Implicaties van de Algemene Verordening Gegevensbescherming voor medici

Privacybescherming is niet gediend met starre wetsuitleg

Perspectief
Jaap A. van der Wel
Citeer dit artikel als
Ned Tijdschr Geneeskd. 2019;163:D4431
Abstract

Samenvatting

Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) lijkt de privacywetgeving steeds meer rigide te worden uitgelegd in de zorg. Dat is onnodig en kan zelfs schadelijk worden als zorgverleners daardoor de privacyregelgeving niet meer serieus nemen. Aan de hand van een aantal voorbeelden laat ik zien dat de AVG veel meer ruimte biedt aan zorgprofessionals dan in de praktijk vaak wordt gedacht. De AVG geeft de zorg zelfs mogelijkheden om bijstand te verlangen van leveranciers van informatiesystemen. Deze mogelijkheden verdienen meer aandacht in het licht van recente controle en disciplinaire maatregelen door de Autoriteit Persoonsgegevens, aangezien ze een impuls kunnen vormen om privacybescherming beter te laten aansluiten bij de ontwikkelingen in de informatietechnologie.

Auteursinformatie

Comfort-IA, Leidschendam: mr. drs. J.A. van der Wel, jurist en informaticus.

Contact J.A. van der Wel (jvdwel@comfort-ia.nl)

Belangenverstrengeling

Belangenconflict en financiële ondersteuning: geen gemeld.

Verantwoording

De auteur is ICT-consultant en privacy-jurist en was in 2004 betrokken bij de ontwikkeling van de NEN7510, de norm voor informatiebeveiliging in de zorg.

Auteur Belangenverstrengeling
Jaap A. van der Wel ICMJE-formulier
Heb je nog vragen na het lezen van dit artikel?
Check onze AI-tool en verbaas je over de antwoorden.
ASK NTVG

Ook interessant

Reacties

René
Estourgie

Het artikel "Privacybescherming is niet gediend met starre wetsuitleg" gaat mijns inziens uit van het gemak van de zorgverlener en niet van het recht op privacy van de patiënt. Het recht op privacy is een grondrecht dat ook door de EU is erkend. Door deze wet hebben burgers meer rechten gekregen, ook in de zorgsector. Gesteld wordt in het artikel dat in de werksituatie bij een multidisciplinaire bespreking het lastig is te voorkomen dat toevallig (niet betrokken) aanwezigen meeluisteren. Dit zou geen probleem voor de privacy van de patiënt opleveren, omdat de meeluisteraars een beroepsgeheim hebben of een geheimhoudingsverklaring hebben ondertekend. Is dit probleem niet eenvoudig op te lossen door de patiëntgegevens bij de bespreking te (pseudo)anonimiseren zodat alleen de direct betrokken behandelaars weten welke patiënt het betreft? Wat is er voorts op tegen om bij eventueel overleg met een vakgenoot dit met de patiënt te bepreken? Zorgvuldig omgaan met persoonsgegevens en hiervan rekenschap afleggen is een kenmerk van een open en transparante organisatie, wat raakt aan de kern van de AVG.

René Estourgie, chirurg n.p., medisch specialist kwaliteitsbeleid

Inderdaad moet het recht op privacy van de patiënt leidend zijn maar dat principe is zoek in de artikelen waaraan ik refereer:

  • “Waarom krijgt niemand de slappe lach van al die privacyregels?” vraagt Bert Keizer, arts, zich af in het dagblad Trouw,
  •  ‘Bewuste onwetendheid’ van privacyregels, bepleit in een redactioneel artikel van dit blad.

Dit draagt niet bij om privacyregelgeving serieus te nemen. Ik laat zien dat de regelgeving praktischer is dan wordt voorgesteld, mogelijk blijven de juristen in de gezondheidszorg teveel op de veilige uitleg zitten. Dat neemt niet weg dat zorgverleners hun patiënten zoveel als praktisch mogelijk op de hoogte moeten houden van overleg met collega’s en behandelingen. Patiëntgegevens pseudo- of anonimiseren bij patiëntbesprekingen? Vooral doen als dat eenvoudig kan. In de artikelen die ik aanhaal, lees ik echter dat dat niet eenvoudig kan en daar ben ik voor het gemak vanuit gegaan. Werksituaties zullen verschillen op dat punt neem ik aan.

De rekenschap die u noemt raakt inderdaad de kern van de AVG maar is een abstract begrip dat geconcretiseerd worden met maatregelen. Ik noem logging van dossierinzage als mogelijkheid met de case van het Haga ziekenhuis om de gevolgen aan te geven als die logging niet op orde is.

Voor betere privacybescherming kun je allerlei maatregelen verzinnen, zelfs zoveel dat je vastloopt als je geen prioriteiten stelt. Voor die prioriteiten moet je vragen stellen zoals: zouden de privacyrisico’s door het ontbreken van logging eerder een oplossing verdienen dan de privacyrisico’s van toevallig meeluisterende artsen bij besprekingen van patiënten die niet van hun zijn? Een actuele vraag na de boete voor het Haga ziekenhuis. Ik verwacht dat logging bij de Nederlandse zorginstellingen nog niet op orde is omdat een belangrijk deel van de zorgsoftware nog niet over de mogelijkheden beschikt die voor logging nodig zijn.

Stel je nu de prioriteit bij anoniem bespreken van patiënten in vergaderingen of bij een beter log en toezicht op raadplegingen van het dossier? Artsen moeten zich hierover een beeld vormen, ook al zullen sommige maatregelen door andere disciplines moeten worden gerealiseerd.

Hoe kijkt u en hoe kijken de andere lezers hier tegenaan?

Jaap van der Wel