AVG is een zegen voor zorginstellingen

Met de komst van de Europese wetgeving AVG (vertaling van GDPR), worden we als particulier overspoeld met brieven en emails van bedrijven die hun privacyreglement hebben aangepast. Ik krijg als security- en privacyexpert dagelijks de vraag: "Moet een zorginstelling nu ook opeens emails gaan versturen aan patiënten?". Die vraag zal ik u beantwoorden, maar met de komst van de AVG ontstaat een JOEKEL van een kans om de administratieve lasten in de zorg enorm te verlichten.

Wettelijke context

In de gezondheidszorg zijn verschillende wetten van toepassing. Voor de zorgprofessionals met een BIG registratie is de Wet Geneeskundige Behandel Overeenkomst (1995) de belangrijkste wet. Hierin wordt o.a. de arts verplicht gesteld een medisch dossier bij te houden van de patiënt waarmee een behandelovereenkomst is aangegaan, is het beroepsgeheim geborgd en heeft de patiënt inzagerecht in zijn/haar dossier.

Daarnaast is er nu de Algemene Verordening Gegevensbescherming (AVG/GDPR, 2018) als opvolger van de Wet Bescherming Persoonsgegevens (WPB) en Meldplicht datalekken. In deze AVG wordt geregeld onder welke omstandigheden je persoonsgegevens mag vastleggen, verwerken en/of bewaren. Dat kunnen bijzondere persoonsgegevens zijn zoals patiëntgegevens, maar ook persoonsgegevens van medewerkers/collega’s zoals BSN nummer, geboortedatum, salaris, email en telefoonnummer.

Tot slot hebben we de Wet Burger Service Nummer (BSN 2001). Een wet die ooit bedoeld was voor o.a. de belastingheffing en uitkeringen an burgers, maar nu ook gebruikt wordt voor ander doeleinden zoals het leveren van zorg. Het Landelijk Schakel Punt(LSP) gebruikt straks dit BSN-nummer om een landelijk schakelpunt te worden waar inzage mogelijk is voor de patiënt wie toegang heeft gehad/aangevraagd tot zijn of haar medisch dossier.

Aandachtspunten

De AVG (2018) gaat voor zorginstellingen in principe niet veel veranderen omdat de werkwijze al overeenkwam met de WGBO (1995) en WBP (2001) en meldplicht datalekken (2016). Toch is het verstandig de bestaande maatregelen tegen het licht te houden en aantal aanvullende maatregelen te nemen, zoals bv:

  1. Middels een privacyverklaring op de website duidelijk maken welke persoonsgegevens vastgelegd worden en met welk doel.
  2. Op verzoek van de patiënt een medisch dossier ter inzage elektronisch beschikbaar te stellen. De patiënt kan na sterke identificatie (bv DigiD) inloggen op portaal om zijn/haar dossier zelf te downloaden. Ook krijgt de patiënt een overzicht van stamgegevens, episodes (ziekte historie), kan de patiënt een afspraak maken, herhaalrecepten bestellen, een medicatiepaspoort printen en/of op een veilige manier medische vragen stellen aan de zorgprofessional.
  3. De bestaande klachten en incidenten procedure uitbreiden met een duidelijke werkwijze voor privacy incidenten. Met als gevolg: Een intern register incidenten met bijbehorende evaluaties ter verbetering/lering en melding-procedure bij Autoriteit Persoonsgegevens & gedupeerden.
  4. Een analyse maken van de belangrijkste informatiestromen om daarna contracten te vernieuwen met de belangrijkste leveranciers die namens u toegang hebben tot persoonsgegevens, een zogenaamde verwerkersovereenkomst. De huisarts is bv de contractant/verantwoordelijke en aansprakelijk voor de gehele keten. Daarom moeten er goede afspraken gemaakt zijn met de leveranciers als het bv gaat om het melden van datalekken.
  5. Tot slot moeten op verschillende trainingen, vergaderingen en bijeenkomsten presentaties worden geven aan het personeel hoe om te gaan met patiënt vragen zoals inzagerecht en het voorkomen van medische vragen/antwoorden via onveilige kanalen. 

Maar nu dus over die JOEKEL van een kans...

Zoals reeds eerder genoemd, zijn zorgprofessionals verplicht inzage te geven in het integrale patiëntendossier, mits patiënten daar expliciet om vragen. Er is dan ook geen discussie wat het medisch patiëntendossier precies omvat, aldus de WGBO-juristen. Toch is er in de praktijk wel een probleem met persoonlijke aantekeningen en verwijzingen naar derden die in de journaalregels van de patiëntendossier terecht zijn gekomen en uitgesloten zijn van dit inzagerecht. Dit soort informatie zit in de praktijk vaak wel in hetzelfde informatiesysteem en is daarmee opeens onbedoeld onderdeel van het patiëntendossier. Dit soort interne informatie is echter bedoeld voor goede werking van de interne zorgorganisatie. Probleem is dus dat dit soort 'persoonlijke informatie' formeel onderdeel wordt van het patiëntendossier volgens de WGBO. Zodra deze journaalregels namelijk integraal worden opgevraagd, ontstaat opeens veel werk voor de zorgprofessional; namelijk het nalopen van alle contactmomenten (journaalposten) of daar geen privacygevoelige informatie van derden in voorkomt en/of er (per ongeluk) persoonlijke werkaantekeningen van zorgprofessionals in voorkomen. Deze tijd kan niet besteed worden aan zorg voor patiënten. De WGBO schiet op dit punt haar doel voorbij. Om die reden wil ik ervoor pleiten om integrale journaalregels uit te laten sluiten van het medisch dossier.

Mijn stelling is dat de integrale set aan journaalregels in een Informatie Systeem bedoeld is voor de interne, administratieve organisatie om goede zorg te kunnen leveren. M.a.w. dat de doelbinding ontbreekt om deze informatie te delen met de patiënt als onderdeel van het medisch dossier. Dit standpunt kan ik laten opnemen in mijn algemene voorwaarden en de privacyverklaring. Hiermee creëer ik bewust een 'conflict' tussen 2 wetgevingen, te weten WGBO en AVG. Middels "Lex specialis, superior en posterior" kan ik beargumenteren dat nieuwere, specifieke Europese wetgeving (AVG 2018) conflicteert met een oudere, nationale wetgeving (WGBO, 1995). Dat 'specifieke' zit in het benoemen van doelbinding met alle journaalregels. Op deze manier kan ik integrale journaalregels wettelijk uitsluiten van het bestaande patiëntendossier. Dit sluit niet uit dat een subset van die journaalregels met specifiek doel wel opgevraagd kan worden. Het voorkomt i.i.g. dat zorgprofessionals soms 140 pagina’s per dossier verplicht moeten doorlopen op mogelijke persoonlijke aantekeningen en/of privacygevoelige informatie over derden. Die besparing komt dan ten goede aan patiënten. 

Koepelorganisaties - LHV, NHG en KNMG

In de ADEPD richtlijn van het NHG (https://www.nhg.org/downloads/richtlijn-adequate-dossiervorming-met-het-epd-pdf) staat beschreven hoe de huisarts op een adequate en gestructureerde manier dossiervorming bezigt: inclusief journaalregels. 

Niettemin adviseert het NHG in hun richtlijn Informatie-uitwisseling Huisarts – Patiënt om de patiënt enkel inzage te bieden in de E en de P regel. Zie: https://www.nhg.org/actueel/nieuws/richtlijn-online-inzage-het-h-epd-informatie-uitwisseling-huisarts-patient-centraal

Deze veldnorm wordt dus gehanteerd. 

Dit neemt niet weg dat de patiënt op basis van de WGBO-recht heeft op een kopie van het gehele dossier; inclusief S en O (en E en P) regels dus. S staat voor Subjectief en bevat het verhaal van patient, O staat voor Objectief voor feiten, E voor Evaluatie door arts en P voor Plan.

Persoonlijke werkaantekeningen (die op verschillende wijzen zijn geoperationaliseerd in informatiesystemen) – echter – maken geen onderdeel uit van het dossier.

Zie: https://www.knmg.nl/advies-richtlijnen/artseninfolijn/praktijkdilemmas-1/praktijkdilemma/heeft-een-patient-recht-op-een-kopie-van-zijn-medisch-dossier.htm

Mening

Nu gaat mijn standpunt bij een enkele zorginstelling niet werken indien er landelijk anders gewerkt wordt. Ik ben daarom op zoek naar jouw mening/standpunt om de discussie scherper te krijgen op dit punt; Meer zorg voor patiënt of meer controle op juiste en volledige administratie?