Artsenkoepel KNMG heeft de KNMG-richtlijn ‘Omgaan met medische gegevens’ geactualiseerd. Hij is aangepast op de recente wetgeving en jurisprudentie, zoals de inwerkingtreding van de Wkkgz, de komst van de Jeugdwet en het gebruik van Whatsapp.
De handleiding moet alle artsen duidelijkheid geven over de regels rond uitwisseling en opslag van medische gegevens. De richtlijn geeft advies over verschillende situaties waarvoor de arts kan komen te staan. Voorbeelden van dergelijke situaties zijn:- Patiënt vraagt om een geneeskundige verklaring, wat kun je hier als arts wel en beter niet in zetten?
- Mag je patiëntgegevens uitwisselen met gemeentes, nu daar door decentralisatie steeds meer wetten worden uitgevoerd?
- In welke gevallen heeft de IGZ recht op inzage in patiëntendossiers?
- Welke regels en aandachtspunten gelden er voor communicatie via bijvoorbeeld Whatsapp?
- Mogen medische gegevens worden gebruikt bij kwaliteitsvisitaties?
Actualisering nodig
In de afgelopen jaren is de Richtlijn diverse malen uitgegeven. De meest recente versie dateert uit 2009. Sindsdien waren er diverse wijzigingen op het gebied van wet- en regelgeving, rechtspraak en rechtspraktijk. Daarnaast is er op het gebied van de zorg en samenleving veel veranderd, waaronder de opkomst van social media en andere nieuwe technieken. Op basis van deze ontwikkelingen is de Richtlijn geactualiseerd.Aparte paragrafen zijn er voor:
- Elektronische gegevensuitwisseling, e-mail, WhatsApp en social media.
- Gebruik van WhatsApp en andere berichtendiensten.
Samenvatting
De KNMG stelt in de richtlijn bij het gebruik van e-mail, social media en instant messaging-diensten dat het altijd de voorkeur heeft om vertrouwelijke medische gegevens versleuteld te versturen. Hiermee wordt voorkomen dat onbevoegden de gegevens ontvangen. Bij berichtendiensten zoals WhatsApp raadt de KNMG het artsen aan altijd eerst de veiligheid van de gebruikte dienst te onderzoeken.Voor het gebruik van social media voor de uitwisseling van gegevens die tot patiënten herleidbaar zijn, geldt de KNMG-handreiking ‘Artsen en Social Media’. De handreiking gaat over een prudent en verantwoord gebruik van social media, met veel nadruk op privacyaspecten. De handreiking is bedoeld om artsen handvatten te bieden om in individuele situaties een afweging te maken.
Groeiend gebruik social media, IM
Social media, met name publieke instant messaging-diensten zoals WhatsApp en opslag- en uitwisselingsdiensten zoals Dropbox en WeTransfer worden steeds vaker gebruikt door medische professionals. Om met elkaar te overleggen over een patiënt of om medische gegevens zoals een scan uit te wisselen. Recent bleek dat in een land zoals Brazilië al 90 procent van de dokters WhatsApp gebruikt, bijvoorbeeld om pet patiënten te communiceren. In de VS en Engeland is dit 4 respectievelijk 2 procent.In Nederland wordt met name WhatsApp ook steeds vaker gebruikt door medici. Volgens de Autoriteit Persoonsgegevens voldoet Whatsapp niet aan de eisen om gevoelige patiëntinformatie te versturen en moeten artsen dit medium niet gebruiken, zo stelde de instantie in februari 2016. Artsen maken volgens artsenkoepel KNMG gebruik van WhatsApp om bijvoorbeeld advies te vragen bij een bepaalde operatie.
KNMG stelde destijds in een reactie dat het artsen afraadt gebruik te maken van de app, maar dat de koepel het gebruik ook niet kan voorkomen. Verder adviseerde de KNMG artsen om via de app geen informatie te versturen die herleid kan worden tot personen. KNMG bracht begin dit jaar de Medische App Checker die onder meer checkt of een medische app voor gebruik door patiënten, artsen of mantelzorgers geschikt is en die helpt bij het beoordelen van de betrouwbaarheid en de kwaliteit van een medische app vóór het downloaden. Een derde check helpt, na het downloaden van de app, bij het beoordelen van de bescherming van persoonsgegevens.
In april voegde WhatsApp end-to-end encryptie toe. Een stap in de goede richting volgens de KNMG, maar nog niet voldoende. KNMG-beleidsadviseur Sjaak Nouwt stelde toen: “Als het om patiënten gaat, horen artsen vertrouwelijk en dus veilig te communiceren. Het is voor artsen nu iets minder onveilig geworden om daarvoor WhatsApp te gebruiken, ik ben er dus blij mee. Máár, WhatsApp is nog niet op alle punten veilig, het kan echt nog beter. Ik raad artsen dus nog steeds aan te kiezen voor alternatieven die veiliger zijn.
Hieronder staan de twee volledige paragrafen die te maken hebben met elektronische gegevensuitwisseling en het gebruik van social media en IM-diensten.
Elektronische gegevensuitwisseling
Steeds vaker worden gegevens elektronisch uitgewisseld. Voor deze gegevensuitwisseling geldt een aantal algemene eisen. Deze eisen gelden ongeacht de wijze waarop de gegevens worden uitgewisseld. Bij elektronische uitwisseling wordt een onderscheid gemaakt tussen ‘push-’ en ‘pull-verkeer’. Bij push-verkeer ligt het initiatief voor de gegevensuitwisseling bij de verzender. Dat is degene die het dossier in bewaring heeft. Hij verstuurt gericht gegevens naar één of enkele ontvangers.Voorbeelden van push-verkeer zijn Edifactberichten, e-mail en het gebruik van WhatsApp en andere applicaties waarmee berichten en foto’s kunnen worden uitgewisseld met derden. Bij pull-verkeer stelt een arts zijn dossiergegevens beschikbaar voor raadpleging door andere zorgverleners (dossierraadplegers). Op voorhand staat niet vast wie uiteindelijk de gegevens zullen raadplegen. Het initiatief voor de daadwerkelijke gegevensuitwisseling ligt bij de dossierraadpleger.
Een voorbeeld is het Landelijk Schakelpunt (LSP). Zie hiervoor ook de Gedragscode Elektronische Gegevensuitwisseling in de Zorg – EGiZ (2013). Algemene eisen voor het beheer van elektronische gegevens Alle persoonsgegevens die worden opgeslagen, moeten zodanig worden beveiligd dat verlies of onrechtmatig gebruik ervan zo veel mogelijk voorkomen wordt. Dit geldt ook voor elektronisch opgeslagen persoonsgegevens.
Daarbij valt te denken aan digitale medische dossiers. Vaak worden dergelijke dossiers in instellingen ‘Elektronisch Patiënten Dossier’ (EPD) genoemd. Om deze beveiliging te waarborgen is degene die de gegevens opslaat, verplicht de noodzakelijke technische en organisatorische maatregelen te treffen. Dit betekent onder meer dat de computer en het communicatieprogramma (het e-mailprogramma) die voor de gegevensopslag worden gebruikt, voldoende zijn beveiligd. Gegevensuitwisseling per e-mail. Er bestaat geen wettelijke bepaling die het gebruik van e-mail bij het uitwisselen van medische gegevens reguleert.
Daarom moet aansluiting worden gezocht bij meer algemeen geformuleerde regels over de omgang met medische gegevens. Deze komen erop neer dat de arts op een verantwoorde wijze met de medische gegevens van zijn patiënten moet omgaan. Deze regels gelden ook als de medische gegevens per e-mail worden verzonden. Voordat de gegevens per e-mail naar een ander worden verzonden, moet duidelijk zijn dat de ontvanger deze gegevens mag ontvangen. Het beroepsgeheim van de arts verhindert in beginsel immers, dat een arts medische gegevens aan derden verstrekt.
De gegevensuitwisseling moet dus passen binnen de uitzonderingen die voor het beroepsgeheim gelden. Is vastgesteld dat de gegevens mogen worden verstrekt, dan blijft de vraag over of dat via e-mail kan. Bij verzending via e-mail bestaat het risico dat de gegevens bij onbevoegden terechtkomen. De arts moet daarom vooraf een risico-inschatting maken. Daarbij verdient het de voorkeur om de gegevens versleuteld te versturen. Hiermee wordt voorkomen dat onbevoegden de gegevens ontvangen.
Gebruik van berichtendiensten
Artsen gebruiken soms WhatsApp of andere (vergelijkbare) berichtendiensten om foto’s en berichten over patiënten naar collega’s te sturen. De uitwisseling van dergelijke informatie kan nodig zijn in het zorgproces. Maar foto’s en andere patiëntgegevens vallen onder het medisch beroepsgeheim. Daarom moeten artsen zich realiseren dat zij bij het gebruik van WhatsApp of vergelijkbare applicaties de vertrouwelijkheid van patiënten moeten waarborgen. Niet alle berichtendiensten zijn even veilig. Het advies is dan ook om allereerst de mate van veiligheid van de berichtendienst te onderzoeken.Het is niet verboden om via bijvoorbeeld WhatsApp een collega-arts te consulteren door een foto met een aandoening naar hem toe te sturen. Zolang die foto maar niet herleidbaar is tot een identificeerbare patiënt. Het kan echter lastig zijn om een foto volledig te anonimiseren. Door de context kan een foto toch herleidbaar zijn. Bovendien kunnen foto’s voorzien zijn van metadata waaruit blijkt op welke locatie en op welk tijdstip de foto is gemaakt. Dit kan gaan tot aan het IP-adres van bijvoorbeeld de zorginstelling aan toe. Ook deze metadata kunnen leiden tot identificeerbaarheid van de patiënt. Dergelijke foto’s zijn daarom niet zo anoniem als men zou denken.