Er gaat bijna geen dag voorbij of media schrijven over privacygevoeligheid in de gezondheidszorg. Is dat nu een belemmerende factor? Of valt het wel mee met de flexibiliteit van de wet? Frank Simons (advocaat) en Hanneke Later-Nijland (advocaat en opgeleid als apotheker) van internationaal advocatenkantoor Bird & Bird spraken onlangs op het congres Innnovation for Health over 'E-Health & the Law'. "We werken vaak met nieuwe technologie waarop oude regels worden toegepast. Dat knelt soms."
De overheid zet vol in op eHealth. De doelstellingen voor 2019 zijn ambitieus: 80% van de chronisch zieken en 40% van de overige Nederlanders directe toegang hebben toegang tot hun medische gegevens, 75% van de chronisch zieken en kwetsbare ouderen kan zelfstandig metingen uitvoeren in combinatie met monitoring op afstand en iedereen die thuis zorg en ondersteuning ontvangt kan desgewenst via een beeldscherm 24 uur per dag met een zorgverlener communiceren. Dat gaf minister Schipper eind 2015 nog eens aan bij de eHealth voorgangsrapportage. [Kamerstukken II 2015/16, 27529, nr.134].Tijdens het congres gingen Simons en Later-Nijland in op valkuilen in regelgeving voor ondernemers en zorgverleners in eHealth. Voorbeelden zijn regels omtrent medische hulpmiddelen en privacy.
Later-Nijland: "eHealth software (of een module daarvan) kan kwalificeren als medisch hulpmiddel, omdat er bijvoorbeeld met behulp van deze software een diagnose wordt gesteld of een ziekte behandeld wordt, denk bijvoorbeeld aan triagesoftware of aan Elektronische Voorschrijf Systemen (EVS). In dat geval kom je als softwarefabrikant in een vrij streng gereguleerde omgeving terecht. In dat geval mag de CE markering niet over het hoofd worden gezien, want de Inspectie voor de Gezondheidszorg (IGZ) controleert hier streng op en legt hoge boetes op."
Een voorbeeld van een onderwerp waar eHealth doelstellingen en regelgeving elkaar lijken te bijten is uitwisseling van patiëntgegevens tussen zorgverleners. Toen de IGZ vorig jaar constateerde dat de continuïteit van zorg voor kwetsbare ouderen tekortschoot reageerde de minister met de opdracht dat "iedere zorgverlener zijn elektronische dossiervoering op orde moet hebben, en verschillende systemen in de keten onderling informatie moeten kunnen uitwisselen." [Kamerstukken II 2015/16, 31765, nr. 167] Tegelijkertijd werd in de Eerste Kamer op dat moment een nieuw wetsvoorstel over elektronische uitwisseling van patiëntgegevens behandeld waarover de Landelijke Huisartsenvereniging juist de noodklok had geluid. Dat voorstel zou bij uitwisseling van gegevens zulke strenge eisen stellen dat de situatie onwerkbaar zou worden. [Zie bijv.] De overheid lijkt op die manier tegenstrijdige eisen te stellen.
Later-Nijland: "Privacy en goede zorg hoeven elkaar niet in de weg te zitten. Sterker nog, de Autoriteit Persoonsgegevens heeft in open brief aan alle raden van bestuur van zorginstellingen benadrukt dat de bescherming van persoonsgegevens integraal deel uitmaakt van de patiëntenzorg."
Toch lijkt het op dit speelveld soms onmogelijk om goede, innovatieve zorg te bieden en je tegelijkertijd aan de strenge regels te houden. Volgens Later-Nijland en Simons kan dat knellend aanvoelen, maar wanneer de bedrijven zich vooraf goed en praktisch laten informeren scheelt dat veel ellende achteraf. Integreer regulatory compliance in het product ontwerp, ofwel: "regulatory compliance by design".
Simons: "Hier ligt ook een belangrijke taak voor de wetgever en de toezichthouders. De huidige wet is zo gek nog niet. Die laat ruimte voor verantwoorde innovatie." Denk aan toestemming van de patiënt voor uitwisseling van gegevens, waarover het wetsvoorstel bij de Eerste kamer gaat. De wet stelt nu al duidelijke eisen aan die toestemming. Of denk aan Big Data, waarbij onderzoek wordt gedaan met behulp van grote hoeveelheden medische gegevens. "Terecht vraag men zich dan af hoe het zit met de privacy, maar de reactie zou niet altijd moeten zijn om dan maar nieuwe regels te maken.
De wet geeft voor deze situatie al veel handvatten", aldus Simons. "De wet zegt bijvoorbeeld dat niet meer informatie verzameld mag worden dan noodzakelijk is, dat moet worden voorzien in waarborgen om de privacy te beschermen en dat passende beveiligingsmaatregelen genomen moeten worden. Die formulering biedt flexibiliteit die verantwoorde innovatie toestaat. En tegelijkertijd stelt het natuurlijk eisen aan de eigen verantwoordelijkheid van de zorgverlener of onderzoeker om de privacy van de patiënt te beschermen. Want wat is 'niet meer dan nodig'? En wat zijn 'passende maatregelen?’"
Is dat allemaal nog wel te volgen voor een ziekenhuis of onderzoeksinstelling? "Het lijkt ingewikkeld", zegt Simons. "En dat is het soms ook. Maar goede zorg verlenen is ook ingewikkeld. Daarvoor halen zorginstellingen goede artsen en verpleegkundigen in huis. Het is logisch dat zij ook goede juristen en privacyspecialisten in huis halen die meedenken over het privacybeleid. Ik zou iedere organisatie die bij eHealth is betrokken willen oproepen haar juristen en privacy officers uit te nodigen om al aan het begin van nieuwe beleidsvorming of productontwikkeling mee te denken over de privacyrisico's. Dat kan veel onnodig leed achteraf voorkomen", zegt Simons met klem. "En dat wordt ook steeds belangrijker, zeker met de nieuwe Europese privacyregels in aantocht."
Meldplicht en boetes
Nederland loopt al enigszins vooruit op de nieuwe Europese regels door in Nederland al per 1 januari 2015 een meldplicht voor datalekken en hogere boetes voor privacy-overtredingen te introduceren. In 2018 zal een dergelijke meldplicht gaan gelden in alle EU-landen en zullen de boetebevoegdheden ook in Nederland nog verder worden uitgebreid, met maximale boetes tot € 100.000.000 of 5% van de jaarlijkse wereldwijde omzet voor ernstige overtredingen.Meer aandacht voor compliance en 'privacy by design'
De nieuwe Europese privacywet schenkt veel aandacht aan compliance. Organisaties die persoonsgegevens verwerken moeten kunnen aantonen dat zij de privacy-regels naleven, onder meer door het bijhouden van een administratie over de gegevensverwerking en het maken van duidelijke, schriftelijke afspraken met leveranciers. Organisaties die veel of gevoelige gegevens verwerken – in de gezondheidszorg zal dat al snel het geval zijn – moeten bovendien vooraf een Privacy Impact Assessment (PIA) uitvoeren en moeten een Data Protection Officer (DPO of 'functionaris voor de gegevensbescherming') aanstellen.De nieuwe wet vraagt bij iedereen om meer aandacht voor 'privacy by design'. Dat wil zeggen dat privacybescherming een steeds belangrijkere rol zal moeten gaan spelen bij productontwerp en beleidsvorming. Daarbij moet onder meer worden gedacht aan het inbouwen van privacy verbeterende technieken zoals pseudonimisering. Pseudonimisering wordt in de nieuwe Europese wet uitdrukkelijk genoemd als methode om persoonsgegevens te beschermen, hoewel pseudonimisering vaak niet voldoende is om gegevens echt anoniem te maken.
Medisch hulpmiddel of niet?
Wanneer kwalificeert software als een medisch hulpmiddel?'Er is een aantal stappen om te bepalen of software kwalificeert als een medisch hulpmiddel', zegt Hanneke Later-Nijland.
1. Gaat het om een computer programma?
2. Gaat het om standalone software?
3. Doet de software iets anders dan opslag, comprimering, of een simpele zoekvraag?
4. Is de actie in het belang van de individuele patiënt?
Is het antwoord op deze voorgaande vragen "ja", dan kom je toe aan wat in de meeste gevallen de échte vraag is: is de software bestemd om bij de mens te worden aangewend voor diagnose, preventie, bewaking, behandeling of verlichting van ziekten?
Deze hulpmiddelen moeten zijn voorzien van een CE markering. Dit geeft aan dat ze voldoen aan de zogenaamde essentiële vereisten.
‘Om een CE markering aan te mogen brengen op een klasse I medisch hulpmiddel kunnen bedrijven zelf een EG verklaring van overeenstemming opstellen. In geval van een Klasse II (of hoger) hulpmiddel moet een beoordeling uitgevoerd worden door een zelf te kiezen aangemelde instantie, zoals bijvoorbeeld Dekra. Tenslotte moet het bedrijf de zogenaamde technische documentatie (o.a. een product beschrijving en risico-analyse) beschikbaar houden voor de toezichthouder.’
De Inspectie voor de Gezondheidszorg (IGZ) houdt toezicht op de Wet medische hulpmiddelen en legt (hoge) boetes op als softwarefabrikanten zich niet aan de wet houden.
Over Bird & Bird
Bird & Bird is een internationaal advocatenkantoor (1100 juristen wereldwijd), met een sterke focus op high-tech en gereguleerde sectoren, zoals Technology & Communications, Life Sciences, Media en Energy & Utilities.
