Wabvpz

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’)

Net als in veel andere sectoren verdwijnt ook in de gezondheidszorg steeds meer ‘papier’. Meer en meer wordt informatie digitaal opgeslagen, zo ook informatie in het medisch dossier. Ook de gegevensuitwisseling tussen zorgverleners onderling vindt op grote schaal digitaal plaats. De snelheid waarmee gegevensuitwisseling digitaal mogelijk is biedt veel kansen, maar er dient te worden gewaakt voor voldoende veiligheid en bescherming van de privacy.

In verband met dit laatste is per 1 juli 2017 de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’) in werking getreden. Deze wet regelt onder meer de randvoorwaarden voor elektronische gegevensuitwisseling in de zorg, meer specifiek de wijze waarop zorgaanbieders op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken. Een voorbeeld van een elektronisch uitwisselingssysteem is de persoonlijke gezondheidsomgeving (PGO) en het Landelijk SchakelPunt (LSP).

De Wabvpz ziet ook op interne elektronische informatiesystemen, die worden gedefinieerd als ‘zorginformatiesystemen’. De praktische regels rondom zorginformatiesystemen zijn echter neergelegd in het onderliggende Besluit elektronische gegevensverwerking door zorgaanbieders. De wet is niet van toepassing op het gericht sturen en ontvangen van gegevens tussen de zorgverlener en de patiënt.

Medische informatie is altijd persoonlijke en gevoelige informatie en valt onder het medisch beroepsgeheim. Vanwege het vertrouwelijke karakter ervan is verplicht dat aan de patiënt uitdrukkelijke toestemming wordt gevraagd om medische gegevens elektronisch beschikbaar te stellen voor raadpleging door andere zorgverleners die zijn aangesloten op het elektronisch uitwisselingssysteem. Pas als de patiënt daarvoor uitdrukkelijke toestemming heeft gegeven, mag de zorgaanbieder de betreffende gegevens van de cliënt beschikbaar stellen (artikel 15a Wabvpz). Veronderstelde toestemming daarvoor is dus onvoldoende; de cliënt moet actief toestemming geven. In het kader van deze toestemming dient de zorgaanbieder de cliënt te informeren over diens rechten bij elektronische gegevensuitwisseling, de wijze waarop de cliënt zijn rechten kan uitoefenen en over de werking van het elektronisch uitwisselingssysteem (artikel 15c Wabvpz).

Gespecificeerde toestemming

Aanvankelijk was de bedoeling dat de uitdrukkelijke toestemming ook gespecificeerd moest zijn (artikel 15a lid 2 Wabvpz). Gespecificeerd zou dan moeten worden of, en zo ja, welke gegevens mogen worden verstrekt (alle, of slechts bepaalde gegevens) en met welke (categorieën van) zorgaanbieders die gegevens dan zouden mogen worden gedeeld. Vervolgens zouden zorgaanbieders een registratie moeten bijhouden van de door cliënten verleende toestemming (artikel 15c lid 2 Wabvpz).

Omdat de uitvoering van het systeem van uitdrukkelijk en gespecificeerde toestemming in de praktijk te complex bleek, werd besloten om de bepalingen hieromtrent pas na drie jaar in werking te laten treden, per 1 juli 2020, zodat de praktijk zich daarop kon voorbereiden. In oktober 2019 bleek echter dat de uitvoering van deze wetsbepalingen ook in juli 2020 niet haalbaar zou zijn. Daarom treden deze twee bepalingen vooralsnog niet in werking.

Elektronische inzage en afschrift en ‘logging’

Bij de inwerkingtreding van de Wabvpz per 1 juli 2017 werd ook de inwerkingtreding van de bepalingen over elektronische inzage in en afschrift van het cliëntendossier met drie jaar uitgesteld. Deze bepalingen treden per 1 juli 2020 wél in werking. Het gaat daarbij om de volgende twee bepalingen.

Ten eerste krijgt de cliënt (op grond van artikel 15d Wabvpz) het recht om, desgevraagd, op elektronische wijze inzage in of een afschrift van zijn of haar dossier te krijgen. Datzelfde geldt voor elektronische inzage in de medicatiegegevens door de apotheker. Daarbij geldt dat de hier bedoelde elektronische inzage en het elektronische afschrift kosteloos moeten worden verschaft.

De Wabvpz is een aanvulling op de WGBO en de AVG. De regels uit de WGBO en AVG gelden dus (ook) onverkort. Wat betreft de dossierinzage geeft de WGBO al het recht op inzage of afschrift, maar nu is dat dus uitdrukkelijk ook voor inzage of afschrift op elektronische wijze geregeld. De Wabvpz schrijft niet voor in welke vorm de elektronische inzage of een elektronisch afschrift moet worden verstrekt. Dat kan bijvoorbeeld via een PGO of via volgjezorg.nl, maar ook door inzage te faciliteren op een computer van de zorgaanbieder of op een USB-stick. Van belang is in ieder geval dat de zorgaanbieder zorgdraagt voor een veilige verstrekking van de inzage of het afschrift.

Ten tweede kan de cliënt verzoeken om bij de elektronische inzage in of afschrift van zijn of haar dossier ook zogenoemde ‘loggingsgegevens’ op te nemen (artikel 15e Wabvpz). Dat betekent dat de cliënt inzage krijgt in wie op welk moment bepaalde informatie via het elektronisch uitwisselingssysteem beschikbaar heeft gesteld, en wie wanneer bepaalde informatie heeft ingezien op opgevraagd.

Op grond van de AVG bestond de plicht om logging bij te houden al. Bovendien geldt, als gezegd, in aanvulling op de Wabvpz het Besluit elektronische gegevensverwerking door zorgaanbieders. Daaruit volgen specifieke functionele, technische en organisatorische eisen die aan elektronische gegevensuitwisseling worden gesteld. Eén van die eisen is dat de logging moet voldoen aan de NEN 7513-norm (artikel 5).

Zorgaanbieders doen er dus goed aan hun systemen op deze (deels) nieuwe bepalingen uit de Wabvpz en het Besluit nog eens goed te controleren. Heeft u hierover vragen of wilt u meer weten? Neem gerust vrijblijvend contact op met Sofie Steen, Jacqueline de Vries of Jeffrey Groen.