Ook huisartsen maken intensief gebruik van internet: 75% geeft aan dat het mogelijk is om via internet contact te hebben. Er bestaat echter ook een keerzijde: maar liefst 74%-87% van de artsen ervaart belemmeringen bij contact met patiënt via internet. Om het gebruik van moderne communicatiemiddelen in de medische wereld zoveel als mogelijk in goede banen te leiden, bestaat een aantal wettelijke voorschriften en buitenwettelijke richtlijnen.
Medische persoonsgegevens
We schreven al eerder op deze weblog over de strenge regels die gelden voor de verwerking van medische gegevens. De Wet bescherming persoonsgegevens (Wbp) classificeert dergelijke gegevens als “bijzondere persoonsgegevens”. Deze gegevens mogen in beginsel niet verwerkt worden, behalve indien aan specifieke wettelijke voorwaarden wordt voldaan (zie art. 21 Wbp). Ook de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) geeft strenge voorschriften met betrekking tot de verwerking van medische persoonsgegevens.
Gezien de gevoelige aard van medische gegevens gelden hogere beveiligingsnormen dan voor ‘gewone’ persoonsgegevens (art. 13 Wbp). Aangezien de wetgever (in zowel de Wbp als de WGBO) nalaat een concrete invulling te geven aan deze beveiligingsnormen, heeft het Nederlands Normalisatie-instituut een aantal NEN-normen opgesteld die enige invulling geven aan de beveiliging van medische gegevens (NEN7510 en enkele daarmee samenhangende normen). Van belang is te beseffen dat deze NEN-normen een vorm van zelfregulering zijn en derhalve geen wettelijke status hebben. Desondanks heeft de NEN-norm in het kader van het EPD/LSP wel een prominente rol gekregen. Bovendien geldt dat de toezichthouders (het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg) NEN7510 regelmatig behandelen als ware het een wettelijk verplichte norm. ‘Compliance’ is dus feitelijk vereist.
Het e-consult: toegestaan?
In het kader van het e-consult is NEN7510 verder uitgewerkt in een aantal richtlijnen (wederom zelfregulering). Deze richtlijnen zien op de situatie dat een arts online op de individuele patiënt gerichte (medische) informatie verstrekt.
De Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) heeft het lezenswaardige document “Richtlijn online arts-patiënt contact” opgesteld. De richtlijn gaat allereerst in op de vraag of een e-consult überhaupt is toegestaan. De KNMG adviseert dat een e-consult in beginsel alleen mag in geval van een bestaande behandelrelatie: “Alleen in die gevallen waarin de kwaliteit van zorg voldoende is gegarandeerd, de kans op nadelige gevolgen in voldoende mate is verkleind en de geboden zorg de patiënt ten goede komt, kan een arts besluiten om buiten een bestaande behandelrelatie online contact met patiënten aan gaan.”
De KNMG geeft een aantal specifieke voorwaarden waaraan een e-consult moet voldoen.
Individueel medisch advies
Een online consult waarbij een individueel medisch advies wordt gegeven is alleen geoorloofd indien aan de volgende cumulatieve voorwaarden is voldaan:
- De arts heeft de patiënt voldoende geïnformeerd over de werkwijze bij online contact;
- De arts heeft voldoende relevante en betrouwbare (medische) gegevens van de patiënt ontvangen en/of beschikt reeds over voldoende gegevens (bijvoorbeeld een betrouwbare en relevante medische voorgeschiedenis) om een medisch verantwoord individueel advies te kunnen geven;
- De in de beroepsgroep geldende vakinhoudelijke regels over kwaliteit en veiligheid van de zorg en de rechten van de patiënt worden in acht genomen;
- De identiteit van de patiënt is in voldoende mate vastgesteld, tenzij er andere waarborgen zijn waardoor aan relatief anonieme patiënten advies gegeven kan worden;
- De arts geeft duidelijk aan dat het advies is gebaseerd op de door de patiënt gepresenteerde gegevens, en eventueel de beschikbare dossier gegevens. Daarbij geeft de arts aan dat de patiënt bij verergering van de klachten, indien daartoe aanleiding is, of bij onzekerheid contact met de adviserende of een andere arts moet zoeken;
- In het geval de arts niet de (huis)arts van de patiënt is, informeert hij de eigen huisarts van de patiënt over het aan de patiënt gegeven advies. De patiënt kan tegen deze gegevensverstrekking bezwaar maken. In dat geval wordt de patiënt nadrukkelijk geadviseerd zelf de huisarts op de hoogte te brengen.
Individueel medisch advies waarbij medicatie wordt voorgeschreven
Indien tijdens een online consult tevens medicatie wordt voorgeschreven, moet aan de volgende voorwaarden worden voldaan (zie ook art. 67 Geneesmiddelenwet):
- De voorschrijvende arts moet de patiënt minstens eenmaal face-to-face hebben ontmoet;
- De voorschrijvende arts moet de patiënt kennen;
- De voorschrijvende arts moet de medicatiehistorie van de patiënt beschikbaar hebben;
- Er is voldoende betrouwbare en relevante informatie beschikbaar om eventuele contra-indicaties voor de beoogde medicatie uit te sluiten en om op basis daarvan te besluiten de medicatie voor te schrijven;
- Er is op basis van de beschikbare informatie en met oog op de in te zetten medicatie geen aanleiding om een (aanvullend) lichamelijk of ander onderzoek te verrichten;
- De patiënt wordt voldoende geïnformeerd over het gebruik van het voorgeschreven medicijn en eventuele bijwerkingen daarvan en het is voldoende aannemelijk dat de patiënt de bij de medicatie behorende instructies begrijpt, opvolgt en zonodig de kuur afmaakt.
In geval van herhaalrecepten gelden nog drie extra voorwaarden:
- De arts heeft, dan wel krijgt voldoende relevante informatie om te beoordelen of een herhaling van het recept noodzakelijk en/of wenselijk is;
- Voor het verstrekken van een herhaalrecept is geen aanvullend (lichamelijk) onderzoek nodig;
- De patiënt wordt geattendeerd op de mogelijkheid om eventuele bijwerkingen sinds de laatste uitgifte van het recept of veranderingen in de gezondheidstoestand te melden bij de arts.
Dat deze voorschriften geen overbodige luxe zijn, blijkt reeds uit het feit dat het CBP begin 2014 heeft vastgesteld dat het in toenemende mate mogelijk is herhaalrecepten via een online formulier aan te vragen bij huisartsen en apotheken. In mei 2013 heeft het CBP door middel van een steekproef 150 websites van huisartsen en apotheken onderzocht op de beveiliging van de online formulieren. Het CBP constateerde dat bij 43 websites het online aanvraagformulier over een onbeveiligde verbinding wordt verzonden, waarmee derhalve bijna een derde van de huisartsen en apothekers in strijd met de Wbp handelden. “Hierdoor kunnen anderen de gevoelige, medische gegevens relatief eenvoudig meelezen, verwijderen of aanpassen”, zo stelde het CBP destijds. Het ging in totaal om de medische gegevens van zo’n 250.000 patiënten.
Beveiliging
Met betrekking tot de veiligheid van online communicatie merkt de KNMG op dat een arts een computer dient de gebruiken die is uitgerust met een up-to-date virusscanner, firewall en recente patches voor de software waarmee gewerkt wordt. Bij online uitwisseling van gegevens dienen voldoende maatregelen getroffen te worden die de privacy van de patiënt waarborgen. Zo dienen gegevens minimaal versleuteld verstuurd te worden. ‘Secure e-mail’ oplossingen en/of een ‘secure’ verbinding (encrypted server) verdienen echter de voorkeur.
E-mails van patiënten mogen in beginsel niet in het e-mailprogramma zelf worden bewaard, om te voorkomen dat computervirussen vat krijgen op de vertrouwelijke gegevens. Van deze e-mails wordt een geprinte, papieren versie in het dossier opgenomen of deze worden in het elektronisch medische dossier opgeslagen.
Ook de toegang tot de computer van de arts moet beveiligd zijn, bijvoorbeeld door middel van een wachtwoord, of beter nog, door middel van biometrische identificatie. Daarnaast zou de computer van de arts voorzien moeten zijn van een screensaver die beveiligd is met een wachtwoord, zodat de toegang tot de gegevens op de computer ook beperkt is op het moment dat de arts is ingelogd maar niet op zijn (werk) plek aanwezig is.
Overige richtlijnen
Zoals gezegd bestaat naast de KNMG-richtlijnen een aantal andere richtlijnen.
Zo heeft het Comité Permanent Européens (CPME) een aantal richtlijnen opgesteld, van welke met name de “CP guidelines for e-mail correspondence between a doctor and a patient” (CP 2001-112 ) informatief is. De richtlijn is qua inhoud vergelijkbaar met de hiervoor besproken richtlijn van het KNMG.
Het Nictiz heeft enkele weken geleden een lezenswaardig document uitgebracht, genaamd “Veilig omgaan met e-mail in de zorg”. Dit document beschrijft de risico’s en de kwetsbaarheden van e-mail, en houdt verschillende oplossingen tegen het licht.
Het is niet overdreven te stellen dat de wet- en regelgeving rondom eHealth zeer gecompliceerd kan zijn. De vele open normen in de wetgeving zijn hier ongetwijfeld debet aan. Totdat de wetgever meer duidelijkheid creëert, lijkt zelfregulering dan ook de oplossing te vormen.
Vragen?
Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity.