Dit is een overzicht van wet- en regelgeving over informatieveiligheid en privacy. De toelichting per wet is kort en er is alleen uitgelicht wat relevant is voor informatieveiligheid en privacy.
Toestemmingen VWS
Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft een overzicht opgesteld met toestemmingen bij de verwerking van patiëntengezondheidsgegevens tussen zorgverleners: factsheet toestemmingen. Hierbij is het uitgangspunt altijd het medische beroepsgeheim. Dat geheim is niet absoluut. De eis van (vrijwillig gegeven en bepaalde) uitdrukkelijke toestemming is een ander belangrijk uitgangspunt. De uitzonderingen zijn in de factsheet goed verwoord.
Wat niet in de factsheet staat, is de uitzondering voor afwijkende nierwaarden. Daarvoor geldt een wettelijke mededelingsplicht richting apotheker en is ook geen uitdrukkelijke toestemming van de patiënt vereist. Deze is wel nodig voor andere labwaarden, zoals kalium etc.
- Factsheet toestemmingen Downloaden
Informatieveiligheid en privacy in de AVG
In de Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 van toepassing is, staan voorschriften over de verwerking van persoonsgegevens. De AVG zal de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. De wet is van toepassing op alle vormen van het verwerken van persoonsgegevens, ongeacht of dit op papier of elektronisch plaatsvindt.
De AVG brengt onder andere de volgende rechten en plichten met zich mee op het gebied van informatieveiligheid en privacy:
- Doelbindend:
Persoonsgegevens mogen alleen voor een bepaald omschreven doel worden gebruikt. Bijzondere persoonsgegevens mogen alleen op specifiek in de AVG omschreven gronden worden verwerkt. De belangrijkste grond is uitdrukkelijke toestemming van de patiënt. - Recht op informatie:
De patiënt heeft het recht om informatie te ontvangen omtrent zijn gegevens en zijn dossier. - Bewaartermijn:
Gegevens mogen niet langer dan noodzakelijk worden bewaard. De bewaartermijn van het dossier is twintig jaar. Voor declaraties en andere fiscale gegevens bestaat een bewaartermijn van zeven jaar. - Dataportabiliteit:
Dit is het recht op de overdraagbaarheid van gegevens. De gegevens dienen gestructureerd, gangbaar en digitaal overgedragen te kunnen worden. - Recht van wissen:
Persoonsgegevens kunnen op verzoek van de patiënt (voor een deel) vernietigd worden. Alleen dat gedeelte wat erg belangrijk is voor een ander dan de patiënt of waar de wet een bewaartermijn voor stelt moet bewaard blijven. - Recht op beperking:
Dit recht kan uitgeoefend worden wanneer de juistheid van de gegevens wordt betwist. Of wanneer de persoonsgegevens niet meer nodig zijn voor de doelen van de verwerking. - Recht op vergetelheid:
De patiënt heeft het recht dat in een aantal gevallen persoonsgegevens gewist moeten worden als een patiënt daarom vraagt. - Kennisgevingsplicht van wissen, beperking en vergetelheid:
Indien een patiënt een beroep op een van deze rechten heeft gedaan, dient de apotheker iedere ontvanger van de persoonsgegevens op de hoogte te stellen van de wijziging. - Juistheid van gegevens:
De apotheker heeft de plicht om redelijke maatregelen te treffen om de juistheid van de gegevens van de patiënten te controleren en zo nodig te actualiseren. - Opslagbeperking:
Gegevens mogen slechts voor die termijn bewaard worden die noodzakelijk is voor de behandelovereenkomst of de wettelijk gestelde termijn. - Integriteit en vertrouwelijkheid:
De door de apotheker opgeslagen gegevens dienen beschermd te worden door passende beveiligingsmaatregelen. Voor de zorg gelden hier de NEN-normen 7510, 7512 en 7513 voor.
- AVG-brochure: Gevolgen voor de apotheek Downloaden
Informatieveiligheid en privacy in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
De bepalingen van de Wet 'cliëntenrechten bij elektronische verwerking van gegevens' zijn opgenomen in de Wet gebruik burgerservicenummer in de zorg. Omdat met de nieuwe bepalingen het niet meer alleen gaat over het gebruik van het burgerservicenummer, krijgt de wet een nieuwe titel: de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. De wet heeft als doel de kwaliteit van de zorg te verbeteren door betrouwbare gegevensuitwisseling rondom het verplichte gebruik van het BSN in de administratie van zorgaanbieders.
In de wet staan onder andere de volgende rechten en plichten op het gebied van informatieveiligheid en privacy:
- Verplicht gebruik BSN:
De zorgaanbieder is sinds 1 juni 2009 verplicht om het BSN in zijn administratie op te nemen en te gebruiken bij de uitwisseling van gegevens. - Uitdrukkelijke toestemming voor gegevensuitwisseling:
Voor gegevensuitwisseling met andere zorgaanbieders dient toestemming gevraagd te worden aan de patiënt (de opt-invraag). Daarbij dient de patiënt gericht geïnformeerd te zijn over rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronisch uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt. - Toepassing van ‘logging’:
Alle gebeurtenissen (aanmaken, aanpassen, verwijderen, etc.) op een medisch patiëntendossier dienen vastgelegd te zijn, zodat dit achteraf gecontroleerd kan worden. - Het BSN van de patiënt moet worden opgevraagd en geverifieerd:
Pas na deze handeling mag het BSN ook daadwerkelijk gebruikt worden door de zorgaanbieder. - De patiënt is verplicht zich te identificeren als de zorgaanbieder daar om vraagt.
Een aantal verplichtingen is uitgesteld (ingangsdatum juli 2020):
- Elektronische inzage en afschrift:
De patiënt kosteloos elektronische inzage in en een elektronisch afschrift van het dossier of van gegevens uit dat dossier aanbieden. Het recht van de patiënt op elektronische inzage houdt niet per definitie in dat de inzage online (via internet) moet worden gegeven. De vorm waarop er elektronisch inzage kan worden verleend is niet expliciet in de Wabvpz beschreven. Dit betekent dat een PDF mag, maar een portal ook. Inzage op een scherm bieden bij de zorgaanbieder behoort zelfs - theoretisch - tot de mogelijkheden. Dit is echter niet wenselijk aangezien dit (mogelijk) niet aansluit bij de laatste stand der techniek.
Meer informatie via avghelpdeskzorg.nl - Elektronische inzage en opname zelfmedicatie:
Voor gegevensuitwisseling rondom zelfmedicatie geldt dat op verzoek van de patiënt de apotheker bij afgifte van medicijnen direct op elektronische wijze inzage in zijn medicatiegegevens dient te geven. De apotheker dient op verzoek van de patiënt gegevens over zelfmedicatie beschikbaar te stellen in het elektronisch uitwisselingsysteem, zodat deze gegevens voorhanden zijn voor de overige zorgaanbieders van de patiënt. - Gespecificeerde toestemming:
Patiënten kunnen toestemming geven om alle of bepaalde gegevens bij een zorgaanbieder beschikbaar te stellen aan alle of bepaalde (categorieën) zorgaanbieders. - Registratie bijhouden:
Zorgaanbieders moeten bijhouden vanaf welk tijdstip de patiënt toestemming heeft gegeven.
Praktische informatie
- Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) Downloaden
Informatieveiligheid en privacy in het Besluit elektronische gegevensuitwisseling in de zorg
In het besluit worden specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling door zorgaanbieders vastgelegd. Doordat de eisen in een besluit zijn neergelegd, kan steeds worden ingespeeld op de actuele stand van de techniek. Het besluit geldt vanaf 1 januari 2018.
In het besluit staan onder andere de volgende rechten en plichten op het gebied van informatieveiligheid en privacy:
- Verplichting tot benoemen Functionaris voor de Gegevensbescherming (FG) als op grote schaal bijzondere persoonsgegevens worden verwerkt:
Deze FG dient er voor zowel de apotheek als voor de patiënten te zijn om vragen op het gebied van privacy te beantwoorden. De FG geeft advies voor de toepassing en naleving van de privacy(wetgeving). - Vastleggen van beleid, procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen.
- Ervoor zorg dragen dat gebruikte elektronische uitwisselingssystemen, interne zorginformatiesystemen en de overeenkomsten tussen zorgaanbieder en de verantwoordelijke van een elektronisch uitwisselingssysteem voldoen aan de veiligheids- en zorgvuldigheidseisen van NEN7510.
- Ervoor zorg dragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN7512.
- Ervoor zorg dragen dat de 'logging' van cliëntengegevens voldoet aan NEN7513.
Praktische informatie
Informatieveiligheid en privacy in de WGBO
Tussen hulpverleners en patiënten spelen wederzijdse rechten en plichten een belangrijke rol. Deze rechten en plichten zijn voor een deel vastgelegd in een specifiek deel van het Burgerlijk Wetboek (BW), ook wel aangeduid als de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Het doel van de WGBO is de positie van de patiënt te beschermen. Er mag niet ten nadele van de patiënt van de WGBO worden afgeweken.
De WGBO brengt onder andere de volgende rechten en plichten met zich mee op het gebied van informatieveiligheid en privacy:
- Recht op informatie over de behandeling:
Voor een behandeling is toestemming van de patiënt nodig. Daarom moet de patiënt duidelijk geïnformeerd worden om een goede keuze te kunnen maken. - Informed consent:
De patiënt moet begrijpen waarvoor hij toestemming geeft. Hij is niet verplicht om toestemming te geven. Ook in deze situatie moet de patiënt geïnformeerd worden over de mogelijke gevolgen. - Inzage in het dossier:
De patiënt heeft recht op inzage van zijn dossier en kan tevens een kopie van het dossier verlangen. Vanaf 25 mei 2018 heeft hij ook recht op een kosteloze digitale kopie. - Recht op het aanpassen van fouten in het medisch dossier:
Als gegevens onjuist of niet volledig zijn, dan kan de patiënt dit laten aanpassen. Ook mag de patiënt een eigen verklaring in het dossier laten opnemen. - Recht op vernietiging van het medisch dossier:
Het medisch dossier kan op verzoek van de patiënt (voor een deel) vernietigd worden. Alleen het gedeelte dat erg belangrijk is voor een ander dan de patiënt of waar de wet een bewaartermijn voor stelt moet bewaard blijven. De recepten zijn daarvan een voorbeeld. Deze dienen twintig jaar bewaard te blijven. - Recht op privacy en geheimhouding van gezondheidsgegevens:
De zorgverlener heeft een geheimhoudingsplicht en mag zonder toestemming van de patiënt niet met derden over zijn medische gegevens spreken. Dat geldt niet voor een andere zorgverlener die rechtstreeks bij de behandelovereenkomst betrokken is en als de gegevens noodzakelijk zijn voor de behandeling.
Praktische informatie
- NAN-richtlijn 1: Behandelingsovereenkomst Downloaden
- Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) Downloaden
Informatieveiligheid en privacy in de Geneesmiddelenwet
De Geneesmiddelenwet bevat bepalingen over de handelingen rondom geneesmiddelen, zoals de toelating, de productie, het in de handel brengen, de distributie, het voorschrijven van geneesmiddelen en de ter handstelling van het geneesmiddel aan de patiënt. De regelgeving rond geneesmiddelen wordt sterk beïnvloed door Europese regelgeving. De Geneesmiddelenwet is een uitwerking van de Europese Richtlijn 2001/83/EG.
De Geneesmiddelenwet brengt onder andere de volgende rechten en plichten met zich mee op het gebied van informatieveiligheid en privacy:
- De eisen die gesteld worden aan het elektronisch recept:
Het recept dient dan met een zodanige code te zijn beveiligd dat een daartoe bevoegde persoon of instantie de authenticiteit ervan kan vaststellen. Tevens dient het elektronische recept te worden verstuurd binnen een veilige omgeving. - De eisen aan de bewaartermijn van recepten:
Recepten dienen voor de duur van twintig jaar bewaard te blijven. Dit kan fysiek op papier zijn of elektronisch. Bij het elektronisch bewaren van de recepten dient de handreiking ‘Digitaliseren Patiëntdossier’ in acht te worden genomen en is de fysieke bewaring daarnaast niet meer nodig.
Praktische informatie
- Handreiking digitalisering van patientendossiers Downloaden
Informatieveiligheid en privacy in de Opiumwet en het Opiumwetbesluit
De Opiumwet verbiedt het bezit van bepaalde middelen die staan vermeld op lijst l en ll van de Opiumwet.
In het Opiumwetbesluit staat hoe de Opiumwet toegepast/uitgevoerd dient te worden. Dit brengt onder andere de volgende plichten met zich mee op het gebied van informatieveiligheid en privacy:
- Bewaartermijn:
Opiumwetrecepten dienen – net als de standaard recepten - twintig jaar bewaard te blijven. Daarnaast dienen de getekende ontvangstbrieven met betrekking tot opiumwetmiddelen bewaard te worden. Tevens geldt voor de administratie omtrent de opiumwetmiddelen een bewaartermijn van zes jaar. - Elektronische opiumwetrecepten:
Sinds 2007 mogen ook opiumwetrecepten elektronisch aangeleverd worden. Elk middel moet op een apart recept. - Voorraadbeheer:
De voorraadgegevens in het AIS moeten overeenkomen met de fysieke voorraad. - Controle IGJ:
Per kwartaal moeten In Manu Medici (IMM)-opiumwetrecepten aan IGJ ter beschikking worden gesteld. SFK levert daarvoor een tool.
Praktische informatie
- Handreiking Administratie opiumwetmiddelen Downloaden
- Handreiking digitalisering van patientendossiers Downloaden
Informatieveiligheid en privacy in de WDO
Binnenkort kunnen patiënten zelf kiezen uit een aantal landelijke inlogmogelijkheden (zoals DigiD) als zij toegang willen tot hun elektronische medicatiedossier. Dit komt door de Wet Digitale Overheid (WDO), die naar verwachting medio 2020 ingaat. Deze wet regelt dat patiënten veilig, toegankelijk en betrouwbaar kunnen inloggen op hun medicatiedossier.
Praktische informatie
- Patiëntendossier en inlogmogelijkheden Downloaden
Informatieveiligheid en privacy in de WMO
De Wet medisch wetenschappelijk onderzoek met mensen (WMO) regelt onder welke voorwaarden medisch-wetenschappelijk onderzoek met mensen mag plaatsvinden en beschermt proefpersonen bij deze onderzoeken.
In de WMO is in artikel 12 vastgelegd dat degene die het wetenschappelijk onderzoek uitvoert er zorg voor draagt dat de persoonlijke levenssfeer van de proefpersoon zoveel mogelijk wordt beschermd. Hieruit vloeit voort dat het registreren van onderzoeksgegevens in beginsel anoniem moet plaatsvinden, zodat bij het verzamelen ervan niet steeds persoonsgegevens worden vermeld. Dit brengt onder andere de volgende rechten en plichten met zich mee op het gebied van informatieveiligheid en privacy:
- Toestemming:
De proefpersoon dient schriftelijk zijn toestemming te geven voor zijn deelname aan het onderzoek. - Bescherming persoonlijke levenssfeer:
Degene die het onderzoek uitvoert beschermt zo veel mogelijk de persoonlijke levenssfeer van de proefpersonen.