Per 1 juli 2017 is het eerste gedeelte van de Wet cliëntenrechten bij elektronische verwerking van gegevens in werking getreden. Het tweede deel van deze wet wordt ingevoerd per 1 juli 2020. Iedere zorgorganisatie dient deze wet te implementeren en op de voorgeschreven wijze met de elektronische verwerking van gegevens om te gaan. In dit artikel wordt geschetst wat van iedere zorgorganisatie wordt verwacht. En wanneer dat wordt verwacht. Kortom waarop de raad van bestuur respectievelijk de raad van commissarissen c.q. raad van toezicht dient te letten bij de implementatie van de Wet cliëntenrechten bij elektronische verwerking van gegevens.

Elektronische verwerking van gegevens

De afgelopen jaren heeft in de zorg een verschuiving van papieren dossiers naar digitale dossiers plaatsgevonden. Met deze verschuiving is ook de uitwisseling van patiëntgegevens via een elektronisch uitwisselingssysteem sterk toegenomen. De bestaande wetgeving, de Wet persoonsgegevens en de Wet Geneeskundige Behandelovereenkomst, is echter niet specifiek toegesneden op de elektronische verwerking van medische gegevens. Hierdoor bestaat er bij zowel zorginstellingen als cliënten/patiënten (hierna “cliënten”) veel verwarring. Een aanscherping werd daarom door de wetgever nodig geacht. Deze is er met het op 4 oktober 2016 door de Eerste Kamer aangenomen wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens gekomen. Deze wet schept de randvoorwaarden waaronder medische gegevens veilig en elektronisch mogen worden uitgewisseld of ingezien en brengt veel (extra) werk voor zorgorganisaties met zich mee. Gelukkig is voor de inwerkingtreding van de wet een groeimodel vastgelegd. Een gedeelte is per 1 juli 2017 in werking getreden en een gedeelte gaat per 1 juli 2020 in werking treden.

De wet cliëntenrechten bij elektronische verwerking van gegevens

De Wet cliëntenrechten bij elektronische verwerking van gegevens geldt voor zorgaanbieders en richt zich, anders dan de Wet bescherming persoonsgegevens en de Wet geneeskundige behandelovereenkomst, specifiek op elektronische gegevensuitwisseling. Centraal staat het begrip ‘elektronisch uitwisselingssysteem’. Hieronder wordt verstaan:

“een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier”

Bij een elektronisch uitwisselingssysteem kan worden gedacht aan een systeem zoals het Landelijk Schakelpunt. Als eerste stap dient u dus na te gaan of uw organisatie als zorgaanbieder kan worden beschouwd en of zij gebruik maakt van een elektronisch uitwisselingssysteem. Zo ja, dan geldt het onderstaande.

Wijzigingen per 1 juli 2017: toestemming vastleggen en informeren van de cliënt

Vanaf 1 juli 2017 wordt van uw zorgorganisatie verwacht dat zij:

• (bij voorkeur schriftelijk) vaststelt dat de cliënt uitdrukkelijk toestemming heeft gegeven voor het beschikbaar stellen van gegevens van de cliënt via een elektronisch uitwisselingssysteem. Toestemming mag niet worden verondersteld;
• de cliënt informeert, aangezien de cliënt een goede afweging moet kunnen maken bij het verlenen van toestemming, over:
  • zijn rechten bij elektronische gegevensuitwisseling;
  • de wijze waarop hij zijn rechten kan uitoefenen;
  • de werking van het elektronisch uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt;
  • de wijziging alsmede de mogelijkheid om de door hem gegeven toestemming aan te passen of in te trekken in de situatie dat nieuwe categorieën van zorgaanbieders zich aansluiten bij het elektronisch uitwisselingssysteem, of de werking van het elektronisch uitwisselingssysteem anderszins substantieel wordt gewijzigd.

Wijzigingen per 1 juli 2020: genoeg werk aan de winkel!

Vanaf 1 juli 2020 wordt van uw zorgorganisatie verwacht dat zij:

• Naast uitdrukkelijke toestemming van de cliënt ook over de zogenaamde gespecificeerde toestemming van de cliënt beschikt voordat zij de medische gegevens beschikbaar stelt via het elektronische uitwisselingssysteem. Dit houdt in dat de cliënt gericht moet (kunnen) aangeven welke zorgverleners welke informatie mogen ontvangen. Het geven van gespecificeerde toestemming, vereist van de cliënt volgens de minister dat de cliënt goed nadenkt binnen welke kring hij uitwisseling wenselijk acht;
• de hierboven weergegeven gespecificeerde toestemming registreert waarbij door uw zorgorganisatie wordt aangetekend vanaf welk tijdstip de toestemming van kracht is geworden;
• kosteloos de cliënt op diens verzoek inzage in en afschrift van zijn of haar elektronische dossier en/of gegevens op elektronische wijze verstrekt;
• op verzoek van de cliënt in het hiervoor bedoelde afschrift opneemt:
  • wie bepaalde informatie via het elektronisch uitwisselingssysteem beschikbaar heeft gesteld en op welke datum;
  • wie bepaalde informatie heeft ingezien of opgevraagd en op welke datum, hetgeen bekend staat als ‘logging’.

Het Ontwerpbesluit elektronische gegevensbewerking door zorgaanbieders

Bij de hierboven besproken Wet cliëntenrechten bij elektronische verwerking van gegevens hoort ook een AMvB met als titel ‘Besluit elektronische gegevensverwerking door zorgaanbieders’. In deze AMvB worden voor wat betreft de elektronische gegevensuitwisseling nadere functionele, technische en organisatorische eisen gesteld. Zo moet uw zorgorganisatie onder meer:

• een functionaris gegevensbescherming benoemen;
• werken met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria. NEN betreft een door de Stichting Nederlands Normalisatie-instituut uitgegeven norm;
• voor wat betreft ‘logging’ van het elektronisch uitwisselingssysteem te voldoen aan de NEN 7513;
• bij het vastleggen van beleid, procedures en verantwoordelijkheden als bedoeld in NEN 7510, NEN 7512 of NEN 7513 in documenten, voor een elektronisch uitwisselingssysteem de termen en definities als genoemd in NEN 7510, NEN 7512 of NEN 7513 te gebruiken.

Het ontwerpbesluit is hier te raadplegen. De minister heeft op 27 juni 2017 aangegeven dat zij het besluit verder in de procedure brengt. De exacte datum van inwerkingtreding van de AMvB is op dit moment helaas nog niet bekend. Wij verwachten dat het ontwerpbesluit niet meer verandert en op korte termijn in werking treedt. Hierop dient uw zorgorganisatie bedacht te zijn.

Tot slot

Om zorgorganisaties behulpzaam te zijn heeft het Ministerie van VWS zowel een brochure als een factsheet gepubliceerd. De brochure en factsheet kunt u via onderstaande buttons downloaden. Vanaf 1 juli 2020 wordt verwacht dat uw zorgorganisatie voor wat betreft de Wet Cliëntenrechten bij Elektronische Verwerking van Gegevens compliant is. Noteer deze datum dus goed.