Op 28 mei 2018 wordt de Algemene verordening gegevensbescherming van toepassing. Sinds 1 juli 2017 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg van kracht. Deze regelingen brengen met zich mee dat zorginstellingen en zorgverleners goed moeten nadenken over de organisatie en technische beveiliging van hun (elektronische) patiëntendossiers.
Eventuele aanpassingen daarin kunnen echter niet los worden gezien van de overige gezondheidsrechtelijke regelgeving. In dit artikel volgen enkele zaken waarmee rekening moet worden gehouden.
Zorginstellingen en zorgverleners hebben primair een dossier over hun patiënten omdat zij goede zorg willen verlenen. Het is echter ook een plicht die de wet aan hen oplegt. Die plicht is vastgelegd in de Wet inzake de geneeskundige behandelingsovereenkomst (Wgbo). In die wet staat dat ‘de hulpverlener’ een dossier inricht over de zorgverlening van de patiënt.
In het dossier moeten alle gegevens worden bijgehouden over de gezondheid van de patiënt. De hulpverlener moet verder in het dossier alle verrichtingen beschrijven die ten behoeve van de patiënt worden uitgevoerd. Ook moet hij daarin andere stukken opnemen die gezondheidsgegevens bevatten, voor zover die voor een goede zorgverlening noodzakelijk zijn.
Daaronder vallen overigens ook beeld- en geluidsopnamen. Denk daarbij bijvoorbeeld aan röntgenfoto’s, maar ook opnamen die tijdens operaties worden gemaakt. Of geluidsopnamen die worden gemaakt van gesprekken tussen patiënt en triagist, wanneer een patiënt tijdens avond-, nacht- en weekenduren (ANW-uren) de huisartsenpost belt.
Wat is een hulpverlener?
Het is interessant om na te gaan wie nou eigenlijk op grond van de wet daadwerkelijk de plicht heeft om een dossier aan te leggen. Want die persoon is ook verwerkingsverantwoordelijke van dat dossier in de zin van de Algemene verordening gegevensbescherming.
De verwerkingsverantwoordelijke is degene die doel en middelen bepaalt én degene die bepaalt óf er gegevens worden verwerkt en zo ja welke. Kortgezegd dus: wie bepaalt of, welke, voor welk doel en met welke middelen gegevens worden verwerkt?
Op grond van de Wgbo moet, zoals gezegd, worden bepaald wie hulpverlener is in de zin van die wet. Dat is degene die zich in de uitoefening van een geneeskundig beroep of bedrijf tegenover een opdrachtgever, meestal de patiënt, verbindt tot het verrichten van handelingen op het gebied van de geneeskunst die rechtstreeks betrekking hebben op de opdrachtgever zelf of een bepaalde derde.
De hulpverlener is dus iemand die een geneeskundig beroep of geneeskundig bedrijf uitoefent. Het hulpverlenerschap wordt verder bepaald door de vraag of iemand geneeskundige handelingen uitvoert die betrekking hebben op een persoon.
Is degene die de geneeskundige verrichtingen uitvoert werknemer van een instelling, dan is de instelling degene die de behandelingsovereenkomst met de patiënt heeft. Een werknemer kan immers niet zelfstandig een overeenkomst sluiten. Dat doet hij namens de instelling.
Daarmee hebben verpleeghuizen, instellingen voor verstandelijk gehandicaptenzorg, ggz-instellingen en academische ziekenhuizen een behandelingsovereenkomst met de patiënt en zijn zij dus ook zonder meer verwerkingsverantwoordelijke in de zin van de AVG.
Ziekenhuizen
Maar hoe is dit in andere situaties? In veel ziekenhuizen werken medisch specialisten niet in loondienst, maar op basis van een toelatings- of samenwerkingsovereenkomst. In dat geval is het niet vanzelfsprekend dat het ziekenhuis degene is die hulpverlener is in de zin van de Wgbo.
Dat kan heel goed de medisch specialist zelf zijn, van wie de patiënt immers de zorg ontvangt. In de praktijk is het niet duidelijk en weet de patiënt vaak zelf ook niet met wie hij daadwerkelijk een behandelingsovereenkomst heeft.
Voor de aansprakelijkheid heeft de wetgever dit probleem opgelost. Het ziekenhuis is namelijk in alle gevallen aansprakelijk, ook al heeft het niet zelf de behandelingsovereenkomst. Daarmee is het probleem wie de verantwoordelijkheid voor het dossier heeft echter niet opgelost.
De meeste ziekenhuizen gaan ervan uit dat zij verwerkingsverantwoordelijke zijn voor het elektronisch patiëntendossier. Als het ziekenhuis echter niet óók de hulpverlener is in de zin van de Wgbo, bestaat daarvoor geen wettelijke basis. Want dan is hen dat op grond van de AVG en de toekomstige Uitvoeringswet AVG niet zonder meer toegestaan.
Dan is het verwerken van medische persoonsgegevens uitsluitend toegestaan in het kader van een goede behandeling of een goed beheer van de zorginstelling. Het ligt voor de hand ervan uit te gaan dat ziekenhuis en medisch specialist samen een behandelingsovereenkomst sluiten met de patiënt en ook gezamenlijk verantwoordelijk zijn.
Daarmee is het probleem van de vraag wie verwerkingsverantwoordelijke is deels ondervangen. Er moet dan natuurlijk wel nog onderling afgesproken worden wie waarvoor verantwoordelijk is wat de dossiervoering betreft.
Zorggroepen en ketenzorg
Een andere situatie waarin onduidelijk is wie hulpverlener is in de zin van de wet, is de ketenzorg in de eerste lijn door zorggroepen. Zorgverzekeraars kopen deze ketenzorg in bij zorggroepen, die deze zorg vervolgens met behulp van onderaannemers gaan verlenen.
Is de zorggroep, meestal een rechtspersoon, dan hulpverlener of zijn dat de ketenzorgpartners, bijvoorbeeld huisarts, diëtist, fysiotherapeut, podotherapeut en diabetesverpleegkundige?
Het ligt voor de hand om aan te nemen dat de hoofdcontractant, de zorggroep, hulpverlener is in de zin van de Wgbo en dus ook verwerkingsverantwoordelijke is in de zin van de AVG. In de praktijk vindt men dit echter moeilijk te begrijpen, omdat de zorggroep niet zichtbaar is, er is bijvoorbeeld geen gebouw waar de patiënt komt, en een deel van de zorg bovendien wordt verleend door de eigen huisarts in de eigen praktijk.
Is de zorggroep geen hulpverlener, dan kan het geen dossier bijhouden en dan is het moeilijk om aan alle kwaliteitsverplichtingen te voldoen die zorgverzekeraars van de zorggroep verlangen.
Inschakeling hulppersonen
Als een rechtspersoon hulpverlener is in de zin van de Wgbo, moet hij gebruikmaken van hulppersonen. Een rechtspersoon zelf kan immers feitelijk geen zorg verlenen.
Ook natuurlijke personen hebben soms hulp nodig om aan hun verplichtingen als goed hulpverlener te voldoen. Denk bijvoorbeeld aan een huisarts die verplicht is om 24 uur per dag, zeven dagen per week huisartsenzorg te verlenen. In zijn eentje kan hij dat natuurlijk niet waarmaken.
Deze hulppersonen moeten kennis hebben van de gezondheidstoestand van de patiënt, anders kunnen zij geen zorg verlenen. Goede zorgverlening zou te zeer worden belemmerd als een hulpverlener voor iedere hulppersoon apart toestemming zou moeten vragen om informatie te krijgen over de gezondheidstoestand van de patiënt.
Daarom heeft de wetgever bepaald dat degenen die rechtstreeks betrokken zijn bij de uitvoering van dezelfde behandelingsovereenkomst en vervangers van de hulpverlener zonder toestemming van de patiënt gegevens over de patiënt mogen inzien of ontvangen, voor zover dit noodzakelijk is voor de werkzaamheden die zij uitvoeren.
Op die manier kunnen de onderaannemers van de zorggroep, medewerkers van de huisarts en de huisartsenpost als waarnemer in principe zonder toestemming van de patiënt gegevens ontvangen, voor zover dit noodzakelijk is voor hun taakuitoefening.
Zij hebben dus niet zomaar recht op inzage in alle gegevens uit het patiëntendossier.
Is iemand geen hulppersoon van de hulpverlener of niet betrokken bij de uitvoering van dezelfde behandelingsovereenkomst, dan mag deze persoon de gegevens over de patiënt dus ook niet inzien zonder dat de patiënt daarvoor expliciet toestemming heeft gegeven.
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) maakt de regelgeving over dossiers, wie deze moeten bijhouden en wie erin mogen kijken nog complexer.
Deze wet introduceert namelijk ook nog het begrip ‘zorgaanbieder’, waarmee een zorgaanbieder wordt bedoeld zoals omschreven in de Wet kwaliteit, klachten en geschillen zorg (Wkkgz).
De zorgaanbieder mag gegevens van de patiënt slechts beschikbaar stellen via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de patiënt daarvoor uitdrukkelijk toestemming heeft gegeven.
Een zorgaanbieder moet bovendien binnen drie jaar het dossier elektronisch ter inzage beschikbaar kunnen stellen aan de patiënt.
Een zorgaanbieder in de zin van de Wkkgz hoeft niet dezelfde partij te zijn als de hulpverlener in de zin van de Wgbo.
Een zorgaanbieder in de zin van de Wkkgz is een instelling of een solistisch werkende zorgverlener. Een instelling is een rechtspersoon die bedrijfsmatig zorg verleent, een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of laten verlenen, of een natuurlijke persoon die bedrijfsmatig zorg laat verlenen.
Beschouwing
Begrijpt u het nog? Als het antwoord ontkennend luidt, troost u dan met de gedachte dat dit voor veel juristen ook lastige materie is.
De drie wettelijke regelingen die in deze bijdrage aan de orde zijn geweest, AVG, Wgbo en Wvpz, maken mogelijk een andere entiteit ‘penvoerder’. Deze penvoerders kunnen dezelfde persoon zijn. Dan is er niets aan de hand. Maar het kunnen ook deels verschillende entiteiten zijn, en dan is er wel wat aan de hand.
Waar in ieder geval geen misverstand over mag bestaan, zowel niet tegenover de patiënt als tegenover de verschillende penvoerders onderling, is wie verwerkingsverantwoordelijke is in de zin van de AVG en wie feitelijk zorg verleent aan de patiënt.
Verder is het vooral een kwestie van goed met elkaar afspreken wie waarvoor verantwoordelijk is, dit goed vastleggen in overeenkomsten en de patiënt daarover adequaat informeren.
De AVG schrijft voor dat aantoonbaar aan de verplichtingen uit deze verordening wordt voldaan, dat de patiënt, de betrokkene, goed over de gegevensverwerkingen wordt geïnformeerd en dat, als er sprake is van gezamenlijke verwerkingsverantwoordelijken, de verantwoordelijkheidsverdeling schriftelijk wordt vastgelegd in een overeenkomst.
Wat dat aangaat moeten nogal wat instellingen, ziekenhuizen, zorggroepen en huisartsenpraktijken, een hoofdstuk gaan toevoegen aan samenwerkings-, aansluitings- of toelatingsovereenkomsten, of hoe deze overeenkomsten ook mogen heten.
Laat u zich in ieder geval adviseren door een jurist die door de bomen het bos nog wel ziet.
