Sinds bekend is geworden dat op 25 mei 2018 de Algemene verordening gegevensbescherming van de Europese Unie rechtstreeks van toepassing wordt, worden zorginstellingen bestookt door bureaus en bureautjes die hen aanbieden om de organisatie klaar te stomen voor die datum. De advisering vangt steevast aan met een assessment of privacy impact assessment (PIA) waarbij alle vlaggetjes van het meegeleverde ‘dashboard’ op rood gaan. Zodat de organisatie maar weet dat het bar en boos is gesteld met de naleving van de privacywetgeving. Er moeten een hoop (advies)kosten gemaakt worden om de organisatie op orde te krijgen. En dan wordt er niet eens rekening mee gehouden dat de zorg per 1 juli aanstaande nog een andere wet over zich heen krijgt: De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Geen wonder dat de privacywetgeving niet de grootste populariteit onder bestuurders geniet. Maar kan het ook anders?
De zorg krijgt te maken met drie belangrijke nieuwe wettelijke kaders op het gebied van privacy. Hieronder worden ze toegelicht.
Algemene verordening gegevensbescherming (Avg)
Op 25 mei 2018 zal de Algemene verordening gegevensbescherming die vorig jaar door de Europese Unie werd aanvaard van toepassing worden. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Dit grondrecht heeft geen absolute gelding, maar moet in relatie tot de functie ervan tegen andere grondrechten worden afgewogen. De techniek heeft het leven ingrijpend veranderd. Verwerkingen van persoonsgegevens vinden steeds vaker grensoverschrijdend plaats. De doorgifte van persoonsgegevens aan derde landen moet daarom worden vergemakkelijkt, terwijl daarbij wel een hoge mate van bescherming van persoonsgegevens wordt gegarandeerd. Dit kan alleen goed gebeuren door een internationale regeling. De Avg is daarvan het resultaat.
De Avg borduurt voort op een Europese richtlijn die aan de Avg voorafging en waarop de Wet bescherming persoonsgegevens is geënt. Tegen die achtergrond moet de inhoud van de Avg eerder als evolutie dan als revolutie worden beschouwd. Het feit dat een Europese ‘wet’ vanaf volgend jaar het hoofdkader vormt voor de naleving van een grondrecht is daarentegen wel revolutionair. Dat gebeurde nog niet eerder op zo’n gedetailleerde wijze. Voor het verwerken van medische gegevens bevat de Avg niet zoveel nieuwe voorschriften. De nieuwe regels gaan vooral over beveiliging, verplichtingen voor verwerkers (de nieuwe naam voor bewerkers), rechten van betrokkenen op informatie over gegevensverwerkingen en het niet-verwerken van hun gegevens als zij dit niet willen. Verder zijn er uitvoeriger regels over toezicht. Die regels gelden voor alle verwerkingen van persoonsgegevens, al zijn ze voor verwerkingen van gezondheidsgegevens soms stringenter geformuleerd. Eén van de verplichtingen die een zorgaanbieder eerder heeft dan veel andere organisaties in de samenleving, is de plicht om een functionaris voor de gegevensbescherming aan te stellen (FG), waarover hierna meer.
ELKE ZORGAANBIEDER MOET STRAKS AAN NEN 7510, NEN 7512 EN NEN 7513 VOLDOEN.
Uitvoeringswet Avg
De nationale wetgever krijgt op veel plaatsen in de Avg ruimte om de Avg verder in te vullen. Die nationale regelingen mogen uiteraard niet in strijd zijn met de Avg. In Nederland wil men die nadere invulling onderbrengen in een Uitvoeringswet Avg. Een eerste consultatieversie werd in december jl. op internet geplaatst. Die Uitvoeringswet is vooral een herschikking van de Wbp. Er staan vooralsnog niet echt nieuwe bepalingen in. Dat was gelet op het tijdstip waarop de consultatieversie is uitgebracht ook niet goed doenlijk.
Door de verkiezingen is het politieke speelveld immers ingrijpend gewijzigd en maakt mogelijk ook dat er andere keuzes gemaakt zullen worden. Veel ruimte voor discussie is er ook niet. De Uitvoeringswet moet immers, net als de Avg, vanaf 25 mei 2018 in werking treden. Dat brengt mee dat er weinig ruimte zal zijn voor principiële discussies en er vooral pragmatische keuzes gemaakt zullen moeten worden. Aanhaken bij de Wbp ligt daardoor voor de hand.
ÉÉN VAN DE VERPLICHTINGEN DIE EEN ZORGAANBIEDER HEEFT, IS DE PLICHT OM EEN FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING AAN TE STELLEN.
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
Op 1 juli 2017 treedt de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) in werking.
Die wet verplicht zorgaanbieders om expliciete toestemming te vragen aan patiënten en cliënten, wanneer zij via een elektronisch uitwisselingssysteem medische persoonsgegevens beschikbaar stellen aan andere zorgaanbieders. Deze laatste zorgaanbieders kunnen de gegevens dan ophalen wanneer zij die nodig hebben voor hun eigen zorgverlening. De systemen moeten zodanig worden ingericht dat de patiënten en cliënten gericht toestemming kunnen geven welke informatie met welke zorgaanbieder of categorieën van zorgaanbieders gedeeld mag worden. Het veld krijgt drie jaar de tijd om dit voor elkaar te krijgen. Patiënten en cliënten krijgen op grond van deze wet ook het recht om elektronisch hun gegevens in te kunnen zien en een elektronisch afschrift van hun dossier te krijgen. Dat betekent dat alle zorgverleners in Nederland met elektronische patiëntendossiers moeten gaan werken. Dat is nogal een omslag. Ook hiervoor krijgen zorgaanbieders drie jaar de tijd om dit voor elkaar te krijgen.
Maar er is meer. De Wvpz krijgt ook een Uitvoeringsbesluit. Volgens het concept dat in november jl. werd gepubliceerd zal elke zorgaanbieder straks aan NEN 7510, NEN 7512 en NEN 7513 moeten voldoen. Bovendien moet elke zorgaanbieder die als instelling in de zin van de Wkkgz kwalificeert een functionaris voor de gegevensbescherming (FG) hebben. Als het Uitvoeringsbesluit per 1 juli 2017 volledig in werking zal treden, gelden deze verplichtingen dus met onmiddellijke ingang.
De FG
Op zichzelf is de onrust die bij zorginstellingen wordt veroorzaakt door al die nieuwe wetten niet verwonderlijk. Zorginstelllingen weten vaak niet precies wat er op hen afkomt en schakelen daarom vaker adviesbureaus in om hen op weg te helpen. Zoals gezegd zoomen adviesbureaus vooral in op de vraag wat zorginstellingen nog niet hebben geregeld, tot in de kleinste details van de Avg. Daardoor krijgen zorginstellingen het idee mijlenver achter te lopen op de privacy verplichtingen. Ook bekruipt hen het gevoel dat die verplichtingen die zij op deze wijze ‘door de strot geduwd’ krijgen, hen afhoudt van hun kerntaak, namelijk het verlenen van goede zorg.
Dat gevoel is deels terecht. Bureaus die niet uitgaan van de specifieke zorgtaken van de zorgverleners missen namelijk een van de belangrijkste uitgangspunten van de Avg, namelijk dat het beschermen van persoonsgegevens in relatie moet worden beschouwd met andere grondrechten. Procedures die bijvoorbeeld in de bankwereld prima kunnen functioneren, zijn daarom niet een-op-een toepasbaar in de zorg.
Aard van de zorgverlening en cultuur binnen een zorginstelling kunnen meebrengen dat in de ene zorgorganisatie volstrekt andere keuzes gemaakt moeten worden over organisatie en bescherming van de informatiestromen dan in een andere zorgorganisatie. Uitgaan van Quickscans die niet op maat zijn gemaakt, of verbetertrajecten die niet specifiek op de eigen organisatie werden toegespitst, zijn daardoor vaak weggegooid geld.
FG
Instellingen kunnen beter uitgaan van hun eigen cultuur en technische middelen door een FG aan te stellen. Zij kunnen zich dan namelijk ‘van binnenuit’ laten adviseren. Zoals gezegd wordt een FG in de zorg verplicht voor instellingen in de zin van de Wkkgz zodra het Uitvoeringsbesluit Wvpz in werking treedt. Vrijwel alle zorgaanbieders vallen onder de reikwijdte van dit begrip. Alleen solistisch werkende zorgverleners die niet werkzaam zijn voor een andere zorgaanbieder die hun werkzaamheden niet in een rechtspersoon hebben ondergebracht zijn geen zorgverlener. Dat betekent dat een huisartsenpraktijk of apotheek met rechtspersoonlijkheid bijvoorbeeld al een FG moet aanstellen.
NAAR VERWACHTING ONTSTAAT DE PLICHT OM EEN FG AAN TE STELLEN AL OP 1 JULI 2017.
Naar verwachting ontstaat de plicht om een FG aan te stellen al op 1 juli aanstaande. Wellicht zal er wel nog overgangsperiode in acht worden genomen voordat op de inhoud van de AMvB gehandhaafd wordt. Het zou mooi zijn als er nog een overgangsperiode kwam, want dan krijgen zorginstellingen ten minste de tijd om zich gedegen voor te bereiden op de komst van alle nieuwe wetgeving.
De nadere invulling van de werkzaamheden van de FG is vastgelegd in de Avg. De Avg maakt het voor zorginstellingen mogelijk een FG in dienst te nemen of om de werkzaamheden van een bestaande medewerker uit te breiden met deze functie. Uiteraard mag er dan geen belangenconflict bestaan tussen de bestaande werkzaamheden en de FG-functie. Daarnaast kan er ook voor worden gekozen een externe FG aan te stellen die zijn taken periodiek komt vervullen. In het laatste geval moet er dan een dienstverleningsovereenkomst worden opgesteld.
Taken
De FG moet tijdig worden betrokken bij alle zaken die verband houden met de bescherming van persoonsgegevens. Hij dient de benodigde middelen en scholing te krijgen om zijn taken goed uit te kunnen voeren. Daarnaast mag de FG geen instructies ontvangen met betrekking tot de uitvoering van zijn taken. In dat opzicht heeft hij een vergelijkbare positie als leden van de ondernemingsraad. Een concern hoeft in beginsel slechts één FG te benoemen, mits deze voor alle vestigingen goed bereikbaar is.
Een FG behoort kennis te hebben van de relevante wetgeving, maar vooral ook van de praktijk. Dat betekent dat hij zowel inzicht moet hebben in de technische aspecten van gegevensuitwisseling als in de aard van de werkzaamheden binnen de zorgorganisatie. De FG adviseert de instelling, ziet toe op naleving van de privacywetgeving en adviseert wanneer een gegevensbeschermingeffectbeoordeling, ook wel privacy impact assessment (PIA), moet worden uitgevoerd.
Een PIA is in ieder geval verplicht bij de invoering van een nieuw EPD-systeem. Voor andere situaties zal de nationale toezichthouder, in Nederland de Autoriteit Persoonsgegevens, nadere richtlijnen opstellen. Deze toezichthouder bepaalt in welke gevallen een PIA verplicht is en in welke situaties dit niet nodig is.
Daarnaast zal de FG samenwerken met de Autoriteit Persoonsgegevens en fungeert hij als contactpersoon richting deze instantie. Bij de uitvoering van zijn taken moet hij rekening houden met de risico’s van gegevensverwerking, evenals met de aard, omvang, context en doeleinden daarvan.
Profiel
Het is van groot belang dat de rol van FG niet lichtvaardig wordt ingevuld. De functionaris moet onafhankelijk kunnen opereren en in staat zijn om positie te kiezen, ook wanneer dat weerstand oproept binnen de organisatie, zowel op bestuursniveau als daaronder.
Hoewel een juridische achtergrond geen absolute vereiste is, is kennis van relevante wetgeving noodzakelijk. Daarnaast moet de FG goed inzicht hebben in de informatiestromen binnen de organisatie, zodat hij praktische en werkbare adviezen kan geven.
Dit betekent dat zorginstellingen moeten investeren in opleiding of ervoor moeten kiezen om een geschikte kandidaat van buiten aan te trekken. Dat de Europese wetgever de functie serieus neemt, blijkt uit de positie die vergelijkbaar is met die van leden van de ondernemingsraad.
Tot slot
Samenvattend kan worden gesteld dat de FG een cruciale rol vervult als interne adviseur, toezichthouder en vraagbaak. Juist in de aanloop naar nieuwe regelgeving is deze functie bij uitstek geschikt om zorginstellingen te begeleiden bij het op orde brengen van hun organisatie en cultuur rondom het verwerken van medische persoonsgegevens, zonder dat dit ten koste gaat van de kwaliteit van zorgverlening.
Daarbij zijn dure externe adviestrajecten niet altijd noodzakelijk. Een FG kan vanuit de organisatie zelf analyseren waar verbeteringen nodig zijn en gericht adviseren. Indien blijkt dat de organisatie als geheel tekortschiet, kan de FG een concreet stappenplan formuleren om alsnog compliant te worden.
Omdat er nog veel onduidelijkheid bestaat rondom de nieuwe regelgeving, kan het lastig zijn om direct een geschikte interne kandidaat te vinden. In dat geval kan het tijdelijk inzetten van een externe FG een verstandige keuze zijn. Het is daarbij essentieel dat deze rol strikt gescheiden blijft van commerciële adviesdiensten, zodat onafhankelijkheid gewaarborgd blijft en zorginstellingen niet worden geconfronteerd met verborgen belangen.
