024 – 30 30 390 algemeen@alkemadevanpassel.nl
Selecteer een pagina

De Wet cliëntenrechten bij elektronische verwerking van gegevens regelt extra waarborgen met betrekking tot de toegang tot medische gegevens van cliënten (patiënten). Het wetsvoorstel is begin oktober door de Eerste Kamer aangenomen. Maar wat voor nieuws brengt deze wet onder de zon?

Er valt genoeg te zeggen over de totstandkoming van deze wet die vooral privacy als kernaspect heeft. Dat is ook logisch. Door de technologische vooruitgang staat de privacy van personen meer en meer in de aandacht, zeker in de zorg. Dit artikel beperkt zich echter tot het bespreken van de rechten van patiënten en de verplichtingen voor zorgaanbieders die ermee worden ingevoerd. Vooral zorgaanbieders dienen aandacht aan deze wet te geven.

De wet volgt op het ‘debacle’ met de poging tot het invoering van een landelijk elektronisch patiëntendossier (EPD) in 2011. Er wordt evenwel geen (verplicht) EPD mee ingevoerd. In dit verband wordt opgemerkt dat er gewerkt wordt aan de Wet cliëntenrechten zorg (Wcz). Een meer omvattende regeling op het gebied van privacy. Wanneer die wet wordt ingevoerd en wat daarin precies wordt geregeld staat nog niet vast. De wetgever wil de invoering van Wcz echter niet afwachten om een aantal essentiële waarborgen voor burgers te regelen. Vooruitlopend daarop is daarom deze wet, de Wet cliëntenrechten bij elektronische verwerking van gegevens, (alvast) ingevoerd.

Doel van de wet

Deze wet heeft tot doel “aanvullende randvoorwaarden” te scheppen voor de bescherming van de persoonlijke levenssfeer van de burger bij het hanteren door zorgaanbieders van een elektronisch uitwisselingssysteem. Kortom: als een arts of medische instelling gebruik maakt van een digitaal systeem met patiëntgegevens, dan regelt deze wet – samengevat – aan welke eisen het systeem en de uitwisseling tussen andere zorgaanbieders (andere dossiersystemen) moet voldoen. De waarborgen die hiermee ingevoerd worden zijn aanvullend op al bestaande regels over de navolgende onderwerpen:

Voor zorgverleners:

  • veiligheid;
  • toezicht;
  • handhaving en sancties bij overtreding.

Ten behoeve van de patiënten zelf:

  • het inzagerecht;
  • het verstrekken van een afschrift;
  • het transport van gegevens op verzoek van de patiënt.

Zoals u ziet regelt de wet het elektronisch ‘verkeer’ tussen patiënten en zorgaanbieders en tussen zorgaanbieders onderling.

Zorgverzekeraar

En de zorgverzekeraars dan? Zorgverzekeraars krijgen geen toegangsrecht tot de medische gegevens. Voor een zorgverzekeraar die zich toegang verschaft tot een digitaal uitwisselingssysteem zijn zware (financiële) sancties opgenomen. Zo kan door de zorgautoriteit een boete van maximaal € 500.000,- of, indien hoger, 10% van omzet van de verzekeraar worden opgelegd. Bij wederrechtelijke toegang door een (medewerker van een) verzekeraar kan er strafrechtelijke vervolging plaatsvinden op grond van computervredebreuk (art. 138ab Sr.).

Bovendien verkrijgt de patiënt het recht om zijn ziektekostenverzekering onmiddellijk op te zeggen als door de zorgautoriteit is vastgesteld dat een verzekeraar in strijd met deze wet heeft gehandeld. De gevolgen voor zorgverzekeraars kunnen dus aanzienlijk zijn. De wetgever beoogt daarmee zorgverzekeraars afdoende af te schrikken om daarmee inbreuk op de rechten van patiënten zoveel als mogelijk te waarborgen.

Persoonlijke levenssfeer patiënten

Interessant en van belang is natuurlijk te bekijken welke invloed deze wet precies heeft op de bescherming van de persoonlijke levenssfeer van burgers. Hoe worden zij vanaf nu beter beschermd tegen inbreuken op hun privacy (een grondrecht)? In de toelichting op de wet valt daar het volgende over te lezen.

“Dit wetsvoorstel beoogt het recht van burgers op bescherming van de persoonlijke levenssfeer bij de verwerking van persoonsgegevens via elektronische uitwisselingssystemen, extra te beschermen, onder andere door een opt-in regeling, de mogelijkheid om bepaalde zorgverleners uit te sluiten van toegang tot de gegevens, het recht op inzage in en afschrift van de gegevens, en de plicht om aan een cliënt toestemming te vragen om medische gegevens in te zien die beschikbaar zijn via een elektronisch uitwisselingssysteem.”

Zoals hiervoor al opgemerkt wordt met de wet geen (verplicht) EPD ingevoerd, zoals eerder is gepoogd. Naar huidige opvattingen is een verplicht EPD een te grote inbreuk op het grondrecht van burgers. Maar verbetert deze wet nu werkelijk de rechten van patiënten en waarborgen op inbreuk daarop? Eigenlijk worden er door deze wet geen nieuwe rechten voor patiënten in het leven geroepen. Onder andere de Wet bescherming persoonsgegevens (Wbp) regelt in veel gevallen al – zij het meer in het algemeen – de mogelijkheden van patiënten en de waarborgen tegen inbreuk op die rechten. De wet cliëntenrechten bij elektronische verwerking van gegevens benadrukt deze rechten en waarborgen nog eens in het bijzonder voor patiënten. Daar is zeker wat voor te zeggen gelet op de toenemende digitalisering in de zorgsector. De wet schept dus vooral duidelijkheid en voorkomt discussie.

Vooral plichten zorgaanbieders

Duidelijkheid wordt er vooral gecreëerd doordat patiënten door deze wet in staat worden gesteld om zelf te kiezen welke zorgaanbieders wel of niet toegang hebben tot hun gegevens. Ook wordt geregeld dat de patiënt bepaalt welke gegevens wel of niet mogen worden gedeeld tussen zorgaanbieders onderling. De vastlegging en naleving van deze rechten valt onder verantwoordelijkheid van de zorgaanbieder die de medische gegevens vastlegt. Waar dus aan de ene kant rechten worden gecreëerd (voor patiënten), ontstaan logischerwijs aan de andere kant verplichtingen (voor zorgaanbieders).  Zorgaanbieders moeten dus gaan registreren wie, wanneer inzage heeft gehad in de gegevens (logging). Ook is specifiek het inzagerecht in de eigen medische gegevens geregeld. In de Wet bescherming persoonsgegevens is ‘slechts’ opgenomen dat er een inzagerecht bestaat op fysieke dossiers. Men ging er echter al vanuit dat dit recht ook van toepassing is op digitale dossiers. Daar hoeft voor medische dossiers nu niet meer over gediscussieerd te worden. Zorgaanbieders moeten bovendien patiënten actief wijzen op hun rechten. Dit laatste is zeker niet de minste verplichting voor zorgaanbieders.

Datalek

Sinds de invoering van de Wet Meldplicht Datalekken (m.i.v. 1 januari 2016) is nog interessant om te beoordelen wie aansprakelijkheid draagt indien onverhoopt medische gegevens op straat komen te liggen. Patiënten bepalen immers zelf wie toegang heeft tot welke gegevens en bepalen wanneer hun gegevens worden overgedragen. Medische gegevens zijn bijzonder gevoelige gegevens. Niet voor niets moet de patiënt uitdrukkelijk worden beschermd tegen verzekeraars die buitengewoon geïnteresseerd zijn in deze gegevens (big data), zoals met deze wet ook wordt gedaan. De conclusie is eenvoudig. Het maakt voor de  aansprakelijkheid met betrekking tot de veiligheid van de medische gegevens niet uit of deze wel of niet elektronisch zijn uitgewisseld.

Dat betekent dat veelal de zorgaanbieder(s) aansprakelijk is (zijn) bij een eventueel datalek. Buiten de zorgvuldigheid die zij reeds in acht dienen te nemen bij het beheer van medische dossiers, schept deze wet voor hen extra zorg(vuldigheid). Zij dragen ook de zorg voor het veilig elektronisch beschikbaar stellen van die medische dossiers, het vaststellen van de identiteit van de elektronische gebruiker, het vaststellen van de rechten van die gebruiker, het vastleggen van wie wanneer toegang heeft gehad tot welke gegevens, etc. Dit vraagt dus ook extra aandacht voor de interne organisatie, de te gebruiken techniek en de veiligheid. Hoewel de wet cliëntenrechten bij elektronische verwerking van gegevens zorgaanbieders uitdrukkelijk nog drie jaar de tijd geeft om aan de verplichtingen te voldoen, is de Wet Meldplicht Datalekken en andere wetgeving al onverminderd op zorgaanbieders van toepassing. De overgangsperiode van drie jaar creëert dus in zekere zin een schijnveiligheid.

Conclusie

Voor zorginstellingen is van belang dat zij nog meer aandacht krijgen voor het beheer van (elektronische) medische dossiers. Het adequaat en correct informeren van patiënten staat daarbij voorop. Hoewel zorgaanbieders ‘pas’ drie jaar na inwerkingtreding aan deze wet moeten voldaan is het zaak tijdig te handelen. Wellicht dat aansprakelijkheid op grond van deze specifieke wet voorlopig nog niet speelt, de aansprakelijkheid op grond van andere regelgeving is onverminderd van toepassing. Er dient dus ook in overgangsperiode aandachtig te worden gehandeld bij het opzetten of invoeren van een uitwisselingssysteem voor medische gegevens.

Voor vragen over dit onderwerp of privacyvraagstukken kunt u contact opnemen met:

mr. P.J.L.R. van Passel