Donderdag 8 februari 2018

Het elektronisch patiëntendossier

Steeds meer landelijke instanties wisselen sinds de komst van het internet informatie met elkaar uit. Inmiddels kennen we ook het Elektronisch Patiëntendossier (verder: EPD) waarin patiënteninformatie wordt uitgewisseld tussen verschillende zorgverleners. Dat klinkt heel handig: als je van huisarts verandert, wordt je dossier heel gemakkelijk doorgestuurd. Maar is dit wel veilig? En wie heeft er allemaal toegang tot jouw dossier? In deze blog wordt hierop ingegaan.

Het EPD

Het wetsvoorstel¹Deze wet heette destijds ‘Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg’ om het EPD in te voeren is in eerste instantie door de Eerste Kamer in 2011 verworpen.²https://www.eerstekamer.nl/behandeling/20110405/stemming_wetsvoorstel_verworpen_en/document3/f=/viozdip1gx6j.pdf, laatst geraadpleegd op 8 november 2017 In oktober 2016 is het wetsvoorstel, in gewijzigde vorm, alsnog aangenomen.³Deze wet heet nu voluit: Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (Wet cliëntenrechten bij elektronische verwerking van gegevens). De wet is op 1 juli 2017 in werking getreden en maakt het mogelijk om patiëntendossiers elektronisch uit te wisselen tussen zorgverleners via het Landelijk Schakelpunt (verder: LSP). Het EPD bevat alle medische gegevens van een patiënt. Deze gegevens kunnen alleen uitgewisseld worden via het LSP wanneer de zorgverlener hierop aangesloten is. Deze zorgverleners zijn huisartsen, waarnemend huisartsen (huisartsenposten), apothekers, ziekenhuisapothekers en medisch specialisten.⁴Zie https://www.vzvz.nl/page/Zorgconsument/Het-LSP Op basis van het burgerservicenummer van een patiënt wordt in het schakelpunt gezocht naar welke zorgverleners informatie over deze patiënt beschikbaar hebben. De gegevens worden dan verzonden naar de zorgverlener die ze heeft opgevraagd. Het uitwisselen van gegevens via het LSP is alleen mogelijk wanneer de computersystemen voldoen aan strenge beveiligingseisen.

Toestemming

Voor de opname van medische gegevens in het EPD is toestemming van de patiënt vereist (art. 16 jo. art. 23 Wet bescherming persoonsgegevens). Het gaat namelijk om bijzondere persoonsgegevens, waarvoor altijd toestemming is vereist om deze te mogen verwerken. In de nieuwe wet wordt er gesproken over ‘gespecificeerde toestemming’.⁵Zie art. II Wet cliëntenrechten bij elektronische verwerking van gegevens. Hiermee wordt in één keer toestemming verleend aan een grote categorie zorgverleners. Dit heeft te maken met het feit dat het LSP alleen op deze manier kan functioneren. Bij de gespecificeerde toestemming gaat het uitsluitend om zorgverleners waarmee al een behandelrelatie bestaat.

Inzage in het dossier

De patiënt heeft het uitsluitende recht om toestemming te geven aan zorgverleners die  het dossier willen raadplegen. Patiënten hebben het recht om bepaalde zorgverleners uit te sluiten van toegang tot de gegevens, het recht op inzage en afschrift van hun eigen gegevens en tevens het recht om de toestemming voor bepaalde zorgverleners weer in te trekken. Daarnaast kan de patiënt een overzicht aanvragen waarop is te zien wie zijn of haar dossier heeft ingezien. (‘logging’).

Het is verboden voor zorgverzekeraars om het EPD te raadplegen (art. II Wet cliëntenrechten bij elektronische verwerking van gegevens). De Nederlandse Zorgautoriteit moet hier toezicht op houden. Zorgverzekeraars riskeren een fikse boete wanneer zij zich onrechtmatig toegang verschaffen tot de dossiers (maximaal €500.000 of, wanneer dit hoger is, 10% van de omzet van de zorgverzekeraar).⁶art. IV Wet cliëntenrechten bij elektronische verwerking van gegevens.

Wijzigingen

De Wet cliëntenrechten bij elektronische verwerking van gegevens is dus een gewijzigde versie van het wetsvoorstel dat in 2011 is verworpen. In de nieuwe wet is gehoor gegeven aan een reeks van moties die zijn ingediend door de Kamerleden. De wet bevat een negental artikelen die een wijziging aanbrengen in andere bestaande wetten, zoals de Wet gebruik burgerservicenummer in de zorg, de Zorgverzekeringswet en de Wet marktordening gezondheidszorg.

Een belangrijke wijziging ten opzichte van het eerdere wetsvoorstel is het geven van de ‘gespecificeerde toestemming’ in plaats van de individuele toestemming per zorgverlener, zoals hierboven al is uitgelegd. Een andere wijziging is dat er in de nieuwe wet is gekozen voor een ‘opt-insystematiek’ met betrekking tot de landelijke gegevensuitwisseling. Er is dan uitdrukkelijke toestemming van de patiënt vereist. Wanneer burgers niet opgenomen willen worden in het EPD, wordt deze wens geëerbiedigd. Ook de hiervoor beschreven boete, die zorgverzekeraars kunnen krijgen wanneer zij zich toegang verschaffen tot een dossier, is een nieuw onderdeel.

Kritiek

Er is vanuit verschillende hoeken kritiek geuit op de nieuwe wet. Veel tegenstanders vinden dat de privacy van patiënten niet voldoende wordt gewaarborgd. Dit heeft met name te maken met het feit dat in het LSP alleen toestemming voor inzage in het dossier kan worden gegeven per categorie zorgverleners, in plaats van toestemming per individuele zorgverlener.⁷Zie https://www.privacybarometer.nl/nieuws/3860/Voorstel_Schippers_voor_uitwisseling_medische_gegevens_…ettelijke_eisen, laatst geraadpleegd op 10 november 2017. Tevens wordt opgemerkt dat deze nieuwe manier van toestemming geven in strijd lijkt te zijn met het medisch beroepsgeheim, omdat de patiëntgegevens niet meer vertrouwelijk blijven tussen de zorgverlener en zijn patiënt, maar ook zichtbaar zijn voor andere zorgverleners die categorisch toestemming hebben gekregen. Een aantal Kamerfracties is van mening dat het LSP niet op de juiste manier functioneert en zou graag een alternatief systeem voor het gebruik van het EPD zien.⁸Zie Kamerstukken I 2014/15, 33509, nr D. Ook de Vereniging van Praktijkhoudende Huisartsen is niet tevreden met het LSP. Zij hebben inmiddels juridische stappen ondernomen.⁹Zie https://www.medischcontact.nl/nieuws/laatste-nieuws/artikel/huisartsen-in-cassatie-over-lsp.htm, laatst geraadpleegd op 10 november 2017.

Om aan de kritiek tegemoet te komen heeft minister Schippers besloten dat de wet gefaseerd wordt ingevoerd; de belangrijkste artikelen treden pas over 3 jaar in werking.

De Algemene Verordening Gegevensbescherming

Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (verder: AVG) in werking treden. Deze zal de huidige Wet bescherming persoonsgegevens vervangen. De nieuwe Europese wet is van groot belang voor het EPD, aangezien deze moet voldoen aan de eisen die de AVG stelt met betrekking tot gegevensverwerking.

De Wet cliëntenrechten bij elektronische verwerking van gegevens brengt een aantal wijzigingen aan in bestaande wetten die betrekking hebben op de gezondheidszorg (zie hierboven). Deze wetten blijven onder de AVG gewoon gelden.¹⁰Zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/zorgaanbieders-en-de-avg, laatst geraadpleegd op 10 november 2017.

Op grond van art. 9 lid 2 sub a AVG is voor de verwerking van bijzondere persoonsgegevens (waaronder medische gegevens) toestemming van de betrokkene vereist, net zoals bij de Wbp het geval is. Wat betreft het EPD zal er door de invoering van de AVG dus niet veel veranderen.

Conclusie

Het gebruiken van een EPD ter bevordering van de doelmatigheid en efficiëntie van de behandeling van patiënten is een goed streven. Daarvoor is wel vereist dat het systeem voor de uitwisseling van dossiers voldoende beveiligd is en dat er geen onbevoegd toegang kan worden verkregen. Het huidige systeem, LSP, is hiervoor mijns inziens niet geschikt. Doordat het systeem op zodanige manier is ingericht dat het uitsluitend kan werken met de toestemming per categorie zorgverleners, wordt de privacy van de patiënten niet voldoende gewaarborgd. Een alternatief systeem is zeker gewenst, want het gemakkelijk uitwisselen van dossiers komt de snelheid en efficiëntie van de behandeling van patiënten ten goede.