse duidelijk. Alle reden om met elkaar de discussie aan te gaan en te zoeken naar een werkbare, praktische benadering voor zorgverleners als het gaat om het uitwisselen van patiëntgegevens.
Om welke wetten en regels gaat het? De Grondwet bepaalt dat internationale wetgeving vóór nationale wetgeving gaat. De AVG staat dus boven de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en boven beroepscodes en gedragsregels. Wie goed naar de AVG kijkt, ontdekt dat die juist veel ruimte geeft om informatie te delen. Wel eist de AVG een gedegen verantwoording: is de gegevensuitwisseling noodzakelijk? Gebeurt het zorgvuldig? Dán kan het. Goede en veilige patiëntenzorg wordt vandaag de dag vrijwel altijd geboden door meerdere samenwerkende zorgverleners. Dan is die noodzaak om patiëntgegevens uit te wisselen er zonder meer. Wel moeten zorgverleners zich steeds afvragen of de betreffende informatie ‘need to know’ of ‘nice to know’ is.
Ook als het gaat om zorgvuldigheid werkt de AVG niet belemmerend. Het begrip ‘zorgvuldigheid’ is in de AVG en nationale wetten niet uitgewerkt naar informatiedragers. Zorgverleners moeten kunnen verantwoorden dat zij in een specifieke situatie de veiligst beschikbare optie hebben gebruikt. Dat is niet per definitie de fax of een brief via de post. Het kan onder omstandigheden ook een e-mail of whatsappje zijn.
Snelweg
Zonder (veronderstelde) toestemming van de patiënt is het voor de hulpverlener in beginsel niet toegestaan om patiënteninformatie te delen met anderen, is een veelgehoorde opvatting. Maar de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) verplicht zorgverleners tot afstemmen en dat vereist juist soepele, snelle en eenvoudige gegevensuitwisseling. Wat te doen? De AVG biedt de oplossing.
De AVG is te beschouwen als een snelweg met verschillende rijstroken:1
- rijbaan 1: informatie delen omdat er een wettelijke plicht is (Wkkgz);
- rijbaan 2: informatie delen omdat er een overeenkomst is (WGBO);
- rijbaan 3: informatie delen omdat er sprake is van een vitaal belang (goede en veilige patiëntenzorg);
- rijbaan 4: informatie delen omdat het gaat om een gerechtvaardigd belang van de organisatie; de vluchtstrook: expliciete toestemming van de patiënt (handtekening).
Is de informatie ‘need to know’ of ‘nice to know’?
Rijbanen
Rijbaan 1
Als er een wettelijk plicht is, gebruik je díé juridische grond om gegevens te delen. Toestemming vragen aan de patiënt om gegevens uit te wisselen is dan niet meer nodig. Zorgaanbieders werken samen om patiënten de beste zorg te kunnen bieden. Het beschikken over relevante gegevens is een basisvoorwaarde.
Rijbaan 2
Als de patiënt in behandeling is, is er conform de WGBO altijd sprake van een behandelingsovereenkomst. Daar heeft de patiënt al mee ingestemd. De patiënt heeft dan conform de WGBO de plicht zijn medewerking te verlenen, opdat de zorgverlener verantwoorde zorg kan bieden. Toestemming en een handtekening vragen zijn daarmee in strijd. Behandelen gebeurt altijd door meerdere zorgverleners, die vanzelfsprekend patiëntgegevens uitwisselen, als onderdeel van de behandelingsovereenkomst.
Rijbaan 3
Van vitaal belang is natuurlijk niet alleen sprake in levensbedreigende situaties. Kwaliteit en veiligheid van de zorg zijn voor patiënten van vitaal belang. Uitwisselen van gegevens hoort daarbij.
Rijbaan 4
Zorgorganisaties zijn op aarde om goede en veilige zorg te bieden. Zonder informatie-uitwisseling kunnen zij hun werk niet doen.
De vluchtstrook Als er geen andere juridische gronden zijn voor informatiedeling – om in de beeldspraak te blijven: als er geen rijbanen beschikbaar zijn – is het nodig om de patiënt expliciet om toestemming te vragen. Ook is toestemming nodig als de wet dat specifiek vereist, zoals bijvoorbeeld de Wet medisch-wetenschappelijk onderzoek met mensen (WMO).
Stel altijd het belang van de patiënt voorop
In álle andere gevallen is toestemming vragen niet alleen niet nodig, maar zelfs te beschouwen als strijdig met de AVG, die wel eisen aan de toestemming stelt.2 Toestemming vragen creëert bovendien een soort ’eindverantwoordelijkheid’ bij de patiënt voor de informatie die wel of niet wordt gedeeld. Dat schept onduidelijkheid over verantwoordelijkheid en dat is in strijd met de AVG. Toestemming vragen is daarnaast ook in strijd met de wettelijke plicht van de dokter tot samenwerken met andere artsen én met de wettelijke plicht om goede, veilige zorg te bieden. Rijden over de vluchtstrook is in feite (bijna) altijd verboden.
Onnodig beperken
Hoe zit het dan met het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens? Sinds 1 juli 2017 moeten zorgverleners toestemming vragen aan patiënten als zij data elektronisch willen delen. Beschouwd vanuit de AVG is dit een problematische eis. De AVG stelt dat iemand in volledige vrijheid ja of nee moet kunnen zeggen tegen gegevensoverdracht. Én dat ja of nee geen nadelige gevolgen voor die persoon mag hebben. Dat is prima te overzien als het gaat om het afschermen van de mailbox tegen ongewenste reclame, maar als het gaat om medische behandeling ligt dat veel complexer. Wat als de patiënt nee zegt? Een patiënt krijgt complicaties of belandt op de spoed, overleg met andere zorgverleners is nodig – en dan blijkt gegevens delen onmogelijk omdat de patiënt geen toestemming heeft gegeven…
Als de AVG in het voordeel van goede en veilige zorg uitgelegd kan worden, waarom is de zorg dan zo verstrikt geraakt in verboden en geboden als het gaat om elektronisch dataverkeer? Het antwoord is dat de praktijk nog niet is uitgekristalliseerd. In hun streven het goede te doen, beperken zorgorganisaties zich onnodig in het uitvoeren van hun primaire taak: de patiënt de allerbeste zorg geven. Onnodig, want wie als een adelaar boven de wetteksten gaat hangen, ziet de rijbanen met alle ruimte die zij geven.
Handvatten
Het punt dat overeind blijft, is dat het digitaal uitwisselen van gegevens veiliger en beter kan en móét. Zorgorganisaties kiezen ieder voor zich goede oplossingen – die echter vaak niet compatibel zijn. Het is aan de bestuurders om te zorgen voor veilige ICT-infrastructuur die regionaal samenwerken faciliteert, bijvoorbeeld door bij de aanschaf van een epd te bedingen dat uitwisseling met andere systemen mogelijk moet zijn.
Tot dan moeten zorgverleners het doen met wat er is. Drie praktische handvatten:
Stel altijd het belang van de patiënt voorop.
Gebruik de veiligst denkbare optie om gegevens over te dragen, met de snelheid die optimale zorg vereist.
Betrek de patiënt bij de keuze voor de wijze van overdracht (als er keuze is). Bespreek privacy en informatieveiligheid met de patiënt en leg de afspraken vast.
Als we het voorlopig zo doen, dan kan de patiënt met kanker uit Hilversum die door de chemotherapie een infectie heeft opgelopen en op de Spoedeisende Hulp van het ziekenhuis in Meppel belandt, de zorg krijgen die op dat moment nodig is. Zijn huisarts en medisch specialist mogen de nodige informatie verstrekken, als dat noodzakelijk is. Als het nu niet anders kan ook via de mail of in een appje.
Contact
hj.bloemendal@meandermc.nl
cc: redactie@medischcontact.nl
Haiko Bloemendal is voorzitter van de Nederlandse Vereniging voor Medische Oncologie (NVMO) en projectleider van het Citrienproject ‘Privacy van patiënten bij elektronische gegevensuitwisseling’.
Jolanda van Boven geeft onderwijs, nascholing en advies op het gebied van gezondheidsrecht en privacywetgeving aan zorgaanbieders in de eerste- en tweedelijnsgezondheidszorg.
Voetnoten
- Metafoor van mr. S. Katus.
- European Data Protection Board. Guidelines on Consent under Regulation 2016/679 (wp259rev.01).
Het programma ‘Naar regionale oncologienetwerken’ richt zich op een andere manier van organiseren van de oncologische zorg, zodat iedere patiënt met kanker de best mogelijke zorg krijgt. Het programma faciliteert en stimuleert daartoe samenwerking van alle betrokken zorgaanbieders in regionale netwerken.
‘Naar regionale oncologienetwerken’ wordt gefinancierd door het Citrienfonds. Dit fonds helpt duurzame en breed inzetbare verbeteringen in de gezondheidszorg te ontwikkelen en is mogelijk gemaakt door NFU en ZonMw.
Het rapport ‘Privacy van patiënten bij elektronische gegevensuitwisseling’ vindt u op oncologienetwerken.nl
download de pdf
Léontine Prescott
arts,
Als gepensioneerd huisarts heb ik geen beschikking meer over de veilige internetverbindingen via de praktijk. Als SCEN-arts moet ik toch communiceren op een veilige manier. Na een zoektocht kwam ik uit op Siilo, een secure messenger for medical playe...rs. Het werkt als een beveiligde whattsap tussen medici of BIG-geregistreerden. Je kunt documenten en foto’s delen met elkaar. Na 30 dagen verdwijnt de gedeelde correspondentie.
Ik kan het iedereen aanbevelen.
M.A. van Zuijlen CDPO
functionaris gegevensbescherming,
Met enige verbazing heb ik het artikel “Privacywetgeving onnodig streng uitgelegd” in Medisch Contact gelezen.
Ik begrijp de strekking van dit verhaal maar jammer van de eenzijdige belichting. Het genoemde rapport is heel wat genuanceerder. Vrijwel ...alle toestemmingsvragen in de ziekenhuizen hebben niets van doen met de in het artikel vermelde push-berichten maar zijn een gevolg van pull-systemen zoals het LSP en zorgverlenersportalen. Het artikel suggereert bovendien dat vrijwel alleen de AVG nog leidend zou zijn en de nationale wetgeving (WGBO, Wabvpz) daaraan ondergeschikt. Dat is niet het geval. De AVG laat ruimte voor aanvullende wetgeving in de lidstaten en daar zijn de WGBO en de Wabvpz voorbeelden van. In de voorbeelden die u noemt is met name de WGBO de leidende wetgeving.
Wél ben ik met u eens dat de noodzaak om toestemming te vragen bij push-berichten heel vaak niet nodig is. Dat dit wel gebeurt komt meer voort uit onzekerheid bij zorgverleners als dat de wetgeving dat verbieden zou.
Laten we samen, zorgprofessionals en privacy-functionarissen, streven naar een zo goed mogelijke (en dus snelle en efficiënte) gegevensuitwisseling. De privacywetgeving staat daarbij zeker niet in de weg.
Sjaak Nouwt
Adviseur Gezondheidsrecht KNMG, Utrecht
De auteurs hebben gelijk dat in de zorg de AVG onnodig vaak als belemmering wordt gezien om gegevens van patiënten te delen. Wij begrijpen dat artsen deze boodschap als een verademing ervaren. Alleen rekken de auteurs de AVG te zeer op, wat tuchtrech...telijke en andere juridische risico’s kan opleveren voor artsen die de lijn van het artikel zouden aanhouden. Tenminste als er geen rekening wordt gehouden met het medisch beroepsgeheim. De aandacht hiervoor ontbreekt namelijk in het artikel. Daar willen we als KNMG artsen op attenderen. Bij het verstrekken van medische gegevens is het medisch beroepsgeheim namelijk leidend ten opzichte van de AVG. Dus geldt als vuistregel dat als je patiëntgegevens wilt delen, je eerst beoordeelt of dit wel mag volgens de regels van het medisch beroepsgeheim. Pas daarna komt de AVG in beeld.
De KNMG heeft een meer uitgebreide reactie gestuurd naar de redactie van Medisch Contact voor publicatie in het blad.
Bart Elffers
Arts Verstandelijk Gehandicapten, Amsterdam
Mooi nuchter artikel welke praktische handvatten geeft hoe met deze wetgeving om te gaan.
Nog wel een opmerking/vraag: de termen "need to know" en "nice to know" worden benoemd, maar er wordt niet aangeven hoe hier mee om te gaan. Ik ga eigenlijk ui...t van: "need to know"=relevante informatie en mag/moet gedeeld worden; "'nice to know"= in principe geen relevante informatie dus hoeft niet gedeeld te worden..
Graag uw reactie.
GJ Bonte
Neuroloog, Dalfsen
Wat een heerlijk nuchter en praktisch artikel. Ik heb het meteen gedownload om er de bureaucraten mee om de oren te slaan, als ze weer eens bedacht hebben wat er volgens hen allemaal niet mag.
Enes
algemeen betweter, Rotterdam
Wat een verademing deze interpretatie van de AVG. Er vallen zelfs termen als "werkbare" en "praktische benadering". Tevens mooie handvatten! Wat een contrast met het huidige frame van arts-de-datalekker waarin we gelijkgesteld worden aan Russische ha...ckers en andere cyberterroristen. AVG zou ons beschermen tegen de grote databoeren en niet tegen appende dokters.Vooral need-to-know vs nice-to-know vind ik een mooie praktische handreiking. Uiteindelijk ook weer afgeleid van "is het in het belang van de patient?" Zijn de toezichthouder-ICTers die onze communicatie scannen in staat deze overwegingen te maken?