Juridische kaders voor samenwerken in de zorg en gegevensdeling
Bij het delen van medische gegevens gelden verschillende wettelijke kaders. De belangrijkste zijn:
- De Algemene Verordening Gegevensbescherming (AVG): deze EU-verordening geeft de basisregels voor het verwerken van persoonsgegevens, waaronder gezondheidsgegevens als categorie 'bijzondere' persoonsgegevens, waaraan de AVG extra eisen stelt.
- De Wet op de geneeskundige behandelingsovereenkomst (WGBO, artikel 7:446 e.v. BW): regelt de rechten van patiënten en verplichtingen van zorgverleners, zoals het medisch beroepsgeheim.
- De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz): bevat aanvullende regels specifiek voor elektronische gegevensuitwisseling in de zorg.
De volgende grondslagen voor de verwerking van gezondheidsgegevens in de zin van de AVG zijn voor de zorg het meest relevant:
- Uitvoering van de behandelovereenkomst: zorgverleners mogen gegevens uitwisselen als dat noodzakelijk is voor de uitvoering van de eigen behandelingsovereenkomst met de patiënt.
- Uitdrukkelijke toestemming van de patiënt: dit is met name aan de orde als gegevens worden gedeeld met een partij die niet bij de behandeling van de patiënt is betrokken.
- Wettelijke verplichting: bijvoorbeeld bij een melding infectieziekte aan de GGD.
Voor het medisch beroepsgeheim op grond van de Wgbo geldt dat dit beroepsgeheim niet geldt richting 'rechtstreeks betrokkenen' bij de uitvoering van de behandelingsovereenkomst. Als een zorgverlener geen rechtstreeks betrokkene of vervangend hulpverlener is, zal moeten worden bezien of er een grond is voor doorbreking van het beroepsgeheim. Een welbekende grond voor doorbreking is toestemming, maar ook een wettelijke bevoegdheid of wettelijke plicht kan doorbreking rechtvaardigen c.q. verplichten.
Voorbeelden uit de praktijk: persoonsgegevens delen met anderen in de zorg
1. Persoonsgegevens delen bij uitbesteding van zorg
Bij uitbesteding van een deel van de zorg aan een andere zorgaanbieder, kan de zorgaanbieder die de uitbestede zorg uitvoert 'meeliften' op de grondslag van de zorgaanbieder die de zorg uitbesteedt. Die zorgaanbieder heeft namelijk een behandelingsovereenkomst met de patiënt en de andere zorgaanbieder voert déze behandelingsovereenkomst als rechtstreeks betrokkene c.q. onderaannemer voor een gedeelte uit. Gegevensdeling kan dan ook, voor zover nodig in het kader van de uitbesteding, plaatsvinden zonder toestemming van de patiënt.
Als de gegevensdeling echter plaatsvindt via een elektronisch uitwisselingssysteem in de zin van de Wabvpz, is voor het beschikbaar stellen van de gegevens via dat systeem wél uitdrukkelijke toestemming van de patiënt vereist.
2. Samenwerking via een gezamenlijke behandelingsovereenkomst
Als twee of meer zorgaanbieders samen zorg verlenen aan een patiënt, kan het zo zijn dat zij dit doen vanuit één gezamenlijke behandelingsovereenkomst. Gegevensuitwisseling binnen die gezamenlijke behandelingsovereenkomst mag dan en daarvoor is geen toestemming van de patiënt vereist. Wel moet het voor de patiënt evident zijn dat hij met alle partijen gezamenlijk een behandelrelatie heeft en niet met partijen apart.
Let wel dat ook hier toch uitdrukkelijke toestemming is vereist als de gegevensdeling plaatsvindt via een elektronisch uitwisselingssysteem in de zin van de Wabvpz.
3. Gegevens delen voor kwaliteitsmonitoring en -verbetering in de zorg
In de praktijk werken zorgaanbieders ook vaak samen om de kwaliteit van zorg breder dan binnen alleen één zorgaanbieder te monitoren en te verbeteren. Dat gebeurt in zogeheten kwaliteitsregistraties. Het verzamelen en delen van gezondheidsgegevens voor kwaliteitsregistraties mag plaatsvinden op basis van uitdrukkelijke toestemming van de patiënt. In sommige gevallen kan worden volstaan met anonieme gegevens, niet zijnde persoonsgegevens. In die gevallen is geen grondslag voor het delen van de gegevens vereist (wel nog voor de anonimiseringshandeling). Daarbij geldt wel dat de drempel voor het kwalificeren van gegevens als anonieme gegevens hoog ligt. Zie over het verschil tussen anonieme en pseudonieme gegevens.
Met het wetsvoorstel Wet kwaliteitsregistraties in de zorg, dat nog niet is aangenomen door het parlement, komt er een wettelijke verplichting voor zorgaanbieders om gezondheidsgegevens aan te leveren voor kwaliteitsregistraties. Dan hoeft daarvoor helemaal geen toestemming meer te worden gevraagd.
Voorwaarden voor verantwoord delen van persoonsgegevens met derden
Bij het delen van gezondheidsgegevens moeten een aantal voorwaarden in acht worden genomen, waaronder:
- Dataminimalisatie: wissel alleen de gegevens uit die nodig zijn en zorg ervoor dat de data zo kort als nodig worden bewaard.
- Beveiliging: draag zorg voor een passende beveiliging van de gegevens en in dat kader ook afdoende instructie van medewerkers die toegang kunnen hebben tot de gegevens.
- De juiste afspraken maken: maak onderling de juiste afspraken, waaronder mogelijke verplichte afspraken op grond van de AVG (zoals een onderlinge regeling).
Daarnaast kan het verplicht of raadzaam zijn om een Data Protection Impact Assessment (DPIA) uit te voeren bij nieuwe vormen van gegevensuitwisseling om de risico's in kaart te brengen. Aan de hand van deze risico-inventarisatie kan dan ook worden beoordeeld welke maatregelen kunnen worden getroffen om de risico's voor betrokkenen zoveel mogelijk te beperken.
Samenwerken in de zorg binnen juridische kaders
De uitwisseling van gezondheidsgegevens is aan regels gebonden. Maar die regels bieden ook ruimte. Door de kaders goed te begrijpen en processen zorgvuldig in te richten, ontstaat juist ruimte om gegevens te delen, samenwerkingen te versterken en zorg te verbeteren.
