Wet cliëntenrechten bij elektronische verwerking van gegevens

Per 1 juli 2017 is de Wet Cliëntenrechten bij elektronische verwerking van gegevens in werking getreden. Deze wet wordt gefaseerd ingevoerd: 1 juli 2017 de eerste fase en 1 juli 2020 de tweede fase

Op het moment dat zorgaanbieders gegevens van cliënten met elkaar uitwisselen gelden er wettelijke regels. De Wet bescherming persoonsgegevens en de Wet Geneeskundige Behandelovereenkomst verplichten de zorgaanbieders zorgvuldig met medische gegevens om te gaan. Deze wetten richten zich niet specifiek op elektronische gegevensuitwisseling. Daarvoor is de Wet Cliëntenrechten bij elektronische verwerking van gegevens bedoeld.

Per 1 juli 2017 geldt het volgende voor de verwerking van persoonsgegevens in de zorg:

  • de patiënt moet uitdrukkelijke toestemming geven voor het beschikbaar stellen van zijn/haar gegevens via het elektronisch uitwisselingssysteem. De toestemming en het tijdstip waarop de toestemming is gegeven moeten door de zorgaanbieder worden geregistreerd;
  • de patiënt moet duidelijk worden geïnformeerd over de werking van het elektronisch uitwisselingssysteem en over zijn/haar rechten bij elektronische gegevensuitwisseling. Voorts moet de patiënt geïnformeerd worden als de werking van het systeem wezenlijk wijzigt of als nieuwe zorgaanbieders worden aangesloten op het systeem. In die gevallen moet hij/zij de eerder gegeven toestemming kunnen intrekken.

Per 1 juli 2020 zal gelden:

  • dat de patiënt recht heeft op elektronische inzage en afschrift van het medisch dossier of zijn/haar gegevens, alsmede elektronisch afschrift van de logging (in deze logging behoren de gegevens te zijn opgenomen van alle personen die gegevens hebben ingevoerd in het systeem en alle personen die via het systeem de gegevens geraadpleegd hebben);
  • dat de zorgaanbieder een informatieplicht heeft naar de patiënt toe.

Er is een categorie uitgesloten van toegang tot het elektronisch uitwisselingssysteem. Tot die categorie behoren de bedrijfsartsen, verzekeringsartsen en zorgverzekeraars.

Op grond van deze wet wordt ook een Algemene Maatregel van Bestuur (AMvB) van kracht, het Besluit elektronische gegevensverwerking door zorgaanbieders. Krachtens deze AMvB moet een zorgaanbieder aan de volgende verplichtingen voldoen:

  1. benoeming van een functionaris die zorgdraagt voor een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem;
  2. het beleid, de procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingsystemen en interne zorginformatiesystemen moeten worden vastgelegd overeenkomstig de toepasselijke NEN-normen. Daarbij moeten de termen en definities volgens de toepasselijke NEN-normen worden gehanteerd;
  3. het gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen moeten voldoen aan de veiligheidseisen en zorgvuldigheidseisen van de toepasselijke NEN-norm;
  4. de overeenkomsten van de zorgaanbieder met betrekking tot de verwerking van de persoonsgegevens en het elektronisch uitwisselingssysteem moeten voldoen aan de toepasselijke NEN-norm;
  5. de logging moet voldoen aan de toepasselijke NEN-norm;
  6. er dient gebruik gemaakt te worden van verbindingen die voldoen aan de toepasselijke NEN-norm.

De zorgaanbieder dient zich steeds te vergewissen van de laatste stand van de wetenschap en techniek met betrekking tot informatiebeveiliging en de bescherming van persoonsgegeven. Deze eis heeft tot gevolg dat, indien een systeem niet voldoet aan de laatste stand van de wetenschap en techniek, de zorgaanbieder daarvoor verantwoordelijk wordt gehouden. Bij het niet-nakomen van deze verplichting kan een boete worden opgelegd. De zorgaanbieder kan tevens aansprakelijk zijn voor schade die uit het niet-nakomen van deze verplichting voortvloeit.

De Gedragscode Elektronische Gegevensuitwisseling in de Zorg kan dienen als een handleiding hoe het elektronisch uitwisselingssysteem in te richten, zodat zorgaanbieders aan de bestaande privacyregels voor uitwisseling van patiëntgegevens voldoen.