Zorgaanbieders vallen ook onder de Algemene Verordening Gegevensbescherming. Privacy in de zorg is extra belangrijk omdat zorgaanbieders beschikken over veel gevoelige gegevens over hun cliënten en patiënten. Hierbij is vaak sprake van kwetsbare personen, waardoor privacy extra belangrijk is.

De AVG is van toepassing op alle zorgaanbieders, of het nu gaat om een grote organisatie of een zelfstandig opererende professional in een groepspraktijk. Er is hierbij geen onderscheid tussen de verschillende beroepsgroepen.

Privacy in de zorg is op vele deelgebieden van toepassing. Denk hierbij aan de geneeskundige behandelingsovereenkomst, medische dossiers, of elektronische gegevensuitwisseling tussen verschillende zorgaanbieders.

Naast de AVG die betrekking heeft op regels voor alle organisaties zijn er ook specifieke regels die gericht zijn op de zorg. Zo is er een Wet inzake de geneeskundige behandelovereenkomst en een Wet die de geheimhoudingsplicht als onderdeel van het medisch beroepsgeheim regelt. Daarnaast is een zorgaanbieder of zelfstandig professional verplicht om de identiteit en Burgerservicenummer (BSN) van de zorgvrager te controleren via een identiteitsbewijs zoals omschreven in de Wet gebruik BSN in de zorg.

Ook de Jeugdwet, de Wet maatschappelijke ondersteuning (Wmo) en de Wet langdurige zorg (Wlz) bevatten eigen regelingen over patiënten en patiëntengegevens. Hierin staat meer specifiek omschreven hoe en wanneer medische gegevens en gevoelige persoonsgegevens mogen worden uitgewisseld tussen de zorgaanbieder, zorgkantoor, zorgverzekeraar en de gemeente.

Dit heeft betrekking op mondelinge en schriftelijke uitwisseling, maar ook op elektronische verwerking van patiëntgegevens zoals bedoeld in de nieuwe privacywet. Het uiteindelijke doel is een gewaarborgde privacy in de zorg.

Algemene verordening gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 van kracht. Deze verordening vervangt de Wet bescherming persoonsgegevens (Wbp) en is van toepassing in de hele Europese Unie. De Wet bescherming persoonsgegevens was alleen in Nederland sinds 2001 van toepassing. De AVG geeft alle Europese burgers meer rechten op het gebied van privacy.

In de verordening staat omschreven welke bijzondere persoonsgegevens verzameld mogen worden en hoe lang deze gegevens mogen worden bewaard. Er staat in welke andere organisaties de gegevens mogen inzien en het geeft de burger de mogelijkheid om zelf hun bijzondere persoonsgegevens te verwijderen of aan te passen.

De onderliggende motivatie voor de Algemene Verordening Gegevensbescherming is dat bedrijven en organisaties zorgvuldig moeten omgaan met bijzondere persoonsgegevens, waarbij openheid en transparantie samen gaat met de bereidheid en vertrouwen om verantwoordelijkheid af te leggen over het eigen privacybeleid. Bij overtreding van de privacywet kan de Autoriteit Persoonsgegevens (AP) een boete opleggen.

Complexe regelgeving

Het mag nu duidelijk zijn dat het onderwerp privacy in de zorg een behoorlijk complexe mix is van verschillende wetten en regelingen. Voor een zorgaanbieder kan het lastig zijn om hier goed mee om te gaan. Enkele vragen waar een zorgaanbieder beleid op moet maken zijn onder anderen:

* Wanneer moeten patiënten toestemming geven voor een geneeskundige behandelovereenkomst of informatie-uitwisseling aan derde partijen.
* Hoe moet deze toestemming worden vastgelegd zodat de privacy is gewaarborgd.
* Hebben patiënten recht op inzage of aanpassing/vernietigen van de eigen patiëntengegevens uit hun medisch dossier.
* Hoe is de privacywetgeving omgezet in privacybeleid en hoe worden patiënten hierover geïnformeerd.
* Wanneer is er sprake van een datalek van gevoelige persoonsgegevens en wanneer moet dit worden gemeld aan de Autoriteit Persoonsgegevens.
* Hoe gaat de organisatie om met klachten over patiëntengegevens.
* Wanneer kan er een boete worden opgelegd door de Autoriteit Persoonsgegevens

Strengere eisen

In de zorg is er vaak sprake van bijzondere patiëntengegevens, zoals medische gegevens of een geneeskundige behandelingsovereenkomst. Hiervoor gelden strengere eisen die ook gelden voor individuele werkers in de zorg zoals:

* Een zorgverlener mag niet meer persoons- of patiëntengegevens verwerken dan noodzakelijk voor het doel van de verwerking.
* Een zorgverlener zonder behandelrelatie met een patiënt mag geen toegang hebben tot het dossier van deze patiënt.

Een bekend voorbeeld van bovenstaande is de casus van het Haagse Haga Ziekenhuis. Daar kregen 85 medewerkers een officiële waarschuwing omdat ze onrechtmatig het dossier van Samantha de Jong, ook bekend als de realityster Barbie bekeken. Naar aanleiding van het kunnen inzien van haar patiëntgegevens heeft het ziekenhuis de procedures rondom het inzien van gevoelige gegevens aangescherpt.

Wanneer een medewerker een dossier met patiëntgegevens wil inzien, dan komt er een extra waarschuwing in beeld. Het ziekenhuis controleert steekproefgewijs of de regels worden nageleefd. Iedere medewerker met toegang tot patiëntendossiers of persoonsgegevens verwerken moesten een online cursus volgen over privacy. Alle medewerkers, ook diegene die geen dossiers inzien of persoonsgegevens verwerken, hebben een brief gekregen waarin het belang van privacy in de zorg, het beroepsgeheim en vertrouwelijk omgaan met patiëntengegevens extra is benadrukt. Het onderwerp komt ook terug tijdens werkbesprekingen en tijdens introductiebijeenkomsten voor nieuwe medewerkers. Via de wet cliëntenrechten kunnen patiënten er zelf voor kiezen om hun persoonlijke gegevens extra af te laten schermen voor medewerkers van de zorgaanbieder.

Functionaris gegevensbescherming

Om goed antwoord te kunnen geven op bovenstaande vragen is de functionaris gegevensbescherming (FG) in het leven geroepen. Deze functionaris is een specialist met en bovengemiddelde vakkennis over de Wet bescherming persoonsgegevens, de nationale en Europese privacywetgeving en hoe in de praktijk om te gaan met medische gegevens en medische dossiers. De kennis van de functionaris moet gericht zijn op de regelingen die voor de organisatie van toepassing zijn. Daarnaast heeft een functionaris gegevensbescherming de taak om binnen de organisatie de cultuur van gegevensbescherming te ontwikkelen en stimuleren door middel van training en voorlichting aan medewerkers. Hiervoor verzameld de functionaris relevante gegevens binnen de organisatie om ze vervolgens te analyseren en te beoordelen of ze voldoen aan de wettelijke kaders. Hierna geeft de functionaris gegevensbescherming gevraagd en ongevraagd advies aan de organisatie.

Veel organisaties zijn wettelijk verplicht om een functionaris gegevensbescherming aan te stellen. Ongeacht de soort gegevens zijn overheidsinstanties en publieke organisaties altijd verplicht een functionaris gegevensbescherming aan te stellen. Hieronder valt onder anderen de rijksoverheid, provincies en gemeenten, maar ook zorginstellingen en onderwijsinstellingen.

Een tweede groep zijn organisaties die vanuit hun kernwerkzaamheden individuen of hun activiteiten volgen en in kaart brengen. Hieronder vallen onder meer bedrijven die cameratoezicht aanbieden, bijzondere persoonsgegevens verwerken, een risico-inventaris maken over individuele personen en bedrijven die de gezondheid van patiënten monitoren via wearables. Dit zijn slimme apparaten die via internet rechtstreeks informatie over bijvoorbeeld de gezondheid doorgeven aan een elektronisch medisch dossier.

Tenslotte is een functionaris gegevensbescherming verplicht als het verwerken van bijzondere persoonsgegevens een kerntaak is van het bedrijf. Denk hierbij aan het monitoren van politieke opvattingen, ras, geloofsovertuiging, maar ook over de gezondheid van patiënten.

Een functionaris gegevensbescherming is nooit persoonlijk aansprakelijk voor overtredingen van de privacywet binnen de organisatie. Voor bedrijven die niet verplicht zijn een functionaris in dienst te nemen kan het toch verstandig zijn om dit wel te doen. Vooral bedrijven die semi-overheidstaken uitvoeren zoals een energiebedrijf of woningcoöperatie doen er verstandig aan om op vrijwillige basis een functionaris aan te stellen. Voor deze functionaris gelden dan dezelfde voorwaarden en regels als bij een verplichte aanstelling.

Meldplicht datalekken

Een belangrijk onderdeel van de AVG is de meldplicht datalekken. Dat betekent dat een organisatie de Autoriteiten Persoonsgegevens direct moet inlichten als er sprake is van een datalek. Vaak moet het datalek ook worden doorgegeven aan de betrokken patiënt of patiënten.

Voor de zorg moet je denken aan gelekte patiëntengegevens of een lek bij de elektronische gegevensuitwisseling. Hierbij kan het gaan om een lek bij de toegang van patiëntengegevens of bij het wijzigen of vernietigen van deze gegevens zonder dat de organisatie hiermee instemde. Een datalek moet direct worden gemeld via een speciaal meldloket datalekken.

Gelijktijdig moeten er direct maatregelen worden genomen om het datalek te dichten of de schade van het lek zo veel mogelijk te beperken. De risico op herhaling moet worden ingeschat en de organisatie moet maatregelen nemen om herhaling te voorkomen.

Wet cliëntenrechten

De Wet cliëntenrechten is sinds 1 juli 2020 van kracht. Deze wet heeft betrekking op de elektronische verwerking van patiëntengegevens. De wet geeft aan onder welke voorwaarden een zorgverlener elektronisch opgeslagen medische gegevens op een veilige manier kan inzien of uitwisselen met een andere zorgverlener. De wet regelt ook de patiëntenrechten op het gebied van elektronische gegevensuitwisseling. Omdat de AVG als Europese privacy boven de nationale wet staat, is de Wet cliëntenrechten een aanvulling op de AVG. Veel regels komen dan ook met elkaar overeen zoals het recht van de patiënt om eerder gegeven toestemming voor het verwerken van persoonsgegevens weer in te trekken.

Privacywet en boetes

De Autoriteit Persoonsgegevens (AP) mag een organisatie in de zorg een boete geven als er sprake is van een overtreding. Overtredingen kunnen betrekking hebben op de AVG, maar ook op de uitvoering van de AVG. De hoogte van de boete zal per overtreding verschillen. De AP onderzoekt de overtreding en zal hierbij rekening houden met de omvang, ernst en duur van de overtreding. Hierbij is het ook belangrijk of er sprake is van een eenmalig incident, of dat er sprake is van een opzettelijke overtreding of zelfs herhaling van eerdere overtredingen. Dit alles is vastgelegd in een boete beleidsreglement.

Bij het vaststellen van de hoogte van de boete zal de Autoriteit Persoonsgegevens rekening houden met maximale bedragen die wettelijk zijn vastgelegd. Organisaties hebben volgens de AVG bepaalde verplichtingen zoals het bijhouden van een verwerkingsregister. 

Komt de organisatie deze verplichtingen niet na dan mag de AP een boete opleggen met een hoogte van maximaal 10 miljoen euro, of van maximaal 2% van de wereldwijde jaaromzet van de onderneming. Bij een overtreding die betrekking heeft op de grondslag van de Algemene Verordening Gegevensbescherming, of de privacy van betrokkenen valt de boete hoger uit. Hiervoor mag de AP een maximale boete van 20 miljoen euro opleggen, of een boete van 4% van de wereldwijde jaaromzet. In de praktijk zijn er al regelmatig flinke boetes uitgedeeld. In Nederland deelde de AP aan Uber een boete uit van € 600.000 wegens het niet nakomen houden van de meldplicht datalekken, waarbij het datalek pas een jaar na het incident is aangemeld aan de Autoriteit Persoonsgegevens en de betrokkenen. In Portugal kreeg een ziekenhuis een boete van € 400.000 wegens het ontbreken van toezicht op de toegang van patiëntengegevens. Bij het eerder beschreven incident bij het Haga Ziekenhuis is er na uitspraak van de rechter een boete opgelegd van 310.000 euro. Recordhouder tot nu toe is Google met een boete van 50 miljoen euro, omdat het bedrijf op fundamentele manier in strijd handelt met de AVG. Deze boete is in 2021 nog onder de rechter.

De boetes kunnen dus serieus hoog uitvallen en zijn meer dan een stok achter de deur voor iedere organisatie zoals een zorginstelling. De hoogte van de boetes zijn zo bepaald dat het een afschrikwekkende werking heeft voor potentiële overtreders. Voor verschillende soorten overtredingen zijn er vier verschillende basisboetes. Deze basisboete kan zowel verhoogd of verlaagd worden door rekening te houden met factoren zoals de soort, duur en ernst van de overtreding, de hoeveelheid getroffen personen en de omvang van de schade. De AP zal ook rekening houden met de financiële situatie van de overtreder. Een grote zorginstelling zal bij dezelfde overtreding een veel hogere boeten krijgen dan een kleine zorgonderneming.

Conclusie

De AVG is een grote stap voorwaarts op het gebied van privacybescherming. Deze Europese wet is grensoverschrijdend van toepassing en geeft in de zorg zowel de client als de zorgverlener duidelijkheid over de verplichte stappen om de privacy te waarborgen. Dit betekend voor een zorginstelling dat er veel aandacht moet worden besteed aan de uitvoering van alle nieuwe regels. Hiervoor is een speciaal aangestelde functionaris in het leven geroepen die niet allen de toepassing van de wet controleert, maar ook aanbevelingen kan geven om de privacybescherming te verbeteren.

Omdat bij grote zorginstellingen soms duizenden medewerkers werken, is voorlichting en scholing ook een belangrijk onderdeel van deze functionaris. Gaat het toch mis, dan is er een meldplicht aan de Autoriteit Persoonsgegevens, die ook gerechtigd is om bij overtredingen een forse boete op te leggen.

Is er een verschil van mening tussen de client en zorgaanbieder dan bestaat er een onafhankelijke geschillencommissie voor de geschillen binnen de zorg waarbij iedere zorgaanbieder verplicht is aangesloten. De geschillencommissie geeft een bindende en openbare uitspraak, waarbij zowel naam van de client als zorgaanbieder om privacyredenen niet openbaar wordt gemaakt.

Trainingen: