Met ingang van deze week is het voor een groot aantal ziekenhuizen, huisartsen en apothekers de vraag of ze hun informatiebeveiliging volgens de letter van de wet op orde hebben. Op 1 juli 2017 werd namelijk de nieuwe wet Wet cliëntenrechten bij elektronische verwerking van gegevens van kracht. Samen met een bijbehorende zogeheten Algemene Maatregel van Bestuur (AmvB) moet de wet de privacy van patiënten verbeteren en patiënten meer regie en inzage in hun eigen medische gegevens bieden. Maar de inwerkingtreding van de wet leidt ook tot vraagtekens bij zorgaanbieders, en tot gouden tijden voor adviseurs en consultants die speculeren op onwetendheid en angst.
Zodra zorgverleners onderling informatie uitwisselen over een patiënt, dan moeten zij zich houden aan wettelijke regels. De Wet bescherming persoonsgegevens en de Wet Geneeskundige Behandelovereenkomst gaan hierover. Deze wetten richten zich echter niet specifiek op elektronisch gegevens uitwisselen - wat steeds vaker gebeurt en zal gaan gebeuren in de toekomst. Per 1 juli is er een nieuwe wet in werking getreden die daar wel op gericht is, namelijk de wet Cliëntenrechten bij elektronische verwerking van gegevens. Deze wet is van toepassing op alle uitwisselingssystemen die in de zorg worden gebruikt. Hieronder vallen bijvoorbeeld zowel het Landelijk Schakel Punt (LSP) als regionale uitwisselingssystemen waarmee ziekenhuizen huisartsen toegang verlenen tot onderdelen van medische dossiers van hun patiënten. In deze recente inventarisatie van Nictiz blijkt dat er in Nederland tientallen verschillende infrastructuren bestaan en gebruikt worden.
Stand van zaken rond NEN7510: onbekend
Eén van de belangrijker consequenties van de nieuwe wet is dat zorgaanbieders die digitaal patiëntgegevens uitwisselen (en dat doet in 2017 bijna iedereen in één of andere vorm) nog meer dan voorheen te maken krijgen met wettelijk opgelegde zogeheten normenkaders, specifiek NEN7510, 7512 en 7513. Die normen regelen zaken rond organisatie, beveiliging, inloggen en het bewaren van gegevens over inzage (loggen). De Algemene Maatregel van Bestuur (AmvB) die dit regelt is nog niet definitief, maar dat lijkt een kwestie van hooguit een half jaar.
NEN-normen worden dwingende richtlijn waaraan zorgaanbieders moeten voldoen
Die normenkaders zijn gemaakt voor grote organisaties met een ICT-afdeling, zoals ziekenhuizen of GGZ-instellingen. Het lijkt ondoenlijk om het hele normenkader los te laten op een kleine huisartspraktijk. Beroepsorganisaties als de Landelijke Huisartsverenigingen (LHV) en InEen zijn in de afgelopen tijd bezig geweest om te proberen orde te scheppen voor hun leden, bijvoorbeeld met opleidingen en publicaties. Ze informeerden hun leden afgelopen dagen over de extra eisen die bij elektronische gegevensuitwisseling komen kijken. Ze geven tegelijk aan dat er nog veel vragen waarop in de komende maanden antwoorden moeten komen.
Toezichthouders als de Autoriteit Persoonsgegevens en de Inspectie voor de Gezondheidszorg hebben geen compleet beeld van de stand van de informatiebeveiliging in relatie tot de NEN-normen bij ziekenhuizen of andere zorgaanbieders. Dat geldt ook voor de brancheorganisaties. Het meest recente landelijke onderzoek werd vorig jaar door het RIVM gepubliceerd. Daaruit bleek dat de NEN-normen bij ziekenhuizen wel bekend zijn, maar nog lang niet overal nageleefd worden.
Datzelfde onderzoek onder veertig huisartsenpraktijken liet zien dat de NEN7510-norm in de eerstelijns zorg voor pakweg een derde van de ondervraagden nog helemaal onbekend is.
De onduidelijkheid heeft niet alleen betrekking op de NEN7510 norm. Brancheorganisaties van zorgverleners geven ook aan dat andere punten in de nieuwe wetgeving nog niet duidelijk zijn. Is een functionaris voor de gegevensbescherming (FG), die moet controleren of het omgaan met medische gegevens in de praktijk op een goede manier gebeurt, verplicht per zorginstelling, of kan dat ook regionaal of op landelijk niveau worden georganiseerd? De interpretaties hierover verschillen, en diverse aanbieders bestoken zorgorganisaties met een aanbieding voor een maandabonnement op een 'virtuele FG', een constructie die volgens andere aanbieders juist weer in strijd is met de wet.
Over drie jaar gespecificeerde toestemming
Over pakweg drie jaar wordt het nog ingewikkelder. De grote verandering vanuit patiëntperspectief vindt namelijk pas plaats in 2020. Vanaf dan hebben patiënten recht op ‘gespecificeerde toestemming’. Dat houdt in dat patiënten zelf kunnen aangeven welke gegevens wel of niet door welke zorgverleners elektronisch ingezien mogen worden. Daarnaast hebben patiënten over drie jaar recht op kosteloos inzage in hun elektronische dossier en op een afschrift daarvan. Recht op een papieren afschrift bestond al langer in de Wet op de geneeskundige behandelingsovereenkomst, maar deze wet stelt vast dat patiënten digitaal hun gegevens moeten kunnen inzien.
Zorginstellingen en zelfstandig werkende zorgverleners zijn daarnaast verplicht om vast te leggen in het elektronische uitwisselingssysteem wie welke gegevens beschikbaar heeft gesteld en heeft ingezien, ook wel ‘logging’ genoemd.
Het ministerie van Volksgezondheid zet de nieuwe eisen op een rij: grote verandering voor patiënten pas in 2020
De haalbaarheid van het concept gespecificeerde toestemming (dat tot enorme spraakverwarring leidde in de Eerste en Tweede Kamer) is een punt van discussie waar onder andere artsenfederatie KNMG en de Landelijke Huisartsen Vereniging (LHV) momenteel onderzoek naar doen, samen met het ministerie van Volksgezondheid. Wat in ieder geval zeker is: de huidige elektronische dossiersystemen van ziekenhuizen en huisartsen kunnen zo'n fijnmazige vastlegging van toestemming per zorgaanbieder technisch helemaal niet aan. Maar tegelijk kunnen de ICT-leveranciers nog niet gaan bouwen aan functionaliteit waarvan de detail-specificaties nu nog grotendeels onduidelijk zijn. De nieuwe minister krijgt er alvast een fijn hoofdpijndossier bij.
wellicht ook interessant
Plaats een Reactie
Meepraten?Draag gerust bij!