Sinds bekend is geworden dat op 25 mei 2018 de Algemene verordening gegevensbescherming van de Europese Unie rechtstreeks van toepassing wordt, worden zorginstellingen bestookt door bureaus en bureautjes die hen aanbieden om de organisatie klaar te stomen voor die datum. De advisering vangt steevast aan met een assessment of privacy impact assessment (PIA) waarbij alle vlaggetjes van het meegeleverde ‘dashboard’ op rood gaan. Zodat de organisatie maar weet dat het bar en boos is gesteld met de naleving van de privacywetgeving. Er moeten een hoop (advies)kosten gemaakt worden om de organisatie op orde te krijgen. En dan wordt er niet eens rekening mee gehouden dat de zorg per 1 juli aanstaande nog een andere wet over zich heen krijgt: De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Geen wonder dat de privacywetgeving niet de grootste populariteit onder bestuurders geniet. Maar kan het ook anders?
De zorg krijgt te maken met drie belangrijke nieuwe wettelijke kaders op het gebied van privacy. Hieronder worden ze toegelicht.Algemene verordening gegevensbescherming (Avg)
Op 25 mei 2018 zal de Algemene verordening gegevensbescherming die vorig jaar door de Europese Unie werd aanvaard van toepassing worden. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Dit grondrecht heeft geen absolute gelding, maar moet in relatie tot de functie ervan tegen andere grondrechten worden afgewogen. De techniek heeft het leven ingrijpend veranderd. Verwerkingen van persoonsgegevens vinden steeds vaker grensoverschrijdend plaats. De doorgifte van persoonsgegevens aan derde landen moet daarom worden vergemakkelijkt, terwijl daarbij wel een hoge mate van bescherming van persoonsgegevens wordt gegarandeerd. Dit kan alleen goed gebeuren door een internationale regeling. De Avg is daarvan het resultaat. De Avg borduurt voort op een Europese richtlijn die aan de Avg voorafging en waarop de Wet bescherming persoonsgegevens is geënt. Tegen die achtergrond moet de inhoud van de Avg eerder als evolutie dan als revolutie worden beschouwd. Het feit dat een Europese ‘wet’ vanaf volgend jaar het hoofdkader vormt voor de naleving van een grondrecht is daarentegen wel revolutionair. Dat gebeurde nog niet eerder op zo’n gedetailleerde wijze. Voor het verwerken van medische gegevens bevat de Avg niet zoveel nieuwe voorschriften. De nieuwe regels gaan vooral over beveiliging, verplichtingen voor verwerkers (de nieuwe naam voor bewerkers), rechten van betrokkenen op informatie over gegevensverwerkingen en het niet-verwerken van hun gegevens als zij dit niet willen. Verder zijn er uitvoeriger regels over toezicht. Die regels gelden voor alle verwerkingen van persoonsgegevens, al zijn ze voor verwerkingen van gezondheidsgegevens soms stringenter geformuleerd. Eén van de verplichtingen die een zorgaanbieder eerder heeft dan veel andere organisaties in de samenleving, is de plicht om een functionaris voor de gegevensbescherming aan te stellen (FG), waarover hierna meer.ELKE ZORGAANBIEDER MOET STRAKS AAN NEN 7510, NEN 7512 EN NEN 7513 VOLDOEN.
Uitvoeringswet Avg
De nationale wetgever krijgt op veel plaatsen in de Avg ruimte om de Avg verder in te vullen. Die nationale regelingen mogen uiteraard niet in strijd zijn met de Avg. In Nederland wil men die nadere invulling onderbrengen in een Uitvoeringswet Avg. Een eerste consultatieversie werd in december jl. op internet geplaatst. Die Uitvoeringswet is vooral een herschikking van de Wbp. Er staan vooralsnog niet echt nieuwe bepalingen in. Dat was gelet op het tijdstip waarop de consultatieversie is uitgebracht ook niet goed doenlijk. Door de verkiezingen is het politieke speelveld immers ingrijpend gewijzigd en maakt mogelijk ook dat er andere keuzes gemaakt zullen worden. Veel ruimte voor discussie is er ook niet. De Uitvoeringswet moet immers, net als de Avg, vanaf 25 mei 2018 in werking treden. Dat brengt mee dat er weinig ruimte zal zijn voor principiële discussies en er vooral pragmatische keuzes gemaakt zullen moeten worden. Aanhaken bij de Wbp ligt daardoor voor de hand.ÉÉN VAN DE VERPLICHTINGEN DIE EEN ZORGAANBIEDER HEEFT, IS DE PLICHT OM EEN FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING AAN TE STELLEN.
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
Op 1 juli 2017 treedt de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) in werking. Die wet verplicht zorgaanbieders om expliciete toestemming te vragen aan patiënten en cliënten, wanneer zij via een elektronisch uitwisselingssysteem medische persoonsgegevens beschikbaar stellen aan andere zorgaanbieders. Deze laatste zorgaanbieders kunnen de gegevens dan ophalen wanneer zij die nodig hebben voor hun eigen zorgverlening. De systemen moeten zodanig worden ingericht dat de patiënten en cliënten gericht toestemming kunnen geven welke informatie met welke zorgaanbieder of categorieën van zorgaanbieders gedeeld mag worden. Het veld krijgt drie jaar de tijd om dit voor elkaar te krijgen. Patiënten en cliënten krijgen op grond van deze wet ook het recht om elektronisch hun gegevens in te kunnen zien en een elektronisch afschrift van hun dossier te krijgen. Dat betekent dat alle zorgverleners in Nederland met elektronische patiëntendossiers moeten gaan werken. Dat is nogal een omslag. Ook hiervoor krijgen zorgaanbieders drie jaar de tijd om dit voor elkaar te krijgen. Maar er is meer. De Wvpz krijgt ook een Uitvoeringsbesluit. Volgens het concept dat in november jl. werd gepubliceerd zal elke zorgaanbieder straks aan NEN 7510, NEN 7512 en NEN 7513 moeten voldoen. Bovendien moet elke zorgaanbieder die als instelling in de zin van de Wkkgz kwalificeert een functionaris voor de gegevensbescherming (FG) hebben. Als het Uitvoeringsbesluit per 1 juli 2017 volledig in werking zal treden, gelden deze verplichtingen dus met onmiddellijke ingang.De FG
Op zichzelf is de onrust die bij zorginstellingen wordt veroorzaakt door al die nieuwe wetten niet verwonderlijk. Zorginstelllingen weten vaak niet precies wat er op hen afkomt en schakelen daarom vaker adviesbureaus in om hen op weg te helpen. Zoals gezegd zoomen adviesbureaus vooral in op de vraag wat zorginstellingen nog niet hebben geregeld, tot in de kleinste details van de Avg. Daardoor krijgen zorginstellingen het idee mijlenver achter te lopen op de privacy verplichtingen. Ook bekruipt hen het gevoel dat die verplichtingen die zij op deze wijze ‘door de strot geduwd’ krijgen, hen afhoudt van hun kerntaak, namelijk het verlenen van goede zorg. Dat gevoel is deels terecht. Bureaus die niet uitgaan van de specifieke zorgtaken van de zorgverleners missen namelijk een van de belangrijkste uitgangspunten van de Avg, namelijk dat het beschermen van persoonsgegevens in relatie moet worden beschouwd met andere grondrechten. Procedures die bijvoorbeeld in de bankwereld prima kunnen functioneren, zijn daarom niet een-op-een toepasbaar in de zorg. Aard van de zorgverlening en cultuur binnen een zorginstelling kunnen meebrengen dat in de ene zorgorganisatie volstrekt andere keuzes gemaakt moeten worden over organisatie en bescherming van de informatiestromen dan in een andere zorgorganisatie. Uitgaan van Quickscans die niet op maat zijn gemaakt, of verbetertrajecten die niet specifiek op de eigen organisatie werden toegespitst, zijn daardoor vaak weggegooid geld.FG
Instellingen kunnen beter uitgaan van hun eigen cultuur en technische middelen door een FG aan te stellen. Zij kunnen zich dan namelijk ‘van binnenuit’ laten adviseren. Zoals gezegd wordt een FG in de zorg verplicht voor instellingen in de zin van de Wkkgz zodra het Uitvoeringsbesluit Wvpz in werking treedt. Vrijwel alle zorgaanbieders vallen onder de reikwijdte van dit begrip. Alleen solistisch werkende zorgverleners die niet werkzaam zijn voor een andere zorgaanbieder die hun werkzaamheden niet in een rechtspersoon hebben ondergebracht zijn geen zorgverlener. Dat betekent dat een huisartsenpraktijk of apotheek met rechtspersoonlijkheid bijvoorbeeld al een FG moet aanstellen.NAAR VERWACHTING ONTSTAAT DE PLICHT OM EEN FG AAN TE STELLEN AL OP 1 JULI 2017.
