Laatste nieuws
veiligheid

Nieuwe privacywetgeving: wat gaan we ervan merken?

Vijf vragen over de AVG

Plaats een reactie
getty images
getty images

De nieuwe privacywet die eind mei EU-breed wordt ingevoerd, heeft voor de dokterspraktijk van alledag nogal wat voeten in de aarde. Vijf vragen over de rechten van de patiënt, de plichten van de arts, en het toezicht van de autoriteiten.

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht voor alle maatschappelijke sectoren, waaronder de zorg. De wet, ook wel bekend als de General Data Protection Regulation (GDPR), gaat gelden in de gehele Europese Unie. Daarmee komt de Wet bescherming persoonsgegevens (Wbp) te vervallen.

1. Wat is dat eigenlijk voor een wet? Die ook nog eens een torenhoge boete schijnt te kunnen opleggen als je de boel niet op orde hebt?

Die boetes, daar komen we ook nog op. Eerst maar eens de wet zelf. Die zorgt voor versterking en uitbreiding van privacyrechten van burgers (dus ook patiënten) en stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de Autoriteit Persoonsgegevens (AP) in Nederland. Organisaties en instellingen krijgen meer verplichtingen bij het verwerken van persoonsgegevens.

Wie persoonsgegevens verzamelt moet aangeven om welke soort gegevens (medische bijvoorbeeld) het gaat, wat het doel is (bijvoorbeeld behandeling), en met wie de gegevens worden gedeeld, waarvoor patiënten bovendien aantoonbaar toestemming gegeven moeten hebben. Met partijen die in opdracht persoonsgegevens verwerken moet degene die gegevens verzamelt heldere afspraken maken over de veiligheid daarvan, en dat bijhouden in een verwerkingsregister. Om een voorbeeld te geven: huisartsen moeten met hun HIS-leverancier een verwerkersovereenkomst sluiten. Zo’n overeenkomst is niet nodig met de hap of het ziekenhuis – die werken niet ‘in opdracht.’

Tien jaar geleden had je een virusje en viel een computer uit; nu kunnen complete systemen gegijzeld worden

Het essentiële verschil met de bestaande wetgeving is: verantwoording achteraf maakt plaats voor het vooraf aantoonbaar maken dat privacy en veiligheid van persoonsgegevens zijn gegarandeerd. Deskundige Iris Huis in ’t Veld van het privacyadviesbureau Privacy Company: ‘De AVG verandert niet alleen procedures, maar juist ook de mindset van organisaties. Ze moeten producten en diensten voortaan zo ontwerpen dat ze privacyproblemen voor zijn. Zo kunnen ze gegevensverzameling van het begin af aan minimaliseren, kiezen voor het anonimiseren of “pseudonimiseren” van data en investeren in informatiebeveiliging, bijvoorbeeld in de vorm van encryptie.’

De nieuwe wet brengt nog een tweetal opvallende verplichtingen met zich mee. Ten eerste: als een organisatie begint met een nieuwe verwerking van persoonsgegevens, dan is een ‘gegevensbeschermingseffectbeoordeling’ ofwel data protection impact assessment (DPIA) noodzakelijk. Ten tweede is de aanstelling van een functionaris voor de gegevensbescherming (FG) verplicht. Die heeft een controlerende functie, is in staat uitgebreide risicoanalyses te schrijven en houdt contact met de raad van toezicht voor het geval zich problemen voordoen. Alle ziekenhuizen die zijn aangesloten op het LSP (landelijk schakelpunt) moeten sinds juli vorig jaar overigens al zo’n functionaris in dienst hebben.

Een FG kost al snel 100 euro per uur. Dat kan voor kleinere zorgaanbieders en instellingen een probleem zijn. Oplossing: meerdere kleine zorgorganisaties stellen gezamenlijk een FG aan, wat inmiddels al veel gebeurt. Verder beschikken veel instellingen over een privacy officer die de uitvoering van de wet binnen de eigen organisatie begeleidt. Veel brancheorganisaties, zoals LHV en NVZ, hebben toolkits en cursussen beschikbaar die wegwijs maken in de tweehonderd pagina’s die de AVG telt en helpen om voorbereid te zijn als de wet in werking treedt.

Mathijs van der Most, directeur van het bureau Privacy Compass/FG Dichtbij, dat werkt in de zorgsector, stelt gerust: ‘Ik hoor vaak dat je zowat geen gegevens meer mag delen. Dat is onzin. De zorg is een keten en die moet natuurlijk blijven functioneren. Je mag nog gewoon gegevens uitwisselen, maar op een verantwoordelijke en veilige manier.’

En ja, wat die boetes betreft die de Autoriteit Persoonsgegevens (AP) kan opleggen: die kunnen inderdaad behoorlijk oplopen, tot wel 20 miljoen. Maar let wel, het gaat om dwangsommen: je betaalt pas als je in overtreding bent en die overtreding niet binnen een bepaalde periode hebt hersteld.

2. Hoe pakt de wet in de ziekenhuizen uit?

Volgens Erwin Kemink, information security officer en functionaris gegevensbescherming bij Rivas Zorggroep (o.a. Beatrixziekenhuis) in Gorinchem moet je de zaak ‘pragmatisch’ aanpakken. ‘Nu zijn veel organisaties nog zoekende hoe ze een gegevensverwerkingsregister moeten opstellen.’ Zijn werkwijze in hoofdlijnen: ‘Zorg dat je de belangrijkste gegevensverwerking inzichtelijk maakt. Begin daarom met de grootste informatiestroom, zoals het epd of HIS, want daar zitten de grootste risico’s. Houd daarvan een register bij. Kijk later naar wat artsen individueel bijhouden aan persoonsgegevens. Het is wel goed om nu al een plan van aanpak te maken wanneer en hoe die individuele lijsten in kaart worden gebracht.’

Volgens Mathijs van der Most zijn de meeste ziekenhuizen al een eind op streek. De vraag is wel of je ooit klaar bent met deze wet. Nee, zegt Kemink beslist: ‘Technologie ontwikkelt zich en daarmee ook de bedreigingen. Tien jaar geleden had je een virusje en viel een computer uit; nu kunnen complete systemen uitvallen of gegijzeld worden zoals we kort geleden in Engeland nog hebben gezien. De basis moet er op 25 mei staan. Daarna is het een kwaliteitssysteem met het doel: continu verbeteren.’

Individuele artsen in het ziekenhuis mogen verwachten dat ze instructies krijgen vanuit de staf. Inclusief de wijzigingen die zijn aangebracht in het informatiebeleid. Van der Most: ‘Daarin staat met welke systemen voortaan uitsluitend gewerkt wordt, hoe je je verslaglegging moet aanpakken en wat je mag delen met welke partijen. En dat je, als je met andere partijen iets wilt delen, beter eerst even langs de juridische afdelingen kunt gaan.’

3. Wat betekent de wet voor de huisartsenpraktijk?

‘We zijn in onze lokale zorggroep een projectgroep gestart om de toepassing van de wet op de rails te krijgen’, zegt huisarts Marc Spruit van Gezondheidscentrum Dillenburg in Alphen aan den Rijn, dat vier praktijken omvat met in totaal 11 duizend patiënten. ‘We hebben daarbij veel profijt van de uitstekende ondersteuning door de LHV.’

Het is veel werk, constateert hij. ‘Want of je nou een kleine of een grote praktijk hebt: je hebt allemaal een HIS nodig, je hebt allemaal personeelsadministratie en allemaal griepvaccinatielijsten. Ik schat dat je er twee werkdagen mee kwijt bent. En als je het goed wilt doen, werk je daarbij samen met je hele team, inclusief praktijkondersteuners en assistenten.’

Verwerken wij als huisartsen data op grote schaal? Nou, nee

Hij zit intussen wel met twee kwesties. De eerste: moet elke solopraktijk met één, twee of drie medewerkers een FG aanstellen? Of moet dat alleen bij grotere gezondheidscentra? Spruit: ‘De wet is er niet duidelijk over. Het advies van de LHV luidt: stel zo’n FG via een servicecontract aan bij je koepel of je lokale zorggroep. Dat hebben wij ook zo gedaan.’ De tweede: ‘De wet stelt dat je een DPIA moet doen. Ik denk: uitstekende maatregel voor de Googles en Facebooks van deze wereld. Maar verwerken wij als huisartsen data op grote schaal? Nou, nee. We hebben een HIS, daar staan data in. Die zijn keurig netjes beveiligd. Het zou daarom fijn zijn als de Autoriteit Persoonsgegevens zou aangeven dat zo’n DPIA niet hoeft voor de gemiddelde huisartsenpraktijk.’

De AP laat desgevraagd weten dat elk ziekenhuis een FG moet hebben; een solistisch werkende huisarts hoeft dat niet. Daartussen – neem de huisartsenpraktijk met twee of drie medewerkers – heerst kennelijk een grijs gebied. Ook op de vraag of een DPIA voor iedereen verplicht is blijft het antwoord vaag: ‘Gegevensbescherming is onlosmakelijk verbonden met goede zorg.’

Spruit wijst op nog een ander punt van zorg: ‘In de Wet bescherming persoonsgegevens hadden patiënten al recht op inzage in en verbetering en verwijdering van gegevens in hun dossier, nu hebben ze ook recht op vergetelheid (‘het recht van de patiënt om vergeten te worden’) en een dataoverdraagbaarheidsrecht (‘het recht van de patiënt om persoonsgegevens over te dragen’). Dat kan wringen: de patiënt verlangt immers goede zorg en daarom moet ik een dossier bijhouden. Op het moment dat een patiënt gegevens wil verwijderen is dat in strijd met goed zorgverlenerschap. Is hier de WGBO in strijd met de AVG? Men zegt: zorgverlenerschap gaat voor. Dat is mooi, maar je kunt op je klompen aanvoelen dat het toch een keer tot een juridisch conflict komt.’

Het onderwerp leeft niet erg onder collega’s, heeft Spruit gemerkt. ‘Velen denken dat het zo’n vaart niet zal lopen, dat ’t hetzelfde lot zal treffen als destijds de cookiewetgeving, die uiteindelijk werd afgezwakt. Ik snap dat wel: we hebben wel wat anders aan ons hoofd met de dubbele vergrijzing, met zorg die steeds complexer wordt, en met substitutie naar de eerste lijn. Bovendien: ben je net bezig met het verminderen van de administratiedruk, krijg je te maken met de gevolgen van deze wet.’ Maar er is ook een positieve kant: ‘Patiënten verdienen het dat er zorgvuldig omgegaan wordt met hun data. Uiteraard ben je als arts al gewend dat te doen – als gecertificeerde praktijk zijn we bovendien gewend om te denken in termen van risicomanagement – maar toch kijk je op deze manier nog eens kritisch naar je praktijk, en dat kan best goed zijn.’

4. En wat doet de wet met het wetenschappelijk onderzoek?

Met de komst van de AVG voorziet kinderarts prof. dr. Esther de Vries een aantal problemen. Ze is voorzitter van het Expertteam Onderzoek en Privacy van de Samenwerkende Topklinische opleidingsZiekenhuizen. Om deze problemen in kaart te brengen is het belangrijk om onderscheid te maken tussen onderzoek dat wel en dat niet onder de Wet medisch-wetenschappelijk onderzoek met mensen (WMO) valt. Wetenschappelijk onderzoek is WMO-plichtig als de deelnemer aan een handeling of gedragsregel wordt onderworpen zoals bij interventieonderzoek.

Voor WMO-plichtig onderzoek is, ook nu al, vooraf altijd expliciete toestemming van de patiënt vereist. De Centrale Commissie Mensgebonden Onderzoek (CCMO) meent dat het niet nodig is om voor lopend en afgerond WMO-plichtig onderzoek opnieuw toestemming te vragen, maar dat je alle (ex-)deelnemers wel aanvullende informatie moet geven over hun nieuwe rechten onder de AVG. Dit hoeft niet op individueel niveau, laat de CCMO weten. ‘Naar onze inschatting zou ook met een combinatie van een algemene voorlichtingscampagne over de AVG en aangepaste informatie op websites van bij WMO-plichtig onderzoek betrokken partijen zoals zorginstellingen en farmaceutische bedrijven het gewenste resultaat kunnen worden bereikt.’ Al houdt de commissie een slag om de arm, want met de nu beschikbare informatie kunnen zij niet goed inschatten waar de WMO en de AVG met elkaar botsen.

Voor onderzoek dat niet onder de WMO valt, ligt het ingewikkelder. Het expertteam dat De Vries voorzit, adviseert om bij prospectief onderzoek altijd schriftelijk toestemming te vragen. ‘Je moet als onderzoeker kunnen bewijzen dat de patiënt het goed vond. Met alleen mondelinge toestemming is dit lastig. Voor retrospectief niet-WMO-plichtig onderzoek is alsnog toestemming vragen vaak niet goed mogelijk, zoals voor dossier- en kwaliteitsonderzoek, zorgevaluatieonderzoek, en onderzoek in landelijke of regionale registratiedatabases. ‘Als het wetenschappelijk onderzoek een groot algemeen belang dient en toestemming niet of alleen met onevenredige inspanning verkregen kan worden, dan kun je toch van de gegevens gebruikmaken via het ‘geenbezwaarsysteem’, legt de Vries uit. ‘Voorwaarde is wel: bezwaar maken moet makkelijk zijn en als iemand bezwaar heeft gemaakt, mag je de gegevens dus niet gebruiken.’ De vraag is natuurlijk wat is het ‘algemeen belang’? Valt hier ook een onderzoek onder dat een student of arts uitvoert in het kader van een opleiding? Daarover is nog geen duidelijkheid.

5. Hoe streng zal de Autoriteit Persoonsgegevens toezicht houden?

‘Bij de Autoriteit Persoonsgegevens zijn we redelijke mensen die een groot maatschappelijk belang behartigen’, aldus een woordvoerder. ‘Het recht op privacy is een grondrecht van iedere Nederlander, en wij beschermen dat grondrecht, en daarom zullen we bij een overtreding de situatie zorgvuldig onderzoeken. We kijken dan naar de beste manier om de wet na te leven.’

Voorlopig zet de AP vooral in op voorlichting en ondersteuning bij het naleven van de wet. Maar: ‘We zijn verplicht iedere privacyklacht in behandeling te nemen. Als we daarbij een overtreding constateren, zullen we ook handhaven. Soms zal een waarschuwing voldoende zijn, maar als er opzettelijk fouten worden gemaakt, kan een boete volgen.’ Veel hangt ook af van toekomstige jurisprudentie, zo meldt de AP op haar website.

Een van de eerste acties van de AP na 25 mei zal zijn, aldus de woordvoerder, ‘checken of alle overheidsinstellingen, ziekenhuizen en andere instellingen die daarvoor in aanmerking komen, een FG hebben aangesteld.’

Mathijs van der Most van Privacy Compass stelt nogmaals gerust. ‘Ik denk dat het zo zal gaan: gaat er een keer iets mis – een patiënt dient een klacht in of er is een datalek – dan eist de wet dat je moet kunnen laten zien dat je je hebt ingespannen de wet na te komen en dat je op een goede manier bent omgegaan met persoonsgegevens. Terecht, want de gevolgen van, bijvoorbeeld, een datalek kunnen, voor alle betrokkenen, heel ernstig zijn. De AP zal zeker ingrijpen bij excessen, maar normaal gesproken zal ze een waarschuwing geven, vervolgens misschien komen met een bindend advies en pas dan een dwangsom opleggen. Maar wie het zover heeft laten komen, heeft echt liggen slapen.’

meer info

lees ook

pdf van dit artikel

veiligheid privacy
  • Henk Maassen

    Henk Maassen is journalist bij Medisch Contact, met speciale belangstelling voor psychiatrie en neurowetenschappen, sociale geneeskunde en economie van de gezondheidszorg.  

Op dit artikel reageren inloggen
Reacties
  • Er zijn nog geen reacties
 

Cookies op Medisch Contact

Medisch Contact vraagt u om cookies te accepteren voor optimale werking van de site, kwaliteitsverbetering door geanonimiseerde analyse van het gebruik van de site en het tonen van relevante advertenties, video’s en andere multimediale inhoud. Meer informatie vindt u in onze privacy- en cookieverklaring.