Zorgverleners en de AVG

door | 30 april 2019

Hoe kunnen we helpen?

Created On
byRedactie Privacy Zeker
Print
Je bent hier:
< Terug naar handboek

Zorgverleners hebben over het algemeen te maken met medische gegevens. Onder zorgverleners vallen onder andere artsen, tandartsen, apothekers, GZ-psychologen, psychotherapeuten, fysiotherapeuten, maatschappelijk werker, verloskundigen en verpleegkundigen.

Zorgverleners hebben over het algemeen te maken met medische gegevens en daarbij geldt vaak een medisch beroepsgeheim. Voor sommige andere beroepen, zoals maatschappelijk werker, geldt niet het wettelijk geregeld medisch beroepsgeheim. Deze zorgverleners hebben een geheimhoudingsplicht. Mensen die vanwege hun beroep met medische gegevens werken, zijn gebonden aan een geheimhoudingsplicht. Dat betekent dat zij in principe geen gegevens van een patiënt aan anderen mogen verstrekken.

Mag ik gegevens verstrekken aan derden?

Een zorgverlener mag informatie delen voor zover dit noodzakelijk is voor de werkzaamheden met degenen die rechtstreeks betrokken zijn bij de behandeling en met hun waarnemers of vervangers. Dit kunnen zowel andere zorgverleners zijn als bijvoorbeeld secretaresses of financieel medewerkers. Als er bezwaar gemaakt wordt tegen het delen mogen de gegevens niet meer worden verstrekt. Zorgverleners mogen ook informatie verstrekken aan wettelijk vertegenwoordigers als dit nodig is om hun toestemming te vragen voor een behandeling. Bijvoorbeeld als het gaat om de behandeling van een meerderjarige, wilsonbekwame patiënt of een kind onder de 16 jaar.

Het beroepsgeheim mag alleen in bepaalde gevallen worden doorbroken. De belangrijkste drie voorwaarden zijn:

  • toestemming;
  • een wettelijk voorschrift;
  • een conflict van plichten van de zorgverlener.

De patiënt moet volledig geïnformeerd zijn over de gegevens die de zorgverlener graag wil delen. Daarnaast moeten de redenen van de zorgverlener om de gegevens te willen delen bij de patiënt bekend zijn. Bij een conflict van plichten mag het medisch beroepsgeheim ook worden doorbroken. Zo’n conflict ontstaat als het ernstig nadeel of gevaar oplevert voor iemand een zorgverlener zich aan het medisch beroepsgeheim houdt. Er moet sprake zijn van een noodsituatie waarbij alle mogelijke oplossing niet tot resultaat hebben geleidt. Een voorbeeld hiervan kan het melden van kindermishandeling zijn.

Mag ik medische gegevens uitwisselen via een elektronische uitwisselingssysteem?

Een zorgverlener mag alleen gegevens uitwisselen via een elektronische uitwisselingssysteem als zij uitdrukkelijk toestemming hebben gekregen van de betrokkene. Daarbij moet de zorgverlener de betrokkenen goed  informeren en vragen of hij/zij dit systeem mag raadplegen.

Een zorgverlener moet de betrokkene informeren over wat het betekent als de gegevens elektronisch worden uitgewisseld, hoe het werkt en welke zorgverleners zijn aangesloten. Alleen de zorgverleners die bij de behandeling betrokken zijn mogen deze gegevens inzien.

Zorgverzekeraars, keuringsartsen, bedrijfsartsen en verzekeringsartsen mogen géén toegang tot deze medische gegevens via het elektronisch uitwisselingssysteem. Dit heeft te maken met de mogelijke gevolgen voor de patiënt op het moment dat deze partijen wel toegang zouden hebben tot dit systeem.

Mag ik Medische gegevens verstrekken aan een zorgverzekeraar?

Een zorgverlener is verplicht om bepaalde medische gegevens te verstrekken aan een zorgverzekeraar. Het gaat hierbij bijvoorbeeld om gegevens die noodzakelijk zijn om de rekeningen voor de behandeling van een patiënt te kunnen afhandelen of te checken of de zorg wel onder de dekking valt. Een ander voorbeeld zijn Diagnosebehandelcombinaties.  Welke medische gegevens jij als zorgverlener mag verstrekken, is wettelijk geregeld.

Moet ik een Functionaris gegevensbescherming (FG) instellen?

De AVG stelt dat indien er op grote schaal bijzondere persoonsgegevens worden verwerkt er een FG dient te worden ingesteld. De AP heeft vastgesteld dat zorggroepen, huisartsenposten en apotheken op grote schaal bijzondere gegevens verwerken en verplicht zijn om een FG aan te stellen. Instellingen die meer dan 10.000 ingeschreven patiënten hebben óf gemiddeld 10.000 per jaar behandelen en de gegevens van de patiënten in één informatiedossier hebben staan zij ook verplicht zijn een FG aan te stellen. Je hoeft géén FG in te stellen als jij een individuele arts of solistisch werkend apotheker bent.

Let op: De Autoriteit Persoonsgegevens (hierna: AP) verstaat onder een ‘individuele arts’ een zorgverlener die zorg verleent, zonder dat sprake is van een instelling. Werkt een huisarts bijvoorbeeld in een praktijk samen met meerdere assistenten die ook zorg verlenen, dan is er geen sprake van een ‘individuele arts’ in de zin van de AVG.

Let op: Als een apotheker samenwerkt met meerdere assistenten die ook zorg verlenen dan is er géén sprake van een solistisch werkende apotheker.

Welke maatregelen moeten genomen worden om patiëntgegevens te beveiligen?

Het zal niets nieuws zijn dat deze medische gegevens moeten worden beveiligd. Wat nieuw is onder de AVG is wel de verantwoordingsplicht. Dit houdt in dat er aangetoond moet worden dat er passende technische en organisatorische maatregelen zijn genomen om een dossier te beveiligen. In dit specifieke geval zal er niet méér gegevens mogen worden verwerkt dan nodig is voor het doel, de toegang van de medewerkers moet beperkt zijn en de persoonsgegevens mogen niet langer bewaart worden dan noodzakelijk. Voor zorgverleners geldt onder meer dat:

  • de NEN 7510 moet worden gevolgd;
  • er moet worden gelogd welke medewerkers dossiers bekijken;
  • in sommige gevallen een gegevensbeschermingsbeleid dient te worden opgesteld;
  • er sprake is van autorisatie. Op het moment dat een medewerker geen behandelrelatie heeft, zij geen toegang hebben tot de dossier van een patiënt;
  • een verwerkingsregister wordt bijgehouden;
  • indien noodzakelijk een DPIA wordt uitgevoerd;
  • indien noodzakelijk een functionaris voor de gegevensbescherming is ingesteld.

Welke bewaartermijnen worden er gesteld aan een medisch dossier?

Voor het bewaren van een medisch dossier is de hoofdregel minimaal 15 jaar na het einde van de behandelingsovereenkomst. Het is alleen mogelijk om de gegevens langer te bewaren dan 15 jaar op het moment dat dit wettelijk bepaald is, dit noodzakelijk is voor een goede hulpverlening of de gegevens van groot belang zijn voor iemand. Gegevens die niet onder de WGBO vallen, zoals verpleging en verzorging door de thuiszorg, geldt dat persoonsgegevens niet langer dan noodzakelijk bewaard mogen worden.

Geldt het recht op dataportabiliteit ook voor medische dossiers?

Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

De gegevens die wel onder dataportabiliteit vallen:

  • Gegevens die de patiënt zelf heeft verstrekt;
  • Gegevens die de patiënt indirect heeft versterkt door het gebruik van een dienst of een apparaat (pacemaker/bloeddrukmeter).

De gegevens die niet onder dataportabiliteit vallen:

  • Gegevens die niet direct zijn verstrekt door het gebruik van de dienst of een apparaat, maar gegevens voortvloeiende uit conclusies, diagnoses, vermoedens of behandelplannen dus als behandeld arts op basis van de gegevens worden vastgesteld.

Geldt het recht op vergetelheid ook voor medische dossiers?

Het recht om vergeten te worden geldt in eerste instantie niet op medische dossiers. Een patiënt mag vragen om gegevens te verwijderen uit hun dossier, echter bepaald de Wet op de geneeskundige behandelovereenkomst dat medische dossiers 15 jaar moeten worden bewaard. De AVG geeft het recht om je zorgverlener te vragen om gegevens eerder te vernietigen. Op het moment dat er geen wettelijke grond is om de gegevens te bewaren moet dit gebeuren. Op het moment dat een patiënt vraagt om vernietiging zal er binnen 3 maanden aan dit verzoek moeten worden voldaan of moet de patiënt op de hoogte worden gesteld. Worden gegevens verwijderd, kan er in het dossier worden genoteerd dat een deel van de gegevens zijn verwijderd op verzoek van de patiënt.

Geldt het recht op inzage ook voor medische dossiers?

Elke patiënt heeft recht om de gegevens in zijn medische dossier te zien. De patiënt mag alleen de persoonlijke werkaantekeningen van de zorgverlener niet inzien.