Special: Gegevensuitwisseling in de zorg, een update!

Om goede zorg te kunnen leveren is het belangrijk, dat zorgverleners beschikken over complete en actuele zorggegevens van patiënten. Dit kan alleen bereikt worden als er een goede en veilige overdracht van gegevens is tussen verschillende zorgverleners binnen de eigen praktijk / instelling en daar buiten.

Zorginstellingen hebben op basis van wet- en regelgeving zelf een verantwoordelijkheid en rol in het zorgen voor een goede overdracht van zorginhoudelijke gegevens, ook wel bijzondere persoonsgegevens genoemd. De snelheid waarmee gegevensuitwisseling digitaal mogelijk is biedt veel kansen, maar er moet worden gewaakt voor voldoende veiligheid en bescherming van de privacy van de patiënt. Voorbeelden van wet- en regelgeving om dit te waarborgen zijn onder meer het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), het Besluit elektronische gegevensverwerking door zorgaanbieders, de zogenoemde Wet op de Geneeskundige Behandelingsovereenkomst (WGBO), de Algemene Verordening Gegevensbescherming (AVG), de Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) en de KNMG-richtlijn Omgaan met medische gegevens. In deze special wordt een update gegeven van vorenstaande (aankomende) wet- en regelgeving.

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

De Wabvpz omvat waarborgen voor patiënten bij elektronische gegevensuitwisseling. Samengevat regelt deze wet het recht van de cliënt om vanaf 1 juli 2020 kosteloos elektronische inzage in en een elektronisch afschrift van het dossier of van gegevens uit dat dossier te krijgen. Daarnaast bestaat de wettelijke plicht van de zorgaanbieder om uitdrukkelijke toestemming aan de patiënt te vragen voordat de medische gegevens beschikbaar worden gesteld via een elektronisch uitwisselingssysteem (de zogenoemde opt-in vraag, zie ook hierna in deze special). Bovendien houdt de wet het recht van de patiënt in om uitdrukkelijke toestemming te geven, aan te passen en in te trekken om gegevens beschikbaar te stellen.

Gespecificeerde toestemming

Medische gegevens c.q. bijzondere persoonsgegevens vallen onder het medisch beroepsgeheim. Vanwege het vertrouwelijke karakter is het verplicht, dat aan de patiënt uitdrukkelijke toestemming wordt gevraagd om medische gegevens elektronisch beschikbaar te stellen voor raadpleging door andere zorgverleners, die zijn aangesloten op het uitwisselingssysteem. Pas als uitdrukkelijk toestemming wordt gegeven door de patiënt, mag de zorgaanbieder de betreffende gegevens van de patiënt beschikbaar stellen. Veronderstelde toestemming daarvoor is onvoldoende. Het actief verlenen van toestemming is vereist. Aanvankelijk was echter te bedoeling, dat de uitdrukkelijke toestemming ook gespecificeerd moest zijn. Gespecificeerd zou dan moeten worden of en, zo ja, welke (bijzondere) persoonsgegevens mogen worden verwerkt en met welke categorieën van zorgaanbieders die gegevens dan zouden mogen worden gedeeld. Vervolgens zouden zorgaanbieders een registratie moeten bijhouden van de door patiënten verleende toestemming. Omdat uitvoering van vorenstaand systeem van uitdrukkelijke en gespecificeerde toestemming in de praktijk te complex is gebleken, treden deze bepalingen vooralsnog niet in werking. Het is op dit moment niet van een werkbare invulling te voorzien. Er wordt onderzocht of en in welke vorm gespecificeerde toestemming in de Wabvpz opgenomen gaat worden.

Voorbeeld elektronische uitwisselingssysteem; MedMij

Kortom, de Wabvpz regelt dus onder meer de randvoorwaarden voor elektronische gegevensuitwisseling in de zorg, meer specifiek de wijze waarop zorgaanbieder op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken (zogenoemde pull-verkeer). Een voorbeeld van een elektronisch uitwisselingssysteem is de persoonlijke gezondheidsomgeving (PGO), zoals MedMij en het Landelijk Schakelpunt (LSP). MedMij is in Nederland een gebruikte standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de patiënt en de zorgverlener(s). Deze gegevensuitwisseling vindt plaats via een PGO. Een PGO is een website of app, waarin de patiënt informatie over de gezondheid bij kan houden en actief aan de slag kan gaan met de eigen gezondheid. Met een PGO kunnen de gezondheidsgegevens op één plek worden ingezien, beheerd en gedeeld. MedMij maakt ‘spelregels’ voor een veilige en betrouwbare uitwisseling van gezondheidsgegevens. Alle zorgverleners, die aantoonbaar aan deze spelregels voldoen, mogen het MedMij-label gebruiken. Het label staat op apps, websites of een PGO. Ook is het label zichtbaar bij zorgaanbieders of andere gezondheidsprofessionals. 

Push- en pull- verkeer

Een elektronisch uitwisselingssysteem waarbij pull-verkeer voorop staat, moet worden onderscheiden van push-verkeer. Met push-verkeer stuurt een zorgverlener een gericht bericht naar een andere zorgverlener die een behandelrelatie heeft met de patiënt. Hiervan is bijvoorbeeld sprake als een patiënt wordt verwezen naar een medisch specialist. In dat geval mag worden uitgegaan van een veronderstelde toestemming van de cliënt, tenzij de patiënt bezwaar maakt. Dit is het zogenoemde opt-out systeem, zie ook hierna. De Wabvpz richt zich specifiek op pull-verkeer, dus op elektronische uitwisselingssystemen waarin gegevens zijn vastgelegd die later opgehaald kunnen worden en niet direct in verband staan met een al bestaande behandelrelatie.

Zorginformatiesysteem

Naast het elektronische gegevensuitwisselingssysteem bestaan er ook interne elektronische informatiesystemen, die worden gedefinieerd als ‘zorginformatiesystemen’, zoals het ‘HIS’ en het ‘ZIS’. De praktische regels rondom interne zorginformatiesystemen zijn echter niet vastgelegd in de Wabvpz, maar verder uitgewerkt in het onderliggende Besluit elektronische gegevensuitwisseling door zorgaanbieders.

Gedragscode Elektronische Gegevensuitwisseling in de Zorg

De Gedragscode EGiZ wordt gebruikt in samenwerking tussen zorgaanbieders. Het bevordert een veilige omgang met medische gegevens door duidelijkheid te geven over bestaande wet- en regelgeving rondom gegevensuitwisseling, privacy en het medisch beroepsgeheim. Het helpt zorgaanbieders, zoals (huis)artsen, apothekers, ziekenhuizen en samenwerkingsverbanden, onder andere bij het geven van een goede invulling aan de patiëntenrechten rond informatieverstrekking en toestemming bij het elektronisch uitwisselen van patiëntgegevens. Bijvoorbeeld voor welke vorm van elektronische gegevensuitwisseling wel uitdrukkelijk toestemming (opt-in) van de patiënt gevraagd moet worden en voor welke niet. Daarnaast geeft de Gedragscode EGiZ duidelijkheid over de beveiliging van patiëntgegevens en verheldering van verantwoordelijkheden. Bovenstaande wetgeving wordt dus nader uitgewerkt in deze Gedragscode en bevat een praktisch handvat voor zorginstellingen. Het is geen wetgeving, maar zelfregulering.

Wetsvoorstel elektronische gegevensuitwisseling in de zorg

Voor de opname van medische gegevens uit een patiëntdossier in een elektronisch uitwisselingssysteem, door middel van pull-verkeer, geldt een opt-in. De patiënt moet uitdrukkelijke toestemming geven voorafgaand aan de opname van zijn gegevens in het systeem. Omdat vooraf nog niet duidelijk is door wie en ten behoeve van welke behandeling de gegevens opgevraagd gaan worden, kan, zoals gezegd, geen gebruik gemaakt worden van veronderstelde toestemming voor de doorbraak van het medisch beroepsgeheim.


Uiteraard logisch, dat er vooraf toestemming moet worden gegeven door de patiënt, maar in de praktijk kan dat wel onhandig zijn, omdat men het elektronisch uitwisselen op een (bij Algemene Maatregel van Bestuur (AMvB)) bepaalde gestandaardiseerde wijze verplicht wil maken. Deze standaardisering is neergelegd in de Wegiz. De Wegiz verplicht, kortgezegd, dat gegevensuitwisseling tussen zorgverleners elektronisch en gestandaardiseerd verloopt. In ieder geval heeft minister Van Ark voorgesteld zoveel als mogelijk, waar mogelijk, weg te blijven bij het elektronisch uitwisselingssysteem bij het formuleren van de standaarden in verband met bovenstaande ‘onhandige’ praktijk. Zie daarvoor ook hierna in deze blog. Minister Van Ark heeft het wetsvoorstel inmiddels bij de Tweede Kader ingediend. 

Doel wetsvoorstel

Het doel van het wetsvoorstel, volgens minister Van Ark, is: “de juiste zorg op de juiste plek op het juiste moment met de juiste informatie.” Bij brief d.d. 14 december heeft de minister haar prioriteiten op het gebied van elektronische gegevensuitwisseling in de zorg aan de Eerste en Tweede Kamer kenbaar gemaakt. Het wetsvoorstel moet volgens Van Ark een toekomstbestendige beleidslijn zijn ten aanzien van grondslagen voor het delen van gegevens tussen zorgverleners en het verlenen van toestemming door burgers. Hierna worden de hoofdlijnen van de Wegiz kort toegelicht en de stand van zaken van het wetsvoorstel nader beschouwd.

Beveiligingsnormen

(Bijzondere) persoonsgegevens moeten ‘passend’ worden beveiligd en behoeven extra beveiligingsmaatregelen. Dat houdt bijvoorbeeld in, dat strenge autorisaties moeten worden ingericht, handelingen worden gelogd in het medisch dossier en logbestanden worden gecontroleerd. Dat vorenstaande belangrijk is, blijkt bijvoorbeeld ook uit het nieuws, dat het Amsterdamse Ziekenhuis OLVG recent is beboet om onvoldoende beveiliging van de medische dossiers. De Nederlandse gegevensbeschermingsautoriteit die toezichthouder is op het naleven van de AVG, de Autoriteit Persoonsgegevens (AP), heeft in 2013 al aangegeven, dat het kunnen voldoen aan het NEN7510-normenkader ‘passend’ is in de zorgsector. Bovendien is dit inmiddels wettelijk verplicht bij het gebruik van een elektronisch uitwisselingssysteem. Naar verwachting wordt het in een aantal situaties ook verplicht om te moeten voldoen aan de nadere uitwerkingen van de NEN7510-norm, zoals de NEN7512 en NEN7513.

Ter aanvulling om beveiliging te kunnen waarborgen bij de uitvoering van de Wegiz, gaat het Nederlands Normalisatie Instituut (NEN) samen met het zorgveld specifieke normen en certificatieschema’s ontwikkelen. Daarbij gaat het om een generieke set normen met algemene eisen. Daarnaast worden specifieke normen ontwikkeld, die van toepassing zijn op specifieke gegevensuitwisselingen, zoals standaardiseren van de taal en de informatie die wordt uitgewisseld. De eerste normen, die naar verwachting prioriteit zullen gaan krijgen, zijn:

  • Digitaal receptenverkeer (waarbij waarschijnlijk wel sprake zal moeten zijn van een elektronisch uitwisselingssysteem);
  • Uitwisseling van beelden;
  • Uitwisseling van de Basisgegevensset Zorg (BgZ) tussen medisch-specialistische zorginstellingen;
  • Verpleegkundige overdracht van ziekenhuizen naar verpleeg- en verzorgingstehuizen en thuiszorg (VVT).

(Zorg)organisaties krijgen uiteraard de tijd om één en ander te implementeren. De daadwerkelijke wettelijke verplichting op grond van de Wegiz wordt verwacht rond 2026.

Toestemming patiënt

Bijzondere persoonsgegevens, waaronder dus gezondheidsgegevens, mogen niet worden verwerkt, tenzij een uitzonderingsgrond uit de AVG van toepassing is. Is een uitzonderingsgrond van toepassing, dan is er ook een rechtsgeldige grondslag nodig om de persoonsgegevens daadwerkelijk te verwerken. De Wegiz gaat niet in op de vraag óf er gegevens uitgewisseld mag worden, maar, als dat mag of moet, hóe dat dan moet gebeuren (elektronisch) en aan welke eisen dat moet voldoen.

De eerste stap is dus altijd om te toetsen of er een uitzonderingsgrond is op grond van de AVG, vervolgens of er een grondslag aanwezig is en, tot slot, of het medisch beroepsgeheim doorbroken kan worden. Levert vorenstaande problemen op, dan is de vraag hoe er uitgewisseld dient te worden ook niet meer aan de orde. Levert vorenstaande geen problemen op, dan kan getoetst worden aan de Wegiz. Het verlenen van toestemming door de patiënt vormt een rechtvaardiging om persoonsgegevens te mogen verwerken.

Op dit moment wordt, zoals gezegd, voor het verwerken van persoonsgegevens van de patiënt in een elektronisch uitwisselingssysteem een opt-in als grondslag gebruikt. De uitzondering* vanwege de Corona-crisis daargelaten. Met opt-in wordt bedoeld, dat er vooraf toestemming door de patiënt wordt gegeven. Door middel van het wetsvoorstel lijkt toe te worden gewerkt naar elektronische uitwisseling met de mogelijkheid tot opt-out voor de patiënt. Met opt-out kan de patiënt achteraf de toestemming intrekken en wordt in principe uitgegaan van de veronderstelde toestemming. In dat geval kan er nog slechts sprake zijn van uitwisselingssystemen waarbij sprake is van push-verkeer. Van veronderstelde toestemming mag worden uitgegaan. In het geval er sprake is van een elektronisch uitwisselingssysteem in de zin van de Wabvpz en dus gebruik wordt gemaakt van pull-verkeer, dan lijkt opt-out niet snel mogelijk. In dat geval is uitdrukkelijke toestemming vereist en lijkt opt-out onvoldoende waarborgen te bieden. Interessant is hoe dit uiteindelijk vorm zal worden gegeven en in hoeverre, door de inwerkingtreding van de Wegiz op een later moment, er in de praktijk daadwerkelijk nog gebruik zal worden gemaakt van een elektronisch uitwisselingssysteem met pull-verkeer.

Informatie Rijksoverheid en KNMG

Door de Rijksoverheid is een informatiepagina ingericht waar informatie te vinden is voor eenieder over gegevensuitwisseling in de zorg. U kunt daarvoor naar de volgende website. Er is een factsheet opgesteld door het Ministerie van Volksgezondheid, Welzijn en Sport inzake ‘toestemming voor het uitwisselen van medische gegevens tussen zorgverleners’. Deze vindt u hier. In de factsheet wordt onder meer uitgelegd wanneer uitdrukkelijke toestemming vereist is en aan welke voorwaarden de toestemming moet voldoen om rechtsgeldig te zijn. In de factsheet wordt ook verwezen naar de KNMG-richtlijn Omgaan met medische gegevens. In deze richtlijn beschrijft de KNMG op welke wijze artsen, met inachtneming van hun beroepsgeheim, medische gegevens mogen verzamelen, opslaan, uitwisselen of anderszins mogen gebruiken. Het doel van de richtlijn is om de regels voor het omgaan met medische gegevens in diverse situaties uiteen te zetten en zodoende beroepsbeoefenaren een handvat te bieden.

Resume

Vorenstaande samengevat, leidt op dit moment tot de volgende conclusie. Voor zorgverleners geldt het medisch beroepsgeheim. De patiënt moet er op kunnen vertrouwen, dat informatie die hij of zij aan de zorgverlener verschaft niet zonder zijn of haar toestemming of zonder dat de wet het toestaat met anderen wordt gedeeld.

Als er gebruik wordt gemaakt van een elektronisch uitwisselingssysteem, dat de gegevens al van tevoren beschikbaar stelt (pull-verkeer), dan is de uitdrukkelijke toestemming van de patiënt voor het gebruik van deze infrastructuur wettelijk verplicht. Als de patiënt die specifieke toestemming niet heeft gegeven, is uitwisseling via een elektronisch uitwisselingssysteem ingevolge de Wabvpz niet mogelijk. De gegevens zijn dan namelijk niet in het systeem beschikbaar. Voor de zorgverlener die de gegevens vervolgens wil raadplegen, geldt uiteraard dat dit alleen kan als dit noodzakelijk is voor de behandeling van de betreffende patiënt. Vorenstaande kan mogelijk in de toekomst anders luiden, indien de Wegiz wijzigingen in het opt-in systeem met zich brengt.

Als er sprake is van gegevensuitwisseling aan een zorgverlener in verband met een verwijzing (push-verkeer), dan mag van de veronderstelde toestemming van de patiënt worden uitgegaan en is geen uitdrukkelijke toestemming vereist. In dat geval is er ook geen sprake van een elektronisch uitwisselingssysteem in de zin van de Wabvpz.

Wij kunnen ons voorstellen, dat de regelgeving soms lastig te doorgronden is. Indien u naar aanleiding van bovenstaande vragen heeft of heeft u andere vragen in het kader van gegevensuitwisseling in de zorg, neemt u dan gerust contact op met Yvonne Nijhuis of Astrid Kiewiet.

*Alleen tijdens de Coronacrisis kunnen de huisartsenpost en de spoedeisende hulp een samenvatting van de medische gegevens van de huisarts bekijken. Dit geldt alleen als de patiënt eerder geen keuze heeft gemaakt bij ‘Volg je Zorg’. Het Ministerie van Volksgezondheid, Welzijn en Sport heeft hiervoor op 8 april 2020 een tijdelijke maatregel getroffen.

Astrid Kiewiet