Logischerwijs ligt de zorgsector onder een vergrootglas als het gaat om naleving van privacyregels. Dit werd vorige maand nog eens duidelijk met de boete die door de Autoriteit Persoonsgegevens (AP) werd opgelegd aan het OLVG. Het Amsterdamse ziekenhuis moest EUR 440.000 betalen wegens onvoldoende bescherming van patiëntgegevens in de periode 2018 tot en met 2020. Eerder werd al in 2019 een boete van EUR 460.000 opgelegd aan het HagaZiekenhuis in Den Haag omdat de interne beveiliging van patiëntendossiers niet op orde bleek. En dan is er nog het voorbeeld van het Brava ziekenhuis, waarbij een patiënt het ziekenhuis aanklaagde vanwege een datalek.

Kennis en ervaring

In de praktijk merken wij dat het zorgorganisaties niet ontbreekt aan wilskracht – het medisch beroepsgeheim is onderdeel van het zorgverlener-DNA en zo oud als de hippocratische eed – maar aan kennis en ervaring over hoe het wettelijk kader zich moet manifesteren op de werkvloer.

Zorg- en privacy-wetten

De rechten van patiënten in relatie tot (de bescherming van) hun medische gegevens zijn vastgelegd in een complex geheel van zorg- en privacywetten, waaronder het medisch beroepsgeheim in de Wet op de geneeskundige behandelovereenkomst (“WGBO”). In aanvulling hierop zijn relevante richtsnoeren vastgesteld en geldt bijzondere wetgeving voor gegevensgebruik in het kader van medisch-wetenschappelijk onderzoek. Deze wetten zijn niet nieuw, maar de Algemene Verordening Gegevensbescherming (“AVG”) legt zorgaanbieders aanvullende verplichtingen op die in de context van voornoemde specifieke zorgwetten moeten worden vormgegeven.

Juridisch-technische complexiteit

Ook de technische beveiligingsvraag zorgt voor de nodige hoofdbrekens. Mede vanwege de afhankelijkheid van zorgorganisaties van verschillende ICT-leveranciers voor AVG compliance, zoals de mogelijkheid tot logging of het verwijderen van gegevens in systemen.

De ICT-leverancier blijkt nog niet altijd in staat om een AVG compliant zorgsysteem te leveren. Bovendien moet een zorgverlener bij de inrichting van een zorgsysteem ook een afweging maken tussen beveiliging van persoonsgegevens enerzijds en eventuele risico’s van het technisch kunnen afschermen/verwijderen van bepaalde gegevens voor de kwaliteit, continuïteit en veiligheid van de zorgverlening anderzijds.

In deze juridisch-technische complexiteit ligt de uitdaging voor het veld. Zorgorganisaties verzamelen grote hoeveelheden medische gegevens voor doeleinden van zorg en onderzoek, en lopen hierbij aan tegen de beperkingen om het wettelijk kader op sluitende wijze te implementeren in de praktijk.

Dit terwijl – in een samenleving waarin digitale zorgvormen, versterkt door de uitbraak van het covid-19 virus, steeds vaker de norm worden – het zorgvuldig en technisch kunnen uitwisselen van medische gegevens van steeds groter belang wordt. Hoe kunnen we zorgen voor een duurzaam data- en privacy beleid in zorgorganisaties waarbij zowel de zorg als de patiënt centraal staan?

Oplossing

Allereerst is er binnen de bestaande wettelijke kaders al veel meer mogelijk dan men denkt. Duidelijkheid over (on)juist gebruik van medische data is hier essentieel. De verschillende wettelijke kaders moeten inzichtelijk worden gemaakt en goed op elkaar worden afgestemd. De oplossing ligt in een effectief databeleid welke zorgmedewerkers in staat stelt om data op een snellere en veiligere manier te beheren. Dit beleid moet organisatorisch zijn ingebed in en aansluiten bij de strategie van de zorgorganisatie.

De ondersteunende techniek is voorts een belangrijke randvoorwaarde voor (doorontwikkeling van) de (juridische) mogelijkheden voor gegevensgebruik in de zorg. Daarbij is aandacht voor privacy by design en de beveiliging van de gegevens van essentieel belang. ICT-leveranciers spelen een belangrijke rol om ervoor te zorgen dat de ondersteunende techniek ook daadwerkelijk beschikbaar komt.

Transformatie

Naast de huidige mogelijkheden wordt er in het belang van de transformatie van de zorg ook actief nagedacht over oplossingen op het gebied van gegevensdeling, zowel in technische als juridische zin. Vanuit de techniek komen steeds meer applicaties beschikbaar om gegevens veilig en eenvoudig te delen.

Vanuit een wettelijke context wordt bijvoorbeeld gedacht aan een (verruimd) systeem voor gegevensgebruik in het kader van medisch-wetenschappelijk onderzoek op basis van solidariteit. Dit systeem gaat uit van een ‘opt-out’ (lees: geen bezwaar)-mogelijkheid in plaats van voorafgaande toestemming van de patiënt voor het gebruik van zijn gezondheidsdata voor medisch-wetenschappelijk onderzoek in het belang van de publieke volksgezondheid (‘datasolidariteit’). Een ander voorbeeld betreft de ontwikkeling van de persoonlijke gezondheidsomgeving (“PGO”) om de patiënt (meer) regie te geven over zijn medische data.

Effectief databeleid

De eerste stap van zorgorganisaties is wat ons betreft goed te onderzoeken wat wél kan binnen het huidige wettelijke stramien en de huidige technologische oplossingen, bijvoorbeeld op het gebied van logging of authenticatie. Door het toepassen van een effectief databeleid en ondersteunende techniek kunnen zorgorganisaties er vervolgens zorgen voor zorgvuldige omgang met gegevens. Goed gegevensgebruik in de zorg is ten slotte een zeer belangrijke randvoorwaarde voor het verlenen van verantwoorde (digitale) zorg. Daarover kan geen discussie bestaan.

Martje Weusten, Manager Zorg & Life Sciences, PwC Legal
Sandra Mochèl, Director PwC Cyber, Forensics & Privacy