Privacy en het landelijk Elektronisch Patiënten Dossier (EPD)

Privacy en het landelijk Elektronisch
Patiënten Dossier (EPD)
Een onderzoek naar het Landelijk EPD op basis van een juridisch raamwerk van de Wet
Geneeskundige Behandelingsovereenkomst(beroepsgeheim), de Wet Bescherming
Persoonsgegevens en de NEN 7510.
M.J. Bonthuis
www.itsprivacy.nl
[email protected]
Privacy en het EPD
oktober 2007
Inhoudsopgave
Inleiding ............................................................................................................... 4
1. Privacy in de zorg; juridisch kader in de traditionele situatie.................................... 6
1.1 Inleiding....................................................................................................... 6
1.2 Wet Geneeskundige Behandelingsovereenkomst................................................ 6
1.2.1 Goed hulpverlenerschap, professionele standaard ........................................ 7
1.2.2 Het dossier ............................................................................................. 7
1.2.3 Geheimhouding; het beroepsgeheim ........................................................ 10
1.2.4 Doorbreking van het beroepsgeheim ........................................................ 12
1.2.5 Toestemming ........................................................................................ 13
1.2.6 Samenvatting........................................................................................ 15
1.3 Bescherming van persoonsgegevens .............................................................. 16
1.3.1 Inleiding ............................................................................................... 16
1.3.2 Soorten persoonsgegevens ..................................................................... 16
1.3.3 Grondslagen.......................................................................................... 17
1.3.4 Doelbepaling ......................................................................................... 17
1.3.5 Informatieverplichting en rechten van betrokkenen .................................... 17
1.3.6 Toezicht................................................................................................ 18
1.3.7 Beveiliging ............................................................................................ 18
1.4. Normen in de zorg ...................................................................................... 19
1.4.1. NEN 7510 ............................................................................................ 19
1.4.2 De Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst .. 20
1.4.3 Nationale Patiënten en Consumenten Federatie ......................................... 21
1.5 Conclusie.................................................................................................... 22
2. Het EPD .......................................................................................................... 23
2.1. De aanleiding voor de ontwikkeling van een EPD ............................................ 23
2.2. De inrichting van het EPD ............................................................................ 23
2.3 Invoering ................................................................................................... 27
2.4 Samenvatting ............................................................................................. 28
3. Het normatieve kader en het EPD ...................................................................... 30
3.1 EPD en de WGBo ......................................................................................... 30
3.1.1 Goed hulpverlenerschap, professionele standaard ...................................... 30
3.1.2 Dossier ................................................................................................. 30
3.1.2 Geheimhouding ..................................................................................... 33
3.1.3 Toestemming ........................................................................................ 34
3.1.4 Conclusie .............................................................................................. 35
3.2 EPD en de WBP ........................................................................................... 35
3.2.1 Verwerken van gegevens ........................................................................ 36
3.2.2 Grondslag ............................................................................................. 36
3.2.3 Doel ..................................................................................................... 37
3.2.4 Informatieplicht van de zorgaanbieder...................................................... 37
3.2.5 Rechten van de patiënt........................................................................... 37
3.2.6 Toezicht................................................................................................ 38
3.2.7 Beveiliging ............................................................................................ 39
3.2.8 Conclusie .............................................................................................. 39
3.3 Normen uit de beroepsgroep......................................................................... 39
3.3.1 NEN7510 .............................................................................................. 39
3.3.2 KNMG................................................................................................... 40
3.3.3 NPCF .................................................................................................... 40
3.4 Nieuwe risico’s ............................................................................................ 40
3.5 Aanvullende wetgeving ................................................................................ 42
3.5.1 Wet gebruik BSN in de zorg..................................................................... 42
3.5.2 Wet EPD ............................................................................................... 42
3.6 Conclusie.................................................................................................... 42
Conclusie ............................................................................................................ 44
Literatuurlijst ...................................................................................................... 47
3
Privacy en het EPD
oktober 2007
Inleiding
Zorgverleners verzamelen gegevens omtrent de gezondheid van patiënten. Goede
zorgverlening valt of staat met goede informatie over de patiënt. De vertrouwelijke
omgang met de patiëntgegevens is daarbij van essentieel belang. De patiënt moet
kunnen rekenen op een verantwoorde omgang met zijn, grotendeels gevoelige,
gegevens. De patiënt zou immers niet onverkort alles aan de zorgverlener meedelen
wanneer de geheimhouding daarvan niet kan worden gegarandeerd. De gegevens
kunnen dan opduiken in situaties waarin dat niet wenselijk is. Gezondheidsgegevens van
patiënten zouden bijvoorbeeld door de zorgverzekeraar kunnen worden gebruikt om op
basis daarvan premies te berekenen, of nog erger: de patiënt te weigeren voor een
bepaalde verzekering. Ook is de uitwisseling naar de bedrijfsarts als onwenselijk te
beschouwen. De werkgever kan het functioneren koppelen met de gezondheidsgegevens,
waardoor bijvoorbeeld een contract niet zou kunnen worden verlengd.
Het belang van de vertrouwensbasis in de arts-patiëntrelatie kent een lange geschiedenis
en is uitgewerkt in wet- en regelgeving. De vertrouwelijke omgang met medische
gegevens en de bescherming van persoonsgegevens stoelt juridisch gezien op twee
principes, namelijk de al in 400 v Chr. door Hippocrates aangevoerde plicht tot
geheimhouding en het zelfbeschikkingsrecht van de patiënt als het gaat om de
bescherming van zijn persoonsgegevens. De geheimhoudingsplicht van de arts, ook wel
beroepsgeheim genoemd, is geënt op een zwijgplicht en een verschoningsrecht. Door de
zwijgplicht is verstrekking aan anderen dan de patiënt in beginsel niet mogelijk. Tevens
bevat het beroepsgeheim een verschoningsrecht, hetgeen een beroep op geheimhouding
bij gerechtelijke procedures omvat. Dit leidt in de meeste gevallen tot een betrouwbare
omgang met patiëntengegevens.
Ten tweede is voor de vertrouwelijkheid het zelfbeschikkingsrecht van belang, ook wel
het recht op privacy genoemd. De betrokkene is zelf degene die beschikt over welke
personen gemachtigd zijn gegevens over hem te verwerken.
De zorg valt of staat dus bij de vertrouwelijke omgang met patiëntgegevens. Toch kan,
wanneer zorgverleners sneller en nauwkeuriger informatie met elkaar uitwisselen,
efficiënter en kwalitatief beter gewerkt worden (bijvoorbeeld doordat bij het behandelen
van een patiënt de zorgverlener door zoveel mogelijk medische gegevens beschikbaar te
maken optimaal geïnformeerd en ondersteund wordt). Als gevolg van het ontbreken van
informatie worden fouten gemaakt en vinden onnodige onderzoeken en behandelingen
plaats.
Uit een recente studie1 in opdracht van het ministerie van Volksgezondheid, Welzijn en
Sport (VWS) blijkt dat als gevolg van vermijdbare medicatiefouten ruim 1.200 patiënten
overlijden. De helft is te vermijden door een betere uitwisseling van medicatiegegevens
van patiënten. Daarnaast levert een gebrek aan uitwisseling van gegevens een
kostenpost op.
Het ministerie van VWS heeft ter verbetering van de kwaliteit van de zorg besloten een
landelijk virtueel patiëntendossier op te zetten: het elektronisch patiënten dossier (EPD).
Er zal op landelijke schaal tussen allerlei zorgaanbieders op een veilige en betrouwbare
manier patiëntgegevens uitgewisseld kunnen gaan worden. Door middel van het EPD zal
door een doelmatiger gebruik van de beschikbare informatie, fouten en het doen van
onnodig onderzoek voorkomen kunnen worden. De gegevens zijn immers elders al
beschikbaar.
Het behoeft nauwelijks betoog dat een Elektronisch Patiëntendossier (EPD) een grote
maatschappelijke betekenis heeft, maar dat het ook aanzienlijke risico’s met zich mee
kan brengen. Met name als het gaat om de vertrouwelijke omgang met de medische
informatie door de verschillende zorgaanbieders ontstaat door de invoerig van het EPD
1
Ministerie van VWS 2007f
4
Privacy en het EPD
oktober 2007
een nieuw risico. De vraag is of door de komst van het EPD de vertrouwelijke omgang op
basis van de huidige wet- en regelgeving nog steeds gegarandeerd kan worden. Deze
vraag zal in dit onderzoek worden behandeld.
In het kader van dit onderzoek zijn voornamelijk de bepalingen omtrent de
vertrouwelijke omgang ten opzichte van het EPD bekeken. Het beroepsgeheim uit de wet
Geneeskundige Behandelingsovereenkomst (WGBo), die in beginsel stelt dat de medische
gegevens geheim dienen te blijven, staat hierin centraal. De persoonsgegevens van de
patiënt zijn eveneens onderworpen aan de bepalingen van de Wet Bescherming
persoonsgegevens (WBP). Volgens de WBP worden medische gegevens als gevoelige
gegevens beschouwd, aangezien zij over de gezondheid van de patiënt gaan. De garantie
dat er zorgvuldig met de bijzondere gegevens wordt omgegaan, zorgt dus voor een
optimale gang van de patiënt naar de zorg. Dit is zowel in zijn eigen individuele belang,
alsmede in het belang van de volksgezondheid in zijn geheel, ook al zorgt een grotere
beschikbaarheid van die gegevens voor een hogere kwaliteit.
Deze regelgeving zal ik in hoofdstuk 1 behandelen. Daarbij zal worden gekeken naar de
wet geneeskundige behandelingsovereenkomst (WGBo), de wet bescherming
persoonsgegevens (WBP) en de normen uit de beroepspraktijk. Vervolgens zal in
hoofdstuk 2 het EPD worden geschetst. Tenslotte zal in hoofdstuk 3 aandacht worden
besteed aan de nieuwe risico’s dat een dergelijk EPD met zich meebrengt. Uiteindelijk zal
de vraag of met het EPD in voldoende mate rekening is gehouden met de
privacyaspecten kunnen worden behandeld.
Dit onderzoek is mede tot stand gekomen met behulp van dr. mr. J.J. Dijkstra van de
sectie Recht & ICT van de Rijksuniversiteit Groningen.
5
Privacy en het EPD
oktober 2007
1. Privacy in de zorg; juridisch kader in de traditionele situatie
1.1 Inleiding
De vertrouwensrelatie tussen zorgverlener en patiënt is van evident belang. Het belang
van het vertrouwelijke karakter van de relatie tussen zorgverlener en patiënt kent al een
lange geschiedenis, aangezien Hippocrates al in 400 voor Christus het volgende in zijn
eed aflegde:
”…… In ieder huis waar ik binnentreed, zal ik slechts komen in het belang van mijn
patiënten. (…)
Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep of in het dagelijks
verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en
niemand openbaren. “ 2
In 1878 werd er in Nederland een artseneed ingevoerd, die was gebaseerd op deze eed
van Hippocrates. Medische studenten leggen momenteel nog steeds een eed of gelofte af
op het moment dat zij hun zorgverlenerbevoegdheid krijgen. De gelofte houdt globaal in
dat de zorgverlener de gegevens die hij over de patiënt verzamelt in beginsel geheim
houdt en niet verstrekt aan anderen dan de patiënt, behoudens enkele uitzonderingen.
In de Wet Geneeskundige Behandelingsovereenkomst (WGBo) zijn dergelijke bepalingen
gecodificeerd onder andere in de vorm van het ‘beroepsgeheim’. Het verzamelen van
gegevens over de patiënt door de zorgverlener is noodzakelijk voor het verlenen van
goede zorg en komt in de WGBo tot uitdrukking in het verplicht voeren van een dossier.
Ondanks de noodzaak om medische gegevens vast te leggen door zorgverleners is het
aan de patiënt om te bepalen aan wie deze worden verstrekt. Dit wordt ook wel
zelfbeschikking genoemd. Het moet voor de patiënt dus vooraf en te allen tijde kenbaar
zijn wat er met zijn gegevens gebeurt en hoe hij zijn rechten kan uitoefenen.
De belangrijkste regels omtrent het vastleggen en gebruiken van persoonsgegevens is
geregeld in de Wet bescherming persoonsgegevens (WBP). De WBP stelt onder andere
de eis om als organisatie passende technische en organisatorische maatregelen te
implementeren. Voor wat betreft de invulling van deze eis is de norm NEN 7510 door de
Inspectie voor de Gezondheidszorg goed bevonden.
In dit hoofdstuk zal het juridische kader vanuit de WGBo, de WBP en de normen uit de
beroepspraktijk worden geschetst waarop de vastlegging van de medische gegevens en
de vertrouwelijke omgang ervan is gestoeld.
1.2 Wet Geneeskundige Behandelingsovereenkomst
De vertrouwelijke en transparante omgang met de medische gegevens zijn onder andere
uitgewerkt in de Wet Geneeskundige Behandelingsovereenkomst (WGBo). De
zorgverlener verleent als goed hulpverlener op verzoek van de patiënt én op basis van
een overeenkomst inzake de geneeskundige behandeling, de zogenoemde
behandelingsovereenkomst, zorg. De WGBo is opgenomen als onderdeel van boek 7 van
het Burgerlijk Wetboek. Afdeling 5, vanaf artikel 7:446 BW, bevat wettelijke regels
omtrent de behandelingsovereenkomst. De regels dwingen zorgaanbieders onder andere
tot het voeren van een dossier (artikel 7:454 BW). De medeaansprakelijkheid van het
ziekenhuis voor wat betreft de uitvoering van de behandelingsovereenkomst en het
dossier is geregeld in artikel 7:462 BW. Ook de informatieverplichtingen jegens de
patiënt en diens rechten ten aanzien van het dossier zijn in de wet opgenomen. De
geheimhouding van de gegevens van de patiënt is geregeld in artikel 7:457 BW en geeft
2
KNMG, Richtlijn Nederlandse artseneed
6
Privacy en het EPD
oktober 2007
tevens regels omtrent de doorbreking ervan. Zorg kan in beginsel slechts worden
verleend met toestemming van de patiënt, hetgeen in artikel 7:450 is opgenomen. In de
meeste gevallen begint de behandelingsovereenkomst dan ook op verzoek van de
patiënt, de behandeling start pas met diens toestemming. De toestemming moet zodanig
zijn gegeven, dat de patiënt weet waarvoor hij toestemming geeft. Dit wordt ook wel de
geïnformeerde toestemming genoemd. De regels zijn van dwingend recht (artikel 7:468
BW). De bepalingen uit de WGBo dienen onder toezicht te staan om de effectiviteit ervan
te garanderen. De Inspectie voor de gezondheidszorg (IGZ) is daarvoor de aangewezen
instantie.
De bepalingen omtrent het goed hulpverlenerschap, de dossiervoering, aansprakelijkheid
en de rechten van patiënten zal ik hieronder als eerste behandelen. Vervolgens komt het
beroepsgeheim aan de orde. Daarna wordt ingegaan op de voorwaarden voor de
doorbreking van de geheimhoudingsplicht met de toestemming van de patiënt als
belangrijkste optie. Tot slot zal het toezicht aan bod komen.
1.2.1 Goed hulpverlenerschap, professionele standaard
Iedere zorgaanbieder heeft de verplichting zich als een ‘goed hulpverlener’ te gedragen.
Deze plicht staat bekend als ‘zorgplicht’ en geldt zowel voor de zorgverlener als voor de
instelling3. De verplichtingen omtrent het goed hulpverlenerschap betreffen onder andere
de gebondenheid van de hulpverlener aan de medische professionele standaard. De
hulpverlener richt zijn medische handelen dan in volgens de laatste inzichten van de
medische wetenschap en ervaring4. Het gaat daarbij om de eigen verantwoordelijkheid
van de hulpverlener die niet door de patiënt opzij kan worden gezet. Dit is bijzonder
relevant in (psychische) noodsituaties waarin de zorgverlener aan patiënten zorg verleent
en de patiënt daarvoor geen toestemming wil of kan geven.
Zodra van een behandelingsovereenkomst sprake is, wordt ook het dossier aangemaakt.
1.2.2 Het dossier
Het verzamelen van gegevens over de patiënt door de zorgverlener is noodzakelijk als
geheugensteun, om te communiceren met het behandelteam en voor de verrekening van
de zorg. De bepalingen omtrent de omvang en de bewaartermijnen, de aansprakelijkheid
voor de inhoud en het gebruik ervan en de rechten die patiënten kunnen uitoefenen
worden in deze paragraaf behandeld.
Omvang
Zorgaanbieders hebben een dossierplicht. Het gaat dan om de vastlegging van díe
gegevens die voor een goede hulpverlening aan de patiënt noodzakelijk zijn. De
dossierplicht ziet op het belang dat een patiënt heeft bij een goede
informatievoorziening. Een patiënt heeft immers ook recht op inzage en afschrift van
deze bescheiden. Een curatief (genezend) dossier bevat naast persoonsgebonden
gegevens en episodegebonden5 gegevens ook de werkaantekeningen van de
zorgverlener. Een dossier kan tevens een verpleegkundig dossier bevatten.
Correspondentie, meldingen aan de inspectie, keuringsgegevens horen niet in een
dossier6.
Het dossier moet zo weinig mogelijk identificerende gegevens bevatten7 aangezien het
niet meer gegevens mag bevatten dan noodzakelijk is voor de behandeling. De
rechtmatig verzamelde gegevens mogen eenmaal door de patiënt verstrekt uiteraard niet
eeuwig worden bewaard.
Bewaartermijnen
3
4
5
6
7
Nouwt 2007a
Leenen 2000,
Gegevens die horen bij een bepaalde behandeling binnen een bepaalde periode (episode).
Nouwt 2007a, p. 9
Nouwt en Lucieer 2006, p. 9
7
Privacy en het EPD
oktober 2007
Het bewaren van (medische) gegevens is onderworpen aan wettelijke bewaartermijnen.
De bewaartermijn is ingesteld ter voorkoming van een te actieve rol van de patiënt om
zijn privacy te beschermen. Hij moet erop kunnen vertrouwen dat na enig ogenblik zijn
gegevens worden vernietigd zonder dat hij dit zelf in de gaten hoeft te houden. Deze
vernietiging vindt veelal plaats als de gegevens niet meer nodig zijn voor het doel
waarvoor zij zijn vastgelegd. De gegevens zullen na verloop van de bewaartermijn
moeten worden vernietigd. Het kan voorkomen dat het onwenselijk is de gegevens te
vernietigen, bijvoorbeeld in het geval van een zwaarwegend belang. In het kader van
erfelijke ziekten of gegevens over anderen dan de patiënt kan worden besloten de
gegevens langer te bewaren. De bewaartermijn voor medische gegevens is op 1-4-2004
verlengd van 10 naar 15 jaar8. Afwijkende bewaartermijnen gelden er tevens voor
situaties die vallen onder het Besluit opneming psychiatrische ziekenhuizen (BOPZ), en
voor Universitaire medische centra. Voor UMC’s geldt een bewaartermijn van 115 jaar
voor kerngegevens9 te rekenen vanaf de geboortedatum. Het beroepsgeheim vervalt
echter niet na het aflopen van de bewaartermijn10.
Aansprakelijkheid
De wijze van het voeren van het dossier, alsook het vernietigen van gegevens ervan, is
primair de verantwoordelijkheid van de zorgverlener. Binnen zorginstellingen zijn
zorgverleners ofwel zelfstandig opererend dan wel in loondienst van de zorgaanbieder.
De constructie is van belang als het gaat om de eventuele gedeelde verantwoordelijkheid
van het dossier. Als de zorgverlener zelfstandig werkend is binnen de instelling, dan is
alleen hij verantwoordelijk voor onder andere de beveiliging van het dossier en dus niet
de instelling. Is de zorgverlener in loondienst dan is naast de zorgverlener de instelling
verantwoordelijk voor de dossiers als het gaat om de beveiliging ervan. Voor de inhoud is
dat te allen tijde alleen de zorgverlener. Zowel de zorgverlener als de zorginstelling is
verplicht een dossier te voeren (artikel 7:454 BW). De zorginstelling kan dan worden
beschouwd als houder. Let wel, als patiënt is men geen eigenaar van het dossier, maar
heeft wel zeggenschap over het dossier11. De zeggenschap uit zich voornamelijk in de
informatieverplichtingen van de zorgaanbieder en de rechten van de patiënt.
Informatieverplichting en rechten van de patiënt
Het zal voor de patiënt kenbaar moeten zijn hoe de verwerking van zijn gegevens
geschiedt en hoe het beleid voor opslag, bewaren en toegang bij de zorgverlener is
ingericht.
De vast te leggen informatie moet bij aanvang van de behandelingsovereenkomst aan de
patiënt worden medegedeeld door de verantwoordelijke dan wel de feitelijk zorgdrager,
vanaf het eerste moment van vastlegging of de eerste verstrekking.
De zorgaanbieder zal de patiënt periodiek moeten informeren welke gegevens van hem
vastgelegd zijn. Daarnaast heeft de patiënt een aantal eigen rechten. De patiënt heeft
onder andere het recht op inzage, aanvulling, correctie, vernietiging en kan zich tenslotte
verzetten tegen dan wel bepaalde uitwisselingen blokkeren. In bepaalde gevallen kan
hiervan worden afgeweken, met dien verstande dat hier strikt mee om moet worden
gegaan. Het geheel aan informatieverplichtingen en rechten van de patiënt heeft
betrekking op zowel de persoonsgebonden gegevens als op de episodegebonden
gegevens.
Informatie moet worden gegeven over het doel van de verwerking, de categorieën van
de te verwerken gegevens, de dossiervorming, de eventuele ontvangers, de bewaar- en
vernietigingstermijnen de mogelijkheden voor bezwaar en beroep. Indien er gebruik
gemaakt wordt van elektronische dossiers zal het voor de patiënt tevens kenbaar moeten
zijn wie daarin inzage heeft of heeft gehad. Naast de beveiligingsmaatregelen die
8
Staatsblad 837/2006
De archiefwet voor academische ziekenhuizen sluit een aantal gegevens uit voor vernietiging, o.a
het eerste hulpverslag, operatieverslag, anesthesieverslag en de ontslagbrief.
10
Dute e.a. 2003, hoofdstuk 4 p. 9
11
Nouwt 2005, p.66
9
8
Privacy en het EPD
oktober 2007
kenbaar moeten zijn voor de patiënt heeft de patiënt ook ná de vastlegging te allen tijde
rechten als inzage en vernietiging van zijn dossier.
Het recht op inzage is te vinden in artikel 7:456 BW en in artikel 35 WBP. De patiënt
heeft naast inzage ook recht op een afschrift van het dossier. De inzage kan slechts
worden geweigerd indien dit schadelijk is voor anderen dan de patiënt. De derde moet
een zwaarwegend belang hebben bij de weigering van de inzage. Na inzage kan het
nodig blijken de gegevens aan te vullen dan wel te corrigeren.
Het recht op aanvulling is van belang indien blijkt dat er gegevens ontbreken, het is te
vinden in artikel 36 WBP. De patiënt heeft vervolgens het recht zijn gegevens te
corrigeren, indien er gegevens onjuist zijn (art. 36 WBP).
De patiënt heeft daarnaast het recht zijn gegevens al dan niet in zijn geheel te
vernietigen12 (artikel 7:455 lid 1 BW). Het gaat dan om de vernietiging van zowel de
persoonsgebonden als de episodegebonden gegevens, ook binnen de wettelijke
bewaartermijn. Het recht op vernietiging is echter niet onvoorwaardelijk. Wanneer een
belang van anderen aanwezig is, de wet zich tegen vernietiging verzet, de zorgverlener
een eigen procedureel belang heeft, er een andere wettelijke termijn geldt óf vernietiging
in het kader van de volksgezondheid niet gewenst is, kan dit recht op vernietiging
worden beperkt (art. 7:455 lid 2 BW). Onder vernietigen wordt ook anonimiseren
verstaan, de gegevens zijn dan immers niet meer tot de persoon herleidbaar.
De werkaantekeningen vallen niet onder de informatieplicht en de rechten van de patiënt
strekken zich er niet uit over uit.
Medische gegevens zullen in beginsel voor anderen dan de patiënt geheim moeten
blijven, dit is bepaald in het zogenaamde beroepsgeheim. Het beroepsgeheim komt in
paragraaf 1.4.1 aan de orde. In bepaalde gevallen kunnen medische gegevens tóch
worden verstrekt aan derden, deze komen in paragraaf 1.2.4 als doorbreking van het
beroepsgeheim uitgebreid aan bod. De patiënt kan zich echter wel verzetten tegen de
(rechtmatige) uitwisseling of verstrekking van zijn gegevens wanneer hij dat onwenselijk
vindt. Door middel van het absolute verzet kan de patiënt zich dan tegen een algemene
verstrekking verzetten, bijvoorbeeld in het kader van alle vormen van direct marketing of
wetenschappelijk onderzoek.
Er kan tevens sprake zijn van relatief verzet. Dit kan het geval zijn als het verzet zich
richt op een bepaalde verstrekking. De grondslag hiervoor ligt ook in artikel 8 onder e en
f WBP. Gesteld moet worden dat het verzet is gerechtvaardigd doordat degene een
‘bekende’ is die de gegevens niet mag inzien (artikel 45 WBP).
De patiënt heeft tevens het recht zijn gegevens te blokkeren, indien de patiënt de eerste
wenst te zijn die bijvoorbeeld na een keuring zijn uitslagen ontvangt. Tot die tijd zijn de
gegevens voor anderen dan hijzelf geblokkeerd, inclusief de behandelende zorgverlener,
zie daarvoor artikel 4:457 BW.
Uitzonderingen
De zorgaanbieder houdt, behoudens enkele uitzonderingen, de hem toevertrouwde
informatie en de gegevens die zijn vastgelegd in het dossier geheim voor anderen dan de
patiënt. Toch kunnen situaties ontstaan waarin het wenselijk is de gegevens te
verstrekken aan anderen dan de patiënt, bijvoorbeeld bij minderjarigheid, na overlijden,
bij het doen van wetenschappelijk onderzoek, de verstrekking aan verzekeraars,
bedrijfszorgverlener en justitie.
Voor patiënten in de leeftijd tot 12 jaar zijn de ouders of de voogd degenen die de
rechten kunnen uitoefenen. Een nuancering op de hoofdregel is door de Hoge Raad
aangebracht als het gaat om zeer bijzondere omstandigheden. In het “Bolderkararrest”
12
Nouwt 2005, p. 66
9
Privacy en het EPD
oktober 2007
heeft de rechter beslist dat het privacybelang van de kleuter prevaleerde boven het
belang van de van incest verdachte vader13 en werd de inzage door de vader geweigerd.
Het uitwisselen van gegevens over overledenen kan volgens de WGBo slechts geschieden
indien er sprake is van een veronderstelde toestemming, dan wel een wettelijke plicht als
het verrichten van onderzoek naar de doodsoorzaak14. Verstrekking is dus ook niet
zonder meer toegestaan aan bijvoorbeeld nabestaanden15.
Voor verstrekking van medische informatie aan verzekeraars kan verwezen worden naar
het verstrekkingbesluit ziekenfondsverzekering. Het verwerkingsdoel is slechts een
‘controle op de doelmatigheid van de verleende zorg’. De verstrekte informatie moet zich
daartoe dus beperken. Ook zijn verzekeraars gebonden aan het door het CBP
goedgekeurde Addendum Zorgverzekeraars bij de bestaande Gedragscode Verwerking
Persoonsgegevens Financiële Instellingen. Hierbij dient te worden opgemerkt dat in het
kader van verstrekking wegens de Diagnose Behandel Combinatie (codes over zorgvraag,
diagnose en behandeling) het CBP van oordeel is dat dit een bovenmatige verwerking is
en daarom strijdig is met het beroepsgeheim16.
Verstrekking aan de bedrijfszorgverlener dan wel de verzekeringszorgverlener is slechts
mogelijk indien het gaat om een verzuimbegeleiding of het beoordelen van een
schadeclaim17 . De verstrekking moet zich beperken tot die specifieke taak.
Er is altijd toestemming voor deze gegevensuitwisseling nodig.
Politie en justitie kunnen in het kader van de opsporing behoefte hebben aan bepaalde
medische informatie. Doorbreking van het beroepsgeheim in het kader van opsporing in
het algemeen is in beginsel verboden. De verstrekking van medische gegevens aan
politie en justitie is alleen gerechtvaardigd als er sprake is van een conflict van plichten.
De verstrekking is pas gerechtvaardigd als de zorgverlener invloed kan uitoefenen op dit
conflict én er kans is op ernstige schade.
Wanneer de patiënt als slachtoffer wordt aangemerkt, kunnen gegevens ten behoeve van
forensisch onderzoek overigens wel worden verstrekt. Indien de patiënt als verdachte
wordt aangemerkt is verstrekking van medische gegevens alleen toegestaan met
toestemming van de patiënt, uitgezonderd de gegevensverstrekking in het kader van
staande of aanhouden. Er kan geen beslag op patiëntendossiers worden gelegd, tenzij er
sprake is van een noodtoestand of conflict van plichten, hetgeen slechts in zeer
uitzonderlijke omstandigheden het geval is.
Samengevat heeft de zorgverlener naast een zorgplicht, de plicht een dossier te voeren
en de patiënt te informeren over de verwerking hiervan. De patiënt heeft een grote
invloed op de uitwisseling van zijn gegevens, behoudens enkele uitzonderingen, onder
andere door het uitoefenen van zijn (toegangs-)rechten ten aanzien van zijn dossier.
1.2.3 Geheimhouding; het beroepsgeheim
Het beroepsgeheim is één van de belangrijkste fundamenten om te komen tot een
vertrouwelijke omgang met informatie over de patiënt. Het betreft de vrije toegang tot
de gezondheidszorg, zodat de patiënt zonder schroom hulp kan inroepen. Het
verstrekken van vertrouwelijke informatie is daarbij namelijk vaak onvermijdelijk.
Sommigen hebben een geheimhoudingsplicht op grond van hun beroep, anderen op
grond van een ambt dat zij bekleden, of vanwege een wettelijk voorschrift dat de
geheimhouding regelt. Op grond van artikel 88 Wet op de Beroepen in de Individuele
Gezondheidszorg hebben artsen, tandartsen, apothekers, gezondheidspsychologen,
13
14
15
16
17
Rechtbank Rotterdam, Rb 22-03-1989, KG 1989, 170
Nouwt 2005, p. 71
Idem, p. 96
Idem, p. 110
Idem, p.109
10
Privacy en het EPD
oktober 2007
psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen een medisch
beroepsgeheim18.
Het beroepsgeheim is een recht van de patiënt19. Het is opgebouwd uit een zwijgplicht en
een verschoningsrecht. De zwijgplicht dwingt de zorgverlener dat zonder (schriftelijke)
toestemming geen informatie mag worden verstrekt aan anderen dan de patiënt. Het
verschoningsrecht is de plicht van de zorgverlener te zwijgen tegenover een derde.
Het belang van het verschoningsrecht is gelegen in het feit dat iedere burger medische
hulp moet kunnen zoeken, zonder dat openbaring van informatie hierover voor
bijvoorbeeld een rechtbank kan worden afgedwongen. De Hoge Raad heeft beslist dat het
belang van waarheidsvinding moet wijken voor het maatschappelijke belang en dat een
ieder zich zonder vrees voor openbaarmaking van het toevertrouwde moet kunnen
wenden tot een verschoningsgerechtigde20. De geheimhouding is ook na leven
geboden21.
Slechts in uitzonderlijke gevallen kan de inbreuk op het verschoningsrecht worden
gerechtvaardigd. Doorbreking is bijvoorbeeld mogelijk indien er sprake is van een
(ernstige) verdenking van de verschoningsgerechtigde, de aard en omvang van de
gegevens in de strafprocedure van belang (inhoud en frequentie) zijn én deze niet op
andere wijze te verkrijgen zijn22.
De WGBo is niet de enige plaats waar het beroepsgeheim is geregeld. Artikel 88 van de
wet Beroepen in de Individuele Gezondheidszorg (Wet BIG) vereist tevens
geheimhouding bij de uitoefening van een beroep op het gebied van de individuele
gezondheidszorg. De schending van de geheimhoudingsplicht is strafrechtelijk geregeld
in artikel 272 van het wetboek van strafrecht (WvSr.) en in artikel 218 van het wetboek
van strafvordering (WvSv.). In het bestuursrecht kan worden verwezen naar artikel 33
van de algemene wet bestuursrecht (Awb), dat verwijst naar artikel 191 van de Wet
Rechtsvordering (WRv.). Dat betreft een verschoningsrecht voor getuigen en
deskundigen op grond van hun ambts- of beroepsgeheim. Ook is voor de tuchtrechter
het geheim een te beschermen norm23.
De omvang van de geheim te houden gegevens, de voorrang die het heeft op andere
bepalingen, de inhoud en het afgeleide beroepsgeheim komen hier aan bod.
Het gaat bij het beroepsgeheim niet alleen om de geheimhouding van medische
gegevens. De geheimhouding geldt ook ten aanzien van de logistieke gegevens die zijn
opgenomen in het dossier zoals de financiële gegevens en persoonlijke gegevens. De wet
spreekt immers over ‘inlichtingen’ en ‘bescheiden’ van en over de patiënt. De
behandelrelatie dient ruim te worden geïnterpreteerd, zo valt de verleende zorg in het
kader van een vriendendienst eveneens onder het beroepsgeheim24.
De primaire verantwoordelijkheid voor goede zorg inclusief de vertrouwelijke omgang
met de patiëntgegevens ligt bij de zorgverlener zelf. Bij een conflict van wettelijke
regelingen, bijvoorbeeld als er volgens de WBP informatie verstrekt móet worden en
volgens de WGBo is dit niet toegestaan, gaat het beroepsgeheim in beginsel voor25.
De zorgaanbieders die geen zelfstandig beroepsgeheim bezitten, maar wel toegang
hebben tot de gegevens (zie hiervoor: doorbreking van het beroepsgeheim) vallen onder
18
19
20
21
22
23
24
25
Nouwt 2005, p. 71
KNMG 2004c, p. 17
HR 2 oktober 1990, Kg 1990, nr. 45/46, p. 1877
CBP 2006c
Nouwt en Lucieer 2005, p. 6
Leenen 2000, p. 221
Nouwt en Lucieer 2005, p. 7
Hooghiemstra 2004c, p. 2
11
Privacy en het EPD
oktober 2007
een afgeleide zwijgplicht. Het kan beschouwd worden als een beroep op het
verschoningsrecht van de zorgverlener26.
Er kunnen zich situaties voordoen die een doorbreking van het beroepsgeheim vereisen.
De voorwaarden om het beroepsgeheim te kunnen doorbreken komen hier aan bod.
1.2.4 Doorbreking van het beroepsgeheim
Er zijn enkele uitzonderingen die het beroepsgeheim kunnen doorbreken. Het
verstrekken van informatie is dan zonder (of met minder) toestemming gerechtvaardigd.
In de volgende gevallen kan het beroepsgeheim worden doorbroken:
-vanwege het algemene belang,
-vanwege het behoren tot hetzelfde behandelteam of
-wegens een conflict van plichten.
Op grond van het algemene belang, zoals bijvoorbeeld het geval is bij een landelijke
uitbraak van een ziekte die voorkomt op de lijst van “Infectieziekten” of bij een wettelijke
ontheffing kan het beroepsgeheim worden doorbroken.
De patiënt kan, gezien de hulpvraag en de omstandigheden, in redelijkheid verwachten
dat de gegevens beschikbaar moeten zijn voor direct betrokkenen. Een manier om het
beroepsgeheim te kunnen doorbreken is dan ook het behoren tot hetzelfde
behandelteam. De zorgverlener moet dan wel rechtstreeks betrokken zijn bij de
behandeling van de patiënt. De toestemming van de patiënt wordt stilzwijgend verleend,
ofwel verondersteld27. Onder de categorie ‘direct betrokkenen’ kunnen ook medewerkers
voor intercollegiale toetsing en de administratieve of financiële afhandeling behoren.
Van belang voor de omvang van inzage door het behandelteam is de mate van
gevoeligheid van de gegevens van doorslaggevende betekenis. Het criterium voor
rechtstreekse betrokkenheid is dat de medebehandelaar over de gegevens op basis van
noodzakelijkheid moet beschikken Er moet dus sprake zijn van een concrete
behandeling, een verwijzing of zorgoverdracht of van materiele verzorging.
De zorgaanbieders die binnen het behandelteam behoren maar geen zelfstandig
beroepsgeheim bezitten, vallen onder een afgeleid beroepsgeheim en zijn dan aan
dezelfde bepalingen gebonden. Opgemerkt dient te worden dat het behandelteam als een
eenheid gezien moet worden. Het kan voorkomen dat de eenheid bestaat uit
behandelaars die niet tot dezelfde instelling behoren, bijvoorbeeld de verstrekking tussen
de huiszorgverlener en een specialist in het ziekenhuis, maar niet tussen de
huiszorgverlener en de maatschappelijk werker28. De informatie over patiënten binnen
een bepaalde instelling kan dus niet voor álle zorgverleners toegankelijk zijn29. Voor
verstrekking aan álle anderen dan rechtstreeks betrokken is immers toestemming
vereist.
De zwijgplicht kan ook worden doorbroken bij een conflict van plichten. Een voorbeeld
van een conflicterende plicht is het geval bij een zwaarwegend belang van de patiënt zelf
of een ander. De doorbreking moet dan gerechtvaardigd zijn door dat zwaarwegende
belang, hetgeen in uitzonderlijke situaties het geval kan zijn. Het moet dus gaan om een
noodsituatie. Een voorbeeld van een zwaarwegend belang kan het melden van
kindermishandeling zijn.
Het verschoningsrecht kan eveneens worden doorbroken wegens een conflict van
plichten, hetgeen het geval kan zijn bij ernstige strafbare kwesties (beraamde moord,
kindermisbruik) én de zorgverlener is in staat om in te grijpen door bijvoorbeeld de
26
27
28
29
KNMG 2004c, p. 18
Roscam-Abbing 2000, p. 335
idem, p. 44
Dute e.a. 2003, hoofdstuk 4 p. 47
12
Privacy en het EPD
oktober 2007
politie te waarschuwen30. De zorgverlener beroept zich dan op wettelijke overmacht. Er
moet dus duidelijk sprake zijn van gewetensnood én een kans op ernstige schade.
De zorgaanbieder zal dus in beginsel aan ieder ander dan de patiënt de gegevens geheim
moeten houden. Echter, de meest voorkomende en belangrijkste doorbreking van het
beroepsgeheim is dat de patiënt toestemming verleent. De bepalingen en de
verschillende vormen van toestemming worden hier apart behandeld.
1.2.5 Toestemming
Eén van de belangrijkste mogelijkheden om het beroepsgeheim te doorbreken is indien
de patiënt toestemming geeft. Toestemming kan mondeling of schriftelijk gegeven
worden. Na de invoering van de WBP (in opvolging van de Wet Persoonsregistraties) is
de schriftelijkheidseis verdwenen. Op verzoek van de patiënt legt de hulpverlener deze
toestemming wél schriftelijk vast indien er sprake is van een ingrijpende situatie (art.
4:451 BW). Voor minderjarigen tussen de 12 en de 16 jaren geldt een dubbel
toestemmingsvereiste. Voor het aangaan van de behandelingsovereenkomst en de
verstrekking van patiëntinformatie aan anderen is naast de toestemming van de patiënt
de toestemming van de ouders vereist (7:450 lid 2 BW). Voor jongeren ouder dan 16
jaren geldt het dubbele toestemmingsvereiste alleen indien deze niet in staat is voor
zichzelf op te komen (lid 3). De verschillende vormen van toestemming komt hier aan
bod. Uiteraard kan de toestemming te allen tijde weer worden ingetrokken.
Er kan sprake zijn het geven van verschillende gradaties van toestemming. De meest
duidelijke is de geïnformeerde toestemming. De toestemming wordt dan uitdrukkelijk en
ondubbelzinnig gegeven. Er kan ook sprake zijn van een minder uitgesproken vorm,
namelijk door het geven van expliciete, veronderstelde of stilzwijgende of generieke
toestemming. De zorgverlener kan er dan vanuit gaan dat de patiënt instemt door dit uit
zijn gedrag te concluderen. Als de patiënt geen bezwaar maakt, kan de toestemming als
verleend worden beschouwd.
Uiteraard moet het voor de patiënt kenbaar (te overzien) zijn waarvoor hij toestemming
verleent en de patiënt moet bewust zijn van het feit dát hij toestemming verleent,
uiteraard moet de toestemming in vrijheid zijn gegeven.
De volgende invullingen van het toestemmingsvereiste uit de WGBo worden gehanteerd
binnen de zorgverlener-patiëntrelatie die hieronder aan bod gaan komen zijn:
-geïnformeerde toestemming,
-expliciete toestemming,
veronderstelde toestemming en
-generieke toestemming.
Geïnformeerde toestemming
Onder geïnformeerde toestemming wordt een vrije, specifieke en op informatieuitwisseling beruste wilsuiting verstaan. De patiënt aanvaardt daarmee de verwerking
van zijn persoonsgegevens.
Bij het geven van geïnformeerde toestemming, ook wel uitdrukkelijke of ondubbelzinnige
toestemming genoemd, is het van belang dat er geen twijfel is over de verleende
toestemming door de patiënt. De afwezigheid van de twijfel kan ook blijken uit het
gedrag van de patiënt. Bij twijfel moet de verantwoordelijke de gegeven toestemming
bewijzen. De WBP spreekt van een zwaardere eis van uitdrukkelijke toestemming als het
gaat om gegevens betreffende iemands gezondheid. Een algemene machtiging voldoet
dus niet aan voldoende omschreven doel31. Ondubbelzinnige toestemming moet worden
gegeven bij de verstrekking aan niet-hulpverleners of indien sprake is van een nieuwe
behandelrelatie dan wel nieuwe behandelepisode. Daarnaast is bij de verwerking van
30
31
Nouwt 2005, p. 87
idem
13
Privacy en het EPD
oktober 2007
zeer gevoelige gegevens ondubbelzinnige toestemming altijd vereist, zelfs als het gaat
om wetenschappelijk onderzoek.
Expliciete toestemming
Van expliciete toestemming is sprake als de zorgverlener de patiënt al kent uit een
eerdere behandelepisode. De zorgverlener moet zich dan nog wel nadrukkelijk
vergewissen of de patiënt toestemming verleent voor de nieuwe behandelepisode.
De patiënt zal vooraf geïnformeerd moeten worden over het doel, de inhoud en mogelijke
consequenties. De verwerking is eveneens onderhevig aan de beperkte omvang
(noodzakelijkheidsvereiste32).
Veronderstelde toestemming
Als het gaat om een actuele zorgvraag naar een andere hulpverlener, die dus
rechtstreeks betrokken is binnen een functionele eenheid, dan kan de verstrekking op
basis van veronderstelde toestemming plaatsvinden. De uitwisseling kan dan ook
plaatsvinden in het kader van secundaire doelen, bijvoorbeeld het beheer van dossiers,
de financiële afwikkeling, intercollegiale toetsing, intervisie, supervisie,
kwaliteitsbewaking en/ of kwaliteitsbevordering. Met dien verstande dat zoveel mogelijk
gegevens geanonimiseerd dienen te worden.
De voorwaarden voor een verwerking op basis van veronderstelde toestemming zijn dat
de toegang wordt verleend in een concrete situatie (inclusief spoedeisende zorg), het
voor de patiënt redelijkerwijs te verwachten is (kenbaarheid), het om zorgdoeleinden
(ook secundair) gaat, er geen sprake van bezwaar is door de patiënt en de verstrekking
beperkt is tot noodzakelijkheid (bij de ontvanger).
Indien er sprake is van spoed kan er terug gegrepen worden op een zogenoemde
noodprocedure. Naast de eis van noodzakelijkheid wordt de verstrekking achteraf
gecontroleerd door middel van logging. Dit om te kunnen controleren op eventueel
misbruik.
Geen toestemming hoeft te worden verleend indien sprake is van een wettelijke
verplichting. Een voorbeeld van een doorbreking op basis van een wettelijke verplichting
is de verwerking van persoonsgegevens naar aanleiding van een uitbraak van een ziekte
die voorkomt op de lijst Infectieziekten.
Een voorbeeld van een onterechte doorbreking van het beroepsgeheim op basis van een
wettelijke verplichting illustreert de volgende casus:
casus MRSA; In een ziekenhuis was een epidemie ontstaan door de gevaarlijke ziekenhuisbacterie
MRSA. Men wilde medische gegevens van werknemers inzien en opslaan in een nieuw bestand om
te kunnen controleren of medewerkers besmet waren. Aangezien er sprake was van een structurele
en centrale opslag en er geen ontheffing was verleend door het CBP (de bacterie kwam niet voor
op de lijst Infectieziekten), er geen sprake was van rechtstreekse betrokkenheid, én er geen
conflict van plichten was (immers: structureel verwerkt), was deze verwerking niet toegestaan.33
De veronderstelde toestemming, bijvoorbeeld voor verstrekking binnen het
behandelteam, heeft de patiënt het recht om (achteraf) bezwaar te maken, de
zogenoemde opt-out. Een veelvoorkomende en pragmatische uitwerking van de
veronderstelde/ impliciete toestemming is de open brief van de zorgverlener die aan de
patiënt wordt meegegeven34.
32
Op 24 februari 2004 hebben het CBP en het Ministerie van Volksgezondheid, Welzijn en Sport
Werkwijze in een brief omtrent privacyaspecten bij de invoering van DBC-systematiek onder meer
het “noodzakelijkheidsvereiste” (doel van de verstrekking, aard en omvang van de gegevens)
nader uitgewerkt.
33
CBP 2001
34
Dute e.a., hoofdstuk 4 p. 9
14
Privacy en het EPD
oktober 2007
Generieke toestemming
Generieke toestemming kan worden gebruikt indien men de toestemming wil gebruiken
voor toekomstige, althans nog niet concrete situaties, vooruitlopend op een
behandelrelatie.
De criteria voor een rechtmatige toepassing van generieke toestemming zijn dat de
toestemming voldoende specifiek moet worden gegeven en daarnaast dat de
verstrekking beperkt moet zijn tot noodzakelijke informatie, bijvoorbeeld als de
zorgketen van tevoren vast staat35.
Het CBP beoordeelde een uitwisseling binnen een zorgregio in West-Brabant op basis van
generieke toestemming als rechtmatig omdat toestemming voldoende specifiek was
gegeven. Zij kwam tot dit oordeel ook omdat de verstrekking op beperkte schaal
plaatsvond en noodzakelijkheid was voor een goede behandeling36. Tevens was het voor
patiënten kenbaar doordat zij goed geïnformeerd en geïdentificeerd konden worden.
Een belangrijk criterium bij het rechtmatige gebruik van de generieke toestemming is
dus de specificiteit of bepaaldbaarheid, dat de verwerking is gericht op specifieke
gegevens en de verstrekking aan specifieke zorgaanbieders. Ook de generieke
toestemming kan altijd worden ingetrokken.
1.2.6 Samenvatting
De zorgverlener heeft de plicht zich als een goede hulpverlener te gedragen door zorg te
verlenen volgens de actuele professionele standaard, door een dossier te voeren en de
patiënt over de opgenomen gegevens te informeren. Het dossier heeft beperkingen qua
omvang en de bewaartermijn. De zorgverlener is te allen tijde verantwoordelijk voor de
inhoud. De patiënt heeft op zijn beurt verschillende mogelijkheden door het uitoefenen
van zijn rechten de omvang van de verstrekking te beïnvloeden. De zorgverlener is
gehouden de gegevens geheim te houden aan ieder aan ander dan de patiënt. De
zorgverlener kan de geheimhouding slechts doorbreken op basis van verleende
toestemming van de patiënt, dat op verschillende wijzen kan worden verleend. Daarnaast
kan het beroepsgeheim worden doorbroken wanneer de verstrekking plaats vindt binnen
het behandelteam of als er sprake is van een conflict van plichten.
Hoe qua bescherming volgens de Wet bescherming Persoonsgegevens met medische
gegevens van de patiënt omgegaan zal moeten worden, zal in de volgende paragraaf
worden behandeld.
35
36
zoals bijvoorbeeld de keten voor diabetes van tevoren voldoende vast staat.
Nouwt 2005, p. 57
15
Privacy en het EPD
oktober 2007
1.3 Bescherming van persoonsgegevens
Door de toenemende automatisering kunnen steeds méér gegevens over personen
worden verzameld, gekopieerd, verstuurd, oftewel worden “verwerkt”. Hierdoor is de
mogelijkheid van schending van iemands privacy ook toegenomen. Een aanpassing van
wetgeving wordt gezien de toenemende digitalisering van persoonsgegevens
noodzakelijk. Digitaal beschikbare gegevens zijn immers makkelijker en op grotere
schaal te verspreiden. Ook in de zorg maken vorderingen van informatietechnologieën de
verwerking en uitwisseling van gegevens aanzienlijk makkelijker. We spreken in het
kader van de WBP over regels omtrent de bescherming van persoonsgegevens, ook wel
informationele privacy.
De Nederlandse Wet Bescherming Persoonsgegevens (WBP) is gebaseerd op de Europese
privacyrichtlijn 95/46/EG. De wet legt aan de verantwoordelijken van de verwerkingen
verplichtingen op om garanties te kunnen geven voor de vastgestelde rechten van de
betrokken personen.
Het is niet alleen de zorgverlener die belang heeft bij een goede verwerking en een
zorgvuldige omgang met de gegevens. Dit treft ook zeker het individuele belang van de
patiënt. De patiënt mag er op rekenen dat de gegevens die zijn opgenomen correct zijn
en correct worden gebruikt. De rechten van de betrokkene zijn daarom wettelijk
verankerd.
1.3.1 Inleiding
De Wet Bescherming Persoonsgegevens (WBP) is een uitwerking van de Europese
privacyrichtlijn 95/46/EG. Vanwege het vaak grensoverschrijdende karakter van
verwerkingen waren uniforme maatregelen binnen de gehele EU noodzakelijk. De
Europese algemene beginselen zijn geïmplementeerd in de Wet Bescherming
persoonsgegevens die op 1-9-2001 in werking is getreden. In 2001 verving de WBP de
Wet persoonsregistraties. De grootste verandering was dat vanaf dat moment niet alleen
persoonsregistraties aan privacybepalingen moesten voldoen, maar álle handelingen
omtrent persoonsgegevens, van verzamelen tot en met het vernietigen en alles wat
daartussen zit. De wet spreekt dan ook over het verwerken van persoonsgegevens.
Van belang is voor de mate van de beschermende maatregelen is het onderscheid dat de
wet maakt tussen gewone en bijzondere (ook wel gevoelige) gegevens. Daarnaast is de
omvang van die verwerkingen, de grondslagen, de doelbepaling, het toezicht en de
beveiliging van de persoonsgegevens37 van invloed op de te nemen maatregelen.
1.3.2 Soorten persoonsgegevens
De WBP maakt onderscheid tussen gewone en gevoelige persoonsgegevens. Gevoelige
gegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras,
politieke gezindheid, lidmaatschap van een vakbond, gezondheid en ten slotte de
strafrechtelijke gegevens. Alle andere gegevens worden als gewone persoonsgegevens
aangemerkt. Aangezien de meeste inbreuk op de informationele privacy wordt
verondersteld bij de verwerking van gevoelige gegevens verbiedt de WBP in artikel 16 de
verwerking van die gegevens. Medische gegevens zijn bijzondere gegevens en vallen in
beginsel onder het verwerkingsverbod. Aangezien het in bepaalde situaties, bijvoorbeeld
in de zorg, van belang is deze gegevens te verwerken, denk ook aan de dossierplicht,
zijn er enkele verplichte en facultatieve uitzonderingen op het verwerkingsverbod. De
uitzonderingen zijn te vinden in de artikelen 21 en 23 van de WBP. Zorgverleners met
een BIG-registratie38 vallen onder de uitzondering uit artikel 21 WBP voor zover de
37
gegevens die personen identificeren of tot personen te herleiden zijn.
De Wet op de beroepen in de individuele gezondheidszorg, de Wet BIG, regelt de zorgverlening
door beroepsbeoefenaren. Alleen wie in het register is ingeschreven, mag de door de wet
beschermde titel voeren. De deskundigheid van de geregistreerde beroepsbeoefenaren is hiermee
voor iedereen herkenbaar.
38
16
Privacy en het EPD
oktober 2007
verwerking van medische gegevens met het oog op een goede behandeling noodzakelijk
is. Ook als de verwerking geschiedt voor doeleinden van preventieve geneeskunde,
bijvoorbeeld ten behoeve van een medische diagnose, kunnen zorgverleners medische
gegevens verwerken. Daarnaast is het toegestaan in het belang van het beheer van
gezondheidsdiensten medische gegevens te verwerken. De bijzondere persoonsgegevens
moeten worden verwerkt door zorgverleners die zijn onderworpen aan het in wet- en
regelgeving vastgelegde beroepsgeheim of door een andere persoon voor wie een
gelijkwaardige geheimhoudingsplicht geldt39(art. 12 WBP).
Het verbod om medische gegevens te verwerken, wordt kort samengevat dus opgeheven
voor instanties die gehouden zijn aan bepalingen omtrent het beroepsgeheim. Tevens
moeten verwerkingen, uitgaande van de doeleinden waarvoor zij worden verzameld, ter
zake dienend en mogen niet bovenmatig zijn (art. 6 WBP). De gegevens moeten
bovendien nauwkeurig zijn en waar nodig worden bijgewerkt.
Zorgverleners kunnen de medische gegevens niet zomaar verwerken, daarvoor is een
wettelijke grondslag vereist.
1.3.3 Grondslagen
In artikel 8 van de WBP worden de grondslagen voor een rechtmatige verwerking
limitatief opgesomd. Ten eerste mogen persoonsgegevens worden verwerkt door middel
van uitdrukkelijke toestemming, ten tweede kan de verwerking geschieden indien dit in
het vitale belang van de betrokkene is. De overige grondslagen, namelijk de verstrekking
in het belang van een wettelijke taak of voor de uitvoering van een overeenkomst zulle
verder onbesproken blijven, aangezien zij voor de zorg niet relevant zijn.
De toestemmingsgrondslag komt neer op een vrije, specifieke en op informatie
berustende wilsuiting. Indien deze wordt gegeven onder dreiging van niet-behandeling of
een minder goede behandeling in een medische situatie, dan kan het geven van
toestemming niet als vrij worden beschouwd.
De “specifieke toestemming” moet betrekking hebben op een welbepaalde, concrete
situatie waarin het voornemen bestaat medische gegevens te verwerken.
Dat wil zeggen dat de specifieke toestemming op informatie berust, volledig en
nauwkeurig is, informatie verschaft over de aard, de doeleinden, de ontvangers van
mogelijke doorgifte, de rechten van de patiënt, en dat de patiënt bewust is van gevolgen
van het onthouden van de toestemming.
Ten tweede kan de verwerking voor de zorg geschieden wanneer dit in het vitale belang
van de betrokkene is, bijvoorbeeld indien deze lichamelijk of juridisch niet in staat zijn
toestemming te verlenen, denk bijvoorbeeld aan bewusteloosheid na een ongeluk.
De persoonsgegevens die rechtmatig zijn verkregen, dus op basis van een hiervoor
omschreven grondslag, mogen daarna echter niet voor ieder doel worden aangewend.
1.3.4 Doelbepaling
De gebruiksbeperking of doelbepaling van artikel 7 en 9 van de WBP verbiedt onder meer
verdere verwerking die onverenigbaar is met het doel of de doeleinden waarvoor de
gegevens zijn verzameld. De gegevens die voor zorgdoeleinden zijn verzameld kunnen
dus ook enkel voor dat doel worden gebruikt.
Artikel 10 van de WBP stelt dat persoonsgegevens niet langer mogen worden bewaard
dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of
vervolgens worden verwerkt, noodzakelijk is. Naast de beperkingen die zorgverleners in
acht moeten nemen ten aanzien van het verwerken van medische gegevens, hebben zij
tevens de plicht de patiënt te informeren, teneinde zijn rechten uit te kunnen oefenen.
1.3.5 Informatieverplichting en rechten van betrokkenen
Evenals de WGBo vereist de WBP dat de verantwoordelijke van de verwerking, in dit
geval de zorgverlener, bepaalde informatie moet verstrekken aan de patiënt (art. 33
39
Roscam-Abbing 2000, p. 336
17
Privacy en het EPD
oktober 2007
WBP), waaronder begrepen de doeleinden van de verwerking, de ontvangers van de
gegevens en het bestaan van een recht op toegang.
Het recht van toegang uit artikel 36 WBP geeft de patiënt het recht de juistheid van de
gegevens na te gaan en erop toe te zien dat de gegevens bijgewerkt worden.
1.3.6 Toezicht
Het College Bescherming Persoonsgegevens (CBP) is de onafhankelijke toezichthouder
met betrekking tot de naleving van de WBP en ziet erop toe dat de (informationele)
privacy burgers, en dus ook van patiënten, gewaarborgd blijft. Het CBP houdt op basis
van artikel 51 e.v. WBP toezicht op de naleving ervan. Zorgverleners dienen
verwerkingen aan het CBP te melden. Daarnaast geeft het CBP adviezen over en
antwoorden op vragen omtrent privacykwesties. Ook doet het CBP onderzoek binnen
bepaalde maatschappelijke sectoren en publiceert daarover achtergrondstudies.
Aangezien de verwerkingen niet beperkt zijn tot de nationale landsgrenzen is tevens
aandacht voor het Europese kader. Het CBP neemt samen met andere nationale
toezichthoudende autoriteiten deel in de Artikel 29 Werkgroep van de EU (WP29)40 om
gezamenlijk beleid te ontwikkelen als het gaat om de bescherming van
persoonsgegevens onder andere in het digitale tijdperk. Verwerkingen dienen door deze
digitalisering en de daardoor toenemende risico’s van onrechtmatige verspreidingen op
passende wijze beveiligd te worden.
1.3.7 Beveiliging
De zorgverlener dient volgens art. 13 van de WBP ten aanzien van de verwerkingen met
patiëntgegevens passende technische en organisatorische maatregelen te nemen. De
medische gegevens dienen te worden beveiligd tegen vernietiging, hetzij per ongeluk,
hetzij onrechtmatig. Tevens zullen de maatregelen moeten voorkomen dat de verwerking
op niet toegelaten wijze kan worden verspreid. Het CBP spreekt een voorkeur uit voor
technische methoden, gezien het gemak ervan betreffende de controle en werkingsfeer41.
De beveiliging van medische persoonsgegevens is geen doel op zich, maar een middel ter
realisatie van de vertrouwelijkheid, integriteit en beschikbaarheid van medische
gegevens42. De vereiste mate van beveiliging hangt onder andere af van stand van de
informatie- en communicatietechnologie43 en de aard en omvang van de gegevens.
Medische gegevens moeten als bijzondere of gevoelige gegevens worden beschouwd en
vereisen dan ook een hoger beschermingsniveau.
40
41
42
43
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm
CBP zelfreguleringinstrumenten, http://www.cbpweb.nl
Nouwt 2007a, p. 3
idem, p. 15
18
Privacy en het EPD
oktober 2007
1.4. Normen in de zorg
De WGBo en de WBP laten ruimte voor de praktijk om bepaalde begrippen nader in te
vullen. Het draagt bij aan een zo uniform mogelijke garantie van de vertrouwelijke
omgang met gegevens en de bescherming van de privacy. De NEN 7510 is bijvoorbeeld
een uitwerking van de beveiligingseis uit artikel 13 WBP. De Koninklijke Nederlandse
Maatschappij ter bevordering van de Geneeskunst (KNMG) heeft het begrip ‘goed
hulpverlenerschap’ uit de WGBo nader uitgewerkt in verschillende richtlijnen. De
belangenorganisatie van de patiënt, de Nederlandse Patiënten en Consumenten Federatie
(NPCF) ontwikkelt beleid dat het patiëntenbelang behartigt. De drie normerende
instellingen komen hieronder aan bod.
1.4.1. NEN 7510
De norm NEN 751044 bevat regels over informatiebeveiliging binnen de zorgsector. Onder
informatiebeveiliging in de zorg wordt verstaan dat de beschikbaarheid, integriteit en
vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te
kunnen bieden wordt gewaarborgd. Instellingen worden door de IGZ gecontroleerd op
een deugdelijke implementatie van deze norm.
De norm kan worden beschouwd als een kader. Binnen dit kader kan elke proceseigenaar
de voor zijn/haar proces relevant geachte informatiebeveiliging specificeren, inclusief de
daarbij behorende maatregelen. De zorginstelling kan per hoofdstuk nadere invulling
geven aan de opsomming die daarin gegeven is. Wanneer men aandacht besteedt aan
deze punten wordt men geacht een compleet pakket aan beveiligingsmaatregelen te
hebben.
De norm bevat onder andere bepalingen over beveiligingseisen ten aanzien van
personeel en toegang. Aspecten als het laten afgeven van een verklaring omtrent het
gedrag door personeel dat met gevoelige informatie werkt, het hebben van
beschrijvingen van functies met diens rollen, verantwoordelijkheden, toegangsrechten,
zwijgplichten en geheimhouding, maar ook het uitvoeren van beleid omtrent
bewustwording over de beveiligingseisen worden in de norm behandeld.
De norm bevat tevens richtlijnen om het fysieke beveiligingsbeleid deugdelijk op te
zetten en gaat daarbij voornamelijk over de beveiliging van de omgeving. Aspecten als
versleuteling, toegangsbeheer, firewalls, virusscanners (naast de fysieke beveiliging als
sloten op kantoorruimtes ) komen in de norm aan bod.
Met betrekking tot het onderdeel ‘operationeel beheer van ICT’ gaat de norm
voornamelijk in op aspecten als functionaliteit, betrouwbaarheid, doelmatigheid,
onderhoudbaarheid en overdraagbaarheid van ICT. Ook schrijft de norm bepalingen voor
omtrent functiescheidingen, ISO 9126, de norm om kwaliteitseisen aan ICT-diensten of
producten te operationaliseren, de te nemen maatregelen tegen kwaadaardige
apparatuur, het maken van reservekopieën, de keuze en beveiliging van gebruikte media
en systeemdocumentatie, maar bevat vooral beleid omtrent gegevensuitwisseling.
De norm is gebaseerd op de eisen uit de relevante wetgeving. Zij noemt daarbij de
hiervoor beschreven WGBo, de WBP, maar ook de Wet Computercriminaliteit (WCC) en
de Wet Identificatie bij Dienstverlening (WID).
Naast het borgen van de kwaliteitscriteria vereist de norm ook dat de
informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht voordat kan
worden gesproken over adequate informatiebeveiliging. De norm is voornamelijk gespitst
op technische maatregelen, voor de organisatorische maatregelen kunnen we kijken naar
de normen zoals opgesteld door de praktijk.
44
http://www.nen7510.org
19
Privacy en het EPD
oktober 2007
1.4.2 De Koninklijke Nederlandse Maatschappij tot bevordering der
Geneeskunst
De Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst (KNMG) is een
federatieve organisatie van en voor zorgverleners die staat voor de bevordering van de
kwaliteit van de beroepsuitoefening en van de kwaliteit van de volksgezondheid. De
normen zijn opgesteld door de beroepsgroep zelf en zijn voor zowel zorgverleners die zijn
aangesloten bij de KNMG van toepassing, als van toepassing op niet-leden45. De KNMG
heeft verscheidene uitwerkingen opgesteld zoals bijvoorbeeld de Gedragsregels voor
artsen46, de Richtlijn inzake het omgaan met medische gegevens47 en de Richtlijn online
arts-patiënt contact48.
Gedragsregels voor artsen
De richtlijn ‘Gedragsregels voor artsen’ kan worden gezien als een richtlijn voor de arts,
maar richt zich op de relatie arts-patiënt. De uitwerkingen kunnen worden beschouwd als
een nadere invulling van het begrip ‘zorg van een goed hulpverlener’ uit de WGbo,
danwel de ‘professionele standaard’. De bepalingen die toezien op de privacyaspecten
zullen hieronder worden behandeld.
De richtlijn bestaat uit een algemeen gedeelte dat gedragsregels bevat over het
zelfbeschikkingsrecht. De zorgverlener laat zich bij zijn beroepsuitoefening leiden door
het respect voor zelfbeschikking van de patiënt. Naast het algemene gedeelte bevinden
zich in de richtlijn gedragsregels voor de zorgverlener in relatie tot de patiënt. Er is onder
andere in opgenomen dat de zorgverlener slechts na het verlenen van gerichte
toestemming en nadat de patiënt voldoende geïnformeerd is, kan overgaan tot de
behandeling. Daarnaast is de plicht te zwijgen tegen een ieder die niet bij de behandeling
betrokken is, uitgezonderd de doorbreking op basis van een conflict van plichten,
opgenomen in de richtlijn. Het derde onderdeel van de richtlijn betreffen de
gedragsregels omtrent de zorgverlener in relatie tot collegae en andere hulpverleners.
Medische en/of andere privacygevoelige gegevens, die gericht zijn aan zorgverleners die
werkzaam binnen een organisatorisch verband, dienen uitsluitend te worden geopend
door en onder ogen te komen van de zorgverlener voor wie deze gegevens zijn bestemd
of door personen die door de zorgverlener daartoe uitdrukkelijk zijn geautoriseerd (III.5).
De richtlijn bevat tevens gedragsregels over de relatie tussen de zorgverlener en
wetenschappelijk onderzoek, de publiciteit en het bedrijfsleven. Tenslotte bevat de
richtlijn regels die te maken hebben met de volksgezondheid en de samenleving in het
algemeen.
Richtlijn omgaan met medische gegevens
De KNMG heeft naar aanleiding van veranderingen in privacywetgeving, de verplichtingen
tot het informeren van patiënten, de veranderingen omtrent de uitwisseling van
gegevens de richtlijn ‘omgaan met medische gegevens’ opgesteld. De richtlijn, in de zorg
ook wel bekend als het groene boekje, bevat regels over de uitwisseling, opslag en
vernietiging van gegevens. De richtlijn is onderverdeeld in regels omtrent de
dossierplicht en diens bewaartermijnen, rechten van patiënten en het beroepsgeheim in
algemene en bijzondere situaties. De regels komen overeen met de bepalingen uit de
WGbo en zijn daar waar nodig meer expliciet gemaakt. De regels omtrent het
beroepsgeheim in specifieke situaties zien op regels bij de doorbreking van het
beroepsgeheim, door bijvoorbeeld de toestemming van de patiënt, het behoren tot de
behandelrelatie, de wettelijke plicht en het conflict van plichten. Bij de bepaling over de
toestemming wordt bepaald dat deze geïnformeerd moet zijn gegeven. Een schriftelijk
verleende toestemming is niet altijd nodig. Ook mondeling gegeven toestemming kan
door middel van een aantekening in het dossier worden opgenomen. Voor wat betreft de
45
46
47
48
KNMG 2002
KNMG, Gedragsregels voor artsen
KNMG 2004c
KNMG/ NPCF 1998
20
Privacy en het EPD
oktober 2007
rechtstreekse betrokkenheid (behandelrelatie) zal de zorgverlener na moeten gaan welke
gegevens relevant zijn en verstrekt mogen worden. Er wordt een onderscheid gemaakt
tussen gewone en privacygevoelige gegevens én gegevens die extra gevoelig zijn, met
name de gegevens omtrent seksuele geaardheid, mishandeling, incestverleden of
kunstmatige inseminatie49.
De richtlijn bevat tevens een gedeelte over elektronische gegevens en gaat daarbij ook in
op het EPD. De uitwisseling zal in de elektronische omgeving aan dezelfde voorwaarden
moeten voldoen als in de papieren omgeving, met dien verstande dat de beveiliging
zodanig ingericht moet zijn dat onrechtmatig gebruik zoveel mogelijk wordt voorkomen.
Er wordt in het kader van de uitwisseling dan ook gesteld dat vooraf duidelijk moet zijn
welke zorgverleners toegang hebben tot welke onderdelen van het dossier. Wanneer
vervolgens gegevens verzonden worden zullen deze versleuteld moeten zijn.
De KNMG heeft tevens normen opgesteld voor het online zorgverlener-patient contact.
Richtlijn online arts-patiënt contact
De richtlijn ‘online arts-patiënt contact’ ziet niet op een landelijke uitwisseling van
medische gegevens tussen zorgverleners, maar op een gerichte vraag van een patiënt
die online wordt gesteld. Een voorbeeld hiervan is een e-consult of het digitaal aanvragen
van een herhaalrecept. De belangrijkste regel voor wat betreft de vertrouwelijkheid is dat
het uitgangspunt moet zijn dat de online contacten dienen te zijn ingebed in een
bestaande behandelrelatie, dat wil zeggen een relatie waarin beide partners elkaar
kennen, elkaar hebben ontmoet en zo nodig elkaar weer kunnen ontmoeten. Daarnaast
dienen zowel de zorgverlener als de patiënt zich te realiseren dat online communicatie
vooralsnog niet volledig veilig is.
1.4.3 Nationale Patiënten en Consumenten Federatie
De Nationale Patiënten en Consumenten Federatie (NPCF) is een organisatie die het
belang behartigt van de patiënt50. Zij doet dit onder andere door het ontwikkelen van
visies en beleid op verschillende gebieden. Daarnaast bewerkstelligt de NPCF innovatie
en organiseert activiteiten ten behoeve van de gemeenschappelijke belangen van
aangesloten patiënten en consumenten. De NPCF heeft ook ICT (en het EPD) als thema
opgenomen.
De NPCF is van mening dat alleen met een deugdelijke autorisatie en authenticatie van
patiënten de toepassing van ICT in de zorg een bijdrage kan leveren aan de ontwikkeling
van een EPD51. De NPCF heeft tevens onderzoek verricht naar de wensen van patiënten
over het EPD. Deze uitkomsten zullen in hoofdstuk 3 worden behandeld.
49
50
51
KNMG 2004c, p. 22
http://www.npcf.nl
idem
21
Privacy en het EPD
oktober 2007
1.5 Conclusie
Het belang van de bescherming van de (informationele) privacy is gestoeld op het
zelfbeschikkingsrecht. De patiënt beslist dan ook voor een groot deel de omvang van de
verstrekking en de verstrekking van zijn gegevens aan anderen. De WGbo spreekt over
patiëntenrechten die de patiënt een zekere mate tot zelfbeschikking over zijn gegevens52
ten aanzien van zijn dossier geven. Het doel van de WGBo is dan ook het versterken van
de positie van de patiënt. Een patiënt kan de naleving van deze wet via de rechter
afdwingen. Zowel in de Wet Geneeskundige behandelingsovereenkomst (WGBO; Boek 7
BW) als de Wet Bescherming Persoonsgegevens is het zelfbeschikkingsrecht van de
patiënt het uitgangspunt teneinde de bescherming van de informationele privacy te
waarborgen. Patiënten dienen de gegevensverwerking in te kunnen zien, deze te
corrigeren of zelfs te verwijderen.
De WBP stelt qua omvang en doel eisen aan de verwerkingen van persoonsgegevens en
de patiënt moet over de verwerking worden geïnformeerd. Beide wetten bewaken het
privacybelang van de patiënt.
Een fundament uit het gezondheidsrecht dat tegemoet komt aan deze zelfbeschikking is
het beroepsgeheim. Het beroepsgeheim (als recht van de patiënt) bestaat uit een
zwijgplicht en een verschoningsrecht. Het beroepsgeheim kan echter om vooraf bepaalde
(zwaarwegende) redenen worden doorbroken. Voor verstrekkingen buiten de
uitzonderingen om is toestemming vereist. Dit kan op verschillende manieren blijken uit
het gedrag van de patiënt. Toestemming mag echter niet zomaar worden verondersteld.
Tegenover de zelfbeschikking staat de dossierplicht van de zorgverlener uit de WGBo. De
behandelingsovereenkomst vereist het opstellen van een (medisch) dossier door de
zorgverlener en verplicht deze tot geheimhouding van de verstrekte informatie. Het
medisch dossier is niet alleen in het belang van de patiënt, maar dient ook om de
zorgverlener zijn verantwoordelijkheid waar te laten maken. Van volledige
zelfbeschikking is dus geen sprake, wel moet het voor de patiënt mogelijk zijn te kunnen
voorkomen dat de medische gegevens die zin verzameld door een bepaalde zorgverlener
aan anderen worden verstrekt.
Medische gegevens zijn volgens de WBP gevoelige (of bijzondere) gegevens en
verdienen, ook vanwege de toenemende digitalisering, een adequaat
beschermingsniveau. De regels over de grondslag, de omvang van de te verwerken
gegevens en de beveiliging ervan zijn te vinden in de WBP.
De beide wetten laten ruimte voor de beroepsgroep bepaalde begrippen nader in te
vullen. Dit is van belang om een uniforme werkwijze te bewerkstelligen.
Het wettelijke kader is tevens van toepassing op elektronische gegevensverzamelingen,
zoals het in ontwikkeling zijnde landelijk Elektronisch Patiënten Dossier (EPD). In het
volgende hoofdstuk zal het EPD nader worden beschouwd, waarna het in hoofdstuk 3
geconfronteerd wordt met dit wettelijke kader.
52
Hooghiemstra 2007, p. 207
22
Privacy en het EPD
oktober 2007
2. Het EPD
In dit hoofdstuk zal aandacht worden geschonken aan de totstandkoming van het
landelijk Elektronisch Patiënten Dossier (EPD). Met name de inrichting van de landelijke
structuur van het EPD, de identificatie en authenticatie van de deelnemers komen aan
bod. Daarnaast komen de verschillende onderdelen op landelijk en lokaal niveau, de
aansprakelijkheid en de invoering van het EPD aan bod.
2.1. De aanleiding voor de ontwikkeling van een EPD
Uit een recent gepubliceerde studie53 blijkt dat jaarlijks ongeveer 19.000
ziekenhuisopnames plaatsvinden als gevolg van vermijdbare medicatiefouten, waarvan
ruim 1.200 patiënten overlijden. De helft van dit aantal is te vermijden door meer inzicht
te hebben in de medicatiegegevens van patiënten bij het voorschrijven van medicatie.
Tevens wordt in de studie van het ministerie vermeld dat als gevolg van het ontbreken
van informatie bij huisartsenposten en de spoedeisende hulp onnodige onderzoeken en
behandelingen plaatsvinden ter waarde van € 36 miljoen per jaar.
Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) beschouwt de invoering van
een landelijk EPD als mogelijke oplossing om zowel de kwaliteit van de zorg als de
efficiency aanzienlijk te verbeteren. Ook de samenwerking tussen zorgaanbieders zal
kunnen verbeteren door onder andere het versterken van de communicatie tussen
zorgverleners; men zal sneller en nauwkeuriger informatie met elkaar kunnen
uitwisselen. Het Ministerie beoogt met het EPD een administratieve lastenverlichting te
bewerkstelligen door een eenmalige invoer van gegevens.
Zorginstellingen maken al veelvuldig gebruik van lokale elektronische patiëntendossiers
(epd’s). Deze dienen niet met het landelijk EPD verward te worden. Het (landelijk) EPD
voorziet in een situatie dat een zorgverlener bij het behandelen van de patiënt optimaal
en vanuit landelijk perspectief geïnformeerd en ondersteund is, waardoor efficiënter en
met een hogere kwaliteit gewerkt kan worden. Dit in tegenstelling tot een ‘epd’ dat
slechts op lokaal niveau gegevens binnen de instelling inzichtelijk maakt.
Onder een EPD wordt verstaan:
Een volledig medisch dossier of soortgelijke documentatie van de fysieke en mentale
gezondheidstoestand van een individu in het heden en het verleden, dat in elektronische
vorm is opgezet en deze gegevens onmiddellijk beschikbaar maakt ten behoeve van
medische behandeling en andere nauw daarmee samenhangende doeleinden’54
De doelstelling van het ministerie is dat in de tweede helft van 2008 in ieder geval 50%
van alle ziekenhuizen, apothekers en huisartsen in Nederland zijn aangesloten op het
EPD55.
2.2. De inrichting van het EPD
Om de uitwisseling van patiëntgegevens te bewerkstelligen, zal voor het EPD een
landelijke infrastructuur gebouwd moeten worden. Er zal een beheerorganisatie ingericht
moeten worden met een verwijsindex die de toegang mogelijk maakt en controleert.
Daarnaast zullen op lokaal niveau verschillende aanpassingen gerealiseerd moeten
worden.
AORTA: Landelijk schakelpunt en verwijsindex
Voor de bouw van de landelijke infrastructuur van het EPD heeft het ministerie NICTIZ56
de opdracht gegeven een technische infrastructuur (AORTA) te ontwikkelen. De structuur
zal de uitwisseling van patiëntengegevens tussen de zorginstellingen mogelijk maken. Als
53
54
55
56
Squarewise 2007
Artikel 29 werkgroep 2007a
NICTIZ, 2006a, p.4
www.nictiz.nl
23
Privacy en het EPD
oktober 2007
spin in het web zal er een Landelijk Schakelpunt (LSP), worden ingericht. Deze draagt
zorg voor de vertrouwelijkheid en sturing van de uitwisseling.
Het landelijk schakelpunt (LSP) zal als verkeerstoren fungeren en bewaakt de
rechtmatigheid van de uitwisseling.
Zorgaanbieders wordt toegang tot het LSP verleend op basis van hun registratie
Beroepsbeoefenaars in de Individuele Gezondheidszorg (BIG). De registratie is onder
andere gebaseerd op het bezit van een geldig diploma. Ook het niet onder toezicht
(curatele) staan vanwege een geestelijke stoornis en het feit dat de zorgverlener nog
steeds het beroep zonder beperkingen mag uitoefenen wordt in het register bijgehouden.
De toegang wordt dus verleend op basis van het functieprofiel.
Het LSP toetst daarnaast de toegang op basis van het autorisatieprofiel. Deze is
afkomstig van de patiënt die in dit profiel heeft aangegeven welke zorgverleners hij geen
toegang verleent.
De verwijsindex zorgt voor een doelmatig zoeksysteem naar de relevante stukken. Het
moet ervoor zorgen voor een doelmatig gebruik van de gegevens bewerkstelligd wordt
en dient te voorkomen dat er teveel informatie wordt opgevraagd. De verwijsindex
verschaft geen daadwerkelijke toegang tot patiënteninformatie, maar toont slechts de
beschikbaarheid ervan. Het gereguleerd zoeken is van belang omdat de grote stromen
informatie die uit het EPD voortvloeien, beheersbaar moeten worden.
Zorgaanbieders kunnen hele dossiers of gedeeltes daarvan in de vorm van
patiëntstukken aanmelden bij de verwijsindex van het LSP.
Aansprakelijkheid
De gegevens blijven decentraal opgeslagen bij de zorginstellingen, waardoor deze zelf
verantwoordelijk blijven voor de dossiers. Op lokaal niveau zullen de zorgverleners
moeten voldoen aan bepaalde eisen om de landelijke uitwisseling mogelijk te maken.
Om aan te mogen sluiten op het LSP en om patiëntstukken veilig en betrouwbaar aan te
kunnen melden bij de verwijsindex zal het informatiesysteem (intern) van de
zorgaanbieder moeten voldoen aan de eisen van het goed beheerd zorgsysteem (GBZ)57.
Goed Beheerd Zorgsysteem en Zorg Service Provider
Er wordt door het LSP veel medische informatie beschikbaar gemaakt. Om tot een
betrouwbare uitwisseling te kunnen komen vereist dit ook op lokaal niveau de nodige
aanpassingen. Het is vanwege de landelijke uitwisseling door het LSP noodzakelijk dat de
eisen die aan de lokale systemen worden gesteld enigszins gestandaardiseerd zijn. Het
NICTIZ heeft daarom de eisen uitgewerkt in het document ‘Specificaties van een Goed
Beheerd Zorgsysteem’ (GBZ) waar iedere zorgverlener die aangesloten zal worden op het
LSP aan moet voldoen. Als onderdeel van het GBZ is onder andere de implementatie van
de NEN7510 een vereiste58. De eisen van een GBZ zijn naast de informatiebeveiliging
gericht op de externe communicatie. Het gaat dan om de uitwisseling van berichten
tussen zorgverleners. Deze extern gerichte communicatie dient te voldoen aan de
zogenoemde Health level 7-standaard (HL7)59. HL7 is een internationale standaard voor
elektronische uitwisseling van medische, financiële en administratieve gegevens tussen
zorginformatiesystemen. De standaard wordt gedefinieerd door de gelijknamige
organisatie. De zorgverlener tekent hiervoor de een Eigen Verklaring GBZ60 en geeft
daarmee aan te voldoen aan de eisen.
57
NICTIZ 2007a, p.5
NICTIZ 2007a, p. 9
59
HL7 is een internationale standaard voor elektronische uitwisseling van medische, financiële en
administratieve gegevens tussen zorginformatiesystemen. De standaard wordt gedefinieerd door
de gelijknamige organisatie.
60
NICTIZ 2007f
58
24
Privacy en het EPD
oktober 2007
Als onderdeel van de infrastructuur AORTA fungeren de zogenoemde
zorgserviceproviders61 (ZSP). Het NICTIZ heeft in dat kader een document opgesteld dat
de eisen specificeert waaraan een datacommunicatienetwerk (DCN) moet voldoen, opdat
dit mag worden toegepast voor de verbinding tussen een goed beheerd zorgsysteem en
het Landelijk schakelpunt (LSP). De eisen in het document omvatten zowel
organisatorische, procedurele, functionele als technische aspecten. Een
datacommunicatiedienstverlener die voldoet aan deze eisen kan zich laten kwalificeren
als ZSP62. De ICT-leverancier van de zorgaanbieder zal ervoor moeten zorgdragen dat
het netwerk voldoet aan de eisen van een ZSP. Het NICTIZ zal dit landelijk faciliteren,
met name voor wat betreft de contractering tussen zorgverleners en de ICT-levenaciers.
Waar het bij een GBZ veelal om informatiebeveiliging en externe communicatie gaat,
spitsen de eisen van de ZSP zich op het datacommunicatienetwerk.
Nu intern en extern de eisen qua systemen helder zijn zal nu ingegaan worden op het
beschikbaar stellen van patiëntgegevens via het LSP en de Verwijsindex.
De decentrale patiëntendossiers bevatten verschillende patiëntstukken, een geheel van
samenhangende patiëntgegevens die door middel van een patiëntbericht worden
verstuurd. Hiervan bestaan verschillende soorten.
Zorgaanbieders gaan voor het versturen van patiëntberichten, die één of meerdere
patiëntstukken kunnen bevatten, gebruik maken van een virtuele zorgaanbiederpostbus;
een verzameling van organisatorisch en geografisch verspreide postbussen die op een
willekeurige plaats bereikbaar zijn. De zorgaanbiederpostbus is een verzameling van
verzoeken, antwoorden en meldingen gericht aan één zorgaanbieder. Alle verzoeken,
antwoorden en meldingen m.b.t. tot een patiënt zijn patiëntgegevens en vastgelegd in
patiëntberichten. Een patiëntbericht is dus een geheel van samenhangende
patiëntgegevens dat in het kader van samenwerking wordt uitgewisseld tussen
zorgaanbieders.
Tussen een patiëntstuk en een patiëntbericht kunnen de volgende relaties bestaan:
Een patiëntbericht kan patiëntstukken als uittreksel uit een dossier bevatten of een
patiëntbericht kan zelf als patiëntstuk worden beschouwd en als zodanig
worden opgeborgen in een dossier.
Ook de berichten zelf zullen ooit terechtkomen in een dossier, maar voor zover ze nog
niet zijn verwerkt en toegedeeld aan het juiste dossier, vormen deze als het ware een
postbus met werkvoorraad voor de desbetreffende zorgaanbieder. De toedeling van de
patiëntstukken aan het juiste dossier vereist een grote mate van precisie voor wat betreft
de identificatie en authenticatie.
Identificatie en authenticatie
Om zeker te kunnen weten dat de patiënt is wie hij zegt dat hij is, hetgeen zeer
belangrijk is als het gaat om de toedeling van bepaalde gegevens aan het juiste dossier
alswel bij de koppeling en uitwisseling ervan, moet de patiënt uniek geïdentificeerd
kunnen worden. Momenteel maken zorgaanbieders gebruik van zogenoemde
patiëntnummers. Omdat iedere zorgaanbieder zijn eigen stelsel van patiëntnummers
hanteert is dit niet geschikt voor uniform gebruik en de koppeling van gegevens tussen
verschillende zorgaanbieders. De zorgaanbieders dienen dus allen gebruik te maken van
eenzelfde nummer. Binnen het EPD is gekozen voor het gebruik van het
Burgerservicenummer (BSN), hetgeen in de plaats is gekomen van het SoFi-nummer.
Aangezien het BSN momenteel slechts gebruikt mag worden door overheden, is voor
ander gebruik (door niet-overheden) een wettelijke grondslag vereist. De grondslag om
dit nummer in de zorg te gaan gebruiken is te vinden in het Wetsvoorstel Gebruik BSN in
de zorg (WBSN-z). Het wetsvoorstel is inmiddels aangenomen door de Tweede Kamer.
Ondanks het feit dat de koploperregio’s al met de invoering zijn begonnen is het officiële
“go-moment” afhankelijk van de zekerheid omtrent de invoering van het BSN in de zorg.
61
Marktpartij die een beveiligde verbinding aanbiedt tussen GBZ en LSP en die de beheerder van
het GBZ inhoudelijke ondersteuning geeft.
62
NICTIZ
25
Privacy en het EPD
oktober 2007
Het gebruik van een sofinummer als identificatie is echter niet voldoende. Om
identiteitsfraude tegen te gaan alsook om het risico op de vervuiling van de
patiëntendossiers door een onjuiste koppeling van een persoon aan een BSN zoveel
mogelijk te voorkomen dient er sprake te zijn van authenticatie. De burger legitimeert
zich dan ook met een wettelijk legitimatiemiddel, bijvoorbeeld het paspoort
(authenticatie) waar naast een pasfoto ook het BSN op vermeld staat.
De verscherpte identificatieplicht door de Wbsn-z voor zorgaanbieders is verplicht bij het
eerste bezoek, daarna kan worden volstaan met een zogenoemde vergewisplicht. De
zorgaanbieder hoeft dan alleen bij twijfel vragen aan de patiënt of deze zich kan
legitimeren. De Sectorale Berichten Voorziening (SBV) is de toegangspoort tot de
beheervoorziening van het BSN. Deze geeft op basis van de Gemeentelijke
Basisadministratie (GBA) het burgerservicenummer uit en beheert deze.
Naast de patiënt dient ook de zorgverlener zich te identificeren. Zij doet dit door middel
van een Unieke Zorgverleners Identificatie (UZI)-pas. Het Centraal Informatiepunt voor
Beroepen in de gezondheidszorg (CIBG) beheert de certificaten en houdt de geldigheid
ervan in de gaten. Er is een koppeling gemaakt met het BIG-register. De toegang tot het
systeem wordt verleend op basis van het functieprofiel vanuit het BIG-register en het
door de zorgaanbieder opgestelde autorisatieprotocol. Het protocol bevat de
bevoegdheden omtrent de toegang tot het EPD-systeem.
Zorgaanbieders, indicatieorganen en verzekeraars kunnen een BSN van een patiënt
opvragen, opzoeken en verifiëren. Voor zorgverzekeraars is er de Unieke
Zorgverzekeraars Identificatie (UZOVI).
Alle toegang wordt automatisch gelogd bij het LSP. Nu de patiënt en de zorgverlener zijn
geïdentificeerd, zullen ook de systemen van de zorgaanbieders aan bepaalde
veiligheidseisen moeten voldoen. Zowel de interne structuur zal betrouwbaar en integer
moeten functioneren, alsook het netwerk dat communicatie met andere zorgverleners
mogelijk maakt (extern).
26
Privacy en het EPD
oktober 2007
Schematisch ziet één en ander er als volgt uit
Figuur ”Informatiesysteemarchitectuur AORTA” (NICTIZ)63
Gebruikte afkortingen:
CIBG= Centraal Informatiepunt Beroepen Gezondheidszorg
SBV= Sectorale Berichtenvoorziening
UZI= Unieke zorgverlener Identificatie
LSP= Landelijk Schakelpunt
VWI= Verwijsindex
ZSP= Zorg Service Provider
DCN= Data Communicatie Netwerk
HIS= Huisartsinformatiesysteem
AIS= Apotheekinformatiesysteem
ZIS= Ziekenhuisinformatiesysteem
2.3 Invoering
Binnen het EPD is gekozen voor een gefaseerde invoering van verschillende
hoofdstukken. De eerste twee hoofdstukken zijn het waarneemdossier voor huisartsen
(WDH) en het Elektronisch medicatiedossier (EMD). Bij het eerste hoofdstuk ontsluiten
huisartsen een zogenoemde professionele samenvatting zodat de huisartsenpost (HAP)
inzage krijgt in de dossiers van alle patiënten binnen de regio64. De vaste huisarts van de
63
NICTIZ 2007e
64
van Ardenne 2007
27
Privacy en het EPD
oktober 2007
patiënt ontvangt na een consult door de HAP, dat in de avonden, nacht of weekenden
heeft plaatsgevonden, een retourbericht.
Het tweede hoofdstuk, het elektronisch medicatiedossier (EMD) voorziet in een behoefte
van meerdere zorgaanbieders door het beschikbaar stellen van informatie over het
medicatieverleden van patiënten. Het EMD zal uit twee delen bestaan, namelijk een
overzicht van het medicatieverleden van de patiënt (EMD) en een elektronisch
voorschrijfsysteem (EVS).
De hoofdstukken die in de toekomst zullen volgen, zijn het e-Laboratoriumdossier,
waarbij informatie over de aanvraag, uitslagen en inzage van laboratorisch onderzoek
ontsloten worden en op afstand raadpleegbaar is. Zonder contextuele informatie hebben
deze gegevens echter weinig betekenis65.
Een ander hoofdstuk betreft het elektronisch kinddossier (EKD). Dit dossier zal als
hoofddoel een signaleringsfunctie hebben en zal beschikbaar zijn binnen de hele keten
van de jeugdzorg66. De integrale werkwijze is voor jeugdzorg niet nieuw, maar zal
gedigitaliseerd worden voortgezet67. Op dit moment is de discussie over de omvang van
de beschikbaarheid en de eventuele uitbreiding naar andere sectoren binnen de het
kabinet onderwerp van gesprek. Verschillende politieke partijen gaven in een kamerdebat
aan dat ook hulpverleners van Bureau Jeugdzorg, School Maatschappelijk Werk en
Geestelijke Gezondheidszorg voor de jeugd zouden het dossier moeten kunnen
raadplegen68.
Tot slot wordt gedacht aan een elektronisch dossier dat informatie binnen de keten
diabetes beschikbaar maakt. Ieder dossier wordt geïmplementeerd vanuit zijn eigen
invalshoek.
In 2008 verwacht de minister de landelijke uitrol van de eerste twee hoofdstukken te
kunnen realiseren. Momenteel zijn er koplopers (zorgaanbieders) al aan een uitrol
hiervan begonnen.
2.4 Samenvatting
Het EPD als virtueel patiëntendossier zal een verzameling van organisatorisch en
geografisch verspreide patiëntendossiers zijn die zodanig toegankelijk zijn, als ware zij
één groot patiëntendossier. Het LSP fungeert als belangrijke speler in de landelijke
structuur, het controleert immers de rechtmatigheid van de toegang door middel van
autorisatie op basis van het functieprofiel opgenomen in het autorisatieprotocol. Door
logging is achteraf te controleren wie inzage heeft gehad en of deze rechtmatig is
geweest. De verwijsindex zorgt voor een doelmatige zoekmethode. De zorgverlener
identificeert en authenticeert zichzelf door middel van de UZI-pas, de patiënt doet dat op
basis van het BSN. Daarvoor is de SBV als beheerorganisatie ingesteld. Op lokaal niveau
zullen zorgverleners moeten voldoen aan de eisen van een GBZ. Daarnaast zal het
datacommunicatienetwerk waarover de uitwisseling plaatsvindt als ZSP moeten zijn
aangemerkt. De dossiers zullen niet centraal worden opgeslagen, maar blijven decentraal
onder de verantwoordelijkheid van de zorgaanbieders. Er is gekozen voor de decentrale
variant omdat een centrale opslag van medische gegevens sowieso in strijd is met de
reikwijdte van het medisch beroepsgeheim69. Het EPD wordt gefaseerd ingevoerd en men
begint met het EMD en het WDH. In de toekomst zal de directe toegang door de patiënt
worden gerealiseerd.
In 2009 zal het grootse deel van de zorgaanbieders aangesloten moeten zijn op het LSP.
65
66
67
68
69
van Ardenne 2007
Stichting EKD 2007
Idem
nieuws.nl 2007
Dute e.a. 2003, hoofdstuk 4, p. 47
28
Privacy en het EPD
oktober 2007
Schematisch ziet het EPD er op zorgverlenersniveau als volgt uit:
Figuur “Basisspecificaties in de zorg” (NICTIZ)70
In hoofdstuk 1 is het juridische kader geschetst. In hoofdstuk 2 is het EPD aan de orde
geweest. In hoofdstuk 3 wordt het EPD met het juridische kader vergeleken. Er zal
worden ingegaan op de veranderende begrippen en de keuzes die de initiatiefnemers
daarbij hebben gemaakt. Daarnaast komen de nieuwe risico’s die een EPD met zich
meebrengt aan bod. Daarna kan geconcludeerd worden of met de komst van het
voorgestelde EPD de vertrouwelijke omgang met gegevens gewaarborgd blijft.
70
NICTIZ 2007b
29
Privacy en het EPD
oktober 2007
3. Het normatieve kader en het EPD
Om de vertrouwelijke omgang met patiëntgegevens te kunnen garanderen is het van
belang dat er een transparante regeling is voor de omgang met de gegevens. Dit geldt
ook ten aanzien van de gegevens die binnen het EPD worden vastgelegd, ontvangen en
uitgewisseld. De regelgeving met betrekking tot de dossierplicht en de geheimhouding
van de medische gegevens, zoals beschreven in hoofdstuk 1, zijn dan ook onverkort van
toepassing op het EPD. In dit hoofdstuk wordt bekeken hoe de privacyregels die in de
huidige omgang met medische gegevens gehanteerd worden binnen de context van het
EPD een andere invulling gaan krijgen. Daarnaast wordt bezien of door de grootschalige
uitwisseling sprake is van nieuwe risico’s. Daarbij worden de keuzes die de
initiatiefnemers hebben gemaakt als uitgangspunt genomen.
Tot slot wordt ingegaan op de aanvullende wetgeving die in aantocht is in het kader van
het EPD. We hebben het dan voornamelijk over de ‘Wet BSN in de zorg’ en de ‘Wet EPD’,
die momenteel in de Eerste Kamer ter goedkeuring liggen. Beide zullen in dit kader
worden besproken, waarna de vraag kan worden beantwoord of binnen het EPD
voldoende rekening gehouden wordt met de privacyaspecten van de patiënt.
3.1 EPD en de WGBo
Zoals we in hoofdstuk 1 hebben gezien, heeft de WGBo onder andere als doel het
versterken van de positie van de patiënt. De basis daarvoor is te vinden in de
geheimhouding van zijn gegevens door de arts. Deze geheimhouding is het recht van de
patiënt. Daarnaast stelt de WGBo eisen ten aanzien van het goed hulpverlenerschap en
het dossier. De toestemming van de patiënt is één van de mogelijkheden om de
geheimhouding te mogen doorbreken en beheersen de toegang door anderen dan de
patiënt.
De patiënt zal binnen de huidige situatie, maar ook bij het EPD goede en volledige
informatie over de vastgelegde gegevens van de zorgverlener moeten krijgen. De
vereisten uit de WGBo zijn onverkort van toepassing op het EPD en komen in deze
paragraaf aan bod.
3.1.1 Goed hulpverlenerschap, professionele standaard
De plicht voor zorgverleners én instellingen om in overeenstemming te handelen met
verantwoordelijkheden die voortvloeien uit de professionele standaard staat ook wel
bekend als ‘zorgplicht’. Door de komst van het EPD zal dit als gevolg hebben dat de
zorgverlener niet alleen gebonden is aan de professionele standaard, maar hij ineens ook
gebonden is aan de lokale zoekfaciliteiten van de ICT binnen zijn instelling. Deze zullen
dus aan bepaalde kwaliteitseisen moeten voldoen.
Zoals in hoofdstuk 1 al aan de orde kwam, kunnen wegens goed hulpverlenerschap aan
bepaalde inzageverzoeken geen gehoor worden gegeven of worden bepaalde
bewaartermijnen opgerekt. Beide aspecten kunnen complex worden in een landelijke
uitwisseling. Hoe met de vereisten in de virtuele omgeving omtrent de verlengde
bewaartermijn op basis van goed hulpverlenerschap omgegaan zal moeten worden zal
per arts ingevuld moeten worden en zal dus niet voor de hele keten gelden. Binnen het
EPD is de informatie in beginsel wel voor alle zorgverleners beschikbaar.
Daarnaast kan de inzage door de ene zorgverlener worden geweigerd, bijvoorbeeld op
basis van gegevens uit de eigen werkaantekeningen. De patiënt zou een andere arts
kunnen bewegen de inzage wel te honoreren.
3.1.2 Dossier
Zoals bij de behandeling van de WGBo in hoofdstuk 1 bleek, is in de traditionele omgang
met patiëntgegevens de zorgverlener verantwoordelijk voor de inhoud. De instelling is
houder van het dossier. Binnen de zorg wordt lokaal al op geringe schaal gebruik
gemaakt van elektronische patiëntendossiers (epd’s). Uit onderzoek71 is gebleken dat het
71
Spaink 2005
30
Privacy en het EPD
oktober 2007
gebruik van digitale gegevens op deze schaal al tot grote problemen kan leiden. Met de
komst van het EPD zullen deze problemen vergroot terug keren. Daarnaast zullen
begrippen als omvang, verantwoordelijkheid en aansprakelijkheid in een ander licht
moeten worden bezien. Ik zal dit hieronder toelichten.
Een goed voorbeeld van problemen omtrent de digitalisering van medische gegevens is
te vinden in het boek ‘Medische Geheimen’ van Karin Spaink72. Daarin uit zij kritiek op de
huidige stand van informatiebeveiliging binnen de zorg. Naar aanleiding van het
onderzoek waarop deze stelling is gebaseerd is gebleken dat het vrij eenvoudig is op
onrechtmatige wijze aan medische gegevens te komen. De huidige problemen met het
digitaliseren van gegevens zullen met de komst van een EPD dan ook in vergrote vorm
ontstaan. Daarbij komt dat door een (handmatige) overgang van papieren dossiers naar
digitale invoerfouten kunnen optreden. Aangezien met deze problemen is de WGbo geen
rekening gehouden is, schieten de bepalingen omtrent de in de WGBo vereiste
dossierplicht van zorgaanbieders tekort bij digitale dossiers73. Extra waarborgen omtrent
de patiëntenrechten zijn dan ook van groot belang.
Het EPD functioneert niet of nauwelijks indien sprake is van allerlei verschillende vormen
van digitale dossiers. Het is dan ook van belang dat er gewerkt wordt met
gestandaardiseerde informatiesystemen om de ‘overdracht’ zo soepel mogelijk te laten
verlopen.
Er zijn meer problemen te constateren als het gaat om de digitalisering van gegevens.
Gedigitaliseerde gegevens zijn namelijk makkelijker en sneller op grote schaal te
kopiëren dan de gegevens in de papieren dossiers.
Daarnaast is de verstrekking van patiëntengegevens aan derden in de huidige situatie
controleerbaar doordat de zorgaanbieder zich fysiek en zichtbare toegang moet
verschaffen tot de dossiers. Een mogelijke inbreuk blijft qua omvang beperkt omdat de
dossiers, gezien de kleinschaligheid van de beschikbaarheid van de medische gegevens
maar een gedeelte beslaan van het geheel van wat er over iemand bekend is. Dit geldt
echter niet voor digitale gegevens. Zorgaanbieders zullen dus door de uitwisseling
landelijk mogelijk te maken de huidige papieren dossiers zoveel mogelijk moeten
digitaliseren. Bij het ontwikkelen van beveiligingsmaatregelen zal daarmee rekening
gehouden moeten worden. Uit meerdere onderzoeken is gebleken dat de implementatie
van de beveiligingsmaatregelen binnen zorginstellingen tot nu toe onder de maat is74.
Omvang
Het onderscheid tussen persoonsgebonden gegevens en episodegebonden gegevens,
zoals in hoofdstuk 1 aan de orde kwam, is van belang voor het bepalen van de
bewaartermijn en de toegang75. Om dit onderscheid technisch aan te brengen hoeft niet
ingewikkeld te zijn. Wel moet een heldere indeling komen waaruit blijkt welke soort
gegevens bijvoorbeeld op grond van ´goed hulpverlenerschap´ langer bewaard moeten
blijven. De werkaantekeningen van de zorgverlener behoren niet tot het dossier en zullen
elders moeten worden opgeslagen, hetgeen tot het up-to-date houden van twee
systemen kan leiden.
Niet alle ontvangers hebben recht op dezelfde set gegevens. Daarbij komt dat de per
zorgverlener de rol waarin hij de gegevens opvraagt per geval kan verschillen. De wet
vereist dan ook een selectieve uitwisseling van medische gegevens. De huidige dossiers
zijn niet of niet goed geschikt voor deze selectieve informatie-uitwisseling76. Door ICT
kan dit manco wellicht worden opgelost. Echter, de huidige toegang tot de gegevens is
momenteel aan de royale kant77. Daarbij zijn zorgverleners niet bekend met de
72
73
74
75
76
77
Spaink 2005
Nouwt 2005
IGZ 2007a
KNMG 2004a, deel 3, p. 43
KNMG 2004a, deel 3, p. 44
Nouwt 2005
31
Privacy en het EPD
oktober 2007
selectieve verstrekking78. De gegevens zullen dan ook moeten worden onderverdeeld
worden in categorieën zodat per soort zorgverlener de beschikking over de juiste set
gegevens kan worden gerealiseerd en niet beschikking krijgt over alles of niets. Er zal
dus sprake moeten zijn van modulaire toegangsrechten.
Het EPD zal dan ook aan moeten sluiten bij deugdelijk uitgewerkte (wettelijke)
selectiecriteria. Vooral bij de ketenzorg (e-Diabetes, EKD) waarbij sprake is van een
(echt) gedeeld dossier, zullen de regels omtrent de uitwisseling goed moeten worden
uitgewerkt.
Aansprakelijkheid
Er is ook binnen het EPD, net als in de traditionele situatie, sprake van een decentrale
opslag. De zorgverlener is en blijft verantwoordelijk voor de opslag en de inhoud, zoals
reeds eerder is gebleken bij de behandeling van de WGBo in hoofdstuk 1. De
verantwoordelijke zorgaanbieder is ook voor de naleving van de termijnen en de daaruit
volgende vernietiging verantwoordelijk. Dit vloeit voort uit de dossierplicht.
Zorgverleners zullen met de komst van het EPD echter wel het dossier kunnen gaan
aanvullen met gegevens van anderen, aangezien deze landelijk beschikbaar zijn. Er kan
dan tóch worden gesproken over een centraal virtueel dossier. De grotere
beschikbaarheid van de gegevens levert een extra verantwoordelijkheid op. De
aansprakelijkheidsvraag wordt bij het gebruik van de gegevens door meerdere
zorgverleners complex. Het gaat dan met name om vraagstukken in welke mate de
zorgaanbieder het EPD moet bestuderen en welke consequenties het heeft als er om
technische redenen geen toegang is. Er zal grondig onderzoek gedaan moeten worden
naar de nieuwe aansprakelijkheidsvraagstukken. Daarnaast zal de verantwoordelijkheid
voor de juistheid van de opgeslagen gegevens is lastig als een zorgverlener een diagnose
stelt op basis van een onjuiste interpretatie van de door derden ingevoerde gegevens.
Ook zal door de vergrote kans op inbreuken op de persoonlijke levenssfeer van de
patiënt als gevolg van de opslag en verstrekking gecompenseerd moeten worden door de
aansprakelijkheid voor schade door onjuist of onbevoegd gebruik van het EPD vast te
stellen. Door raadpleging van de toegangslog kan een situatie gereconstrueerd worden,
waardoor kan worden bepaald of de gegevens van cruciaal belang waren en de
zorgverlener hierop aangesproken kan worden.
Opslaan en vernietigen van gegevens
Er zullen uit praktische overwegingen mogelijkheden ontstaan om de gegevens elders te
bewerken en op te slaan, bijvoorbeeld via een Application Service Provider (APS)79. De
kans bestaat dus dat bepaalde stukken op meerdere locaties zijn opgeslagen. Wanneer
de opslag buiten Nederland gaat plaatsvinden, kan het probleem ontstaan dat de
gegevens onder een niet-Nederlandse wetgever zullen vallen. Binnen Europa is de
privacywetgeving geharmoniseerd, daarbuiten kan het echter voorkomen dat er sprake is
van een lager beschermingsniveau en een soepeler uitwisselingsbeleid. Dit brengt risico’s
met zich mee als het gaat om de vertrouwelijke omgang met de patiëntgegevens.
Het vernietigen van een papieren dossier is vrij eenvoudig. Het vernietigen van een
digitaal dossier niet. Voor het (elektronisch) vernietigen van gegevens moet de harde
schijf van het systeem overschreven of geformatteerd worden. De verwijderde bestanden
kunnen anders gemakkelijk aan elkaar geplakt worden of softwarematig worden
hersteld80. Ook is hiermee niet te garanderen dat alle aftreksels of back-ups zijn
verwijderd. Het kan dus voorkomen, dat, als gevolg van het verstrijken van de
bewaartermijn of op verzoek van de patiënt, de gegevens zijn verwijderd, terwijl deze
nog op allerlei plaatsen (digitaal of op papier) kunnen “opduiken”.
In het EPD is een herstelmogelijkheid ingebouwd als er een vernietiging op verzoek van
de patiënt plaatsvindt. De patiënt is daarbij wel de sleutelbewaker. Dit vergt een actieve
78
79
80
KNMG 2004a, deel 4
Via het internet software van een derde op basis van een abonnement gebruiken.
KNMG 2004a, deel 3, p. 41
32
Privacy en het EPD
oktober 2007
rol van de patiënt als hij moet controleren waar zijn te vernietigen gegevens zich
allemaal bevinden.
Daarnaast stelt de KNMG in de richtlijn ‘omgaan met medische gegevens’ dat wanneer er
sprake is van een behandelrelatie met een zelfstandige zorgverlener, deze bij overdracht
van de verantwoordelijkheid en dus ook het dossier géén kopie mag achterhouden.
Hiervan mag slechts worden afgeweken indien deze gegevens nodig zijn voor een
juridische procedure. Echter, er wordt door het NICTIZ een procedure geschetst dat
wanneer bij een overdracht van een dossier de status van het patiëntstuk wijzigt van
origineel naar kopie81. Het EPD maakt het dus mogelijk dat na overdracht kopieën
achterblijven bij de eerstverantwoordelijke. Daarbij dient te worden opgemerkt dat er
geen sprake meer is van een overdracht van een dossier. In plaats van de overdracht
van gegevens is bij het EPD sprake van autorisatie.
3.1.2 Geheimhouding
Het EPD dient rekening te houden met de geheimhoudingsplicht uit de WGBo. Voor wat
betreft de geheimhoudingsplicht van art 7:457 BW oordeelde het CBP dat de verplichte
aansluiting van zorgaanbieders op het LSP als een doorbreking van het beroepsgeheim
opgevat moet worden.
Zoals in het wettelijk kader uit hoofdstuk 1 al aan de orde kwam, kan de
geheimhoudingsplicht alleen worden doorbroken in de in de WGBo opgesomde situaties.
De mogelijkheden om het beroepsgeheim te doorbreken zijn het geven van toestemming
door de patiënt, het behoren tot dezelfde functionele eenheid, wegens een conflict van
plichten of op basis van een wettelijke plicht. Eén van de mogelijkheden in de traditionele
situatie is het behoren tot dezelfde functionele eenheid, ook wel behandelrelatie
genoemd. Als anderen dan de zorgverlener inzage wilden, moest dit aangevraagd worden
bij de verantwoordelijke, die op deze manier zicht had op wie de dossiers had
geraadpleegd. Zo is vooraf te controleren of op basis van het behoren tot dezelfde
behandelrelatie toegang kon worden verschaft. We spreken hier over het zogenoemde
haalprincipe, hetgeen het uitgangspunt is van de WGBo.
Bij het EPD plaatst een zorgverlener de relevante gegevens die de behandeling van de
patiënt heeft opgeleverd in een landelijk ontsluitbaar systeem. Een andere zorgverlener
die bijvoorbeeld bij een latere behandeling gegevens nodig heeft over de betreffende
patiënt, stelt vast of de patiënt instemt met het ophalen van de gegevens dan wel of
sprake is van spoed. De zorgverlener die de patiëntgegevens nodig heeft, moet weten
wie de gegevens beschikbaar heeft én diegene kunnen bereiken om aan de gegevens te
komen. Er is dus sprake van een brengprincipe. Bij het brengprincipe is een extra
beslissing vereist, namelijk die van de ‘brenger’ van de gegevens. Dit is een novum en de
WGBo houdt daarmee geen rekening82.
In plaats van de overdracht van gegevens is bij het EPD dus sprake van autorisatie. Dit
heeft gevolgen voor de doorbreking van het beroepsgeheim zoals in de paragraaf over de
autorisatie blijkt.
Autorisatie
De meest bruikbare optie voor het waarborgen van de rechtmatige toegang vooraf is de
autorisatie van zorgaanbieders en patiënten. Autorisatie geschiedt in het EPD op basis
van identificatie en authenticatie. Dit houdt in dat men er zeker van moet zijn dat er
toegang wordt verleend als met zekerheid kan worden vastgesteld dat men met de juiste
zorgverlener en patiënt te maken heeft. Dit moet betrouwbaar zijn vanwege de kans op
het behandelen van de verkeerde persoon of het verlenen van onrechtmatige toegang
aan de zorgverlener. Daarnaast zal de autorisatie van de zorgverlener moeten afhangen
van de rol die de zorgverlener op dat moment heeft. Het hangt er dan bijvoorbeeld vanaf
81
82
NICTIZ 2007b
van der Wel 2005, p. 3
33
Privacy en het EPD
oktober 2007
of er sprake is van een psychiater of verpleger, behandelend zorgverlener of supervisor,
dit moet ondubbelzinnig vast te stellen zijn. Vervolgens zal moeten worden gewerkt met
verschillende gegevensmodules met aparte toegangsvereisten en beveiliging.
Het autorisatieprotocol van het LSP bepaalt welke zorgaanbieders op grond van hun
functie welke gegevens mogen inzien. De verschillen per rol kunnen daarbij niet worden
aangegeven. De behandelrelatie evenmin.
De patiënt bepaalt vervolgens door middel van het autorisatieprofiel welke
zorgaanbieders de toegang niet wordt verleend. Het bijwerken van het autorisatieprofiel
van de patiënt zal in de praktijk niet plaatsvinden bij de zorgaanbieder. Een derde
onafhankelijke en betrouwbare partij zou deze taak kunnen uitvoeren. In de toekomst
kan de patiënt dit eventueel zelf gaan doen.
Controle op de toegang tot het EPD dient zoveel mogelijk vooraf en automatisch te
geschieden. Echter, alle toegang tot het EPD wordt gelogd, teneinde achteraf te kunnen
controleren of de toegang rechtmatig is geweest. Het CBP geeft aan dat de toegang op
basis van deze autorisatie op basis van het functieprofiel niet conform de wet- en
regelgeving is. Om toegang te mogen krijgen moet men immers tot dezelfde functionele
eenheid behoren, ook wel behandelrelatie genoemd. Een logging achteraf wordt niet als
een passende waarborg beschouwd. Deze constructie is dan ook meer geschikt als het
om spoedeisende gevallen gaat, waarbij de behandelrelatie van tevoren moeilijk vast te
stellen is en de gegevens op dat moment noodzakelijk zijn. Het CBP heeft dit standpunt
al eerder verkondigd in een achtergrondverkenning83 waarbij de toegang op basis van
functie een goede eerste stap is, maar niet voldoende passend. De tweede stap van de
toegang moet namelijk ‘rechtmatige’ toegang zijn, hetgeen betekent dat er toegang is op
basis van de behandelrelatie of wanneer dit voor de behandeling noodzakelijk is.
“(…) om van de autorisatie ook gebruik te mogen maken, moet aan voorwaarden zijn
voldaan, wil de in principe geautoriseerde raadpleger, gelet op zijn positie, ook
rechtmatig toegang krijgen. Met andere woorden het gaat hier om de
rechtmatigheidsvraag. Deze vraag staat in relatie tot de zeggenschap van de patiënt over
diens medische persoonsgegevens.” 84
Ook vanuit het perspectief van de patiënt kan geconcludeerd worden dat de toegang te
ruim wordt bevonden. Het NPCF heeft namelijk onderzocht dat maar liefst 85% van de
ondervraagden85 alleen inzage wil toestaan voor noodzakelijke gegevens voor
daadwerkelijk bij de behandeling betrokken zorgverleners.
Van de ondervraagden wil 37% delen van het dossier kunnen afschermen en personen
kunnen uitsluiten, 59% van de ondervraagden laat alle informatie zien en 71% heeft
bezwaar tegen inzage door zorgverzekeraars86.
3.1.3 Toestemming
Eén van de mogelijkheden om het beroepsgeheim te mogen doorbreken, naast de
hiervoor behandelde behoren tot het behandelteam, is door middel van het geven van
toestemming door de patiënt. Er mag namelijk slechts toegang worden gegeven tot dát
deel van het dossier dat noodzakelijk is voor de behandeling. In andere gevallen is
toestemming van de patiënt vereist.
In het EPD wil men gebruik gaan maken van de generieke toestemming met een
bezwaarmogelijkheid (opt-out)87. De toestemmingsvorm zou dan bijdragen aan een
verbetering van de kwaliteit van de zorg, doordat de patiëntengegevens op deze wijze
gemakkelijker bijeen kunnen worden gebracht in één virtueel patiëntendossier.
83
84
85
86
87
Hooghiemstra 2002, p. 52
idem
Patiënten en ‘gemiddelde Nederlanders’
NPCF 2004
Taakgroep Toegang tot Patiëntengegevens 2005, p. 1
34
Privacy en het EPD
oktober 2007
Het CBP heeft echter in de casus Zorggroep West-Brabant beslist dat generieke
toestemming, oftewel toestemming afgegeven voor toekomstige situaties, alleen kan
worden toegepast op beperkte schaal, de toestemming voldoende specifiek is en gebruikt
wordt in gevallen waarin de keten vooraf vaststaat. Daarnaast moet worden opgemerkt
dat men ervoor moet waken door de logging niet een ongekende hoeveelheid
persoonsgegevens extra wordt opgeslagen.
Het gebruik van de veronderstelde of expliciete toestemming zal nader moeten worden
bezien als het gaat om het gebruik ervan binnen het EPD. Zoals in hoofdstuk 1 aan de
orde is geweest, kan toestemming alleen om praktische reden worden verondersteld en
tenzij de patiënt daartegen geen bezwaar heeft gemaakt. De zorgverlener kan daarbij in
verschillende mate zijn oordeel doen gelden. Door deze flexibiliteit in beschermingsgraad,
die afhankelijk is van de schadelijkheid en gevoeligheid van de gegevens, is de
praktische uitvoerbaarheid van de behandelingsovereenkomst gewaarborgd. De patiënt
heeft op zijn beurt de mogelijkheid om te voorkomen dat verstrekking aan bepaalde
zorgaanbieders plaatsvindt. Hij kan dit doen door de toegang in te trekken of het
afschermen van bepaalde gegevens.
Het NPCF heeft vanuit het perspectief van de patiënt tevens onderzocht dat slechts 37%
van de ondervraagden akkoord zou willen gaan met het verlenen van generieke
toestemming. De overige groep (63%) wil de toestemming alleen per situatie of per
groep zorgverleners verlenen88.
Het afschermen van gegevens door de patiënt voor een bepaalde zorgverlener gebeurt
op basis van “alles-of-niets”. Zou de blokkade gedeeltelijke toegang tot het dossier
inhouden, dan zou de zorgaanbieder geconfronteerd kunnen worden met onvolledige
gegevens. Een praktisch ongemak is dat de blokkade niet direct bij het bezoek van een
nieuwe zorgaanbieder ongedaan gemaakt kan worden. Daarvoor zal hij zich moeten
wenden tot de vertrouwde derde of de geautoriseerde zorgaanbieder.
3.1.4 Conclusie
De WGBo stelt de normen voor een goede behandeling van de patiënt door de
zorgverlener. Aan de ene kant is er voor de zorgverlener de plicht een dossier te voeren,
aan de andere kant heeft de patiënt daarover zeggenschap. Het meest elementaire
begrip dat de noodzaak tot een vertrouwelijke omgang behelst is het beroepsgeheim als
recht van de patiënt. De zorgverlener kan, behoudens enkele uitzonderingen, slechts met
de toestemming van de patiënt de gegevens aan anderen verstrekken.
We kunnen echter concluderen dat het beroepsgeheim en de toestemming binnen het
EPD behoorlijk worden opgerekt, terwijl de gevaren onder andere door de
grootschaligheid groter worden. Hieronder zal gekeken worden hoe er met de
privacyregels uit de WBP binnen het EPD wordt omgegaan.
3.2 EPD en de WBP
Zoals we hoofdstuk 1 hebben gezien, heeft de Wet Bescherming persoonsgegevens
(WBP) als doel het bewerkstelligen van een zorgvuldige omgang met persoonsgegevens.
Dit wordt ook wel de bescherming van de informationele privacy genoemd. Met name in
een elektronische omgeving zijn deze regels van belang, gezien het vergrote risico op
inbreuken. Bovendien worden patiëntgegevens als bijzondere of gevoelige gegevens
beschouwd en verdienen een hoog beschermingsniveau. Voor een doelmatige
bedrijfsvoering wordt ook bij het EPD op intensieve schaal gebruik gemaakt van
verwerkingen van gevoelige persoonsgegevens.
In deze paragraaf zal worden ingegaan op enkele aanbevelingen die het CBP op verzoek
van het NICTIZ heeft gedaan voor wat betreft de inrichting van het EPD. Vervolgens
88
NPCF 2006
35
Privacy en het EPD
oktober 2007
zullen de begrippen uit het wettelijke kader en de keuzes die de initiatiefnemers van het
EPD daarbij hebben gemaakt aan bod komen. Er wordt in dat kader ingegaan op het
verwerken van gegevens, de grondslag, de doelbepaling, de rechten van de patiënt, het
toezicht en de beveiliging binnen het EPD.
3.2.1 Verwerken van gegevens
Met de komst van het EPD kunnen steeds méér gegevens over patiënten worden
verzameld, gekopieerd, verstuurd, oftewel worden “verwerkt”.
Indien de opslag centraal plaatsvindt zullen zaken zorgverleners de dossiers als het ware
uit handen moeten geven, aspecten als aansprakelijkheid en de bescherming van de
gegevens kan daardoor complex worden. Het CBP is daarom ook positief gestemd over
de keuze van de decentrale opslag bij het EPD, aangezien dat het
verantwoordelijkheidsvraagstuk ten goede komt. De bestaande documentstructuur blijft
ongewijzigd en de zorgverlener blijft ‘onverkort’ verantwoordelijk voor het dossier89.
Hoewel de dossiers decentraal blijven opgeslagen en de verantwoordelijkheid bij de
betreffende zorgverlener ongewijzigd blijft, spreekt men toch van een landelijk virtueel
dossier. De aangemelde stukken worden bij de verwijsindex aangemeld en kunnen door
anderen worden opgevraagd. In dat geval is het niet wenselijk dat er gemuteerd kan
worden in de documenten, aangezien er dan verschillende versies in omloop raken.
Het is niet de bedoeling om opgevraagde stukken vanuit het EPD lokaal op te slaan.
Wanneer dit wel gebeurt, zal dat alleen met toevoegingen als ‘alleen-lezen’ of ‘kopie’
kunnen en met de naam van de verantwoordelijke erbij vermeld. Zo min mogelijk
kopiëren, dan wel lokaal opslaan vereist echter wel een behoorlijke beschikbaarheid,
aangezien de gegevens steeds weer opnieuw moeten kunnen worden opgevraagd.
Besloten is dan ook om de eenmaal aan de verwijsindex toegevoegde stukken niet meer
te kunnen wijzigen90. Wanneer de zorgverlener gegevens wil veranderen, zal dat moeten
gebeuren door middel van een nieuwe toevoeging aan de verwijsindex, die de validiteit
van het eerste aangeboden stuk intrekt. Het eerste stuk of dossier inclusief de referenties
zullen dan worden vernietigd. Het systeem kan echter niet garanderen dat dit met één
druk op de knop zal kunnen en sluit niet uit dat de patiënt of de zorgverlener het verzoek
om eerdere versies te laten vernietigen aan iedere zorgverlener gedaan zal moeten
worden.
De verwijsindex zorgt binnen het LSP voor de doelmatige zoekfunctie. Als doel wordt
gesteld dat de verwijsindex bijdraagt aan een doelmatig uitvragen van alleen díe dossiers
die de gevraagde gegevens bevatten. De verwijsindex is aan te merken als een
verwerking die dus niet meer persoonsgegevens mag bevatten dan nodig is. Daarbij
wordt opgemerkt dat niet alle bestaande, en lokaal opgestelde, patiëntendossiers deze
karakteristieken kennen.
3.2.2 Grondslag
Zoals we in hoofdstuk 1 zagen, verbiedt artikel 16 van de WBP het verwerken van
bijzondere gegevens waaronder de gegevens omtrent de gezondheid. Dit kan worden
gepareerd met de uitzonderingen van artikel 21 WBP dan wel artikle 23 WBP. Grofweg
behelst artikel 21 de uitzondering op het verwerkingsverbod voor zorginstellingen.
Artikel 23 is de uitzondering op het verwerkingsverbod vanwege een zwaarwegend
algemeen belang.
De initiatiefnemers van het EPD zijn ervan uitgegaan dat de verwerking van het LSP
onder de werkingssfeer van artikel 21 zou vallen. Als de verwerking niet onder die
werkingssfeer zou vallen, is een andere of nieuwe wettelijke grondslag vereist.
89
90
CBP 2006a
NICTIZ 2007b, p. 50
36
Privacy en het EPD
oktober 2007
Het CBP heeft zich in dat kader uitgebreid uitgelaten over het voorstel tot wijziging van
de wet BSN in de zorg91. In dit voorstel ging men er van uit dat er geen formele wet op
het EPD hoefde te komen, aangezien de initiatiefnemers verwachtten dat het LSP onder
de werkingssfeer van artikel 16 jo 21 danwel 23 WBP zou vallen. Daarom zijn er een
groot aantal normen voor het EPD in de Wet BSN-z opgenomen. Het CBP was echter een
andere mening toegedaan.
Over de gekozen grondslag, namelijk artikel 21 lid 1 sub a WBP, waarop het LSP zich
wilde beroepen, oordeelde het CBP negatief. De voorgenomen gegevensverwerking kan
volgens het CBP niet op de uitzondering van artikel 21 worden gebaseerd92, hetgeen de
WP29 ook al eerder had vastgesteld. De grondslag geldt namelijk voor instanties die
medische gegevens verwerken met het oog op een goede behandeling of verzorging, dan
wel voor het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is93.
Daarmee wordt aangesloten bij de diverse functies van gegevensverwerkingen die,
afgezien van wetenschappelijk onderzoek, meestal binnen de gezondheidszorg worden
onderscheiden94. Het EPD valt daar niet onder.
De uitzondering van artikel 23 WBP, dat kan worden beschouwd als een algemene
restbepaling, namelijk dat de verwerking noodzakelijk moet zijn met het oog op een
zwaarwegend algemeen belang en met dien verstande dat passende maatregelen worden
genomen, werd vervolgens door het CBP tegen het licht gehouden. Het CBP oordeelde
dat, vanwege de voordelen die het EPD met zich meebrengt, sprake is van een
zwaarwegend belang. De voorwaarde is echter wel dat het EPD aan passende
voorwaarden moet voldoen en het CBP bij beschikking met de verwerking heeft
ingestemd95.
Dit betekent dat naast de wettelijke grondslag en een verantwoordelijke voor het LSP als
aandachtspunt in de nieuwe wet EPD zal moeten worden meegenomen.
3.2.3 Doel
Zoals in hoofdstuk 1 aan de orde kwam, zal de verwerking zich moeten beperken tot het
doel waarvoor de gegevens zijn verzameld, namelijk een succesvolle medische
behandeling door betere informatievoorziening. Het CBP onderschrijft dat het belang én
het succes van een EPD afhankelijk is van het feit of het systeem vertrouwelijk omgaat
met de patiëntgegevens. De toegang tot het EPD zal dan ook in overeenstemming
moeten zijn met het hoofddoel van het EPD.
3.2.4 Informatieplicht van de zorgaanbieder
Zoals in hoofdstuk 1 aan de orde is geweest, zal de zorgaanbieder de patiënt periodiek
moeten informeren welke gegevens van hem vastgelegd zijn. Het informeren van de
patiënt is op grond van de WBP ook voor de verwerkingen binnen het EPD noodzakelijk,
aangezien de verwijsindex als verwerking moet worden gezien.
De patiënt zal moeten worden geïnformeerd als er gegevens bij de verwijsindex worden
aangemeld. In de praktijk zal het neerkomen op het gebruik van de impliciete versie van
de informatieverplichting bijvoorbeeld door middel van een folder of affiche in de
wachtkamer96. Volgens het CBP ontbreekt de actieve informatieplicht aan patiënten,
hetgeen is besproken in hoofdstuk 1.
3.2.5 Rechten van de patiënt
De patiënt heeft over zijn dossier het recht op inzage, correctie en verzet. De
initiatiefnemers van het EPD hebben aangegeven deze rechten in de toekomst zonder
tussenkomst van derden te laten geschieden. Door de patiënt rechtstreekse toegang te
91
92
93
94
95
96
Bijlage bij de brief van het CBP van 14-6-2007
CBP 2007
artikel 21 WBP
MvT WBP, p. 110
idem, p. 22
Nouwt 2005
37
Privacy en het EPD
oktober 2007
verschaffen kan hij op elektronische wijze zijn gegevens inzien. Het is dan noodzakelijk
dat deze op een gestandaardiseerde wijze gegevens zijn opgeslagen. Tevens is van
belang is dat de medische gegevens van anderen afgeschermd zijn en dat het dossier
geen informatie bevat die de privacy van anderen schaadt.
Het CBP is van mening dat rechtstreekse inzage door de patiënt aanzienlijk kan bijdragen
aan het vertrouwen in het EPD, maar stelt dit niet verplicht.
Momenteel verloopt inzage via de zorgverlener. Het CBP beoordeelt dat dit onnodig
bezwarend kan werken.
Het vernietigen van het dossier door de patiënt kan alleen in zijn geheel en bij één
bepaalde zorgaanbieder, inclusief de eventuele referenties in de toegangslog. Het wordt
door de initiatiefnemers onwenselijk geacht dat de vernietiging rechtstreeks door de
patiënt kan worden uitgevoerd. Daardoor is er een herstelmogelijkheid ingebouwd, de
patiënt heeft daarvan dan wel de ‘sleutel’.
Het is volgens het CBP echter niet helder onder welke voorwaarden een burger zich kan
uitschrijven en welke gevolgen dit heeft. De opt-out bepalingen zijn niet helder, ook
verschillen deze qua terminologie en regime. Dit heeft als oorzaak dat de
patiëntenrechten in vier verschillende bepalingen in de WGBo als in de WBP
voorkomen97.
3.2.6 Toezicht
Vanwege het bijzondere risicoscenario, het grote aantal gebruikers en de complexiteit
van de gegevens is een deugdelijke en structurele controle een ‘must’.
Voor wat betreft de zorg is de Inspectie voor de Gezondheidszorg de toezichthoudende
autoriteit. Het CBP en de IGZ hebben in het kader van ICT in de zorg in de traditionele
situatie al samenlopende bevoegdheden en daardoor een samenwerkingsprotocol98
opgesteld. Gezien de omvang, complexiteit en de risico’s van het EPD kan daarentegen
niet met een algemeen toezicht worden volstaan. Het CBP pleit dan ook voor specifiek
toezicht. Er kunnen immers ingewikkelde en complexe situaties ontstaan doordat
verschillende toezichthoudende organen vanuit hun eigen perspectief naar de verwerking
kijken, terwijl een overkoepelende blik noodzakelijk is. Ook omdat de begrippen uit de
WGBo en de WBP op sommige punten strijdig met elkaar zijn. Uit de WGBo blijkt
bijvoorbeeld dat het beroepsgeheim niet stopt na de bewaartermijn. Bij de WBP is dit wel
het geval99. Ook de invulling van het begrip ‘toestemming’ verschilt in beide wetten, de
toestemming in combinatie met het begrip ‘minderjarigen’ lopen niet synchroon. De
WGBo schiet tekort bij digitale dossiers100, terwijl de WBP hier wel rekening mee houdt.
Het CBP en de IGZ hebben aangegeven dat zij de toezichthoudende activiteiten van het
EPD niet kunnen uitvoeren. Mede door de complexiteit en de nieuwe risico’s adviseren zij
het toezicht te onderwerpen aan een specifiek voor dat doel op te richten autoriteit. Tot
nog toe is er geen knoop doorgehakt over de invulling van dat advies.
Het NPCF heeft patiënten gevraagd naar de wens om een onafhankelijk instituut dat het
gebruik controleert, misbruik straft en klachten behandelt in te richten.
Van de ondervraagden wil 92% dat dit instituut zorgvuldig gebruik gaat controleren, 95%
wil zich tot dit instituut kunnen wenden bij klachten en 93% wil dat dit instituut kan
straffen. Daarnaast kan voor het behartigen van de belangen van de patiënt worden
gekozen voor een speciale arbitragecommissie voor geschillen, vooropgesteld dat dit voor
de patiënt gemakkelijk en kosteloos is.
Er zal een deugdelijke controle op de toegangsprotocollen van het LSP moeten worden
ingericht. Een optie is dat op structurele basis een overzicht van opvragers van gegevens
aan patiënten wordt meegedeeld. In de memorie van toelichting van het wetsvoorstel
97
Dute e.a 2003
Staatscourant 2006, 233, p.26
99
Nouwt 2005, p. 45
100
van Ardenne 2007
98
38
Privacy en het EPD
oktober 2007
van het gebruik van het BSN in de zorg wordt vervolgens gesteld dat het LSP slechts een
uitvoerende taak heeft. Wie verantwoordelijk is voor het LSP is niet helder. Wellicht zal
dit in de Wet EPD worden opgenomen.
3.2.7 Beveiliging
De WBP stelt in artikel 13 en op basis van hierboven genoemde grondslag (art. 23 WBP)
dat het EPD aan passende organisatorische en technische maatregelen zal moeten
voldoen. Voor zorgaanbieders is een hoge bruikbaarheid gewenst. De keuze voor de
bruikbaarheid mag niet inhouden dat het beschermingsniveau daardoor lager wordt.
Vanwege de gevoeligheid van de gegevens zal er ook sprake moeten zijn van een hoog
beschermingsniveau. Uit onderzoek is gebleken dat het huidige bewustzijnsniveau bij
zorgverleners omtrent de juiste omgang met persoonsgegevens laag is101. Daarbij komt
dat norm NEN7510 dusdanig flexibel is dat niet voor iedere zorgverlener hetzelfde pakket
aan eisen wordt gesteld. De eisen hangen onder andere van de hoeveelheid en de aard
van de gegevens af. Daarbij dient te worden opgemerkt dat zorgverleners moeite hebben
met het correct implementeren van de norm.
Daarnaast kan als gevolg van de schaalvergroting de verwerking de aandacht krijgen van
derden, waardoor onrechtmatige toegang van onbevoegden op de loer ligt. De huidige
beveiligingseisen zullen dus in dit grootschalige verband niet meer volstaan, ook gezien
het feit dat door het koppelen veel meer informatie ontstaat (1+1=3).
Er is naast de aanname van het lokaal voldoen aan de wet- en regelgeving een norm
aangehaald die een zekere normalisatie op het gebeid van de bescherming van de
privacy beoogd. Tevens wordt aangegeven dat deze nog verre van compleet is.
Het NPCF heeft onderzocht in hoeverre de ondervraagden een goede beveiliging van het
EPD tegen hackers en dergelijke belangrijk vinden. 51% daarvan maakt zich zorgen over
de beveiliging van het EPD, 23% heeft zorgen over fraude of misbruik102.
3.2.8 Conclusie
Door toenemende digitalisering van gegevens, door de invoering van een EPD neemt dit
nog verder toe, kunnen er op het gebied van de privacy grotere risico’s ontstaan. De
WBP bepaalt de eisen ten aanzien van de verwerkingen.
Medische gegevens zijn volgens de WBP bijzondere of gevoelige gegevens. Artikel 16
verbiedt in beginsel het verwerken van bijzondere gegevens. De uitzonderingen worden
genoemd in artikel 17-23 WBP. De verwerkingen die onder één van de uitzondering valt,
zal ook aan de algemene beginselen moeten voldoen. Het EPD valt niet onder de
uitzondering van 21 WBP. Wellicht is de restbepaling artikel 23 een optie.
De meeste zorg wordt uitgesproken over het toezicht, dat ook door patienten als
belangrijk wordt ervaren, dat goed en helder geregeld dient te zijn. Daarnaast
veronderstelt de nieuwe werkwijze een aanzienlijke aanpassing als het gaat om (het
bewustzijn omtrent) de beveiliging van de gevoelige gegevens.
3.3 Normen uit de beroepsgroep
3.3.1 NEN7510
De norm voor informatiebeveiliging in de zorg, de NEN 7510, is gebaseerd op de eisen uit
de WGBo en de WBP, die hiervoor al in voldoende mate aan bod zijn geweest. De norm
verwijst echter ook naar de bepalingen uit de Wet Computercriminaliteit (WCC) en de
Wet Identificatie bij Dienstverlening (WID) als aandachtspunten. Gezien de grootschalige
beschikbaarheid van de medische gegevens en de aandacht van derden daarin, zullen
deze wetten niet minder belangrijk zijn en zullen geïmplementeerd moeten worden
binnen de structuur van het EPD.
101
102
Spaink 2005
NPCF 2006
39
Privacy en het EPD
oktober 2007
Het CBP wijst erop dat binnen het EPD de normering van de beveiliging ontbreekt. Het
CBP had graag een verwijzing naar bijvoorbeeld de NEN7510 gezien, evenals een
verwijzing naar de aansluitvoorwaarden van de ZSP’s. Het CBP mist vervolgens een
opneming van de disciplinaire maatregelen, bijvoorbeeld door een uitbreiding van het
tuchtrecht om overtreding van de EPD-regels tegen te gaan103.
3.3.2 KNMG
De KNMG als beroepsvereniging van zorgverleners, is betrokken bij de ontwikkeling van
het EPD. Zij heeft zich qua autorisatie en het online contact op de volgende standpunten
gesteld:
Medische en/of andere privacygevoelige gegevens, die gericht zijn aan zorgverleners die
werkzaam zijn binnen organisatorisch verband, dienen uitsluitend te worden gebruikt
door de zorgverlener voor wie deze gegevens zijn bestemd. In het EPD zal toegang
worden verleend aan die zorgverleners die daartoe uitdrukkelijk zijn geautoriseerd (III.5
van de ‘Gedragsregels voor artsen’). Er wordt in het kader van de autorisatie dan ook
gesteld dat vooraf duidelijk moet zijn welke zorgverleners toegang hebben tot welke
onderdelen van het dossier. Echter, uit de plannen blijkt dat de patiënt binnen het EPD
generiek toestemming moet geven en pas achteraf bezwaar kan maken.
Daarnaast is een belangrijk onderdeel voor wat betreft de vertrouwelijkheid dat het
uitgangspunt moet zijn dat de online contacten dienen te zijn ingebed in een bestaande
behandelrelatie104. Ook hier wordt binnen het EPD behoorlijk ruim mee omgegaan.
3.3.3 NPCF
De belangenbehartiger van de patiënt, het NPCF, ondersteunt de invoering van het EPD,
met dien verstande dat in het belang van de patiënt de kwaliteit van de zorg verbetert.
Patiënten, consumenten en hun vertegenwoordigers moeten een sterke positie gaan
innemen in de nieuwe omgeving. De NPCF onderkent dat op dit moment niet altijd de
juiste informatie over patiënten beschikbaar is.
Een goed functionerend EPD kan door het beschikbaar stellen van medische informatie
dan ook bijdragen aan het voorkomen van onnodige onderzoeken, dubbele invoer en
medische fouten. Volgens de NPCF zal het EPD onder andere aan de volgende eisen
moeten voldoen105:
-de beveiliging zal zodanig geregeld moeten zijn dat de patiënten op het EPD durven
vertrouwen,
-de fysieke toegang tot een eigen EPD voor iedereen gegarandeerd is,
-patiënten ook zonder tussenkomst van derden toegang kunnen krijgen,
-zorgverleners dragen zorg voor een volledig en eenduidig dossier.
De huidige wetgeving is volgens de NPCF te beperkt om de patiënt of consument
voldoende te beschermen bij nieuwe ontwikkelingen als ketenzorg en ICT106. Zij heeft
met een onderzoek onder patiënten het draagvlak van het EPD gemeten. De resultaten
van het onderzoek zijn eerder in dit hoofdstuk verwerkt.
3.4 Nieuwe risico’s
Naast het veranderende begrippenkader is tevens sprake van enkele nieuwe risico’s die
de komst van een EPD gepaard gaan. Genoemd kunnen worden de risico’s omtrent het
slechts digitaal raadpleegbaar zijn van de dossiers, het vertrouwen op de volledigheid,
het vergrote afbreukrisico en het gebruik van het BSN. In deze paragraaf komen deze
risico’s achtereenvolgens aan bod.
103
104
105
106
CBP 2007
KNMG/NPCF 1998
NPCF 2006a
NPCF 2006b
40
Privacy en het EPD
oktober 2007
Dossiers
Zorgverleners zijn verplicht de dossiers goed te beheren. Het goed beheren van een
digitaal dossier houdt ook in dat er regelmatig backups moeten worden gemaakt,
aangezien het risico bestaat dat door een technische storing de gegevens kunnen
verdwijnen of na de storing of een virus verminkt of incompleet zijn. Voor het EPD geldt
dan ook dat zowel de dossiers als de logfiles moeten worden voorzien van een
regelmatige backup. Daarnaast bestaat het risico dat de gegevens tijdelijk niet
beschikbaar zijn. Er zal moeten worden teruggegrepen naar een eerdere versie, de
laatste back-up. Alle mutaties tussen de laatste backup en de terugplaatsing zijn dan
verloren. Daarnaast lopen backups achter op de actuele situatie, waardoor onbedoeld
bewaartermijnen kunnen worden overschreden.
Vertrouwen op volledigheid
Er zal voor moeten worden gewaakt dat zorgverleners ervan uitgaan dat het EPD een
volledige weergave van beschikbare informatie toont, maar de patiënt kan bepaalde
gegevens hebben afgeschermd. Een middel om de ongerechtvaardigde illusie van
volledigheid te voorkomen, is melding te maken dát er gegevens zijn afgeschermd. Een
ongewenst effect daarvan is het stigmatiserende effect. De initiatiefnemers hebben dan
ook gekozen voor het afschermen van gegevens door de patiënt van alles-of-niets.
Afbreukrisico
Zoals al eerder aangegeven, is de basis voor een goede gezondheidszorg de garantie van
de vertrouwelijkheid. Wanneer er binnen het EPD sprake is van een onzorgvuldige
zorgverlener, zal niet de individuele zorgverlener hierop aangesproken worden, maar het
EPD als geheel. De vertrouwelijkheid van de zorg in zijn geheel staat dan onder druk.
Gebruik BSN in de zorg
In plaats van een lokaal gebruikt identificatienummer per instelling is voor een landelijke
uitwisseling eveneens een ‘nationaal’ nummer nodig. Gekozen is voor het voormalige
sofinummer. Het Burgerservicenummer (BSN) maakt in de zorgsector een einde aan de
verschillende persoonsnummers die zorgaanbieders, indicatieorganen en
zorgverzekeraars nu nog gebruiken. Dit vermindert het aantal fouten bij het uitwisselen
van patiëntgegevens en het voorkomt persoonsverwisseling. Het maakt declareren
eenvoudiger en het geeft betere bescherming tegen identiteitsfraude. Het BSN wordt nu
dus ook gebruikt om op een betrouwbare en veilige manier patiëntgegevens uit te
wisselen via het elektronisch patiëntendossier. Uiteraard valt het verwerken van
persoonsgebonden nummers onder de vigeur van de WBP, aangezien het identificeerbaar
is tot natuurlijke personen.
Er is voorzichtigheid geboden een nummer te gebruiken dat tevens wordt gebruikt voor
andere grootschalige verwerkingen, aangezien een koppeling met andere bestanden
waarin het nummer voorkomt een schat aan informatie kan opleveren107.
Het BSN wordt gebruikt door overheidsorganen en bepaalde niet-overheidsorganen
waarvoor het gebruik van het BSN bij wettelijk voorschrift is voorgeschreven. Daarbij
wordt gedacht aan zorgaanbieders, onderwijsinstellingen, pensioenfondsen, maar ook
aan werkgevers bij het verstrekken uit de salarisadministratie aan de Belastingdienst.
Het CBP heeft haar kritiek geuit over het gebruik van het BSN door niet-overheden, de
toelatingscriteria voor de groep niet-overheidsorganen waren namelijk niet duidelijk.
Hierdoor wordt het niet duidelijk wanneer het (on)wenselijk is niet-overheidsorganen toe
te laten tot het BSN-stelsel. Het CBP krijgt hierdoor geen handreiking waaraan het weten regelgeving met betrekking tot het toelaten van niet-overheidsorganen tot het stelsel
kan toetsen108.
107
Hooghiemstra 2004e, p. 9 en Hooghiemstra 2004c, p. 5
108
CBP 2005b
41
Privacy en het EPD
oktober 2007
3.5 Aanvullende wetgeving
Onder andere door de grootschaligheid waarop medische gegevens worden uitgewisseld,
zullen er begrippen veranderen alsmede (nieuwe) risico’s ontstaan. Mede vanwege de
impact op patiënten en de behoefte aan transparantie zal één en ander in een
alomvattend juridisch kader gegoten moeten worden. Speciale waarborgen van patiënten
zullen daarin gegarandeerd moeten worden.
De begrippen uit de WGbo en de WBP veranderen in de nieuwe context van het EPD.
Daarnaast is er door het landelijk beschikbaar maken van de informatie een enorme
winst te behalen, maar ook sprake van nieuwe risico’s. Deze zijn hiervoor behandeld. In
de volgende paragraaf wordt bekeken of de aanvullende wetgeving, namelijk de ‘Wet
BSN in de zorg’ (Wet BSN-z) en de ‘Wet EPD’ de privacyrisico’s kan helpen vermijden.
3.5.1 Wet gebruik BSN in de zorg
Aangezien voor niet-overheden een wettelijke grondslag is vereist om het BSN te mogen
gebruiken, is het wetsvoorstel ‘gebruik BSN in de zorg (BSN-z)’ ingediend bij de Eerste
Kamer. De wet BSN-z zal naast de regels omtrent het gebruik van
persoonsidentificatienummers tevens de taken en functies van de verwijsindex109 (LSP)
vaststellen, alsmede de opsomming van de aanwezige gegevens in de verwijsindex. Men
is ervan uitgegaan dat door de algemene wet voor het gebruik van het BSN aan te
passen voor de zorg het EPD voldoende wettelijke basis heeft voor de invoering ervan.
Nu het CBP anders heeft beslist is een grondslag in een formele wet vereist.
3.5.2 Wet EPD
Het succes van het EPD hangt mede af van de mate waarin zorgaanbieders hun dossiers
willen aanmelden bij het EPD. Het ministerie wil deze kritische succesfactor afdwingen
door de aansluiting verplicht te stellen. Voor de verplichte aansluiting door
zorgaanbieders op het EPD is een wettelijke grondslag vereist. Deze grondslag is te
vinden in het wetsvoorstel EPD en is onlangs door het kabinet goedgekeurd. De wet EPD
vormt uitdrukkelijk geen ‘lex specialis’ ten opzichte van de WGBo. Het regelt onder
andere de verplichting voor zorgaanbieders om aan te sluiten op het EPD en de eisen
waaraan de beveiliging moet voldoen. Ook de rechten van patiënten inclusief de
mogelijkheid om bezwaar te maken tegen deelname aan het EPD, staan in het
wetsvoorstel. Het wetsvoorstel, dat in het coalitieakkoord is aangekondigd, zal naar
verwachting op 1 januari 2009 in werking treden. De tekst van het wetsvoorstel wordt
pas openbaar bij indiening bij de Tweede Kamer110 en zijn op het moment van schrijven
dus nog niet raadpleegbaar.
3.6 Conclusie
Het wettelijke kader gebaseerd op de WGBo, de WBP en de normen uit de beroepsgroep
geldt ook ten aanzien van het EPD. De waarborgen omtrent de vertrouwelijkheid kennen
niet voor niets een lange traditie. De vertrouwelijke basis tussen zorgverlener en patiënt
is dé kritische succesfactor van de zorg en dus ook van het EPD.
De bepalingen omtrent het beroepsgeheim dienen daarbij als eerste te worden
nageleefd, inclusief de mogelijke uitzonderingen op de regel dat informatie alleen mag
worden verstrekt met toestemming. Daarna komt men pas toe aan de regels van de
richtlijn111 van de WP29 en de WBP.
Opvallend is dat de initiatiefnemers van het EPD wel een opsomming geeft van de eisen
uit de wet- en regelgeving, maar niet overal even concreet aangeeft hoe met deze
bepalingen om te gaan binnen het EPD. De oorzaak daarvoor is gelegen in het feit dat
zorgaanbieders al aan de bepalingen uit het wettelijke kader moesten voldoen. Voor de
109
Index die aangeeft waar patiëntgegevens zich bevinden. De verwijsindex is dus geen databank,
de gegevens blijven bij de bron.
110
P&I 2007, p. 229
111
Nouwt 2007b, p. 160-164
42
Privacy en het EPD
oktober 2007
invoering van een EPD wordt er dan ook van uitgegaan dat zorgaanbieders hier op
correcte wijze mee omgaan. Een risico van deze aanname is dat er op verschillende wijze
of niet of verkeerd omgegaan wordt met de privacybeschermende maatregelen, hetgeen
een landelijke uitwisseling zeker niet ten goede komt.
De uitwerkingen van het juridische kader, de veranderingen daarbinnen en de nieuwe
risico’s dienen te worden meegenomen zodat ook binnen het EPD de garantie kan worden
afgegeven dat nét zo vertrouwelijk omgegaan wordt met de medische gegevens van de
patiënt als in de huidige situatie. Alleen dan kan gewerkt worden aan het doel van het
EPD, namelijk het terugdringen van medische fouten, het verhogen van de kwaliteit van
de zorg door het landelijk beschikbaar te maken van de gegevens.
Hoe en of de veranderende begrippen en nieuwe risico’s een plaats krijgen in de nieuwe
wet kan met spanning worden afgewacht…
Aangezien er momenteel nog geen tekst van het wetsvoorstel EPD beschikbaar is, is het
wel opvallend te noemen dat er in de wet slechts aandacht lijkt te zijn voor de formele
vereisten om te komen tot een EPD, namelijk de wettelijk verplichte aansluiting voor
zorgverleners en het gebruik van het BSN in de zorg.
43
Privacy en het EPD
oktober 2007
Conclusie
De vertrouwelijkheid tussen de arts en de patiënt voor wat betreft de omgang met zijn
medische gegevens is dé kritische succesfactor voor het EPD. De patiënt moet er immers
op kunnen vertrouwen dat zijn (veelal gevoelige) gegevens door de zorgverlener slechts
worden gebruikt om de behandelingsovereenkomst optimaal uit te kunnen voeren. De
patiënt heeft in dat kader al geen volledig informationeel zelfbeschikkingsrecht door de
dossierplicht van de zorgverlener, daarom zijn de privacybeschermende maatregelen van
evident belang.
Bepalingen omtrent de bescherming van de privacy van de patiënt en diens zeggenschap
over zijn gegevens vinden we in de Wet Geneeskundige behandelingsovereenkomst
(WGBo) en de Wet bescherming persoonsgegevens (WBP). In de WGBo vinden we
bepalingen omtrent de dossierplicht, het medisch beroepsgeheim en de mogelijke
doorbrekingen daarvan. Het beroepsgeheim bestaat uit een zwijgplicht en een
verschoningsrecht. Het beroepsgeheim kan slechts worden doorbroken met toestemming
van de patiënt, het behoren tot het behandelteam, wegens een wettelijke plicht of
vanwege een zwaarwegend belang.
De WBP stelt regels omtrent de grondslag en het doel van de verwerking van medische
gegevens, de informatieverplichtingen van de zorgverlener en de rechten van de patiënt.
Daarnaast zijn enkele bepalingen opgenomen over het toezicht.
De patiëntenrechten uit de WBP komen ook in de WGBo voor, de twee wetten vullen
elkaar dus aan. Tenslotte stelt de WBP eisen aan de beveiliging van verwerkingen die
gevoelige gegevens bevatten. Deze eisen zijn voor de zorg uitgewerkt in de NEN 7510.
Patiënten zijn vertegenwoordigd in belangenbehartigingsorganisatie NPCF, zoor
zorgverleners is dat de KNMG. Deze twee instituten werken bepalingen uit het wettelijk
kader op uitvoeringsniveau uit.
Het ministerie van VWS heeft besloten de gegevensverwerkingen zoals die in de zorg
worden gebruikt landelijk beschikbaar te maken. De aanleiding is dat er op jaarbasis,
vanwege het ontbreken van informatie, veel fouten worden gemaakt. Dit kan worden
voorkomen door een landelijk raadpleegbaar systeem in te richten dat de gegevens op
decntraal niveau voor alle aangesloten zorgaanbieders beschikbaar maakt. Dit zal
geschieden in de vorm van een Elektronisch Patiëntendossier (EPD). Het EPD maakt dus
gebruik van de decentraal opgeslagen gedigitaliseerde dossiers en kan dus niet worden
gezien als een centraal dossier.
Het EPD kent een aantal hoofdstukken die gefaseerd in worden gevoerd. Het ministerie
start met de uitrol van het Waarneemdossier Huisartsen (WDH) en het Elektronisch
Medicatiedossier (EMD). Het Elektronisch Laboratoriumdossier (e-Lab), het Elektronisch
Kinddossier (EKD) en het e-Diabetesdossier zullen in de toekomst volgen.
De infrastructuur van het EPD, AORTA genaamd, bestaat uit een Landelijk Schakelpunt
(LSP), de zogenaamde verkeerstoren, en een verwijsindex. Om aan te kunnen sluiten
zullen de zorginstellingen aan de eisen van een Goed Beheerd Zorgsysteem (GBZ)
moeten voldoen. Het netwerk zal gekwalificeerd moeten zijn als Zorg Service Provider
(ZSP).
Autorisatie van de zorgverlener geschiedt op basis van de UZI-pas, waarbij het
functieprofiel leidend is. Door middel van een logfile kan achteraf gekeken worden of de
toegang rechtmatig is geweest.
De patiënt zal worden geauthenticeerd door middel van zijn BSN. De patiënt geeft
middels de generieke toestemming aan zorgverleners toegang tot zijn dossier. De patiënt
kan bezwaar maken tegen verstrekking aan bepaalde zorgverleners.
De bedoeling is dat op 1-1-2009 50% van de zorgaanbieders aangesloten zijn op het
LSP.
44
Privacy en het EPD
oktober 2007
Uiteraard is ook bij de uitwisseling van medische gegevens van de patiënt door middel
van het EPD de vertrouwelijke omgang met patiëntgegevens het uitgangspunt. Het
geschetste normenkader is dan ook onverkort van toepassing. Sterker nog, er zal tevens
rekening gehouden moeten worden met veranderende begrippen en nieuwe risico’s.
Zo ontstaan er al risico’s door gegevens op grote schaal te digitaliseren. Ook uit de
praktijk blijkt dat de stap van papieren naar digitale dossiers op lokaal niveau al de
nodige problemen oplevert en hier wordt op landelijk niveau nog onvoldoende rekening
mee gehouden.
We kunnen daarnaast concluderen dat de huidige wet- en regelgeving niet of nauwelijks
is meegenomen in de ontwikkeling van het EPD. De initiatiefnemers stellen zich immers
op het standpunt dat deze bepalingen al verplicht waren voor de totstandkoming van het
EPD. Waar men echter geen rekening mee heeft gehouden zijn de veranderende
begrippen door de nieuwe context, zoals bijvoorbeeld het breng- en haalprincipe dat een
behoorlijke oprekking van het beroepsgeheim betekent. De risico’s zouden dan ook
moeten worden opgevangen in de nieuwe wetgeving.
In het wetsvoorstel EPD maakt de behandelrelatie echter geen onderdeel uit van de
autorisatieprocedure. Zorgaanbieders zonder behandelrelatie kunnen dus toegang tot het
dossier hebben. Daarbij is het onmogelijk om zonder inzage vooraf te bepalen welke
beschikbare patiëntengegevens noodzakelijk zullen zijn voor de te verrichten
werkzaamheden.
Ook is het pas achteraf controleren van de rechtmatigheid van de toegang binnen de
WGBo niet toelaatbaar en kan dan ook als een uitholling van het beroepsgeheim worden
aangemerkt. De vraag is ook hoe intensief de controle op rechtmatige toegang op die
schaal mogelijk is. Daarnaast wordt de toestemmingseis evenzeer opgerekt door deze
generiek in te zetten. Het gebruik van de vooraf gegeven generieke toestemming door de
patiënt vanwege het praktische nut is geen passende methode voor het ontsluiten van
medische gegevens en kan een containerbegrip worden. Tevens past het past niet binnen
de reikwijdte van de noodzakelijkheidseis.
Bij meer deelnemers wordt de verantwoordelijkheidsvraag complexer. Ondanks dat de
dossiers decentraal blijven opgeslagen zal tóch sprake zijn van een virtueel ‘centraal’
dossier. De verandering van het breng- naar haalprincipe ondersteunt dit nog eens. Ten
tweede kan de zorgverlener nu ook worden afgerekend op het niet raadplegen van de
beschikbare informatie. Daarnaast loopt hij het risico onterecht te vertrouwen op de
volledigheid van het EPD. Zorgverleners dienen ook bij het EPD een gezond wantrouwen
te hebben in de beschikbare gegevens. Verificatie blijft te allen tijde geboden.
De patiënt blijft bij het EPD weliswaar degene die zeggenschap heeft over de omvang
van de verstrekking en kan op die basis bepaalde gegevens afschermen, maar komt deze
zeggenschap niet als mosterd na de maaltijd?
Welke zorgverlener de behandelrelatie met een patiënt aangaat, is vaak afhankelijk van
de beschikbaarheid binnen de gekozen zorginstelling en/of de keuze van de patiënt.
Welke medebehandelaars door die hoofdbehandelaar zullen worden betrokken bij de
behandeling, is ook sterk afhankelijk van hun beschikbaarheid op dat moment. Vaak is er
geen tijd om de precieze betrokkenheid van iedere medebehandelaar vast te leggen. In
principe mag een hoofdbehandelaar zonder toestemming van de patiënt een
medebehandelaar en medewerker toegang tot diens gegevens verlenen, maar in de
praktijk is moeilijk per geval vast te leggen wie dat precies zijn. Eventueel zou een
zorgverlener door middel van interne autorisatie van zijn zorgsysteem vooraf kunnen
aangeven welke collega’s ooit als medebehandelaar of medewerker zullen optreden,
maar ook dit is geen sluitende oplossing112.
De eerste vorm van standaardisatie is het gebruik van het BSN in de zorg te noemen.
112
Beuving 2007
45
Privacy en het EPD
oktober 2007
Het gebruik van het BSN in de zorg is in zoverre risicovol dat dit nummer ook door de
overheid en door niet-overheden zal worden gebruikt. Door de redelijk eenvoudige
koppeling van de verschillende bestanden ontstaat een schat aan nieuwe informatie. De
vraag is of de voorgestelde beveiligingseisen hier voldoende rekening mee (kunnen)
houden. Daarnaast zal het de aandacht van derden trekken, met alle risico’s van dien.
De NPCF is van mening dat patiënten zich bewust moeten zijn over het gebruik van hun
medische gegevens en de voorwaarden waaronder andere zorgverleners inzage hebben
in deze gegevens. Deze bewustwording is nu nog gebrekkig.
Zolang de randvoorwaarden, zoals een goede beveiliging, de technische mogelijkheid om
gebruik te maken van patiëntenrechten en controle op misbruik, niet zijn ingevuld vindt
de NPCF het noodzakelijk dat patiënten een actieve handeling uit moeten voeren om
elektronische uitwisseling van privacygevoelige informatie mogelijk te maken. Patiënten
zouden dus expliciet toestemming moeten geven dat ze mee willen werken aan de
elektronische uitwisseling van medische gegevens.
Gezien de risico’s die ontstaan door de medische gegevens op grote schaal beschikbaar
te maken, vereist dus additionele wet- en regelgeving. Er dient dan ook, gezien de
hiervoor genoemde risico’s, meer gericht te zijn op de bescherming van de privacy van
de patiënt. Tot nu bevat de nieuwe wetgeving (voor zover beschikbaar) slechts de
formele vereisten als de verplichte aansluiting van zorgverleners.
Het enthousiasme van het ministerie voor het invoeren van een EPD, ook gezien de
mislukte initiatieven van andere landen is op zijn zachtst gezegd opmerkelijk te noemen.
Zorginstellingen lijken dus (nog) niet klaar om met een dergelijke grootschalige
uitwisseling als het EPD te kunnen werken.
Het ministerie lijkt dus te kiezen voor de behoefte zoveel mogelijk informatie beschikbaar
te stellen en denkt op die basis medische fouten en onnodig onderzoek te kunnen
voorkomen. De economische voordelen lijken dus zwaarder te wegen dat de privacy van
de patiënt, en dat terwijl het EPD in het belang van de patiënt zou moeten zijn.
Met betrekking tot Privacy en het EPD kan dan ook geconcludeerd worden dat momenteel
een behoorlijk aantal risico’s wordt genomen.
Of met de komst van het EPD meer medische fouten kunnen worden voorkomen of juist
meer problemen oplevert is dus nog maar de vraag…
46
Privacy en het EPD
oktober 2007
Literatuurlijst
Beuving 2007
J. Beuving, Mag een zorgverlener die naast je woont vrij opzoeken wat je mankeert?
Volkskrant, 16-6-2007
College Bescherming Persoonsgegevens
Protocol tussen het CBP en de Nederlandse zorgautoriteit, Den Haag, jaar van uitgave
onbekend
College Bescherming Persoonsgegevens 2007
Brief en Bijlage bij de brief van het CBP van 14-6-2007, z2005-0505 en Landelijk
Schakelpunt, z2005-0878
College Bescherming Persoonsgegevens 2006a
Advies inzake aanvulling Besluit gebruik BSN in de zorg (z2006/01388), Den Haag 2006.
College Bescherming Persoonsgegevens 2006b
Voostel van Wet algemene bepalingen burgerservicenummer (z2005-1198 en z20050807), Den Haag 2006
College Bescherming Persoonsgegevens 2006c
Informatieblad 33a, Geheimhouding van medische gegevens, Den Haag 2006
College Bescherming Persoonsgegevens 2006d
Informatieblad 31A, Informatie delen in samenwerkingsverbanden, Den Haag 2006
College Bescherming Persoonsgegevens 2006e
Informatieblad 25A, Verstrekken van persoonsgegevens, Den Haag 2006
College Bescherming Persoonsgegevens 2006f
Elektronisch patiëntendossier: toegang te ruim volgens CBP, Privacy en Informatie,
jaargang 10 no. 4, p. 189.
College Bescherming Persoonsgegevens 2006g
Zorgverzekeraars, gezondheidsgegevens en privacy, onderzoeksrapport 2006
College Bescherming Persoonsgegevens 2006h
CBP zelfreguleringinstrumenten, http://www.cbpweb.nl
College Bescherming Persoonsgegevens 2005a
Advies Wet gebruik BSN in de zorg, de heer drs. J.F. Hoogervorst (de minister van VWS),
z2005-0108, 2005
College Bescherming Persoonsgegevens 2005b
Brief aan de minister voor bestuurlijke vernieuwing 2005, z2004-1734
College Bescherming Persoonsgegevens 2002
Privacy bij ICT in de zorg, Bescherming van persoonsgegevens in de informatieinfrastructuur voor de gezondheidszorg, Den Haag 2002
College Bescherming Persoonsgegevens 2001
CBP 2001, z2000-1330
47
Privacy en het EPD
oktober 2007
Gezondheidsraad 2000
De bewaartermijn voor medische gegevens, Den Haag 2000
Hooghiemstra 2007
T.F.M. Hooghiemstra, Zelfbeschikking bij ICT en het medisch dossier, P&I 2007, p. 204-209
Deventer, 2007
Hooghiemstra 2004a
T.F.M. Hooghiemstra, Juridisch Laboratorium, patiënten- en zorgverlenersidentifictie,
2004
Hooghiemstra 2004b
T.F.M. Hooghiemstra, Juridische aspecten van het EPD, Juridisch laboratorium/
Nederlands Tijdschrift Klinische Chemische labgeneeskunde 2004, vol. 29, no. 4.
Hooghiemstra 2004c
Patiënten- en zorgverlenersidentifictie, ZON-ICZ Juridisch Laboratorium
Hooghiemstra 2004d
Beveiliging van het EPD, ZON-ICZ Juridisch Laboratorium, Nederlands Tijdschrift
Klinische Chemische Labgeneeskunde 2004, vol. 29, no. 4
Hooghiemstra 2004e
Verwijsindexen, ZON-ICZ Juridisch Laboratorium, 2004
Hooghiemstra 2002
T.F.M. Hooghiemstra, Privacy bij ICT in de zorg, Den Haag 2002
Inspectie voor de gezondheidszorg 2007a
Preoperatief traject ontbeert multidisciplinaire en gestandaardiseerde aanpak en
teamvorming, Utrecht 2007
Inspectie voor de gezondheidszorg 2007b
ICT in ziekenhuizen, beveiliging van informatie nog onvoldoende voor een betrouwbare
papierloze patiëntenzorg, Utrecht 2004
KNMG/ NPCF
Gedragsregels voor zorgverleners, KNMG, jaar van uitgave onbekend
Richtlijn Nederlandse artseneed, KNMG, jaar van uitgave onbekend
KNMG/ NPCF 2007
Omgaan met incidenten, fouten en klachten, KNMG Utrecht, 2007
KNMG/ NPCF 2004a
Implementatie van de WGBO. Van wet naar praktijk, deel 3 Dossier en bewaartermijnen
en deel 4 Toegang tot patiëntgegevens, Utrecht, Samenwerkingsverband
KNMG/ NPCF 2004b
Implementatieprogramma WGBO 2004
KNMG 2004c
Richtlijn inzake omgaan met medische gegevens, KNMG, Utrecht 2004
KNMG 2004d
Richtlijn online arts-patiënt contact, KNMG, Utrecht 2004
48
Privacy en het EPD
oktober 2007
KNMG 2000
Preambule Gedragsregels voor artsen, Utrecht, 2002
KNMG/ NPCF 1998
Modelregeling arts-patiënt, NCPF en KNMG, 1998
Leenen 2000
H.J.J Leenen, Handboek gezondheidsrecht deel 1, Bohn Stafleu Van Lochem, Houten/
Diegem, 2000
Ministerie van VWS
Invoering EPD, publicatiedatum onbekend
Ministerie van VWS 2007a
Implementatieorganisatie EMD/WDH Den Haag 2007
Ministerie van VWS 2007b
Het EP, Den Haag, 2007
Ministerie van VWS 2007c
Handboek Invoering en gebruik BSN in de zorg, Den Haag 2007
Ministerie van VWS 2007d
Plan Landelijke invoering EMD en WDH, Den Haag 2007
Ministerie van VWS 2007e
Kabinet akkoord met wet elektronisch patiëntendossier, Persbericht ministerraad 6 juli
2007, Den Haag 2007
Ministerie van VWS 2007f
Business Cases waarneemdossier huisartsen en elektronisch medicatiedossier, Rapport in
opdracht van het ministerie van VWS, 2007
Ministerie van VWS 2006a
Elektronisch Patiënten Dossier vraag en antwoord, 2006
Ministerie van VWS 2006b
Waarneemdossier huisartsen vraag en antwoord, 2006
Ministerie van VWS 2006c
Elektronisch medicatiedossier vraag en antwoord, 2006
NICTIZ
Programma van Eisen voor een zorgserviceprovider (ZSP), Nationaal ICT Instituut in de
zorg, Leidschendam
NICTIZ 2007a
Toelichting op het programma van eisen voor een goed beheerd zorgsysteem, NICTIZ
Leidschendam 2007
NICTIZ 2007b
Specificaties basisinfrastructuur in de zorg, NICTIZ Leidschendam 2007
NICTIZ 2007c
Architectuurvisie AORTA, NICTIZ Leidschendam 2007
49
Privacy en het EPD
oktober 2007
NICTIZ 2007d
Veel gestelde vragen LSP, www.nictiz.nl
NICTIZ 2007e
Informatiesysteemarchitectuur AORTA, Nationaal ICT Instituut in de zorg, Leidschendam
NICTIZ 2007f
Toelichting op de Deelnemersovereenkomst versie 7, Nationaal ICT Instituut in de zorg,
Leidschendam
NICTIZ 2006a
Plan landelijke invoering EMD en WDH, Nationaal ICT Instituut in de zorg, Leidschendam
NICTIZ 2006b
Jaarverslag 2006, Nationaal ICT Instituut in de zorg, Leidschendam
NICTIZ 2006c
Toelichting op de Deelnemersovereenkomst versie 7, Nationaal ICT Instituut in de zorg,
Leidschendam
NICTIZ 2005a
Resultaten autorisatiepilot WDH in Twente, Nederlands huisartsen genootschap, NICTIZ,
KNMG, NPCF, Leidschendam 2005
NICTIZ 2005b
Modelrichtijn en modelvoorlichtingsmateriaal autorisatie voor koplopers WDH, Nederlands
huisartsen genootschap, NICTIZ, KNMG, NPCF, Leidschendam 2005
Nouwt 2005
J. Nouwt, Privacy en gegevensuitwisseling in de zorg, Den Haag, Sdu 2005
Nouwt en Lucieer 2006
J. Nouwt en V. Lucieer, Juridisch laboratorium, De staat van de privacybescherming van
patiënten en cliënten, 2006
Nouwt 2007a
J. Nouwt, Beveiliging van het EPD, Juridisch laboratorium, jaar van uitgave onbekend
Nouwt 2007b
J. Nouwt, Juridische aanbevelingen voor elektronische patiënten dossiers, P&I 2007,
jaargang 10 no. 4, Kluwer Deventer, p. 189
NPCF 2006a
Achtergronddocument EPD en telemedicine in de zorg, Utrecht
NPCF 2006b
10 punten EPD, Utrecht
NPCF 2004
Kort eindverslag behorend bij project autorisatie EPD en patiëntenperspectief, Utrecht
Onbekende auteur 2006
DBC’s in impasse door privacyregels, PSY no. 6, 2006
Roscam-Abbing 2000a
E.W. Roscam-Abbing, Elektronisch patiëntendossier, beroepsgeheim en
privacybescherming, Tijdschrift Geneeskunde en recht, 2000 no. 12
50
Privacy en het EPD
oktober 2007
Roscam-Abbing 2000b
Medische informatie, patiënt en epd, NTMA Jaargang 27 no. 102
Spaink 2005
K. Spaink, Medische geheimen, risico’s van het elektronisch patientendossier, Nijgh en
van Ditmar, 2005
Stichting EKD 2007
Programma van eisen en wensen van het EKD, Stichting EKD, 2007
Squarewise 2007
Business Cases waarneemdossier huisartsen en elektronisch medicatiedossier, Rapport in
opdracht van het ministerie van VWS, 2007
Taakgroep toegang tot patiëntengegevens 2005
De WGBO en verantwoorde omgang met persoonsgegevens, ZonMW ICS, Den Haag
2005.
Van Ardenne 2007
De voorgestelde wettelijke regeling voor een landelijk EPD: een brug te ver? Kluwer, P&
I, jaargang 10 no. 3, Kluwer, Deventer, 2007
Van Ardenne 2003
Het elektronische medische dossier: wie bewaakt de keerzijden van de sprong
voorwaarts? P&I 2003, no. 1, Kluwer Deventer 2003
Van der Wel 2005
J.J. van der Wel, Spoort de medische praktijk nog met de wettelijke regeling voor het
beroepsgeheim?, Journaal Privacy gezondheidszorg, p. 3
Vermeulen 2007
M. Vermeulen, Alarm over beveiliging patiëntengegevens, Volkskrant, 16-6-2007
Elektronische bronnen:
Dute e.a. 2003
J.C.J. Dute e.a., Rapport Evaluatie WGBo
http://www.zonmw.nl/fileadmin/upload/33181/WGBorapport.pdf
UZI-register, veilig en betrouwbare informatie, jaar van uitgave onbekend
http://www.uziregister.nl
College bescherming Persoonsgegevens
http://www.cbpweb.nl
Nationaal ICT Instituut in de zorg
http://www.nictiz.nl
Ministerie van VWS
http://www.minvws.nl
NEN 7510
http://www.nen7510.org
Overig
http://www.invoering-epd.nl
51
Privacy en het EPD
oktober 2007
http://www.ictzorg.nl
Nieuws.nl 2007
Rouvoet onderzoekt bredere toegang kinddossier, 3 oktober 2007
Wetgeving:
WGBo 1994
Wet geneeskundige behandelingsovereenkomst, wet van 17 november 1994 tot wijziging
van het Burgerlijk Wetboek en enige andere wetten in verband met de opneming van
bepalingen omtrent de overeenkomst tot het verrichten van handelingen op het gebied
van de geneeskunst, 199
Artikel 29 werkgroep 2007a
Richtsnoer juridisch kader EPD, 2007
Artikel 29 werkgroep 2007b
Werkdocument inzake de verwerking van persoonsgegevens betreffende gezondheid in
elektronische medische dossiers, 2007
WBP 2001
Wet Bescherming Persoonsgegevens, wet van 6 juli 2000, houdende regels inzake de
bescherming van persoonsgegevens (Wet bescherming persoonsgegevens).
Memorie van Toelichting WBP
Tweede Kamer, vergaderjaar 1997–1998, 25 892, nr. 3, p. 110
NEN 7510 2004
NEN 7510, Normcommissie 303 001 “Informatiebeveiliging in de zorg”, Delft 2004
Wet gebruik burgerservice nummer in de zorg 2006
Regels inzake het gebruik van het BSN in de zorg, Voorstel van wet, TK 2005-2006, 30
380, nr. 3
Regels inzake het gebruik van het BSN in de zorg, Memorie van Toelichting TK 20052006, 30 380, nr. 3
Addendum gedragscode verwerking persoonsgegevens financiële instellingen voor
zorgverzekeraars, gepubliceerd in de Staatscourant van 2 mei 2006, nr 85
Staatscourant 2006, no. 233, p.26
Rechtspraak
Bolderkar-arrest
Rechtbank Rotterdam, Rb 22-03-1989, KG 1989, 170
HR 2 oktober 1990, Kg 1990, nr. 45/46, p. 1877
52