De AVG en specifieke aandachtspunten voor de zorg

Terug naar articles

17 April, 2018

Privacy en gegevensbescherming zijn misschien wel nergens zo belangrijk als in de zorg. Naast de bestaande regelgeving zal de komst van de AVG óók in deze sector voor vernieuwing zorgen. Hoe en wat de AVG verandert voor de zorgaanbieder, leest u hieronder.

Belang van privacy in de zorg

Dat privacy een belangrijk onderwerp is binnen de zorgsector staat buiten twijfel. Gegevens over de gezondheid van patiënten zijn immers zeer gevoelig­­­­­­­. Fouten in deze gegevens of ongeautoriseerde toegang door derden kunnen grote impact hebben op de gezondheid c.q. persoonlijke levenssfeer van patiënten. Een patiënt dient daarnaast vertrouwelijk zijn medische problemen met artsen en ander zorgpersoneel te kunnen bespreken. Patiënten zullen hun meest persoonlijke informatie immers in beginsel alleen delen indien zij ervan uit kunnen gaan dat zorgvuldig met deze informatie wordt omgegaan. Indien deze zorgvuldigheid niet gegarandeerd kan worden, kunnen patiënten geneigd zijn deze informatie niet meer te delen met hun arts. Dit kan ten koste kan gaan van de toegankelijkheid en kwaliteit van de zorg.  

 

Verwerking van bijzondere persoonsgegevens in de zorg

De AVG is van toepassing op de verwerking van persoonsgegevens. In de zorgsector gaat het vaak om de verwerking van gegevens over de gezondheid van de patiënten.[1] Door de gevoelige aard van deze gegevens vallen zij onder de categorie ‘bijzondere persoonsgegevens’.[2] De verwerking van deze gegevens is in beginsel verboden, tenzij wordt voldaan aan een van de voorwaarden die worden genoemd in artikel 9 lid 2 AVG. Bijvoorbeeld wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking of wanneer de verwerking noodzakelijk is in het vitaal belang van die betrokkene en hij niet in staat is toestemming te geven.

Artikel 30 van de Uitvoeringswet van de AVG (UAVG) regelt hoe in Nederland naast de AVG vorm wordt gegeven aan de voorwaarden voor verwerking van gegevens over de gezondheid van patiënten. Zo is het verbod om persoonsgegevens te verwerken niet van toepassing indien de verwerking geschiedt door ‘hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk’.[3]

Wat verandert er aan de rechten van de betrokkenen?

Zoals u in een eerdere blog heeft gelezen biedt de AVG rechten voor de betrokkene. De vraag die hierbij ontstaat is in hoeverre deze rechten gelden in de zorgsector. Hieronder vindt u het antwoord.

Geldt het recht om vergeten te worden ook voor medische dossiers?

In beginsel geldt het recht om vergeten te worden dat volgt uit de AVG niet voor medische dossiers. Het bewaarrecht van medische dossiers is verder geregeld in de Wet op de geneeskundige behandelovereenkomst (Wgbo), die ook na de inwerkingtreding van de AVG van toepassing blijft. Op grond van de Wgbo moet een medisch dossier in beginsel 15 jaar bewaard worden. Echter, een patiënt kan de zorgaanbieder verzoeken om gegevens eerder dan deze 15 jaar te vernietigen. De zorgaanbieder dient binnen drie maanden gehoor te geven aan het verzoek van de patiënt om de medische gegevens te verwijderen, tenzij er een wettelijke regeling bestaat die aan dit verzoek in de weg staat.

Geldt het recht van inzage ook ten aanzien van medische dossiers?

Ja. Zoals nu geldt, hebben patiënten ook onder de AVG recht op inzage in medische dossiers. Een patiënt heeft het recht om bijvoorbeeld verslagen van een consult en scans in te zien. De verandering die de AVG op dit gebied teweegbrengt is dat de zorgaanbieder onder de AVG geen vergoeding meer mag vragen voor de inzage. Ook spreekt de AVG over een ‘kopie’ van de gegevens, terwijl onder de Wet bescherming persoonsgegevens een overzicht voldoende werd bevonden.   

Geldt het recht op dataportabiliteit ook voor medische dossiers?

Het recht op dataportabiliteit houdt ten eerste in dat de betrokkene het recht heeft om alle persoonsgegevens die een verwerkingsverantwoordelijke over hem heeft, op kan vragen. Ten tweede houdt dit recht in dat de betrokkene kan verzoeken dat de verwerkingsverantwoordelijke deze gegevens doorstuurt naar een derde. Ook voor medische dossiers geldt het recht op dataportabliliteit, echter slechts voor een deel van de gegevens. Het recht op dataportabiliteit geldt voor de gegevens die de patiënt bewust heeft verstrekt door het gebruik van een dienst of apparaat. Een voorbeeld van zo’n gegeven is bijvoorbeeld het resultaat van een bloeddrukmeter. Het recht geldt niet ten behoeve van gegevens die de behandeld arts vaststelt zoals een diagnose of een behandelplan.

Privacy by Design

Binnen de zorg wordt daarnaast steeds meer gebruik gemaakt van nieuwe technologieën. De AVG legt in dat kader een grote nadruk op het principe van ‘privacy by design’: dit houdt kort gezegd in dat bij het ontwikkelen van een nieuwe dienst of product vanaf de ontwerpfase rekening moet worden gehouden met (en maatregelen moeten worden genomen tegen) mogelijke privacy implicaties. Het uitvoeren van een Data Protection Impact Assessment (DPIA) zal voor het merendeel van dergelijke projecten in de zorg-sector een verplichting zijn onder de AVG.

Verder verdient het aanbeveling om, daar waar uw zorginstelling samenwerkt met andere instanties of dienstverleners, deze verhoudingen opnieuw te toetsen, alsook de (contractuele) afspraken die u onderling heeft gemaakt met het oog op de AVG opnieuw tegen het licht te houden.

Wilt u meer weten over de verandering die de AVG in de zorgsector teweegbrengt? Neem dan contact met ons op.

[1] Artikel 4 lid 15 AVG.

[2] Artikel 9 lid 1 AVG.

[3] Artikel 30 lid 3 sub a UAVG.

Evelijn van Wanroij

Onderzoeker Privacy en Gevensbescherming

Gerelateerde blogs

Privacy en eigendom: ben je echt eigenaar van je persoonsgegevens?

Vorige week heeft Spotify haar nieuwe privacy policy gepubliceerd, die onmiddellijk tot ophef...

Lees meer

Melden cybercrime | Considerati

Melden cybercrime juiste om te doen voor bedrijf – niet alleen moreel gezien

Opinie mr. dr. B.W. Schermer Aldo Verbruggen van advocatenkantoor Jones Day adviseert bedrijven...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.