Per 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum nog maar één privacywet geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Wees zorgvuldig met uitwisseling van patiëntgegevens.
Opnieuw verschijnen er berichten in de media dat gemeenten zo lek zijn als een mandje als het gaat om de verwerking van persoonsgegevens. Aangezien gemeenten nu ook verantwoordelijk zijn voor de financiering en uitvoering van Jeugdwet en Wmo, vragen zij veel persoonsgegevens op bij zorgaanbieders en vice versa. Bij deze uitwisseling van gegevens is de kans groot dat er ook patiëntgegevens gelekt worden.
In de dagelijkse praktijk van uitwisseling van gegevens tussen gemeenten en zorgaanbieders wordt op dit moment nog lang niet altijd op een beveiligde manier gewerkt. Praktijkvoorbeelden hiervan zijn gemeenten die nog niet in staat zijn om versleuteld berichten te versturen of te ontvangen. Dit betekent dat de zorgaanbieder op haar beurt ook in een lastig parket komt.
In het toeleidingsproces, van de gemeente naar de zorgaanbieder, is de kans op een datalek groot. In deze fase waarin geïnventariseerd wordt of de cliënt bij de zorgaanbieder terecht kan, verloopt de communicatie tussen beide partijen vaak onversleuteld per mail. Is er overeenstemming bereikt? Dan wordt de beschikking (WMO301 of JW301) meestal wel via versleuteld berichtenverkeer (Vecozo) verstuurd. Echter bij het declareren van de zorg ligt een datalek weer op de loer.
Idealiter stuurt de gemeente via Vecozo een retourbericht (WMO304 of JW304) waarin de zorgaanbieder precies kan zien of er declaraties zijn afgekeurd en wat de reden hiervan is. Staat er bijvoorbeeld in het bericht dat er persoonsgegevens ontbreken? Dan kan de zorgaanbieder dit zelf aanpassen en gaat de afgekeurde declaratie mee in de volgende periode. Echter werkt dit proces bij veel gemeenten nog niet en wordt er weer teruggegrepen op onbeveiligde communicatiemiddelen zoals mail en post.
In de ideale wereld zouden alle gemeenten en zorgaanbieders conform de Berichten standaarden voor de zorg persoonsgegevens moeten uitwisselen. Dit vraagt om een zorgvuldige aanpassing van de ICT-infrastructuur en de interne organisatie van zowel gemeenten als zorgaanbieders. Gezien het feit dat het er bijzondere persoonsgegevens worden uitgewisseld tussen gemeenten en zorgaanbieders, is dit ook hard nodig, maar niet van de één op de andere dag gerealiseerd. Wat je als gemeente wél direct kan doen, is kritisch kijken naar de persoonsgegevens die je opvraagt.
Genoeg afwegingen die om een kritische blik vragen. Ook als zorgaanbieder kun je met een aantal simpele stappen het risico verlagen. Verdiep je in wat je als zorgaanbieder verplicht bent en wat juist niet gedeeld of enkel onder voorwaarden gedeeld mag worden. Vraagt de gemeente om meer? Dan kun je goed gemotiveerd de (on)mogelijkheden aankaarten. Bedenk hierbij ook altijd dat het uitgangspunt van privacy wet- en regelgeving is dat het in beginsel niet is toegestaan om gegevens betreffende iemands gezondheid te verwerken, tenzij de wet dit uitdrukkelijk heeft toegestaan.
Creëer bovendien meer bewustzijn binnen de organisatie. Zorg dat er duidelijk beleid beschreven is, regelmatig onder aandacht gebracht, zodat medewerkers hiernaar zullen en kunnen handelen en het beleid dus echt geborgd is binnen de organisatie.
Business Line Manager Legal | Legal Counsel
03 April 2017
Volgens de Autoriteit Persoonsgegevens blijkt dat 5.000 meldingen van een datalek maar liefst 1.000 …
03 April 2017
Bescherming van de privacy van patiënten, hoe zorg je daar nou voor? Wet- en regelgeving geeft een …