E-Health update

Zorg op afstand, oftewel digitale zorg in het Coronatijdperk Als gevolg van het Coronavirus is thuiswerken of werken op afstand feitelijk de nieuwe norm, die mede tot gevolg heeft dat in rap tempo naar zo veel mogelijk digitaal wordt gewerkt. Werken op afstand of digitaal werken is voor iemand in de zorg uiteraard iets compleet anders dan voor iemand in de advocatuur; als dit in de betreffende zorgsector al mogelijk is. In deze bijdrage wordt ingegaan op (de (on)mogelijkheden van) digitaal werken in de zorg en dus het fenomeen eHealth. Over eHealth De Inspectie voor Gezondheidszorg en Jeugd (‘IGJ’) definieert eHealth in het toetsingskader “Inzet van e-Health door zorgaanbieders” als ‘het gebruik van informatie- en communicatietechnologie (ICT) om gezondheid en gezondheidszorg te ondersteunen of te verbeteren’. Oftewel: eHealth is digitale zorg. Bij e-Health gaat het niet alleen over patiëntgerichte e-Health-oplossingen, maar ook over de zorginformatiesystemen van de zorgaanbieder zelf. Voorbeelden van eHealth zijn het digitale gebruik van cliënt- of patiëntgegevens in de vorm van het elektronisch patiëntendossier, de daarbij horende elektronische gegevensuitwisseling, digitale inzage in de vorm van webportalen voor cliënten of patiënten en de zogenaamde ‘persoonlijke gezondheidsomgeving’. Daarnaast valt te denken aan het elektronisch voorschrijven van medicijnen en het online aanvragen van herhaalrecepten, een e-consult met de arts, digitale of telefonische consulten (‘teleconsultatie’) tussen artsen onderling, maar ook aan online behandelplatformen in de GGZ, het gebruik van virtual reality in de GGZ en, tot slot, robotica bij bewegingstherapie en domotica bij verpleging en verzorging zoals camera’s, (bewegings)sensoren en uitluistersystemen. Jaarlijks voeren Nictiz en Nivel een zogenaamde ‘eHealth monitor’ uit waarin de beschikbaarheid en het gebruik van eHealth in Nederland in kaart worden gebracht. In de monitor van 2019 wordt aangegeven dat zorgverleners overwegend positief over het gebruik van eHealth zijn, waarbij zij ook verwachten dat eHealth kan bijdragen aan verlaging van de werkdruk. De randvoorwaarden voor het gebruik van eHealth moeten dan wel goed geregeld zijn. De techniek moet goed werken én digitale toepassingen moeten op een optimale manier worden geïntegreerd in het zorgproces, met een juiste zorg(taak) op de juiste plek. Er moet dus betrouwbare ICT beschikbaar zijn, maar ook moet de organisatie van de zorg – denk ook aan taakherschikking – op orde zijn en moet financiering beschikbaar zijn. In dit ‘Coronatijdperk’ heeft het ministerie van VWS op 24 maart jl. al aangekondigd direct geld vrij te maken voor extra digitale toepassingen voor ondersteuning en zorg op afstand aan thuiswonende kwetsbare ouderen en mensen met een chronische ziekte of beperking. Met e-Health kan fysieke zorg in sommige gevallen namelijk worden vervangen en kan tegelijk de kwaliteit van die zorg worden behouden of zelfs worden verbeterd. Stimulering van het voorkomen, verplaatsen en vervangen van zorg in bredere zin en in dat verband te verkrijgen subsidies kennen we uiteraard al als het programma De Juiste Zorg op de Juiste Plek. Samen met vragen over financiering van (al) deze innovaties, roept deze aankondiging ook juridische vragen op. Op die vragen en hun antwoorden wordt in het onderstaande nader ingegaan. Contact en informatie-uitwisseling met cliënten en patiënten Niet vreemd in het dagelijks leven van een cliënt of patiënt is dat hij of zij al digitaal inzage heeft in zijn of haar cliënt- of patiëntdossier. Juridisch gezien heeft een cliënt of patiënt immers van oudsher (al) recht op inzage in en een afschrift van zijn dossier; de grondslag daarvoor is de Wet op de geneeskundige behandelingsovereenkomst (WGBO), en meer specifiek artikel 7:456 BW. Ook heeft een ‘betrokkene’ – de patiënt of cliënt dus – uit hoofde van de Algemene Verordening Gegevensbescherming (‘AVG’) recht op een ‘kopie’ van de persoonsgegevens die van hem of haar door een ‘verwerkingsverantwoordelijke’ – de zorgaanbieder – worden verwerkt (zie artikel15 lid 3 AVG). Wanneer de betrokkene zijn inzageverzoek langs elektronische weg doet, dient de verwerkingsverantwoordelijke hem ook digitaal inzage te geven. Bovendien volgt uit overweging 63 bij de AVG dat een verwerkingsverantwoordelijke, indien mogelijk, de betrokkene toegang geeft tot een beveiligd elektronisch systeem waarop de betrokkene op ieder moment zijn gegevens kan inzien. Ook zonder dat hij daartoe eerst een verzoek moet doen dus. De inzage in het dossier (of het verkrijgen van een afschrift daarvan) gebeurt tegenwoordig dus al veelal digitaal. Ook directe communicatie tussen de cliënt of patiënt en behandelaar verloopt steeds meer via digitale kanalen, zoals e-mail, messenger apps, social media, enzovoorts. Een groot deel van de GGZ in Nederland is in dit Coronatijdperk inmiddels zelfs massaal aan het beeldbellen. Ook de Nederlandse Zorgautoriteit (‘NZa’) is in deze tijd een voorstander van ‘consulten op aftstand’ en gaat soepel om met declaratieregels waar die voorschrijven dat een eerste consult met een (medisch) specialist – in het ziekenhuis – face-to-face moet plaatsvinden. De KNMG geeft voor gebruik van verschillende digitale kanalen in de communicatie een praktische handreiking, in de per 2020 vernieuwde Richtlijn ‘Omgaan met medische gegevens’ en de daaraan gekoppelde ‘Handreiking Artsen en social media’. Juridisch gezien is van belang dat bij al deze manieren van digitaal werken – lees: zorgen – zal moeten worden nagedacht over de beveiliging van de samen met of door de cliënt of patiënt te gebruiken apps en digitale omgeving, maar ook de beveiliging van de opslaglocatie van de desbetreffende gegevens. De AVG schrijft in artikel 32 voor dat persoonsgegevens ‘passend’ moeten worden beveiligd. Wat ‘passend’ precies betekent volgt niet direct uit de (tekst van de) AVG zelf. Het begrip ‘passend’ duidt er wel op dat een proportionaliteitsafweging moet worden gemaakt tussen enerzijds de beveiligingsmaatregelen en de kosten daarvan en anderzijds de aard van de te beschermen gegevens. Duidelijk is dus dat zogenaamde bijzondere persoonsgegevens – waaronder ook gezondheidsgegevens – beter moeten worden beveiligd dan reguliere persoonsgegevens, zoals bijvoorbeeld iemands NAW-gegevens. Voor de beveiliging van gezondheidsgegevens sluit de Autoriteit Persoonsgegevens (‘AP’) aan bij de beveiligingsstandaarden die volgen uit NEN 7510, NEN 7512 en NEN 7513. Uit die beveiligingsstandaarden volgt o.a. dat systemen waarin gezondheidsgegevens staan opgeslagen, moeten worden beveiligd met behulp van ten minste meerfactorauthenticatie. Te denken is hier aan een inlog met gebruikersnaam en wachtwoord (iets wat de gebruiker weet) en daarnaast een sms met controlecode (iets wat de gebruiker heeft). Hiermee moet zoveel mogelijk worden voorkomen dat onbevoegden toegang hebben tot de medische gegevens van de cliënt of patiënt. Verder schrijven de NEN-normen voor dat zorgaanbieders logbestanden moeten gaan bijhouden en die loggegevens ook regelmatig moeten controleren. Logbestanden geven inzicht in wie wanneer en waarom toegang heeft gehad tot het dossier van de patiënt of cliënt. Hierdoor kan achteraf worden gecontroleerd of die toegang rechtmatig was. Wordt een derde partij ingeschakeld om de cliënt- of patiëntgegevens te beheren, bijvoorbeeld in de cloud, dan moet de zorgaanbieder – mede gezien de richtlijnen die de AP hiervoor geeft – controleren of die cloudleverancier voldoende beveiligingsmaatregelen heeft genomen. De zorgaanbieder moet ook kunnen aantonen dat hier tijdens het onderhandelingsproces aandacht voor is geweest. Aandachtspunt is hier verder dat als de gegevens worden opgeslagen op servers buiten de EU aanvullende eisen gelden en ook die dan door een zorgaanbieder – die gebruik maakt van de cloudleverancier – moeten worden gecontroleerd. Ook moet duidelijk zijn en gecontroleerd worden hoe wordt gehandeld bij een datalek en welke aansprakelijkheid de cloudleverancier wil aanvaarden. Communicatie tussen zorgverleners onderling Communicatie tussen zorgverleners onderling is natuurlijk ook aan de orde van de dag. Bijvoorbeeld wanneer een huisarts of specialist ouderengeneeskunde belt met een medisch specialist in het ziekenhuis. Of wanneer de huisarts foto’s van plekjes op de huid van een patiënt deelt met een dermatoloog, omdat hij twijfelt. Ook bij het delen van cliënt- of patiëntgegevens tussen hulpverleners onderling geldt de WGBO en dus – in beginsel – het beroepsgeheim. Een belangrijke doorbrekingsgrond voor het beroepsgeheim staat echter in artikel 7:457 lid 2 BW: met ‘degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst’ mogen wel gegevens over de cliënt of patiënt worden gedeeld. De huisarts die de foto’s van de patiënt of cliënt deelt, mag dat dus – voor zo ver noodzakelijk – op grond van de WGBO zonder meer doen. Van belang is wel hóe die informatie uitwisseling plaatsvindt en (ook) weer hoe die informatie-uitwisseling is beveiligd. Ook dat wordt in de eerder al genoemde Richtlijn van de KNMG gesignaleerd. Het is (was) niet ongebruikelijk dat via Whatsapp wordt gecommuniceerd, en dat daarmee wordt gebeld of bijvoorbeeld ook foto’s worden gedeeld. Bij het gebruik van juist dit soort kanalen is het van belang dat de  (huis)arts zich nagaat hoe veilig dit gebruik nu precies is. Interessant is dat gebruik van Whatsapp volgens de KNMG niet verboden is, zo lang het om niet-herleidbare gegevens gaat. Whatsapp zelf heeft echter aangegeven dat alleen persoonlijk, en dus niet professioneel gebruik, van het platform is toegestaan. Dit betekent dat even ‘intercollegiaal appen’ er eigenlijk al niet meer bij kan zijn. De nationale wetgever heeft op het gebied van elektronische gegevensuitwisseling niet stilgezeten: zo geldt per 1 juli 2017 Hoofdstuk 3a van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’). Deze wet geeft regels over het gebruik van een zogenaamd ‘elektronisch uitwisselingssysteem’. Een elektronisch uitwisselingssysteem is ingevolge artikel 1 onder j Wabvpz een systeem waarmee zorgaanbieders op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken. Daaronder valt dus niet het eigen interne systeem binnen een zorgaanbieder voor het bijhouden van een elektronisch dossier. Een voorbeeld van een ‘elektronisch uitwisselingssysteem’ is een persoonlijke gezondheidsomgeving, oftewel een PGO. Een PGO is een digitale omgeving die de gebruiker ervan in staat stelt om al zijn of haar rele­vante gezondheidsgegevens, die verspreid liggen opgeslagen bij professionele zorgverleners, zorgaanbiedersinstellingen en overheden, in te zien, aan te vullen met zelf gegenereerde gegevens en te delen met wie hij dat wil. PGO’s bieden via websites en apps toegang aan tot alle gezondheidsgegevens van de betreffende persoon. Juridisch gezien is van belang dat de regels over het beroepsgeheim – op grond van de WGBO –  ook in een PGO onverkort gelden. Daarnaast is van belang dat artikel 15a lid 1 Wabvpz bepaalt dat gegevens van de cliënt of patiënt slechts beschikbaar kunnen worden gesteld via een elektronisch uitwisselingssysteem, als de cliënt of patiënt daartoe uitdrukkelijk toestemming heeft gegeven. Voor het delen van gegevens in een elektronisch uitwisselingssysteem (zoals een PGO) met iemand die direct bij de behandeling is betrokken, heeft een arts (hulpverlener) dus ondanks artikel 7:457 lid 2 BW ook toestemming van de betrokken cliënt of patiënt nodig. Vermeldenswaardig is verder nog dat het nog niet inwerking getreden artikel 15a lid 2 Wabvpz bepaalt dat de in artikel 15a lid 1 Wabvpz bedoelde toestemming, gespecificeerde toestemming moet zijn. Dat betekent dat de betreffende toestemming specifiek moet zijn gegeven voor het beschikbaar stellen van alle of juist alleen bepaalde gegevens aan door de cliënt of patiënt zelf aan te duiden zorgaanbieders of categorieën van zorgaanbieders. Een algemene toestemming volstaat dan niet. Het lijkt erop dat dat deze bepaling (dus) tot gevolg heeft dat er vaker of meer toestemming aan de cliënt of patiënt zal moeten worden gevraagd dan thans het geval is. Uit de eerste praktische uitwerking van de wet bleken er maar liefst 160 toestemmingsmogelijkheden! Aanvankelijk was beoogd om deze bepaling per 1 juli 2020 in werking te laten treden. Daar is (gelukkig) door (toenmalig) Minister Bruins van afgezien, omdat de eis van de ‘gespecificeerde toestemming’ in de praktijk niet uit te voeren bleek te zijn. Beoogd is om in de eerste helft van 2020 een voorstel voor de herijking van de invoering van gespecificeerde toestemming te doen, waarbij ook aandacht zal worden besteed aan de uitvoering in de praktijk en de wetgeving die nodig is voor een eventuele toestemmingsvoorziening die werkt op basis van het BSN. Voor het mogen verwerken van een BSN is op grond van artikel 46 Uitvoeringswet AVG namelijk een expliciete wettelijke grondslag vereist. Toestemming voor gegevensverwerking blijft dus uitgangspunt, ook bij spoed- (Corona-)zorg; zo heeft (voormalig) Minister Bruins aangegeven. Het zogenaamd ‘Landelijk Schakelpunt’ (‘LSP’) kan hier volgens de minister ook in het Coronatijdperk uitkomst bieden. Van het LSP heeft  Tegelijkertijd bestaat lijkt ook hier toch behoefte te bestaan aan nadere wetgeving. Er is namelijk een gebrek aan eenduidige taal, techniek en regie voor het tussen zorgverleners onderling uitwisselen van medische informatie. Als gevolg daarvan wordt minder goede zorg, of minder snel goede zorg, verleend. Met een mogelijk toekomstige wet – waarvoor tot 10 juni 2020 een internetconsultatie loopt – moet uiteindelijk zou uiteindelijk moeten worden gekomen tot een gestandaardiseerde elektronische uitwisseling van gegevens tussen zorgverleners onderling. Juridisch gezien is bij het werken met een elektronisch uitwisselingssysteem verder ook van belang dat wordt vastgesteld wie de rol van verwerkingsverantwoordelijke in de zin van de AVG vervult; vaak is dat de zorgaanbieder of zorgverlener, omdat de taak om de gezondheidsgegevens van de patiënt of cliënt te beveiligen primair bij de zorgaanbieder ligt. Er gaan echter steeds meer stemmen op dat er meer verantwoordelijkheid zou moeten worden toegekend aan de leverancier van het uitwisselingssysteem. Een soort van gedeelde verantwoordelijkheid dus. Zo ver zijn we echter nog niet. Verder moet er op grond van de AVG ook een grondslag zijn om de gegevens te mogen delen. De AVG kent zes verwerkingsgrondslagen waarvan er één toestemming is. Daarnaast moet er voor het verwerken van gezondheidsgegevens ook een uitzonderingsgrond bestaan (artikel 9 AVG). Het verwerken van bijzondere persoonsgegevens is namelijk in de regel verboden. Ook hier geldt dat van het verbod om bijzondere persoonsgegevens te verwerken mag worden afgeweken als de patiënt of cliënt toestemming heeft gegeven voor de gegevensverwerking. Tenslotte  geldt natuurlijk ook hier weer het in artikel 32 AVG bepaalde, namelijk dat persoonsgegevens ‘passend’ moeten worden beveiligd. Het gebruik van hulpmiddelen bij de behandeling, verpleging en verzorging Naast het uitwisselen van gegevens valt onder eHealth als gezegd ook het gebruik van bijvoorbeeld zorgrobots en virtual realitybrillen bij een behandeling. Het gaat hier dan vaak om gebruik van een ‘hulpzaak’ bij de uitvoering van een (geneeskundige) behandelingsovereenkomst in de zin van artikel 7:446 BW. Deze hulpzaken kunnen schade veroorzaken. Die schade kan zijn veroorzaakt door de hulpverlener zelf, maar ook doordat de zaak voor het (daarvoor te verwachten gebruik) ongeschikt is. Zorgrobots, virtual realitybrillen, domotica zoals camera’s, (bewegings)sensoren en uitluistersystemen en ook de in dit verband gebruikte software zijn aan te merken als ‘hulpzaken’ in de zin van artikel 6:77 BW. Dit betekent dat als een hulpverlener daarvan gebruik maakt bij de uitvoering van een behandelingsovereenkomst in de zin van artikel 7:446 BW, hij, als door gebruik van die hulpzaak schade ontstaat en als het om een ongeschikte hulpzaak gaat, daarvoor op grond van artikel 6:74 jo. 6:77 BW aansprakelijk is. Een verwijt – schuld – is dan niet vereist. Aansprakelijkheid is slechts uitgesloten als, kort gezegd, het aansprakelijk houden van de hulpverlener onredelijk zou zijn. Het gaat dan vaak om een ‘niet te onderkennen gebrek’. Vooralsnog is er juridisch gezien vooralsnog echter onvoldoende grond om aan te nemen dat aansprakelijkheid voor hulpzaken bij  hulpverleners als regel onredelijk is. Naast een contractuele grondslag voor aansprakelijkheid bestaat aan de zijde van de cliënt of patiënt ook de mogelijkheid om de producent van de hulpzaak – de robot, of de virtual realitybril – aansprakelijk te stellen. De grondslag daarvoor staat in artikel 6:185 BW: een producent is in de regel (ook) aansprakelijk voor een ‘gebrek’ in zijn product. Het voorgaande betekent voor de praktijk dat goede afspraken met leveranciers van hulpmiddelen, die soms ook producent in de zin van artikel 6:185 BW zijn, inzake eventuele gebreken dienen te worden gemaakt, waarbij ten minste ook aan de te bedingen vrijwaringen gedacht kan worden. Ook een adequate aansprakelijkheidsverzekering is hier van essentieel belang. Niet mag worden vergeten dat domotica zoals camera’s, (bewegings)sensoren en uitluistersystemen niet alleen te kwalificeren zijn als hulpzaak, maar het gebruik daarvan onder omstandigheden ook kan kwalificeren als ‘onvrijwillige zorg’ in de zin van de Wet zorg en dwang (Wzd). Indien bij cliënten met een verstandelijke beperking of psychogeriatrische aandoening domotica wordt toegepast zonder instemming van de cliënt of de vertegenwoordiger van een ter zake wilsonbekwame cliënt (of zelfs onder verzet van de cliënt), dan is die domotica onvrijwillige zorg. Onvrijwillige zorg kan alleen worden verleend na het volgen van een opschalend besluitvormingsmodel, oftewel ‘het stappenplan’. Uitgangspunt daarvan is dat geen onvrijwillige zorg wordt verleend, tenzij het écht niet anders kan. Tot slot Juridisch gezien is er al veel duidelijk maar ook nog heel veel onduidelijk rondom het fenomeen eHealth. De technologie staat niet stil, en de wetgever gelukkig ook niet. Bij verandering en innovatie, zeker in de zorg en dus op het gebied van eHealth, be- en ontstaan veelal verschillende juridische vragen. Wij helpen u graag bij het beantwoorden daarvan. Heeft u vragen of wilt u meer informatie over eHealth, neemt u dan contact op met Jacqueline de Vries, Sofie Steen of Anne Coenders.