Op 4 oktober jl,. nam de Eerste Kamer de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg aan. Na jarenlang soebatten krijgt de zorg daardoor voor het eerst een wettelijk kader voor elektronische uitwisseling van patiëntgegevens tussen zorgaanbieders. In de toekomst zullen cliënten bovendien de mogelijkheid krijgen om rechtstreeks inzage en afschrift van het dossier te krijgen via een elektronisch uitwisselingssysteem. In dit artikel gaan wij in op de vraag wat er voor zorgaanbieders en cliënten gaat veranderen.
Al jaren wordt er gedebatteerd over een wettelijke regeling van het elektronisch patiëntendossier (EPD). In 2011 sneuvelde een wetsvoorstel dat het EPD moest gaan regelen in de Eerste Kamer. In dat wetsvoorstel zou er één elektronische “snelweg” komen voor elektronische patiëntendossiers. Via deze route konden zorgaanbieders dan binnen strikte kaders patiëntengegevens met elkaar uitwisselen om een goede zorgverlening mogelijk te maken. Dat voorstel haalde het vooral niet, omdat er teveel vragen waren over de beveiliging van dit systeem. Dit uitwisselingssysteem – het landelijk schakelpunt (LSP) – was op dat moment al in de lucht. Veel zorgaanbieders waren er al op aangesloten. Met name huisartsen, huisartsenposten en apothekers maakten er al gebruik van. Het sneuvelen van het wetsvoorstel maakte dat een deugdelijk wettelijk kader voor de uitwisseling van patiëntgegevens via het LSP ontbrak. In een advies heeft de Autoriteit Persoonsgegevens (toen nog CBP) geschetst hoe deze uitwisseling toch zou kunnen worden voortgezet. De vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ) werd opgericht en VZVZ en zorgaanbieders moesten uitdrukkelijke toestemming aan patiënten gaan vragen om uitwisseling van patiëntgegevens via het LSP mogelijk te maken. Vanaf 2012 is dit ook gebeurd. Huisartsenposten, huisartsen, apothekers en andere zorginstellingen die op het LSP zijn aangesloten vragen sindsdien toestemming aan patiënten om van het LSP gebruik te mogen maken. Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) De Wvpz vult de Wet gebruik burgerservicenummer in de zorg aan en wijzigt de naam van die wet in Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. De wet ziet op elektronische uitwisselingsystemen tussen zorgaanbieders, dus niet op elektronische systemen binnen een zorginstelling waarin patiëntgegevens worden vastgelegd. Het elektronische patiëntendossier van een zorginstelling zelf valt dus niet onder de wet. De wet is wél van toepassing als een zorgaanbieder via een elektronisch uitwisselingssysteem patiëntgegevens beschikbaar stelt voor een andere zorgaanbieder. De andere zorgaanbieder kan dan deze patiëntgegevens zonder verdere tussenkomst van die andere zorgaanbieder raadplegen. Op grond van de Wbpz moet de cliënt uitdrukkelijke toestemming geven aan de zorgaanbieder om die gegevens aan andere zorgaanbieders beschikbaar te stellen. Zonder toestemming van de cliënt mag een zorgaanbieder dit dus niet doen. In de toekomst moet het mogelijk worden dat de cliënt zelf kan bepalen of hij toestemming geeft voor het beschikbaar stellen van alle patiëntgegevens of van bepaalde gegevens. Ook moet hij kunnen bepalen of de gegevens beschikbaar komen voor bepaalde zorgaanbieders (dus bijvoorbeeld alleen de plaatselijke huisartsenpost of alleen het plaatselijke ziekenhuis) of alleen bepaalde categorieën zorgaanbieders (dus bijvoorbeeld alleen ziekenhuizen, apothekers en huisartsen). Omdat dit nogal wat technische aanpassingen vergt, heeft de minister aangekondigd dat zij deze zogeheten gespecificeerde toestemming pas drie jaar na de inwerkingtreding van de Wbpz van kracht wil laten worden. Dat betekent dat ‘het veld’ dat wil zeggen zorgaanbieders, maar ook hun leveranciers) drie jaar de tijd heeft om de benodigde technische aanpassingen door te voeren. De zorgaanbieders moet de gegevens zodanig beschikbaar stellen dat de persoonlijke levenssfeer van anderen dan de cliënt daarbij niet worden geschaad. Dat betekent dat de zorgaanbieder erover moet nadenken hoe hij gegevens in een dossier vastlegt. Hij kan niet zonder meer namen van anderen (bijvoorbeeld familieleden) in het dossier noemen. Cliëntenrechten Informatieverplichtingen De wet geeft de cliënt een aantal extra rechten. De zorgaanbieder moet de cliënt allereerst informatie geven over zijn rechten bij elektronische uitwisseling van cliëntgegevens met andere zorgaanbieders. Die informatie moet uiteraard zodanig zijn dat de cliënt weloverwogen toestemming kan geven voor het beschikbaar of juist niet-beschikbaar stellen van (delen van) zijn patiëntgegevens voor andere zorgaanbieders. Deze toestemming van de cliënt behoort vervolgens in de toekomst ook te worden vastgelegd in het dossier. In de tweede plaats moet de zorgaanbieder tussentijds informatie geven over grote veranderingen in het uitwisselingssysteem. Dat is het geval als er nieuwe categorieën van zorgaanbieders aansluiten bij het elektronisch uitwisselingsysteem. Verder kan het uitwisselingsysteem natuurlijk anderszins substantieel wijzigen en ook dan dient de zorgaanbieder de cliënt daarover te informeren. De cliënt kan dan desgewenst zijn toestemming aanpassen of intrekken. Recht op elektronische inzage Cliënten krijgen daarnaast de mogelijkheid om inzage of afschrift van hun eigen dossier en ook van de gegevens die de zorgaanbieder via een elektronisch uitwisselingsysteem beschikbaar stelt. Het onderscheid tussen deze twee typen gegevens wordt gemaakt, omdat veel zorgaanbieders niet het dossier zelf beschikbaar stellen, maar een samenvatting daarvan. Zo kent de huisarts een zogeheten waarneemdossier, wat een samenvatting van de belangrijkste onderdelen uit het huisartsendossier bevat. Slechts dit waarneemdossier is beschikbaar op de huisartsenpost tijdens avond, nacht en weekenduren. Dat cliënten recht op elektronische inzage krijgen is best revolutionair te noemen. Dat betekent dat cliënten en patiënten in het vervolg veel gemakkelijker kunnen zien wat deze over hen hebben vastgelegd in hun dossier. Dit brengt mee dat zorgverleners hun dossiers daarop zullen moeten aanpassen. Ook betekent dit dat het in de toekomst niet meer zonder meer mogelijk is dat zorgverleners het dossier (slechts) met uitleg aan de cliënt beschikbaar stellen om zo te kunnen verklaren wat er in het dossier precies is vastgelegd. Overigens hoeft het dossier niet altijd beschikbaar te zijn voor de cliënt. De Wvpz schrijft voor dat de inzage of het afschrift op verzoek van de cliënt, met redelijke tussenpozen, door de zorgaanbieder op elektronische wijze wordt verstrekt. Zorgaanbieders hoeven dus niet een systeem te hebben waarin cliënten de gegevens zelf naar believen kunnen ophalen. Zij kunnen er ook voor kiezen om het dossier na een daartoe strekkend verzoek van de cliënt elektronisch toe te sturen of om het slechts na zo’n verzoek ‘klaar te zetten’ om elektronisch op te halen. Dat biedt toch nog ruimte om enige controle te houden bij inzage en afschrift van dossiers. Dat is ook goed, omdat het de kwaliteit van zorg niet ten goede zou komen als zorgverleners niet in de gelegenheid zouden worden gesteld om toelichting te geven bij wat zij in dossiers hebben vastgelegd en hun aantekeningen daardoor een eigen leven zouden gaan leiden en gemisïnterpreteerd zouden kunnen worden. Logging Cliënten krijgen bovendien de mogelijkheid om schriftelijk (elektronisch) informatie te krijgen wie bepaalde informatie via het elektronische uitwisselingssysteem heeft beschikbaar gesteld en wanneer dit is gebeurd. Ook hebben cliënten het recht schriftelijk (elektronisch) informatie te ontvangen wie bepaalde informatie heeft ingezien of opgevraagd en op welke datum. Omdat het elektronisch beschikbaar stellen van patiëntgegevens nogal wat voeten in de aarde heeft, heeft de minister aangekondigd dat zorgaanbieders ook drie jaar de tijd krijgen om zich op het inzien door patiënten van loggingoverzichten voor te bereiden en de benodigde systemen hiervoor aan te schaffen en in te richten. Toestemmingseis voor raadplegende zorgaanbieders (vooralsnog) niet van toepassing In Wvpz is ook een bepaling opgenomen die zorgaanbieders die cliëntgegevens bij een andere zorgaanbieder willen raadplegen verplicht om daarvoor eerst uitdrukkelijke toestemming te vragen aan de cliënt. Die toestemming geldt dan vervolgens voor de hele behandelrelatie. De minister heeft echter in de nadere memorie in de Eerste Kamer aangekondigd dat zij deze bepaling niet in werking zal laten treden, omdat zou zijn gebleken dat deze verplichting om toestemming te vragen in veel gevallen niet uitvoerbaar is, bijvoorbeeld omdat er niet altijd direct contact met de cliënt is. Bovendien was zij van mening dat door de gespecificeerde toestemming veel cliënten als herhaling zou worden ervaren wanneer zorgverleners die het systeem willen raadplegen ook voor deze handeling toestemming zouden vragen. Beveiliging Dat medische dossiers gemakkelijker elektronisch beschikbaar komen voor cliënten en patiënten heeft ook een keerzijde. Wanneer gezondheidsgegevens van patiënten in handen komen van personen die niet bevoegd waren om daarvan kennis te nemen zal in de toekomst minder gemakkelijk te traceren zijn waar het fout is gegaan. Het lek bevindt dan namelijk niet meer automatisch bij de zorgverlener zelf, maar kan zich dan ook bij de cliënten, zijn familie, andere zorgverleners of beheerders van uitwisselingssystemen hebben voorgedaan. Voor een lek bij die laatste hoeft de zorgverlener niet automatisch ook verantwoordelijk te zijn, waar dat nu in het algemeen wel nog het geval is. Het is daarom ook belangrijk om cliënten voor te lichten over de risico’s van het te gemakkelijk delen van hun patiëntgegevens. Ook verdient het aanbeveling om systemen te bedenken waarbij het voor cliënten niet direct nodig is om hun patiëntgegevens te dupliceren en op hun eigen computer op te slaan. Hoe minder gegevens gekopieerd worden hoe kleiner immers de kans dat er gegevens lekken. De wetgever heeft op mogelijk misbruik van patiëntgegevens door zorgverleners wel al geanticipeerd door in de Wvpz de bevoegdheid aan de strafrechter toe te kennen om bij computervredebreuk of schending van het beroepsgeheim de zorgverlener van de uitoefening van zijn beroep te ontzetten. Tot slot Of de Wvpz uitvoerbaar is zal in de praktijk moeten blijken. Met name het gespecificeerd toestemming vragen en het recht op elektronische inzage zal wennen worden voor zorgaanbieders én cliënten. De inwerkingtreding van de wet zal tot gevolg hebben dat bestaande uitwisselingssystemen en EPD’s zullen moeten worden aangepast om aan de hiervoor geschetste vereisten te kunnen voldoen. Het is goed om bestaande contracten met IT-leveranciers erop na te slaan of dergelijke aanpassingen gedekt zijn. Veel contracten bevatten garanties dat het systeem moet voldoen en blijven voldoen aan wet- en regelgeving, maar het komt vaak voor dat over veranderende wetgeving geen regeling getroffen is. In die gevallen is het zaak om spoedig nadere afspraken te maken met IT-leveranciers voor de noodzakelijke aanpassingen en de tijdige implementatie daarvan. Drie jaar is immers kort om ingrijpende technologische aanpassingen door te voeren. In vergelijking tot de oorspronkelijke wet die in 2011 sneuvelde valt in de Wvpz vooral op dat iedereen een uitwisselingssysteem kan bouwen. In die wet was er slechts één weg mogelijk. Dat maakte de uitwisseling gemakkelijker, maar daardoor wellicht ook kwetsbaarder. Door de Wvpz kunnen zorgaanbieders voor verschillende uitwisselingssystemen kiezen. Dat maakt de systemen op zichzelf mogelijk minder kwetsbaar, maar daardoor wordt het uitwisselen van cliëntgegevens wellicht wel weer ingewikkelder. En dat kan dan wellicht weer een bedreiging vormen voor de kwaliteit van de zorgverlening. Of de Wvpz dus een goede zet is moeten we afwachten. Maar het is hoe dan ook goed dat er - waarschijnlijk vanaf 1 januari 2017 – eindelijk een wet komt die elektronische uitwisselingen van patiëntgegevens tussen zorgaanbieders regelt. In de huidige praktijk is er teveel diversiteit ontstaan en dat komt de bescherming van de persoonlijke levenssfeer van cliënten en de kwaliteit van zorg in ieder geval niet ten goede.