Toezicht op privacy in de zorg verandert met komst AVG

di 20 februari 2018
Toezicht op privacy in de zorg verandert met komst AVG
Security

De verwerking van medische en patient/clientgegevens wordt steeds strenger gereguleerd. In 2017 kwam na jaren van gesteggel de vernieuwde Wet cliëntenrechten bij elektronische verwerking van gegevens tot stand, met over enkele jaren een geplande uitbreiding ervan. Nu gaat de AVG vanaf mei 2018 op privacy-gebied veel ge- en verbieden.

Sinds de Meldplicht Datalekken in 2016 werd ingesteld, stond de sector zorg en welzijn steevast in de top van gemelde lekken, hacks of andere vormen van dataverlies. In het laatste kwartaal van 2017 ging het om zo’n 30 procent van het totaal. Geen geweldige score, maar wellicht ook omdat de sector bovengemiddeld datalekken meldt. Vanaf mei 2018 geldt in Nederland niet langer de Wet bescherming persoonsgegevens (Wbp) maar de vanuit EU-verband ingevoerde AVG (Algemene verordening Persoonsgegevens). Op het gebied van privacy betekent dit meer bescherming van burgers en meer plichten voor organisaties die gegevens van – in de zorgsector – patiënten en cliënten bezitten. Over algemeen is de zorgsector heel compliant bereid, heeft Laura Ghirlanda van de Autoriteit Persoonsgegevens (AP) gemerkt. “Dit betekent niet dat wet niet wordt overtreden, men weet vaak gewoon niet precies wat bepalingen zijn.”
OVER ALGEMEEN IS DE ZORGSECTOR HEEL COMPLIANT BEREID

Uitbreiding taken AP

De AP zal vanaf 25 mei 2018 in de zorgsector meer melk in de brokkelen hebben dan voorheen, naast toezichthouders zoals de NZA, de IGJ en Zorginstituut Nederland. Tenslotte is zij verantwoordelijk voor het uitvoeren van de AVG.
Laura Ghirlanda vertelde namens de AP op de ICT&health conferentie eind januari in Utrecht wat deze omwenteling betekent voor de relatie tussen de privacytoezichthouder en partijen in de zorg – van technologie- ontwikkelaar tot huisartsenpraktijk en van verzekeraar tot apotheek. De taken van de toezichthouder worden fors uitgebreid. Onder meer met voorlichting aan het publiek en aan organisaties/bedrijven, met internationale samenwerking, met steviger boetebevoegdheden (20 mln euro of 4% jaaromzet maximaal). 
De afgelopen twee jaar was er al de Meldplicht datalekken, met veel meldingen - bijna 30 procent van het totaal - uit zorg en welzijn. Tot nu toe werd er vooral voorgelicht en gewaarschuwd. Vanaf mei 2018 komt er handhaving en boetes bij voor niet goed omgaan met datalekken. Verder heeft de zorgsector de afgelopen jaren al een en ander voor de kiezen gehad, zoals :
  • Extra strenge regels bijzondere persoonsgegevens zoals medische gegevens staan al in de WBP, onder meer op het gebied van beveiliging.
  • De wet cliëntenrechten bij elektronische gegevensverwerking geldt sinds 2017 in aanvulling op de WBP en straks de AVG (zoals het toestemming vragen om gegevens te mogen verstrekken).

Systeemtoezicht vanuit AP

“Voor de zorg is veel op dit gebied dus niet nieuw, voor ons wel,” stelt Laura Ghirlanda. “Systeemtoezicht bijvoorbeeld. Veel accountabilitybepalingen, verantwoordelijkheden inzake gegevensverwerking (zorgaanbieders, verzekeraars, overheden). Via systeemtoezicht wordt het makkelijker om te toetsen of men goed voldoet aan privacy- verantwoordelijkheden. We houden ook toezicht op medisch beroepsgeheim. Bij e-health is dit in sommige gevallen relevant. Bijvoorbeeld bij een app die door een huisarts bij een patiënt wordt gebruikt in het kader van een behandeling.”
In de AVG zijn voor de zorgsector best wat uitzonderingen opgenomen, waarbij lokale regels toegestaan zijn, dit in tegenstelling tot de grotendeels gelijkgetrokken regulering EU-wijd. “Echt nieuw in AVG is het recht op dataportabiliteit. Dit betekent dat je aan verantwoordelijke organisaties kunt vragen om jouw gegevens machineleesbaar aan jou of aan andere verantwoordelijke te geven. Dat kan zo simpel zijn als de overdracht van gegevens van ene app naar de ander. Maar dit geldt tot op zekere hoogte ook voor ziekenhuizen.”

Recht op vergeten worden

De AVG geeft burgers verder ook het recht op recht vergeten worden. “Een patiënt mag dus vragen om gegevensverwijdering als hij of zij vindt dat de betrokken gegevens niet meer nodig zijn na afloop van een behandeling (zoals al enkele jaren geldt bij zoekresultaten). Technologie zoals blockchain staat hier haaks op, je moet dan vooraf inbakken dat je lockchaintoepassing voldoet aan dit recht, anders kan het de vuilnisbak in.”
Ghirlanda hamert er dan ook op dat privacy by design (het meenemen van minimale privacy-impact, maximale bescherming) vanaf het begin van het ontwerp van een digitale toepassing, EPD, slimme tandenborstel et cetera noodzakelijk is. Verder geldt het concept ‘by default: de standaard instellingen moeten het meest privacy-vriendelijk zijn.