De verwerking van medische en patiënt-/cliëntgegevens wordt steeds strenger gereguleerd. In 2017 kwam na jaren van discussie de vernieuwde Wet cliëntenrechten bij elektronische verwerking van gegevens tot stand, met over enkele jaren een geplande uitbreiding ervan. Vanaf mei 2018 gaat daarnaast de AVG op privacygebied veel bepalen en verbieden.
Sinds de Meldplicht Datalekken in 2016 werd ingesteld, stond de sector zorg en welzijn steevast in de top van gemelde lekken, hacks of andere vormen van dataverlies. In het laatste kwartaal van 2017 ging het om zo’n 30 procent van het totaal. Geen geweldige score, maar wellicht ook omdat de sector bovengemiddeld datalekken meldt.
Vanaf mei 2018 geldt in Nederland niet langer de Wet bescherming persoonsgegevens (Wbp), maar de vanuit EU-verband ingevoerde AVG (Algemene verordening gegevensbescherming). Op het gebied van privacy betekent dit meer bescherming van burgers en meer plichten voor organisaties die gegevens van patiënten en cliënten bezitten.
Over het algemeen is de zorgsector volgens Laura Ghirlanda van de Autoriteit Persoonsgegevens heel compliant bereid. “Dit betekent niet dat de wet niet wordt overtreden, men weet vaak gewoon niet precies wat de bepalingen zijn.”
Uitbreiding taken AP
De Autoriteit Persoonsgegevens krijgt vanaf 25 mei 2018 in de zorgsector een grotere rol dan voorheen, naast toezichthouders zoals de NZa, IGJ en Zorginstituut Nederland. Tenslotte is de AP verantwoordelijk voor het uitvoeren van de AVG.
Laura Ghirlanda vertelde namens de AP tijdens de ICT&health Conference eind januari in Utrecht wat deze omwenteling betekent voor de relatie tussen de privacytoezichthouder en partijen in de zorg, van technologieontwikkelaar tot huisartsenpraktijk en van verzekeraar tot apotheek.
De taken van de toezichthouder worden fors uitgebreid. Onder meer met voorlichting aan het publiek en organisaties, internationale samenwerking en steviger boetebevoegdheden, tot maximaal 20 miljoen euro of 4 procent van de jaaromzet.
De afgelopen twee jaar gold al de Meldplicht Datalekken, met veel meldingen vanuit zorg en welzijn. Tot dan toe werd vooral voorgelicht en gewaarschuwd. Vanaf mei 2018 kwamen daar handhaving en boetes bij voor het niet goed omgaan met datalekken.
Verder kreeg de zorgsector al te maken met extra strenge regels voor bijzondere persoonsgegevens zoals medische gegevens, onder meer op het gebied van beveiliging. Ook de Wet cliëntenrechten bij elektronische gegevensverwerking geldt sinds 2017 als aanvulling op de Wbp en later de AVG, bijvoorbeeld voor toestemming rondom gegevensuitwisseling.
Systeemtoezicht vanuit AP
“Voor de zorg is veel op dit gebied dus niet nieuw, voor ons wel,” stelt Ghirlanda. “Systeemtoezicht bijvoorbeeld. Veel accountabilitybepalingen en verantwoordelijkheden inzake gegevensverwerking, zoals bij zorgaanbieders, verzekeraars en overheden.”
Via systeemtoezicht wordt het makkelijker om te toetsen of organisaties voldoen aan hun privacyverantwoordelijkheden. Ook houdt de AP toezicht op het medisch beroepsgeheim. Bij e-health is dit volgens Ghirlanda in sommige gevallen extra relevant, bijvoorbeeld bij een app die door een huisarts bij een patiënt wordt gebruikt in het kader van een behandeling.
In de AVG zijn voor de zorgsector uitzonderingen opgenomen waarbij lokale regels toegestaan zijn, in tegenstelling tot de grotendeels geharmoniseerde regelgeving binnen de EU.
“Echt nieuw in de AVG is het recht op dataportabiliteit. Dit betekent dat je aan verantwoordelijke organisaties kunt vragen om jouw gegevens machineleesbaar aan jou of aan een andere verantwoordelijke te geven. Dat kan zo simpel zijn als de overdracht van gegevens van de ene fitnessapp naar de andere. Maar dit geldt tot op zekere hoogte ook voor ziekenhuizen.”
Recht op vergeten worden
De AVG geeft burgers daarnaast het recht om vergeten te worden.
“Een patiënt mag dus vragen om gegevensverwijdering als hij of zij vindt dat de betrokken gegevens niet meer nodig zijn na afloop van een behandeling,” aldus Ghirlanda. “Technologie zoals blockchain staat hier haaks op. Je moet dan vooraf inbouwen dat je blockchaintoepassing voldoet aan dit recht, anders kan het de vuilnisbak in.”
Ghirlanda benadrukt daarom dat privacy by design, het meenemen van minimale privacy-impact en maximale bescherming vanaf het eerste ontwerp van een digitale toepassing, EPD of slim apparaat, noodzakelijk is. Daarbij geldt ook het principe ‘by default’: standaardinstellingen moeten zo privacyvriendelijk mogelijk zijn.
Van belang voor de zorgsector
Vier elementen zijn volgens Laura Ghirlanda van groot belang voor de zorgsector:
- Er is onderscheid tussen een gegevensverantwoordelijke en een gegevensbewerker. Bijvoorbeeld bij thuisdialyse via de cloud: de arts of het ziekenhuis is verantwoordelijke, de leverancier van het apparaat of de cloudomgeving is bewerker. Zonder bewerkersovereenkomst is een organisatie al in overtreding.
- Organisaties mogen alleen gegevens opslaan die noodzakelijk zijn voor de behandeling.
- Doelbinding blijft essentieel: gegevens uit een behandeling mogen niet zomaar voor andere doeleinden worden gebruikt of gedeeld.
- Beveiliging moet bestaan uit passende organisatorische en technische maatregelen. Daarbij geldt NEN7510 voor de AP als belangrijke standaard voor de zorgsector.
