Privacy van patiëntgegevens: bestaande en toekomstige regels

Privacy van patiëntgegevens: bestaande en toekomstige regels

Als u werkzaam bent binnen de tandheelkunde krijgt u te maken met bijzondere persoonsgegevens. U moet deze registreren en verwerken en onder meer bijhouden in het dossier van de patiënt. De gezondheidsgegevens van de patiënt zijn bijzondere persoonsgegevens waarmee extra zorgvuldig om moet worden gaan. Welke verplichtingen gelden er?

Zaken waarbij u stil moet staan als u persoonsgegevens verwerkt.
In de samenleving is er op dit moment veel aandacht voor de omgang met gezondheidsgegevens en privacy en wat er allemaal mis kan gaan en gaat op dit gebied. Zoals u weet zijn er al veel regels over de omgang met gezondheidsgegevens maar worden deze in de nabije toekomst aangescherpt. Het is belangrijk dat u op de hoogte bent van de bestaande en toekomstige regels, want op de overtreding van deze regels kunnen zeer hoge boetes staan.

Datalek en melden
Weet u bijvoorbeeld dat u per 1 januari 2016 een ernstig datalek in uw organisatie binnen 72 uur na ontdekking moet melden bij de Autoriteit Persoonsgegevens en soms ook bij de betrokken persoon zelf? En wist u dat als er bij een datalek gezondheidsgegevens zijn betrokken u deze in principe altijd moet melden bij de Autoriteit Persoonsgegevens? U hoeft niet elk datalek te melden. Daarvoor is vereist dat er sprake is van een aanzienlijke kans op ernstige nadelige gevolgen. Als de patiënt ook ongunstige gevolgen kan ondervinden, moet u deze ook op de hoogte brengen.

Aanvullende verplichtingen (op termijn)
Ook van belang is dat op 1 juli 2017 de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg inwerking gaat treden. Op grond van deze wet krijgen zorgaanbieders meer verplichtingen en krijgen patiënten meer rechten. Zo moet de patiënt digitale inzage in zijn dossier krijgen, moet de zorgaanbieder aan de NEN-normen voldoen, moet er geregistreerd gaan worden of een patiënt toestemming heeft verleend en vanaf wanneer deze toestemming geldt en moeten er ‘loggegevens’ worden bijgehouden. Sommige verplichtingen gelden direct en voor andere verplichtingen, zoals digitale inzage in het patiëntendossier, krijgt u nog even (3 jaar) de tijd.

Verordening: nog meer wijzigingen per mei 2018
Daarnaast is het ook van groot belang dat u rekening houdt met de komst van de Europese Verordening op het gebied van privacy, namelijk de Algemene Verordening Gegevensbescherming. Vanaf 25 mei 2018 moet aan aanvullende vereisten van deze Verordening zijn voldaan. Vanaf dat moment moet er in sommige gevallen ook een Functionaris Gegevensbescherming (FG) zijn en een Privacy Impact Assessment (PIA) zijn gedaan. Voor kleinere praktijken zal dit niet snel gelden. Uiteraard zullen wij hier begin 2018 nogmaals aandacht aan besteden.

Materiële controles en machtigingen
Tot slot nog een punt van aandacht waar wij veel vragen over krijgen. Moet je altijd meewerken aan een controle van een verzekeraar en maakt het daarbij uit of je wel of niet gecontracteerd bent? En hoe zit het met machtigingen? Over de eerste twee vragen schreven wij al op dental INFO het artikel Verruiming controles zorgverzekeraars vereist aanpassing bestaande problematiek.

Moet ik altijd meewerken?
De Wet Bescherming Persoonsgegevens verbiedt het een zorgaanbieder gegevens te verstrekken aan een derde, ook een zorgverzekeraar. Dit is alleen anders als er sprake is van een wettelijke uitzondering. De materiële controle van een zorgverzekeraar valt daaronder, maar alleen indien en voor zover de zorgverzekeraar zich aan de regels heeft gehouden. Het is aan de zorgaanbieder om vast te stellen of dat zo is. Is het onduidelijk en verstrek je toch gegevens, dan ligt het risico volledig bij de zorgaanbieder. De zorgverzekeraar mag deze gegevens gewoon gebruiken terwijl de zorgaanbieder het risico loopt door de patiënt te worden aangesproken dat ten onrechte gegevens verstrekt zijn.

Maakt het uit of ik gecontracteerd ben?
Ja, dat maakt zeker uit. Want als je geen contract hebt, dan gaat de huidige wet er vanuit dat je in beginsel alleen de gegevens aan de patiënt mag verstrekken. Er is wel een wetswijziging aangenomen in de Tweede Kamer op grond waarvan een ongecontracteerde zorgaanbieder ook gegevens moet verstrekken aan de verzekeraar, maar deze wet is nog niet aangenomen in de Eerste Kamer en het is niet zeker dat dit zal gebeuren.

Machtigingen
Tot slot vragen wij nog in het bijzonder aandacht voor machtigingen. De Autoriteit Persoonsgegevens heeft in december 2016 hierover beleidsregels gepubliceerd. De kern is: zorgverzekeraars mogen alleen die gegevens opvragen die noodzakelijk zijn en moeten motiveren waarom deze gegevens noodzakelijk zijn. Zorgaanbieders die gegevens aan de verzekeraar verstrekken in het kader van een machtiging mogen dat alleen nadat zij daarvoor expliciete toestemming van de patiënt hebben gekregen. Dit gaat in de praktijk nog wel eens mis. Wij raden aan om de verkregen toestemming om gegevens in het kader van een machtiging te verstrekken goed vast te leggen.

Wilt u meer weten over privacy en wat u allemaal te wachten staat? Vraag dan kosteloos onze ‘handreiking privacy in de zorg’ aan via post@eldermans-geerts.nl of via 030-2332218.

Door:
Eldermans|Geerts – advocaten, juristen en zorgmakelaars 

Lees meer over: Kennis, Ondernemen, Patiëntendossier, Wet- en regelgeving