Advocaten en notariaat in Leiden en Den Haag
Menu

De zorg is altijd in beweging en dat geldt even hard voor de wetgeving waarin de zorg wordt geregeld.

Voor uw gemak hebben wij de 19 wetsontwerpen en -wijzigingsvoorstellen op een rijtje gezet die op dit moment aanhangig zijn. Dat varieert van de Wet abonnementstarief WMO 2015, via de Wet BIG, de Wet medische hulpmiddelen en de Zorgverzekeringswet tot de Jeugdwet. Per wetsvoorstel is aangegeven waar het precies over gaat en in welke fase van de procedure het zich bevindt.

Wilt u ook volledig up-to-date zijn? Laat dan hieronder uw gegevens achter en u ontvangt het overzicht direct in uw mailbox!

Voor nadere informatie over Zorg + Recht kunt u contact opnemen met Arjen van Rijn.

Ja, ik ontvang graag het overzicht Wetsvoorstellen Zorg

De Autoriteit Persoonsgegevens heeft kenbaar gemaakt dat zij bij verschillende zorginstellingen, waaronder bloedbanken en IVF-klinieken, het privacybeleid heeft opgevraagd. Het opstellen van een privacybeleid is niet voor alle organisaties verplicht. Wanneer bestaat deze wettelijke verplichting nu wél en waar moet een privacybeleid aan voldoen? In deze kennisblog wordt nader op deze vragen ingegaan.

Als u in de AVG zoekt naar de term “privacybeleid” zult u die niet tegenkomen. In de AVG wordt gesproken over “gegevensbeschermingsbeleid”. Het opstellen van een gegevensbeschermingsbeleid is op grond van artikel 24 lid 2 AVG verplicht “wanneer zulks in verhouding staat tot de verwerkersactiviteiten”. “Wanneer zulks in verhouding staat” is volgens de toelichting op de wet is dit afhankelijk van de aard, de omvang en het doel van de gegevensverwerking. Zorginstellingen zijn in beginsel verplicht een privacybeleid op te stellen.

Welke eisen worden nu aan een privacybeleid gesteld? De wet zelf bevat geen opsomming van eisen waaraan het privacybeleid moet voldoen. Uit artikel 24 lid 1 AVG valt af te leiden dat het privacybeleid moet kunnen aantonen dat u persoonsgegevens verwerkt conform de wet. Wat betekent dit nu concreet? Dit betekent dat u in het beleid in ieder geval de volgende informatie dient op te nemen:

Indien zorginstellingen geen privacybeleid hebben dat voldoet aan bovengenoemde eisen, dan overtreden zij de wet en riskeren zij een boete. Bent u verantwoordelijk voor privacy bij een zorginstellingen en heeft u nog geen privacybeleid dan wel heeft u vragen over de inhoud van het privacybeleid, neem dat contact op met Natascha van Duuren, partner IT, IE & privacy, n.vanduuren@declercq.com of 06-54983766. Wilt u op de hoogte worden gehouden van alle ontwikkelingen op het gebied van zorg? Meld u dan hier aan voor de De Clercq Zorg Nieuwsbrief.

Minister Bruins heeft in een brief aan de Tweede Kamer laten weten dat hij zorginstellingen stapsgewijs gaat verplichten om op een eenduidige manier digitale gegevens met elkaar uit te wisselen. Goede en tijdige informatie-uitwisseling met de patiënt en tussen zorgaanbieders is volgens hem nodig voor een goede kwaliteit van zorg. Lees hier de hele brief. Uiterlijk 1 april 2019 zal de minister een plan van aanpak naar de Tweede Kamer sturen.

Zorgproces voor zorgproces zal worden gedigitaliseerd. Met digitalisering bedoelt de minister dat de uitwisseling van informatie tussen zorgverleners die bij dat zorgproces betrokken zijn digitaal verloopt. Hij geeft daarbij zelf aan dit “veel werk” is. De zorg is immers groot en divers en bovendien spreken alle beroepsgroepen hun eigen taal.

In het plan van aanpak zal een roadmap worden opgenomen met daarin zorgprocessen waarin prioriteit is verleend. De NICTIZ heeft inmiddels een eerste prioritering aangebracht, te weten:

Het is niet alleen voor zorgaanbieders betrokken bij vorenbedoelde zorgprocessen van belang om op de hoogte te blijven van de ontwikkelingen, maar ook voor ICT-leveranciers. Zo zullen ICT-aanbieders in de zorg ervoor moeten zorgen dat hun systemen  open en toegankelijk zijn en uitwisselbaarheid van gegevens mogelijk maakt.

De Clercq heeft een zorgteam dat alle ontwikkelingen op de voet volgt, onder meer op het gebied van ICT en privacy. Wilt u op de hoogte blijven? Meld u dan aan voor onze De Clercq Zorg Nieuwsbrief. Voor meer informatie over gegevensuitwisseling in de zorg, neem contact op met Natascha van Duuren, n.vanduuren@declercq.com of 06-54983766.

Over de bewaartermijn van loggegevens in de zorg bestaat veel onduidelijkheid. Moeten deze gegevens net zo lang bewaard blijven als het medisch dossier zelf (thans doorgaans 15 jaar) of kan voor loggegevens een kortere bewaartermijn worden aangehouden? De loggegevens zelf bevatten geen medische gegevens, maar zeggen enkel iets over wie wanneer inzage heeft gehad in het medisch dossier. Dagblad Trouw berichtte gisteren dat zorginstellingen het over deze kwestie niet eens kunnen worden. De Autoriteit Persoonsgegevens (AP) en het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) zullen daarom de knoop doorhakken.

In art. 5 lid 2 van het Besluit elektronische gegevensverwerking door zorgaanbieders is opgenomen dat vertegenwoordigende organisaties van zorgaanbieders en patiënten in overleg met de AP de bewaartermijn voor logging zullen vaststellen. Volgens dit artikel moeten zij dit bekendmaken in de Staatscourant binnen 6 maanden na de inwerkingtreding van het besluit. Doen zij dat niet binnen die termijn, dan zal de minister van VWS een bewaartermijn vaststellen.

Het besluit is op 1 januari 2018 in werking getreden. De bewaartermijn voor logging zou inmiddels dus bekend moeten zijn. Dit is echter niet het geval. Uit het bericht in Trouw valt op te maken dat de zorgaanbieders het hierover niet eens kunnen worden. Nu is het dus de beurt aan VWS en de AP.

Overigens is het de vraag of VWS en de AP er wel in zullen slagen het over deze kwestie snel eens te worden. In de memorie van toelichting bij het wetsvoorstel tot wijziging van de regeling over de geneeskundige behandelingsovereenkomst, spreekt de regering bijvoorbeeld de voorkeur uit voor een bewaartermijn van vijf jaar:

“Voor de data die bij ‘logging’ worden opgeslagen wordt voorgesteld om een kortere bewaartermijn te hanteren dan de voorgestelde 20 jaar voor het medisch dossier. Een langere bewaartermijn wordt niet proportioneel geacht gezien de enorme hoeveelheid data die bij ‘logging’ worden opgeslagen. Daarbij speelt mee dat data die bij de ‘logging’ wordt opgeslagen, ook minder relevant zijn voor bijvoorbeeld het onderbouwen van een vordering tot schadevergoeding naar aanleiding van een vermeende medische fout. Een bewaartermijn van ongeveer vijf jaar voor logginggegevens is daarom passender.”

In het advies dat de AP eerder gaf over datzelfde wetsvoorstel, opteert de AP juist voor een bewaartermijn gelijk aan de bewaartermijn voor het medisch dossier:

“De keuze voor een kortere bewaartermijn voor logginggegevens wordt (…) gemotiveerd door te wijzen op de enorme hoeveelheid data die bij logging worden opgeslagen en door te stellen dat dergelijke data ook minder relevant zullen zijn voor het onderbouwen van een vordering tot schadevergoeding naar aanleiding van een vermeende fout. De AP merkt op dat de relevantie van (bewaring van) logginggegevens toch primair is gelegen in de mogelijkheid om te controleren of de raadpleging, toevoeging of wijziging van gegevens in het medisch dossier beperkt is gebleven tot degenen die daartoe –vanwege hun rol/functie in de uitvoering van de behandelingsovereenkomst met de patiënt –bevoegd zijn. De AP adviseert om dat belang (controle rechtmatigheid toegang tot medisch dossier) centraal te stellen en leidend te laten zijn bij de bepaling van de bewaartermijn voor die logginggegeven en daarbij niet ook allerlei andere, secundaire overwegingen op de voorgrond te plaatsen. Een en ander impliceert dat de bewaartermijn voor het medisch dossier ook maatgevend is voor de logginggegevens, tenzij er zwaarwegende argumenten aanwezig zijn om daarvan af te wijken.”

Kortom, het is spannend wat het nu gaat worden. Volgens het artikel in Trouw wil de minister in de eerste helft van 2019 duidelijkheid bieden.

Lees hier ook een eerder blog over logging in de zorg.

De Algemene verordening gegevensbescherming (AVG) bevat een aantal verplichtingen voor organisaties die belast zijn met grootschalige verwerking van bijzondere persoonsgegevens en dit als kerntaak hebben. Deze organisaties moeten verplicht een functionaris voor gegevensbescherming (FG) aanstellen en in bepaalde gevallen een zogeheten Data Protection Impact Assessment (DPIA) doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.

Eerdere uitleg voor deel van de zorgsector

Zoals ook in deel 4 van de reeks ‘Privacy in de zorg’ besproken, heeft de Autoriteit Persoonsgegevens (AP) in mei 2018 al uitleg gegeven over het begrip ‘grootschalig’ voor een deel van de zorgsector. Zo verduidelijkte de AP dat voor ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) de verwerking van bijzondere gegevens altijd grootschalig is. De verwerking van persoonsgegevens door huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, was volgens de AP enkel grootschalig in het geval het gaat om meer dan 10.000 patiënten én de gegevens van deze patiënten in één informatiesysteem staan. Op overige zorgaanbieders achtte de AP het criterium van minimaal 10.000 patiënten niet van toepassing. Deze organisaties moesten zelf (aan de hand van 4 factoren) beoordelen of de gegevensverwerking grootschalig is en beargumenteren of zij al niet dan verplicht zijn een FG aan te stellen en een DPIA uit te voeren.

Nadere duiding voor alle zorgaanbieders

De AP heeft nu ook verduidelijking willen bieden voor deze laatste groep overige zorgaanbieders en is met een nadere (eenduidigere) uitleg van het begrip ‘grootschalig’ gekomen.

Ten aanzien van ziekenhuizen, huisartsenposten en zorggroepen geldt nog steeds dat de verwerking van bijzondere persoonsgegevens volgens de AP altijd grootschalig is, ongeacht het aantal patiënten.

Voor alle overige zorgaanbieders geldt nu – anders dan het eerdere standpunt – het criterium van minimaal 10.000 patiënten. De AP acht een verwerking grootschalig als de zorgaanbieder meer dan 10.000 patiënten heeft ingeschreven óf als er gemiddeld meer dan 10.000 patiënten per jaar worden behandeld én de gegevens van deze patiënten in één informatiesysteem staan.

Wat betreft apotheken meldt de AP nog expliciet dat verwerking van persoonsgegevens door apothekers al gauw als grootschalig wordt gezien omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen in het kader van de behandeling. Daarom zou het volgens de AP goed zijn als apotheken een FG hebben. Anders dan de eerdere uitleg waarin verwerking van bijzondere gegevens door apotheken altijd grootschalig werd geacht, ziet de AP het nu – net als bij andere zorgaanbieders – niet als grootschalig als er minder dan 10.000 betrokkenen in het systeem van de apotheek zijn ingeschreven.

Aanstellen FG

Duidelijk is nu dus dat iedere zorgaanbieder een FG dient te hebben indien er meer dan 10.000 patiënten ingeschreven staan of per jaar worden behandeld. Bij een kleinere omvang is er weliswaar volgens de AP geen sprake van grootschalige verwerking van persoonsgegevens, maar adviseert zij wel vrijwillig een FG aan te stellen.

Dit laat overigens onverlet dat een zorgaanbieder die verantwoordelijke is voor een “elektronisch uitwisselingssysteem” verplicht is een FG aan te stellen. Deze verplichting vloeit (al) voort uit het “Besluit elektronische gegevensverwerking door zorgaanbieders”. Dit besluit geldt per 1 januari 2018.

Richella Soetens, advocaat IT, IE & Privacy

Toezicht, governance en goed bestuur: drie begrippen waarmee de medezeggenschap tegenwoordig dagelijks wordt geconfronteerd. In verschillende branches zijn gedragscodes en codes voor goed bestuur ingevoerd, zo ook in de zorgsector. In 2017 hebben de brancheorganisaties de Zorgbrede Governance Code uitgebracht, waarin ook aandacht is besteed aan medezeggenschap. Als belangrijk uitgangspunt heeft te gelden dat medezeggenschap van cliënten (en hun verwanten) en van medewerkers zorgvuldig wordt gereguleerd. In de zorg wordt medezeggenschap uitgeoefend door ondernemingsraden én cliëntenraden.

De ondernemingsraad behartigt de belangen van de medewerkers. De Wet op de ondernemingsraden (WOR) biedt daarvoor een goede basis. De cliëntenraad behartigt de belangen van cliënten en hun verwanten. De kwaliteit van zorg én het perspectief van de cliënt (patiënt) staan voor de cliëntenraad centraal. De Wet medezeggenschap cliënten zorginstellingen (Wmcz) biedt voor cliëntenraden mogelijkheden om invloed uit te oefenen op de besluitvorming van zorginstellingen. Van effectieve medezeggenschap is in de praktijk vaak geen sprake. De regering vindt dan ook dat de positie van cliëntenraden moet worden verstevigd. Daartoe dient het wetsvoorstel ‘Wet medezeggenschap cliënten zorginstellingen 2018‘. De Tweede Kamer heeft dit wetsvoorstel in behandeling. Wat zijn de belangrijkste wijzigingen?

Dat het wetsvoorstel zal leiden tot een grotere invloed van cliëntenraad behoeft nauwelijks toelichting. Ook kleinere zorginstellingen worden verplicht een cliëntenraad in te stellen; het instemmingsrecht is een zwaar instrument waarmee de cliëntenraad besluiten van de bestuurder nietig kan verklaren én de cliëntenraad wordt bevoegd een enquêteprocedure aanhangig te maken bij de Ondernemingskamer van het Gerechtshof Amsterdam om een onderzoek naar het beleid en de gang van zaken van de zorginstelling in te laten stellen. Hiertoe zal de ondernemingskamer overgaan als sprake is van gegronde redenen om aan het beleid en/of de gang van zaken te twijfelen. Dit is een zwaar middel dat de cliëntenraad met dit wetsvoorstel in handen krijgt.

Het is echter de vraag of cliëntenraden zijn toegerust op deze grote mate van invloed. Scholing en advisering van cliëntenraden wordt des te belangrijker! Gelukkig biedt het wetsvoorstel daarvoor ook mogelijkheden. Cliëntenraden worden – net als ondernemingsraden – straks in de gelegenheid gesteld kosten te maken voor bijvoorbeeld scholing, externe advisering of begeleiding, mits deze kosten redelijkerwijs nodig zijn voor de uitoefening van hun taken. De kosten komen dan voor rekening van de zorginstelling als zij daarvan vooraf in kennis is gesteld.

Nu is het wachten op de Tweede Kamer. Vorige week zijn er maar liefst 13 amendementen ingediend. Opvallend is dat deze amendementen grotendeels zien op (nog) verdere uitbreiding van de bevoegdheden van de cliëntenraad. Begin oktober a.s. staat het wetsvoorstel weer op de agenda. Wij wachten met smart af en zullen u op de hoogte houden van de ontwikkelingen! Mocht u vragen hebben, dan kunt u zich wenden tot Renate Vink-Dijkstra.

Het behoeft geen betoog dat in de zorg op grote schaal privacygevoelige persoonsgegevens worden verwerkt. Deze gegevens worden ook per e-mail verzonden. Aan het gebruik van e-mail in de zorg worden in de nabije toekomst eisen gesteld. Het gebruik van conventionele mail zonder passende technische en organisatorische maatregelen zal dan niet meer toegestaan zijn.

De NEN gaat een veldnorm ontwikkelen voor veilige e-mail in de zorg. Zo valt te lezen in het tijdschrift Zorgvisie.

Conventionele e-mail zonder passende technische en organisatorische maatregelen voldoet volgens de NEN niet aan de eisen die voortvloeien uit de AVG. Dat is de reden dat op 10 oktober 2018 het project Veilige mail wordt gestart door het Informatieberaad Zorg.

Uit de norm zullen concrete eisen voortvloeien waar e-mailsystemen aan moeten voldoen. Dit onder meer om de beschikbaarheid, integriteit en vertrouwelijkheid van mails te kunnen garanderen. Volgens het artikel in Zorgvisie zal in de veldnorm ook aandacht worden besteed aan de gebruikersvriendelijkheid. Hierdoor wordt gestimuleerd dat het systeem ook daadwerkelijk zal worden gebruikt.

Op welke termijn gebruik van de conventionele mail niet meer toegestaan is, is nog niet bekend. Wij houden u op de hoogte.

Voor vagen kunt u terecht bij Natascha van Duuren, advocaat IT, IE & Privacy

In deel 1 deel van de reeks ‘Privacy in de zorg’ is reeds ingegaan op het feit dat organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben, verplicht een functionaris voor de gegevensbescherming moeten aanstellen. De Autoriteit Persoonsgegevens heeft recent meer helderheid verschaft over deze verplichting.

Medische gegeven zijn “bijzondere persoonsgegevens” en bovendien is het verwerken van medische gegevens een kerntaak van zorginstellingen. De betekenis van “op grote schaal” zorgde bij zorgaanbieders echter voor onduidelijkheid. De enige houvast die zorgaanbieders tot nu toe hadden waren de voorbeelden die door de artikel 29 werkgroep waren genoemd. Voor wat betreft het “op grote schaal verwerken van gegevens” door instellingen, noemde de artikel 29 werkgroep als voorbeeld een ziekenhuis. Als voorbeeld van niet-grootschalige gegevensverwerking noemde de werkgroep gegevensverwerking door een individuele arts. Met deze voorbeelden moesten zorgaanbieders het doen.

De Autoriteit heeft de richtlijn voor grootschaligheid in de zorg nu nader ingevuld. Voor huisartsenpraktijken en instellingen voor medisch specialistische zorg, niet zijnde ziekenhuizen, geldt dat een verwerking grootschalig is als:

De verwerking van patiëntgegevens door ziekenhuizen, zorggroepen, huisartsenposten en apotheken (behalve als er sprake is van een solistisch werkende zorgverlener) is volgens de Autoriteit Persoonsgegevens altijd grootschalig.

Voor andere zorgaanbieders dan de hierboven genoemde, geldt het criterium van 10.000 patiënten volgens de Autoriteit Persoonsgegevens niet. Deze organisaties moeten zelf beoordelen of zij grootschalig gegevens verwerken en beargumenteren of zij al niet dan verplicht zijn een FG aan te stellen.

Zij moeten deze beoordeling doen aan de hand van de volgende vier factoren:

Daarbij geldt wel dat de Autoriteit Persoonsgegevens heeft aangekondigd dat zij probeert op korte termijn ook voor andere zorgaanbieders de richtlijn voor grootschaligheid nader in te vullen.

Zoals ik in deel 1 van de reeks Privacy in de Zorg al schreef, is een zorgaanbieder als verantwoordelijke voor een “elektronisch uitwisselingssysteem” verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze verplichting vloeit (al)  voort uit  het “Besluit elektronische gegevensverwerking door zorgaanbieders”. Dit besluit geldt per 1 januari 2018 en niet pas vanaf 25 mei 2018.

Wilt u meer weten over de verplichting om een FG aan te stellen of wilt u een externe FG inhuren via De Clercq? Neem dan contact op met Natascha van Duuren, partner IT, IE & privacy, n.vanduuren@declercq.com of 071-5815356.

De AVG komt eraan. Ook voor zorginstellingen. Zorginstellingen verwerken doorgaans veel persoonsgegevens, waaronder bijzondere persoonsgegevens. Natascha van Duuren (Advocaat/Partner IT, IE & Privacy) vertelt in een kort interview over de uitdagingen waar zorginstellingen voor staan, in de voorbereiding op de AVG. Klik hier om het interview te bekijken.

Eerder schreef Natascha van Duuren al een 3-delige serie van blogs over Privacy in de Zorg. U leest de blogs hier:

Wilt u de beste tips en updates ontvangen? Schrijf u dan in voor de nieuwsbrief! Of volg ons op LinkedIn en blijf op de hoogte.

Natascha van Duuren adviseert nationale en internationale cliënten over kwesties met betrekking tot IT en privacy. Dankzij haar analytische vermogen, projectmatige aanpak en grote toewijding is ze al jaren de vaste sparringpartner van diverse grote bedrijven en instellingen. In 2013 werd Natascha door Global Law Experts uitgeroepen tot IT-Lawyer Of The Year. Sinds 2014 is zij Managing Partner van De Clercq. Daarnaast is zij voorzitter van de Special Interest Group IT-Recht van het Ngi-NGN.

Op grond van de huidige Wet bescherming persoonsgegevens moeten zorgaanbieders loggegevens bijhouden. Met de inwerkingtreding van het Besluit elektronische gegevensverwerking door zorgaanbieders per 1 januari 2018 moet deze logging voldoen aan NEN 7513.

Wat is logging?

Logging voorziet in een stelselmatige geautoriseerde registratie van gegevens rondom de toegang tot het (elektronisch) patiëntdossier. Dit is nodig vanwege het belang van de integriteit van de gegevens in het elektronisch patiëntendossier en de aanwezigheid van bijzondere persoonsgegevens. In het elektronisch patiëntendossier worden immers gegevens omtrent de gezondheid van de patiënt opgeslagen. Deze gegevens kwalificeren als bijzondere persoonsgegevens. Het is dan ook van belang te kunnen achterhalen wie toegang heeft gehad tot het dossier, of deze toegang wel rechtmatig was en welke acties in het dossier zijn uitgevoerd. Om dit te kunnen vaststellen is logging noodzakelijk.

NEN

NEN 7513 biedt aanwijzingen voor het loggen en het gebruik van logging om te voldoen aan wettelijke verplichtingen en levert ontwikkelaars van informatiesystemen een aantal eisen waaraan hun informatiesystemen moeten voldoen. Gegevens die tenminste bijgehouden moeten worden om logging mogelijk te maken zijn:

Hoe lang moeten de loggegevens worden bewaard?

In het Besluit elektronische gegevensverwerking door zorgaanbieders is vastgelegd dat vertegenwoordigende organisaties van zorgaanbieders en patiënten in overleg met de Autoriteit Persoonsgegevens, een bewaartermijn moeten vaststellen en bekend maken. Deze bewaartermijn moet voor 1 juli 2018 bekend worden gemaakt in de Staatscourant. Ook in de NEN 7513 is opgenomen dat het in beginsel aan patiënten, zorgaanbieders en toezichthouders is om termijnen overeen te komen voor het bewaren van loggegevens. De reden hiervoor is een praktische. De algemene bewaartermijn van medische gegevens is immers 15 jaar. Een bewaartermijn van 15 jaar voor loggegevens zou echter een bulk aan data opleveren dat volgens de wetgever op praktische bezwaren kan stuiten. Tot 1 juli 2018, de datum waarop de bewaartermijn van loggegevens bekend wordt gemaakt, doen zorgaanbieders er echter goed aan de bewaartermijn van 15 jaar aan te houden.

Wilt u meer weten over privacy in de zorg? Neem dan contact op met Natascha van Duuren, partner IT, IE & privacy, n.vanduuren@declercq.com of 06-54983766.

Lees ook deel 1 en deel 2 in de serie Privacy in de zorg.