Bij zorgverlening in regionale oncologienetwerken is een betrouwbare, snelle en veilige uitwisseling van patiëntgegevens een must. Met de huidige ziekenhuissystemen is dat echter niet mogelijk. Alternatieve communicatiemiddelen, zoals e-mail, zouden zijn verboden. Ook is gegevensuitwisseling zonder toestemming van de patiënt niet geoorloofd. Dat staat immers allemaal in de wet. Maar is dat wel zo? Op 13 september jl. werd onder de paraplu van het programma ‘Naar regionale oncologienetwerken’ een invitational conference gehouden over de verschillende aspecten van veiligheid en privacy van patiënten bij (elektronische) gegevensuitwisseling. De wettelijke regels blijken anders dan veelal wordt uitgedragen.
Aanleiding voor de conferentie vormde het rapport Privacy van patiënten bij elektronische gegevensuitwisseling, dat werd opgesteld binnen een landelijk project van het Citrienprogramma ‘Naar regionale oncologienetwerken’. Dagvoorzitter Marco Derksen, digitaal strateeg, vertelt: “Het doel van het project was het ontwikkelen van een praktische handleiding voor snelle overdracht van patiëntgegevens met maximale aandacht voor privacy en veiligheid.” Waar privacyregels en veiligheid aan moeten voldoen, staat beschreven in de sinds 25 mei 2018 van toepassing zijnde Europese privacywetgeving: de Algemene verordening gegevensbescherming (AVG). “Het gaat erom hoe we in de praktijk met die wet om kunnen gaan”, zegt Derksen.
Beknotting zorgverlening
Dr. Haiko Bloemendal, internist-oncoloog in het Meander Medisch Centrum te Amersfoort en voorzitter van de NVMO, is werkgroepleider van het Citrienproject over privacy van patiëntgegevens. “Bij het rapport is de werkgroep uitgegaan van de kern van wat we doen: goede zorg leveren”, vertelt hij. “Als je die zorg in een netwerk levert, dan is een goede, snelle informatieoverdracht essentieel. Dat gaat niet met de huidige ziekenhuissystemen, want die communiceren niet goed met elkaar. Gelukkig zijn er andere manieren van communicatie, zoals e-mail en appen. Daar worden we echter schijnbaar gehinderd door wetgeving: deWet op de geneeskundige behandelingsovereenkomst (WGBO) en nu de AVG. Patiëntgegevens moeten namelijk veilig verwerkt worden en mailen is niet veilig. Koepelorganisaties als de KNMG en FMS verkondigen een standpunten dat wordt weer overgenomen door security officers in ziekenhuizen: e-mailen mag niet. Als zorgverlener voel ik mij dan beknot, want ik wil een patiënt de beste zorg leveren en daar is (soms zeer snelle) data-uitwisseling echt voor nodig.”
Aangifte bij Autoriteit Persoonsgegevens
Om te kijken in hoeverre artsen problemen zouden krijgen met ‘illegale’ e-mail, toog Haiko Bloemendal naar de Autoriteit Persoonsgegevens (AP) en legde een fictieve zaak voor. “Ik gaf aan dat ik als dokter gemaild had met mijn patiënt. Ook mailde ik mijn collega over die patiënt. De patiënt vindt dat overigens prima. Op de vraag of ik nu strafbaar was of niet konden ze bij de AP geen antwoord geven.” Bloemendal trok daaruit zijn conclusie: “Als dat het beste is voor de patiënt en deze daar toestemming voor geeft, kunnen we gewoon mailen. De mail staat in dit geval symbool voor het uitwisselen van informatie, zoals radiologiebeelden, PA-verslagen en brieven, via digitale communicatiemiddelen. Om het even scherp te stellen: als de patiënt het goed vindt, mag alles.”
Wat vindt de patiënt?
Arja Broenland, directeur-bestuurder van de Nederlandse Federatie van Kankerpatiëntenorganisaties (NFK) brengt het perspectief van de patiënt naar voren. “De patiënt verwacht altijd de beste zorg. Als gegevensuitwisseling noodzakelijk is voor een bepaalde behandeling, dan zal de patiënt niet snel zeggen: doe maar niet, want ik ben gesteld op mijn privacy.” Zij geeft aan dat daar wel grenzen aan zitten. “Als gegevens worden vastgelegd, dan hoeft niet iedere behandelaar alle gegevens in te zien. Een orthopeed hoeft niet te weten dat iemand door de behandeling van kanker seksuele problemen heeft.”
Volgens Broenland is privacy een kwestie van gedrag en cultuur. “Je kunt wel allemaal regels vastleggen, maar uiteindelijk gaat het erom dat iedereen fatsoenlijk en veilig met data omgaat.” Ook transparantie vindt zij belangrijk. “Vertel de patiënt waarom het nodig is om gegevens uit te wisselen en hoe dat gebeurt. Als die er geen moeite mee heeft dat je via e-mail communiceert, waarom zou je dat dan niet mogen doen? Zolang de patiënt maar weet wat en wanneer iets gedeeld wordt, en daar ook ‘nee’ tegen mag zeggen.”
Brede toestemming
Informatie-uitwisseling lijkt dus te draaien om de toestemming van de patiënt. Toestemming, maar waarop precies? Walter de Haan, technisch manager bij Integrating the Healthcare Enterprise (IHE), zegt daarover: “Bij toestemming is het van belang af te spreken welke informatie wordt uitgewisseld, met wie, wie het mag inzien, hoe lang die toestemming geldt en vanaf wanneer.” In een project in de regio Amsterdam wordt een heel brede toestemming gevraagd aan iedere patiënt die daar met een zorgvraag naar een ziekenhuis gaat. “We vragen toestemming met een formulering waarmee de patiënt voor onbeperkte tijd permissie verleent voor het uitwisselen van data aan het gehele behandelteam waar op dat moment een behandelrelatie mee is.”
In het Amsterdamse wordt de toestemming technisch vastgelegd - de AVG eist immers dat de toestemming aantoonbaar is -, waarbij eventueel gefilterd kan worden wie wel en niet bij bepaalde data kan. “Daar zijn speciale programma’s voor, waarin met een soort schuifjessysteem aangegeven kan worden wie welke data mag inzien. Maar met die brede toestemming die we vragen is het eigenlijk een kwestie van ‘ja’ of ‘nee’ tegen een heel pakket, met uitzondering van data over klinische genetica, seksualiteit, psychiatrie en psychologie”, aldus De Haan.
Hoezo toestemming?
Niet iedereen denkt dat toestemming de oplossing is voor het kunnen uitwisselen van patiëntgegevens in het kader van een behandeling. Sterker nog: volgens mr. Jolanda van Boven, directeur van VAN BOVEN Juridisch Adviesbureau, is toestemming niet de grondslag om informatie te delen in de gezondheidszorg. Om dat te staven wijst zij juíst op de AVG. “De AVG begint met 173 overwegingen. In de vierde daarvan staat: ‘Verwerking van persoonsgegevens moet ten dienste van de mens staan’. Dat geeft al ruimte. Lezen we verder dan staat daar: ‘Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving (…).’
Vervolgens kijk je wanneer je volgens de AVG informatie moet of mag delen. Dat is als: er een wettelijke plicht is, er een overeenkomst is, je een publiekrechtelijke taak hebt, er een vitaal belang is, er een gerechtvaardigd belang is. Pas als deze omstandigheden niet gelden, wijk je uit naar het alternatief en dat is de toestemming om persoonsgegevens te mogen delen. Aan die toestemming stelt de AVG strenge eisen. Voldoen aan deze eisen belemmert het leveren van goede zorg. Vraag je toch om toestemming, danloop je het risico dat je met een ongeldige toestemming zit. Dat hoeft allemaal niet, want in de zorg hébben we wetten en een overeenkomst die ervoor zorgen dat we niet hoeven uit te wijken naar de toestemming. Wat dat betreft is de AVG een license to operate.”
Gij zult afstemmen
In artikel 3 van de Wet kwaliteit, klachten en geschillen zorg (WKKGZ) staat dat de zorgaanbieder zorg moet dragen voor een aantal zaken, waaronder een zodanige toedeling van verantwoordelijkheden, bevoegdheden alsmede afstemmings- en verantwoordingsplichten, dat een en ander redelijkerwijs moet leiden tot het verlenen van goede zorg. “Dat betekent eigenlijk: gij zult afstemmen met elkaar. Het gaat niet om mogen; het moet. Het is een wettelijke opdracht”, verduidelijkt de juriste.
De plicht tot het delen van informatie ligt ook verankerd in de professionele norm die reeds in 2010 is opgesteld door de beroepsgroepen zelf, namelijk de Handreiking verantwoordelijkheidsverdeling bij samenwerking in de zorg. Van Boven:“Die Handreiking zegt in aandachtspunt 4: ‘Een zorgverlener die deelneemt in een samenwerkingstraject vergewist zich ervan dat hij/zij beschikt over relevante gegevens van collega’s en informeert collega’s over gegevens en bevindingen die zij nodig hebben om verantwoorde zorg te kunnen verlenen.’ Kort gezegd: zorgverleners hebben een ‘haal- en brengplicht’ om relevante informatie met elkaar uit te wisselen.”
Overeenkomst: WGBO
De overeenkomst waar Van Boven op doelt is de WGBO. Ook volgens de WGBO is toestemming van de patiënt voor gegevensuitwisseling niet noodzakelijk. Van Boven: “De hoofdregel is daar weliswaar dat geen gegevens aan anderen verstrekt mogen worden zonder toestemming van de patiënt, maar men moet ook verder lezen. Dan staat er dat er geen toestemming nodig is voor het verstrekken van gegevens voor degenen die rechtstreeks bij de zorg zijn betrokken of hun vervangers. Wie dan rechtreeks bij de zorg betrokken zijn, staat weer in de eerder genoemde handreiking: er is sprake van samenwerking als meer dan één zorgverlener bij de cliënt betrokken is, hetzij uit dezelfde instelling, hetzij uit verschillende instellingen, zowel bij simultane als bij volgtijdelijke samenwerking.” Oftewel, bij in netwerkverband verleende zorg is ook geen toestemming nodig.
De WGBO beschrijft ook plichten voor de patiënt. “Die dient naar beste weten de inlichtingen en de medewerking te geven die de hulpverlener in redelijkheid nodig heeft voor het uitvoeren van de behandelovereenkomst”, zegt Van Boven. “Voor die hulpverlener is het van belang dat er bepaalde informatie kan worden uitgewisseld. Dus indien een patiënt instemt met een behandeling, dan moet die patiënt zijn medewerking verlenen aan het uitwisselen van die noodzakelijke informatie. De arts is er verantwoordelijk voor om de behandeling zo goed en veilig mogelijk te laten verlopen en maakt daarvoor bepaalde keuzes. Ook over het uitwisselen van informatie met andere zorgverleners. Dat sluit aan bij hetgeen de AVG wil: duidelijkheid over verantwoordelijkheid. Laat je een patiënt kiezen of gegevensuitwisseling mag, dan is die verantwoordelijkheid niet duidelijk.”
Juridisch Zwitsers zakmes
Voor het uitwisselen van patiëntgegevens zonder toestemming van de patiënt bestaan wel andere principes. Van Boven maakt daarvoor graag gebruik van gereedschap: het ‘juridisch Zwitsers zakmes’. “De principes hiervan zijn: subsidiariteit, proportionaliteit en doelmatigheid.
Aan de hand van de principes van het juridisch Zwitsers zakmes kunnen we toetsen of Bloemendal een mailtje mag sturen aan zijn collega”, zegt Van Boven: “Het doel is snelle informatie-uitwisseling die noodzakelijk is met het oog op de kwaliteit van zorg en de veiligheid voor de patiënt. Op dat moment is de mail het snelste communicatiemiddel, maar mail is nog niet beveiligd. Dan kun je in het kader van subsidiariteit de vraag stellen ‘kan het een tandje minder oftewel zou ik informatie ook op een later tijdstip kunnen delen of niet via de mail?’ Het antwoord daarop moet dan ‘nee’ zijn. Op de vraag ‘is mailen in proportie?’ moet het antwoord ‘ja' zijn, want goede patiëntenzorg vereist deze snelheid. Het antwoord op de vraag ‘is mailen doelmatig?’ moet eveneens ‘ja’ zijn, want alleen dan komt alle relevante informatie snel ter plaatse.Bovendien mail je alleen die informatie, die de andere zorgverlener op dat moment nodig heeft. Dat is ook subsidiariteit. Voor de AVG geldt: je moet verantwoording kunnen afleggen voor hetgeen je doet en daartoe heb je een deugdelijk doel nodig.” Zij waarschuwt wel: “Dat ontslaat het ziekenhuis niet van zijn taak om voor een goed, snel en veilig informatieoverdrachtsysteem te zorgen. Dat mailtje is een oplossing voor de time being, maar uiteindelijk moet er een veilige en goede oplossing komen voor het delen van patiëntgegevens.”
Wat mag niet?
Zowel Bloemendal als Van Boven wijst erop dat het hier gaat om uitwisseling van patiëntgegevens in het kader van een goede en veilige behandeling. Voor het delen van informatie voor andere doeleinden, zoals onderzoek, gelden andere regels, evenals voor het invoeren van de gegevens in een elektronisch systeem waar ook anderen dan de bij de behandeling betrokken zorgverleners bij kunnen.
Communicatie en transparantie
Waar het volgens Van Boven om draait is communicatie en transparantie. “Vertel de patiënt wat je doet met zijn gegevens en waarom. Als je de huisarts een brief met jouw bevindingen gaat sturen, zeg dit dan tegen de patiënt. Het mag niet zo zijn dat als de huisarts de patiënt vertelt dat hij een brief van de specialist heeft gekregen, de patiënt dan denkt: ‘Oh, ik weet van niks, hoezo?!’ Verantwoordelijkheid, transparantie en communicatie vormen wat mij betreft het hart van de AVG.”
Dr. Marijke van Oosten, wetenschapsjournalist
Oncologie Up-to-date 2018 vol 9 nummer 6
DEEL DIT ARTIKEL:
