Zorgverleners en de AVG

U moet als zorgverlener een functionaris gegevensbescherming (FG) aanwijzen als u op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over de gezondheid van mensen.

Hoe bepaalt u of u volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt?

In de Algemene verordening gegevensbescherming (AVG) staat niet heel specifiek omschreven wanneer een verwerking grootschalig is. Dat is afhankelijk van uw situatie. 

De AP heeft voor zorgaanbieders nadere uitleg gegeven wanneer sprake is van grootschalige verwerking van persoonsgegevens.

FG verplicht: bijvoorbeeld ziekenhuizen

De Europese privacytoezichthouders noemen een ziekenhuis als expliciet voorbeeld van een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt. Een ziekenhuis is dus verplicht om een FG aan te stellen.

Verder heeft de AP aan de hand van de criteria van de Europese toezichthouders vastgesteld dat ook zorggroepen en huisartsenposten op grote schaal bijzondere persoonsgegevens verwerken en dus verplicht zijn een FG aan te stellen. Ook apothekers ziet de AP al gauw als grootschalige verwerkers.

Voor andere zorgaanbieders geldt dat zij grootschalig gegevens verwerken als zij meer dan 10.000 ingeschreven patiënten hebben óf gemiddeld meer dan 10.000 patiënten per jaar behandelen én de gegevens van deze patiënten in één informatiedossier (bijvoorbeeld HIS) staan. In dat geval zijn zij verplicht om een FG aan te stellen.

FG niet verplicht: bijvoorbeeld individuele artsen

Een FG is niet verplicht voor:

• huisartsenpraktijken met minder dan 10.000 ingeschreven patiënten;
• andere instellingen voor medisch-specialistische zorg dan ziekenhuizen, die gemiddeld minder dan 10.000 patiënten per jaar behandelen;
• individuele artsen.  

Let op: de AP verstaat onder een ‘individuele arts’ een solistisch werkende zorgverlener die beroepsmatig zorg verleent, zonder dat sprake is van een instelling.

Werkt een enkele arts of apotheker bijvoorbeeld in een praktijk samen met meerdere assistenten die ook zorg verlenen (zoals oren uitspuiten of geneesmiddelen verstrekken)? Dan is er geen sprake van een individuele arts.

Praktische standaard

De Europese privacytoezichthouders verwachten dat er op den duur een praktische standaard komt waarmee u eenvoudiger kunt vaststellen of sprake is van een grootschalige gegevensverwerking. En dus of u verplicht bent om een FG aan te stellen. Zodra hierover meer bekend is, vindt u die informatie op deze website.

Let op: per 1 januari 2018 geldt voor instellingen als bedoeld in de Wkkgz die op grote schaal gegevens verwerken al de plicht om een FG te benoemen. Dat is geregeld in het Besluit elektronische gegevensverwerking door zorgaanbieders.

Meer informatie

• Moet ik als huisarts een FG aanstellen?
• Moet een apotheek een FG aanstellen?
• Dossier Functionaris voor de gegevensbescherming (FG)

Voor huisartsenpraktijken geldt dat zij verplicht zijn een functionaris gegevensbescherming (FG) aan te stellen als zij grootschalig gegevens verwerken. Zij doen dit als zij meer dan 10.000 ingeschreven patiënten hebben én de gegevens van deze patiënten in één huisartseninformatiedossier (HIS) staan.

Voor een individuele huisarts en een huisartsenpraktijk met minder dan 10.000 patiënten, geldt de verplichting voor een FG niet.

Let op: De AP verstaat onder een ‘individuele arts’ een solistisch werkende zorgverlener die beroepsmatig zorg verleent, zonder dat sprake is van een instelling. Werkt een huisarts bijvoorbeeld in een praktijk samen met meerdere assistenten die ook zorg verlenen, dan is er geen sprake van een ‘individuele arts’ in de zin van de AVG.

Huisartsenposten en zorggroepen verwerken altijd grootschalig gegevens. Zij zijn dus altijd verplicht een FG aan te stellen.  

Verwerkingen van persoonsgegevens door apothekers ziet de AP al gauw als grootschalig. Dit omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen in het kader van de behandeling.

Het zou dus goed zijn als apotheken een FG hebben. Maar als er minder dan 10.000 betrokkenen in het systeem van de apotheek zijn ingeschreven, ziet de AP dat niet als grootschalig en is een apotheek niet verplicht een FG aan te stellen.

Sommige gegevensverwerkingen leveren een hoog privacyrisico op voor de betrokken personen. Onder de Algemene verordening gegevensbescherming (AVG) bent u in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren. Dit geldt niet voor individuele zorgverleners.

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat u maatregelen kunt nemen om de risico’s te verkleinen. Voor meer informatie, zie dossier Data Protection Impact Assessment (DPIA).

Hoe bepaalt u of er sprake is van een waarschijnlijk hoog privacyrisico?

De Europese privacytoezichthouders hebben een lijst van criteria opgesteld om u als verantwoordelijke te helpen om het privacyrisico van uw gegevensverwerking in te schatten. Voor zorgverleners kunnen de volgende criteria uit die lijst leiden tot een hoog risico.

Gevoelige gegevens

U verwerkt gevoelige gegevens. Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen.

Grootschalig

U verwerkt op grote schaal (bijzondere) persoonsgegevens. De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De Europese toezichthouders adviseren om met de volgende criteria te bepalen of hiervan sprake is:

• de hoeveelheid mensen van wie gegevens worden verwerkt;
• de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
• de tijdsduur van de gegevensverwerking;
• de geografische reikwijdte van de gegevensverwerking.

In de zorg is in ieder geval sprake van grootschalige verwerking van persoonsgegevens door:

• ziekenhuizen;
• zorggroepen;
• huisartsenposten;
• apotheken (niet zijnde ‘solistisch werkende zorgverlener’)
• huisartsenpraktijken met meer dan 10.000 patiënten, van wie de gegevens in hetzelfde huisartseninformatiesysteem (HIS) zijn opgeslagen;
• andere instellingen voor medisch specialistische zorg dan ziekenhuizen met meer dan gemiddeld 10.000 patiënten per jaar van wie de gegevens in het hetzelfde informatiesysteem zijn opgeslagen.

Kwetsbare personen

U verwerkt gegevens van kwetsbare personen. Bij zorgverleners kan er sprake zijn van een ongelijke machtsverhouding tussen u als verantwoordelijke en de betrokken personen zoals kinderen, ouderen, wilsonbekwame en andere kwetsbare patiënten.

Zie ook

• Moet ik als zorgverlener ook een DPIA doen voor bestaande verwerkingsactiviteiten?

Nee, de verplichting om een data protection impact assessment (DPIA) te doen geldt in principe alleen voor verwerkingen die ná 25 mei 2018 zijn gestart. Vanaf die datum is de Algemene verordening gegevensbescherming (AVG) van toepassing.

Treedt er na 25 mei 2018 een verandering op in een bestaande verwerking of in de risico’s van die verwerking? Dan kan een DPIA alsnog verplicht zijn.

Veranderingen bestaande verwerkingen

Een bestaande gegevensverwerking kan bijvoorbeeld veranderen als u een nieuwe technologie gaat gebruiken. Of als u de persoonsgegevens voor een ander doel gaat gebruiken.

In die situaties moet u, net als bij een nieuwe gegevensverwerking, vaststellen of de gewijzigde verwerking waarschijnlijk een hoog privacyrisico oplevert. Zo ja, dan bent u alsnog verplicht een DPIA uit te voeren.

Voorafgaand onderzoek

Het kan zijn dat de AP al eens een voorafgaand onderzoek heeft gedaan naar een bepaalde gegevensverwerking. Misschien heeft u daarvoor goedkeuring gekregen.

Ook dan geldt dat u geen DPIA over die verwerking hoeft uit te voeren. Tenzij er ná 25 mei 2018 een verandering optreedt in de verwerking die waarschijnlijk een hoog risico inhoudt.

Meer informatie

• Dossier DPIA

Ook als kleine zorgverlener bent u in de meeste gevallen verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat kleine zorgverleners doorgaans structureel bijzondere persoonsgegevens verwerken. Namelijk medische gegevens van hun patiënten.

Volgens de Algemene verordening gegevensbescherming (AVG) bent u als organisatie met minder dan 250 werknemers verplicht om een register op te stellen wanneer u persoonsgegevens verwerkt:

• die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of
• waarvan de verwerking niet incidenteel is en/of
• die vallen onder de categorie bijzondere persoonsgegevens.

Lees meer over wat er in het register van verwerkingsactiviteiten moet staan.

Voor het vertrouwen van de patiënt in u als zorgverlener is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat is niet veranderd door de komst van de Algemene verordening gegevensbescherming (AVG). Nieuw onder de AVG is wel de verantwoordingsplicht.

Verantwoordingsplicht

De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens van uw patiënten te beveiligen. En dat uw gegevensverwerkingen aan de AVG voldoen. Dat houdt bijvoorbeeld in dat u:

• niet méér persoonsgegevens verwerkt dan noodzakelijk is voor het doel van de verwerking;
• de toegang van medewerkers tot de persoonsgegevens beperkt;
• de persoonsgegevens niet langer bewaart dan nodig is.

Verplichte en extra maatregelen

In de AVG staan een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Voor zorgverleners geldt onder meer dat:

• De NEN 7510 een belangrijke norm voor informatiebeveiliging in de zorg blijft. U moet deze richtlijnen dus blijven volgen.
• U van elke individuele medewerker moet bijhouden wanneer hij/zij en van welke patiënt een dossier heeft bekeken. Dit heet logging.
• Het nodig kan zijn om een gegevensbeschermingsbeleid op te stellen. Daarin regelt u onder meer welke medewerkers toegang mogen hebben tot welke gegevens.
• In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.
• U verplicht kunt zijn om een data protection impact assessment (DPIA) uit te voeren, een functionaris voor de gegevensbescherming (FG) aan te stellen en een register van verwerkingsactiviteiten bij te houden.

Zie ook

• Uit welke onderdelen bestaat een passend beveiligingsbeleid voor patiëntgegevens?
• Hoe moet ik het identificatieproces rondom het inloggen in medische dossiers regelen?

Als zorgorganisatie moet u alle technische en organisatorische maatregelen treffen die nodig zijn om ervoor te zorgen dat patiëntgegevens veilig zijn.

De Autoriteit Persoonsgegevens gaat daarbij uit van algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg: NEN-7510 en NEN 7513.

Zie ook

• Is onder de AVG een NEN 7510-certificaat verplicht voor zorgverleners?

Een passend beveiligingsbeleid voor patiëntgegevens bestaat onder meer uit een omschrijving van de volgende 5 onderdelen:

• authenticatie
• autorisatie
• logging van de toegang
• controle van de logging
• bewustwording medewerkers ten aanzien van informatiebeveiliging

1. Authenticatie

Wil iemand toegang krijgen tot een patiëntendossier? Dan moet u als zorgorganisatie zijn/haar identiteit vaststellen door authenticatie met minimaal 2 factoren.

Iemand krijgt dan pas toegang tot een patiëntendossier als zijn identiteit op 2 verschillende manieren is vastgesteld. Bijvoorbeeld op basis van een wachtwoord en het van een personeelspas.

2. Autorisatie

Zo min mogelijk mensen mogen toegang hebben tot patiëntgegevens. Dit legt u ook vast in het toegangscontrolebeleid. Hierin regelt u onder meer welke medewerkers toegang mogen hebben tot welke gegevens.

In het algemeen mogen mensen alleen toegang krijgen tot persoonlijke gezondheidsinformatie in de volgende situaties:

• er bestaat een zorgrelatie tussen de gebruiker en de patiënt;
• de gebruiker voert een activiteit uit namens de persoon op wie de gegevens betrekking hebben;
• de specifieke gegevens zijn nodig om deze activiteit te ondersteunen.

3. Logging van toegang

Als zorgorganisatie moet u controleren wie er toegang heeft gehad tot gezondheidsinformatie. U moet daarom logbestanden maken en registreren wie wanneer welke informatie raadpleegt. Ook moet u beveiligingsincidenten met persoonsgegevens vastleggen in een datalekregister.

4. Controle van de logging

Als zorgorganisatie moet u regelmatig en proactief controleren wie wanneer welk patiëntendossier heeft geraadpleegd. De controle op de loggegevens moet systematisch en consequent zijn. Alleen op deze manier kunt als zorgorganisatie tijdig opmerken wanneer iemand onbevoegd toegang zoekt tot patiëntgegevens. En maatregelen nemen.

5. Bewustmaken medewerkers

Als zorgorganisatie moet u medewerkers bewustmaken van hun verantwoordelijkheden rond de informatiebeveiliging. De medewerkers voor wie dat relevant is voor hun functie moeten een passende bewustzijnsopleiding en –training krijgen. Ook moeten zij regelmatig bijscholing krijgen om hun kennis over beleidsregels en procedures van de organisatie actueel te houden.

Meer informatie over datalekken:

• Dossier acties bij datalekken
• Meldplicht datalekken

Alleen medewerkers van een zorgorganisatie die een behandelrelatie hebben met de patiënt mogen toegang hebben tot patiëntgegevens. Dat is het uitgangspunt. Dit kunnen naast artsen en verpleegkundigen, ook het overig personeel van ondersteunende afdelingen zijn.

Uitzonderingen

Zorgorganisaties mogen wel een ‘noodknopprocedure’ hebben. Binnen de zorg heet dit ook wel een ‘break the glass-procedure’. Dat betekent dat patiëntgegevens in een bepaalde situatie toegankelijk zijn zonder autorisatie.

In dat geval moet u als zorgaanbieder wel kunnen verantwoorden waarom toegang tot het patiëntendossier noodzakelijk is.

Inzage in logging-gegevens

Patiënten hebben recht op inzage in hun medisch dossier. Hieronder valt ook het recht om te weten wie er in hun dossier hebben gekeken.

Zie ook

• Mag een stagiaire verpleegkunde toegang hebben tot medische dossiers?

Als dat noodzakelijk is mag dat. Maar niet onbeperkt.

Stagiaires moeten een geheimhoudingsplicht ondertekenen. En vanuit fatsoen: informeer de patiënt dat een stagiaire meekijkt.

Gezondheidsgegevens zijn zeer gevoelige persoonsgegevens. Daarom moet u het patiëntauthenticatie- en identificatieproces rondom medische dossiers zorgvuldig inrichten. U wilt als zorgverlener immers zeker weten dat de persoon die inlogt in zijn dossier ook werkelijk degene is voor wie hij zich uitgeeft.

Betrouwbaarheidsniveau substantieel tot hoog

De betrouwbaarheid van een authenticatiemiddel wordt ingedeeld in de volgende 3 niveaus: laag, substantieel en hoog.

De minister van Volksgezondheid, Welzijn en Sport (VWS) heeft aangegeven dat het betrouwbaarheidsniveau van patiëntauthenticatie in ieder geval ‘substantieel’ moet zijn.

Als uw patiënten digitale inzage kunnen krijgen in persoonsgegevens waarop het medisch beroepsgeheim van toepassing is, geldt betrouwbaarheidsniveau ‘hoog’. Dit is bijvoorbeeld het geval bij patiëntportalen en persoonlijke gezondheidsomgevingen. Zie ook: Waar moet ik op letten bij het beoordelen van de betrouwbaarheid van een patiëntauthenticatieproces?

Maak gebruik van tweefactorauthenticatie

Authenticatiemiddelen die voldoen aan de veiligheidsniveaus ‘substantieel’ en ‘hoog’ zijn nog niet breed beschikbaar. Tot die tijd moet u als zorgverlener in ieder geval gebruikmaken van tweefactorauthenticatie. Zoals inloggen met DigiD in combinatie met sms.

Daarnaast moet u de resterende beveiligingsrisico’s wegnemen en andere beveiligingsmaatregelen nemen die in uw situatie passend zijn.

Meer informatie

• Brief Autoriteit Persoonsgegevens aan de minister van VWS over patiëntauthenticatie d.d. 4 oktober 2018 (pdf).

Als zorgverlener wilt u zeker weten dat de persoon die inlogt in zijn dossier ook werkelijk degene is voor wie hij zich uitgeeft. Patiëntauthenticatie moet daarom voldoen aan een substantieel tot hoog betrouwbaarheidsniveau.  

Bij het beoordelen van die betrouwbaarheid moet u op verschillende aspecten letten, namelijk:

• De koppeling tussen persoonsidentificatiegegevens met de persoon.
• Het uitgifteproces van een elektronisch identificatiemiddel.
• Het beheer van het middel.
• De gebruikte techniek en de inrichting van het authenticatieproces.

Nee. Certificering volgens de NEN 7510 is op grond van de Algemene verordening gegevensbescherming (AVG) niet verplicht. Ongeacht de rechtsvorm en de omvang van uw organisatie.

Maar de NEN 7510 is wél een belangrijke norm voor informatiebeveiliging in de zorg. Het is daarom aan te raden dat u deze richtlijnen volgt.

Onder meer om aan de verantwoordingsplicht te kunnen voldoen die u onder de AVG heeft. U moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om de gegevens van uw patiënten goed te beveiligen.

Ja, u mag patiëntgegevens in de cloud verwerken. U heeft ook geen toestemming nodig van uw patiënten om hun gegevens in de cloud te plaatsen. Maar het werken met patiëntgegevens in de cloud brengt wel privacyrisico’s met zich mee. Bijvoorbeeld omdat u het niet of pas te laat merkt als er gegevens zijn gelekt. Daarom is er een aantal punten waar u op moet letten.

Aandachtspunten patiëntgegevens in cloud

• Wees kritisch op welke cloudprovider u kiest.
• Maakt u gebruik van een cloudprovider buiten de EU? Dan gelden er speciale regels.
• Maak vooraf afspraken met de cloudprovider om ervoor te zorgen dat u ook toegang houdt tot de gegevens als de provider wordt overgenomen, failliet gaat of als u de samenwerking wilt stopzetten.
• Blijf de cloudprovider monitoren wanneer de gegevens eenmaal in de cloud zitten.

Meer informatie
Praktijkgids 'Patiëntgegevens in de cloud'

Wilt u als zorgaanbieder gegevens van uw patiënten in de cloud zetten? Let dan op de volgende punten bij de keuze van een cloudprovider.

Risicoanalyse

Voordat u in zee gaat met een cloudprovider, moet u een risicoanalyse (laten) uitvoeren. Dan weet u welke risico’s u loopt. Deze risicoanalyse moet u regelmatig actualiseren.

Certificaat cloudprovider

Daarnaast kan een erkend certificaat u meer zekerheid geven over de kwaliteit van de cloudprovider. Een certificaat is niet verplicht. Het bewijst wel dat de cloudprovider voldoet aan bepaalde praktijknormen.
De meest relevante praktijknormen zijn:

• ISAE 3402;
• ISO 27017;
• NEN 7510.

Daarnaast spelen ook de algemene beveiligingsnormen ISO 27001 en ISO 27002 een rol.

In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het delen van persoonsgegevens via e-mail verboden is. Wel is het uw taak om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.

Norm e-mail in de zorg

Wanneer het om gezondheidsgegevens gaat, is extra zorvuldigheid bij het beveiligen gepast. De 'NTA 7516' biedt meer duidelijkheid over de voorwaarden waaronder het gebruik van e-mail in de zorg veilig is.

Zie ook

• Meer informatie over de norm ‘veilig mailen in de zorg’ vindt u op de website van de NEN. 
• Mag ik als zorgverlener patiëntgegevens in de cloud verwerken?

Patiënten hebben onder de Algemene verordening gegevensbescherming (AVG) net als nu recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Ook hebben patiënten het recht om te weten wie er in hun dossier heeft gekeken. Alleen in uw persoonlijke werkaantekeningen hoeft u geen inzage te geven. Nieuw is wel dat geen vergoeding meer mag vragen voor de inzage.

Vergoeding voor kopieën

Patiënten hebben ook recht op kopieën van hun medische gegevens. Hiervoor mag u onder de AVG geen kosten in rekening brengen. Verzoekt een patiënt om meer dan een kopie van alle gegevens? Dan mag u hiervoor wel een redelijke vergoeding vragen.

Geen volledige inzage medisch dossier

Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar wordt daardoor de privacy van iemand anders dan de patiënt zelf geschaad? Dan mag u de patiënt weigeren om een bepaald gedeelte van zijn/haar medisch dossier en/of logging-gegevens in te zien.

U moet dan wel kunnen aantonen dat dat het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang dat de patiënt heeft bij inzage in het betreffende gedeelte van zijn/haar medisch dossier.

Relevante wetten

Het recht op inzage is geregeld in zowel de AVG, de Wet aanvullende bepalingen verwerking van persoonsgegevens in de zorg (Wabvpz) als de Wet op de geneeskundige behandelovereenkomst (WGBO).

Patiënten hebben recht op inzage in hun medisch dossier. Bijvoorbeeld om röntgenfoto’s, diagnoses en operatieverslagen te bekijken. Ook hebben patiënten het recht om te weten wie er in hun dossier heeft gekeken (logging). Als zorgaanbieder hoeft u alleen geen inzage te geven in persoonlijke werkaantekeningen.

Patiënten hebben sinds 1 juli 2020 het recht om hun medische gegevens elektronisch in te zien.

Inzage elektronische uitwisselingssysteem

Naast het eigen dossier hebben patiënten sinds 1 juli 2020 ook recht op elektronische inzage en een elektronisch afschrift van de gegevens die u via een elektronisch uitwisselingssysteem deelt met andere zorgaanbieders.

Uitzondering recht op inzage

Verzoekt een patiënt om toegang tot zijn of haar dossier? Maar schaadt dat de privacy van een ander? Dan mag u als zorgaanbieder weigeren om inzage te geven in een bepaald gedeelte van het medisch dossier en/of in bepaalde logging-gegevens.

U moet dan wel kunnen aantonen dat dat het geval is. Het belang van de privacy van de ander moet daarbij zwaarder wegen dan het belang van de patiënt.

Relevante wetten

Het recht op inzage is geregeld in de Algemene verordening gegevensbescherming (AVG), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)  en in de Wet op de geneeskundige behandelovereenkomst (Wgbo).

Zie ook: de factsheet van het Ministerie van VWS over de Wabvpz

Ja. Patiënten hebben sinds 1 juli 2020 ook recht op elektronische inzage en een elektronisch afschrift van hun medische gegevens.

Onder de Algemene verordening gegevensbescherming (AVG) hebben mensen normaal gesproken alleen recht op een elektronisch afschrift van hun persoonsgegevens wanneer dit voor een organisatie mogelijk is. Ook moeten zij hun verzoek om inzage dan elektronisch hebben ingediend.

In de zorg is dit anders geregeld. Bij het recht op inzage in medische gegevens geldt dat patiënten altíjd recht hebben op elektronische inzage.

Als zorgaanbieder mag u zélf bepalen hoe u de gegevens elektronisch deelt. Dit kan bijvoorbeeld via een patiëntportaal. Het uitgangspunt is dat het veilig moet gebeuren.

Zie ook:
Welke norm hanteert de AP als het gaat om de beveiliging van patiëntgegevens?
Hoe maak ik een kopie van persoonsgegevens bij het recht op inzage?

Ja. Uw elektronisch systeem moet zo zijn gemaakt dat het vastlegt welke medewerker welke informatie heeft vastgelegd en wie het heeft ingezien (logging). 

Per 1 juli 2020 kunnen patiënten eisen om een (elektronisch) afschrift van de logging te krijgen met daarin:

• een overzicht van wie bepaalde informatie in het elektronisch uitwisselingssysteem beschikbaar heeft gesteld en op welke datum
• wie informatie heeft ingezien of opgevraagd en op welke datum.

Zie ook: de factsheet van het Ministerie van VWS over de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)  

Het recht om vergeten te worden geldt in principe niet voor medische dossiers. De Algemene verordening gegevensbescherming (AVG) biedt namelijk ruimte aan nationale wetgeving. Onder meer om uitzonderingen op het recht op vergetelheid te regelen. Patiënten mogen u wel vragen om gegevens uit hun medisch dossier te verwijderen.

Regels in Wgbo

In Nederland zijn de regels voor het bewaren van medische dossiers opgenomen in de Wet op de geneeskundige behandelovereenkomst (Wgbo). Hierin is bepaald dat u medische dossiers 20 jaar moet bewaren. 

Deze wet regelt dat mensen het recht hebben om hun zorgverlener te vragen om de gegevens eerder te vernietigen. U moet daar gehoor aan geven, tenzij een bepaald voorschrift of specifieke wet bepaalt dat u de gegevens moet bewaren. Bijvoorbeeld vanwege het belang van iemand anders. Of omdat de gegevens nodig zijn voor het leveren van zorg.

Reageren op een verzoek

Heeft een patiënt u gevraagd om vernietiging van zijn of haar medisch dossier? Dan moet u als zorgverlener binnen 3 maanden aan dit verzoek voldoen. Wanneer u het verzoek afwijst, dan moet u de patiënt laten weten waarom. Het liefst schriftelijk.

Verwijdert u alleen een onderdeel uit het medisch dossier? Dan kunt u in het dossier vermelden dat een deel van de gegevens op verzoek van de patiënt is verwijderd.

Meer informatie

• Recht op vergetelheid
• AVG & nationale wetgeving

Het recht op dataportabiliteit is een nieuw recht onder de AVG. Het is het recht van mensen om persoonsgegevens mee te nemen en over te dragen aan een andere (zorg)aanbieder. Het recht geldt voor een deel van de gegevens in medische dossiers.

Welke gegevens wel

De persoonsgegevens die uw patiënt zelf actief en bewust heeft verstrekt, vallen onder het recht op dataportabiliteit. Dat geldt ook voor de gegevens die de patiënt indirect heeft verstrekt door het gebruik van een dienst of een apparaat. Bijvoorbeeld de gegevens die een pacemaker of een bloedrukmeter genereert.

Welke gegevens niet

De gegevens in het medisch dossier die niet direct of indirect door het gebruik van een dienst of een apparaat door de patiënt zijn verstrekt, vallen niet onder het recht op dataportabiliteit.

Het recht op dataportabiliteit geldt bijvoorbeeld niet voor de conclusies, diagnoses, vermoedens of behandelplannen die u als behandeld arts op basis van de door de patiënt verstrekte gegevens vaststelt.

Nee. U mag geen vergoeding vragen aan patiënten die gebruik maken van hun recht op inzage.

Alleen wanneer een patiënt om meerdere schriftelijke kopieën vraagt, mag u daarvoor een redelijke vergoeding vragen.

Dit geldt ook wanneer er sprake is van een ongegrond of buitensporig verzoek. Bijvoorbeeld wanneer een patiënt onevenredig vaak een verzoek doet. In zo’n geval mag u het verzoek zelfs weigeren.

De Algemene verordening gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) blijven bestaan naast de AVG.

Zorgverleners zijn onder de AVG gebonden aan zowel de regels over het medisch beroepsgeheim als aan de regels van de AVG. Als zorgverlener mag u bijvoorbeeld alléén gegevens aan een derde verstrekken als dat mag op grond van de AVG én als u een grond heeft om het medisch beroepsgeheim te doorbreken.

Veel van de regels in de Wet aanvullende bepalingen verwerkingen persoonsgegevens zorg (Wabvpz) komen overeen met wat er in de AVG staat. 

Maar de Algemene verordening gegevensbescherming (AVG) is een Europese privacywet die boven nationale wetgeving staat. Dat betekent dat dáár waar de AVG meer bescherming voor cliënten biedt, de AVG voor gaat.

Elektronische gegevensuitwisseling

De Wet cliëntenrechten bij elektronische verwerking van gegevens is opgenomen in de Wabvpz.

De Wabvpz bevat dan ook vooral regels voor elektronische gegevensuitwisseling. Bijvoorbeeld bij het recht op inzage.  

Zie ook: de factsheet van het Ministerie van VWS over de Wabvpz

De Algemene verordening gegevensbescherming (AVG) is een Europese privacywet die boven nationale wetgeving staat. De Wet cliëntenrechten bij elektronische verwerking van gegevens geldt in aanvulling op de AVG. Dat betekent dat dáár waar de AVG meer bescherming voor cliënten biedt, de AVG voor gaat.

Ruimte voor nationale regels

De AVG geeft de zorgsector de mogelijkheid om specifieke regels in te stellen in nationale wetgeving. De Wet cliëntenrechten bij elektronische verwerking van gegevens is een voorbeeld van zo’n nationale uitwerking.

Deze wet schept voorwaarden voor het veilig elektronisch uitwisselen van medische gegevens in de zorgsector. Het gaat om elektronische uitwisselingssystemen waarmee u als zorgverlener op elektronische wijze dossiers, gedeelten van dossiers of gegevens uit dossiers inzichtelijk kunt maken voor andere zorgverleners.

Het systeem voor het bijhouden van een intern elektronisch dossier, zoals het interne elektronische patiëntendossier van een ziekenhuis, valt niet onder de Wet cliëntenrechten bij elektronische verwerking van gegevens.

Veel van de regels in de Wet cliëntenrechten bij elektronische verwerking van gegevens komen overeen met wat er in de AVG staat. Bijvoorbeeld dat uw cliënt de toestemming die hij of zij heeft gegeven voor de verwerking van zijn persoonsgegevens, weer in moet kunnen trekken.

Sommige regels gaan eerder gelden

De Wet cliëntenrechten bij elektronische verwerking van gegevens is opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Een deel van die wet geldt pas vanaf 1 juli 2020.

Maar aan bepaalde verplichtingen die vanaf 1 juli 2020 gaan gelden, moet u zich nu al vanaf 25 mei 2018 houden. Dat is de ingangsdatum van de AVG.

Voorbeelden daarvan zijn:

• Onder de AVG moet u als zorgverlener kunnen aantonen dat uw cliënt toestemming heeft gegeven voor de verwerking van zijn of haar gegevens. Deze verplichting komt voor een groot deel overeen met de registratieplicht voor toestemming die in de Wet cliëntenrechten bij elektronische verwerking van gegevens is opgenomen.
• De Wet cliëntenrechten bij elektronische verwerking van gegevens regelt dat elektronische inzage per 1 juli 2020 kosteloos moet zijn. De AVG bepaalt dat uw cliënt deze inzage vanaf 25 mei 2018 al kosteloos moet kunnen krijgen, al dan niet elektronisch.

Meer informatie

Wilt u meer weten over de Wet cliëntenrechten bij elektronische verwerking van gegevens? Lees dan de factsheet Elektronische gegevensuitwisseling in de zorg van het ministerie van Volksgezondheid, Welzijn en Sport op rijksoverheid.nl.

Ja. De NEN 7510 geldt onder de Algemene verordening gegevensbescherming (AVG) als een belangrijke norm voor informatiebeveiliging in de zorg.

Huidige regels

Hoewel de NEN 7510 niet letterlijk in de AVG genoemd staat, blijven beveiligingsstandaarden belangrijk. Net zoals dat onder de huidige regels het geval is.

Op dit moment geldt bijvoorbeeld dat u aan de NEN 7510 moet voldoen als u in de zorg het burgerservicenummer (BSN) verwerkt.

Daarnaast staat in de huidige beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens (AP) dat verantwoordelijken de beveiligingsstandaarden moeten volgen. Als voorbeeld van zo’n standaard noemt de AP de NEN 7510.

Nee. Certificering volgens de NEN 7510 is op grond van de Algemene verordening gegevensbescherming (AVG) niet verplicht. Ongeacht de rechtsvorm en de omvang van uw organisatie.

Let op: de NEN 7510 blijft onder de AVG wél een belangrijke norm voor informatiebeveiliging in de zorg.

Verantwoordingsplicht

Hoewel een NEN 7510-certificaat dus niet verplicht is onder de AVG, heeft u als verantwoordelijke straks wel een verantwoordingsplicht.

Dat betekent dat u moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

ls zorginstelling bent u verplicht om een funtionaris gegevensbescherming (FG) aan te stellen als u onder meer op grote schaal medische persoonsgegevens verwerkt en dit een kernactiviteit is. Hierbij kijkt de Autoriteit Persoonsgegevens (AP) zowel naar de algemene uitgangspunten die gelden voor grootschaligheid als naar specifieke uitgangspunten voor de zorgsector.

Algemene uitgangspunten grootschaligheid

In de AVG staat niet precies uitgelegd wat ‘grootschalig’ inhoudt. Wel zijn er criteria en voorbeelden die u op weg helpen. Ook hebben de Europese toezichthouders een aantal voorbeelden genoemd van verwerkingen die zij als grootschalig zien.

Zie ook: Wat ziet de AVG als een grootschalige verwerking van persoonsgegevens?

Nadere uitgangspunten voor de zorg

De AP ziet een verwerking in de zorg als grootschalig als de zorginstelling die verwerkingsverantwoordelijke is jaarlijks meer dan 10.000 unieke patiënten behandelt.

Werkt u met inschrijvingen? Dan gaat de AP uit van het aantal ingeschreven patiënten. Bijvoorbeeld bij een huisartsenpraktijk.

Voorbeelden grootschalige verwerkingen in de zorg

Voorbeelden in de zorg die de AP als grootschalige verwerking van persoonsgegevens ziet zijn: 

• de verwerking van een GGZ-instelling die jaarlijks 13.000 unieke patiënten behandelt;
• een huisartsenpraktijk van minstens 5 fulltime huisartsen (uitgaande van een normpraktijk van circa 2100 patiënten per huisarts);
• huisartsenposten en zorggroepen. Onder een zorggroep verstaat de AP een samenwerkingsverband van verschillende zorgaanbieders. Deze samenwerkingsverbanden van zorgaanbieders behandelen vaak meer dan 10.000 patiënten per jaar en wisselen bovendien onderling veel medische informatie uit.

Meer informatie

• Nieuwsbericht 31 mei 2018: AP geeft uitleg over grootschalige gegevensverwerking in de zorg
• Nieuwsbericht 11 december 2018: Uitleg begrip ‘grootschalig’ verduidelijkt voor alle zorgaanbieders

De Autoriteit Persoonsgegevens (AP) heeft het wettelijk kader als uitgangspunt genomen voor haar interpretatie van grootschaligheid.

Juridisch kader

De uitleg staat niet op zichzelf maar is een interpretatie van het juridisch kader. Het kader bestaat uit de AVG, de considerans bij de AVG, de Uitvoeringswet AVG (UAVG) en de WP29-richtlijnen.

Het kader is leidend omdat de AP geen wettelijke regels opstelt.

De AP is van mening dat uit het wettelijk kader voortvloeit dat het niet de bedoeling is om (zeer) kleine zorginstellingen te verplichten om een FG aan te stellen. Bovendien heeft de wetgever bij de parlementaire behandeling van de Uitvoeringswet AVG uitgesproken dat kleine zorginstelling moeten worden ontzien van de FG-verplichting. Dit vanwege de onevenredige administratieve belasting.

Waarom 10.000?

De AP is zich ervan bewust dat dit een willekeurig getal lijkt. Maar het aantal van 10.000 behandelde patiënten per jaar zegt wel degelijk iets over de grootte van de zorginstelling en daarmee ook over de hoeveelheid persoonsgegevens die worden verwerkt. 

Het aantal betekent in de praktijk bijvoorbeeld dat een zorginstelling van twee psychologen geen FG hoeft aan te stellen, maar een grote GGZ-instelling wel.

De AP kreeg bij de introductie van de AVG veel vragen van zorgaanbieders over grootschaligheid. Dat is begrijpelijk want in de wet staat niet specifiek uitgelegd wanneer een verwerking grootschalig is. Daarom is de Autoriteit Persoonsgegevens (AP) met nadere uitleg gekomen.

Uit de AVG en de richtlijnen van de gezamenlijke Europese toezichthouders vloeit voort dat individuele beroepsbeoefenaren (‘solisten’) geen FG hoeven te hebben en een ziekenhuis sowieso wel. Daartussen is het een grijs gebied.

Met de nadere uitleg over het begrip grootschaligheid in de zorg wil de AP zorginstellingen helpen bij de afweging of zij verplicht zijn om een FG aan te stellen. 

Zie ook

• Wat beschouwt de AP als grootschalige gegevensverwerking in de zorg?
• Hoe is de AP gekomen tot haar interpretatie van het begrip grootschaligheid in de zorg?

Onze nadere uitleg biedt niet voor iedere zorgverlener een concreet antwoord op de vraag of er een verplichting is om een functionaris gegevensbescherming (FG) aan te stellen. Dat hangt namelijk van uw specifieke situatie af.

Daarom blijft het uw eigen verantwoordelijkheid om een goed onderbouwde afweging te maken in uw situatie. Het kan bijvoorbeeld zo zijn dat er in uw situaties aanvullende, specifieke risico’s zijn waardoor u tot de conclusie komt dat een FG wenselijk of verplicht is. Ook al overschrijdt u de grens van 10.000 niet.

Ook kleine zorginstellingen blijven gehouden aan de AVG

Bent u als kleine zorginstelling niet verplicht om een FG aan te stellen? Dan moet u zich nog steeds aan de andere verplichtingen uit de AVG houden.

Tip: als zorginstelling wilt u de persoonsgegevens van uw patiënten goed beschermen. Het is daarom altijd nuttig om een FG of privacycontactpersoon aan te stellen. Ook wanneer u dat niet verplicht bent. U kunt er ook voor kiezen om een FG te delen met andere zorgaanbieders. Of voor een beperkt aantal uren extern in te huren.

U mag als zorgverlener patiëntgegevens delen met andere zorgverleners die rechtstreeks bij de behandeling van uw patiënt betrokken zijn. Doet u dit via een elektronisch uitwisselingssysteem of het LSP? Dan heeft u daarvoor toestemming van de patiënt nodig.

Uitzondering op medisch beroepsgeheim

U heeft medisch beroepsgeheim. Dat betekent dat u in principe geen medische gegevens van patiënten aan anderen mag doorgeven. Maar hierop zijn enkele uitzonderingen. Bijvoorbeeld als de patiënt toestemming heeft gegeven.

U mag patiëntgegevens delen met degenen die rechtstreeks betrokken zijn bij de behandeling van de patiënt. Dit kunnen zowel andere zorgverleners zijn als bijvoorbeeld secretaresses of financieel medewerkers.

In de Wet op de geneeskundige behandelingsovereenkomst (WGBO) staat dat toestemming van de patiënt dan wordt verondersteld.

Let op: u mag de patiëntgegevens alleen delen als dat noodzakelijk is voor de behandeling van de patiënt.

Elektronisch uitwisselingssysteem

U heeft toestemming van uw patiënt nodig als u gegevens uitwisselt via een elektronisch uitwisselingssysteem. U moet uw patiënten hierover informeren en vervolgens om toestemming vragen.

Voor meer informatie, zie de brochure Elektronische gegevensuitwisseling in de zorg van het ministerie van VWS.

Landelijk Schakelpunt

Bent u aangesloten op het Landelijk Schakelpunt (LSP)? Ook dan heeft u toestemming van uw patiënt nodig voor u de gegevens van deze patiënt mag uitwisselen via het LSP.

Voor meer informatie, zie de website van de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), de beheerder van het LSP.

Toestemming bewijzen

U moet kunnen aantonen dat u daadwerkelijk toestemming van uw patiënt heeft gekregen. Dit is onderdeel van de verantwoordingsplicht die u onder de Algemene verordening gegevensbescherming (AVG) heeft.

Let op: het is niet genoeg om alleen de toestemming zelf vast te leggen. U moet ook kunnen laten zien op basis van welke informatie uw patiënt toestemming heeft gegeven.

Zie verder: Hoe toont u aan dat u toestemming heeft gekregen?

Ja, als zorgverlener mag u onder de Algemene verordening gegevensbescherming (AVG) nog steeds persoonsgegevens verstrekken aan zorgverzekeraars.

Onder de AVG gelden dezelfde regels als onder de Wet bescherming persoonsgegevens (Wbp) voor bijvoorbeeld:

• gegevens verstrekken aan zorgverzekeraars voor de declaratie van zorgkosten;
• machtigingen aanvragen;
• formele en materiële controle uitvoeren.

Zie verder dossier Zorgverzkeraars voor de voorwaarden waaronder zorgverzekeraars medische gegevens mogen verwerken.

In de wet staat dat dit alleen mag wanneer dat noodzakelijk is voor een goede behandeling of verzorging van de betrokkene persoon.

Verbod bijzondere persoonsgegevens

Gegevens over iemands religie zijn bijzondere persoonsgegevens. Er geldt een algemeen verbod op het verwerken van deze gegevens.

Uitzondering

Maar verwerkt u de persoonsgegevens in aanvulling op de verwerking van persoonsgegevens over iemands gezondheid? En is de verwerking ervan noodzakelijk voor een goede behandeling of verzorging van de betrokken persoon? Dan geldt het verbod niet.

In de praktijk

Het is dus belangrijk dat u nagaat wat het doel van de verwerking is. En of er minder vergaande manieren zijn om dat doel te bereiken.

Ter illustratie: registreert u de religie bijvoorbeeld alleen vanwege bepaalde eetgewoonten? Dan kunt u in plaats daarvan ook registreren wat de eetgewoonten zijn.

U kunt er voor kiezen om aan de cliënt/patiënt te vragen of er nog religieuze achtergronden zijn die van belang zijn voor zijn/haar verzorging of behandeling. U registreert de religie dan alleen wanneer u samen heeft beoordeeld dat dit noodzakelijk is voor een goede behandeling.

Verstrekking van medicatie of medicatieoverzichten aan derden (buiten de behandelrelatie) mag alleen met toestemming van de patiënt. Deze toestemming moet expliciet zijn. Het moet duidelijk zijn aan wie en waarvoor de patiënt toestemming heeft verleend.

U moet als apotheker kunnen aantonen dat de patiënt deze toestemming aan de derde heeft gegeven. Deze toestemming mag zowel mondeling als schriftelijk zijn, zolang u als apotheker maar kunt aantonen dat de patiënt daadwerkelijk toestemming heeft gegeven.

U mag daarbij niet meer persoonsgegevens verwerken dan noodzakelijk is voor dit doel. Zo mag u bij twijfel over de identiteit van de patiënt het burgerservicenummer (BSN) van de patiënt verwerken.

U mag ook de identiteit controleren van de derde die de medicatie ophaalt voor de patiënt, door deze persoon zich te laten legitimeren. Maar u mag hierbij niet het BSN van de derde verwerken of een kopie van zijn of haar identiteitsbewijs maken.