VA ehealth versie 140218

Vraag&Antwoord
juridische aspecten aan eHealth
11 februari 2014
Inhoud
1.
Inleiding ........................................................................................................................................... 2
Wat is eHealth ..................................................................................................................................... 2
Juridische aspecten aan ehealth ......................................................................................................... 2
Aanleiding: Kennissessie 16 december 2013 ..................................................................................... 2
2. Vraag&Antwoord juridische aspecten aan eHealth ......................................................................... 2
Aansprakelijkheid en verantwoordelijkheid ......................................................................................... 2
Ben je als behandelaar verantwoordelijk voor wat er op een forum gebeurt of in het
behandelprogramma? ..................................................................................................................... 2
Casus: Zelfmanagement tijdens wachttijd ....................................................................................... 3
Is het gebruik van een disclaimer geoorloofd? ................................................................................ 3
Bij anonieme behandelingen, geen face-to-face contact. ............................................................... 4
Dossier/EPD ........................................................................................................................................ 4
Is de patiënt eigenaar van het dossier of de instelling? .................................................................. 4
Wanneer moet de patiënt inzage worden verleend? ....................................................................... 4
Mag er een vergoeding voor kopieën uit het dossier worden gevraagd? ....................................... 5
Inhoud EPD ......................................................................................................................................... 5
Wat moet er in het EPD genoteerd worden? ................................................................................... 5
Persoonlijke werkaantekeningen ..................................................................................................... 5
Moet al het mailcontact worden opgeslagen in het EPD? ............................................................... 5
Toegang tot het EPD ........................................................................................................................... 6
Hoe ver moet je gaan in de autorisatie? .......................................................................................... 6
Is inloggen met een persoonlijk DigiD verplicht? ............................................................................. 6
Casus: meekijken met patiënt in patiëntenportaal........................................................................... 6
Bewaarplicht ........................................................................................................................................ 6
Hoe lang moet het EPD worden bewaard? ..................................................................................... 6
Gegevensuitwisseling .......................................................................................................................... 6
Wat is veilig mailen? ........................................................................................................................ 7
Valt e-mailen met cliënten onder ehealth? ...................................................................................... 7
Moeten alle e-mail contacten met patiënten worden beveiligd en zo ja hoe? ................................. 7
Moet je op iedere mail van een patiënt reageren? Binnen welke termijn? ..................................... 8
Mag je als instelling gebruik maken van Skype/ Google/ Facetime etc. ......................................... 8
Mag je via Skype iemand begeleiden? Is dit veilig genoeg? ........................................................... 8
Is voor een SMS reminder de toestemming van patient vereist? .................................................... 8
Mag er ongevraagd sms reminders worden verstuurd om de patiënt zonodig een no-show in
rekening te brengen? ....................................................................................................................... 8
Is een sms met afsprakendetails ook medische informatie? ........................................................... 8
Wie bepaalt bij kinderen (in diverse leeftijdscategorieën) of kind zelf of ouder(s) de sms mag
ontvangen? ...................................................................................................................................... 8
Overig .................................................................................................................................................. 9
Wat eist de wet als het gaat om security audits (bijvoorbeeld hack-testen)? ................................. 9
Is een zorgaanbieder verplicht voor ‘zorgapps’ een CE- markering aan te vragen? ...................... 9
Wat betekent de Europese Algemene Verordening Gegevensbescherming voor ehealth? ......... 10
Hoe ga je om met social media? ................................................................................................... 10
Overige bronnen: ................................................................................................................................... 11
Brancheorganisatie voor de geestelijke gezondheids- en verslavingszorg
Piet Mondriaanplein 25 • 3812 GZ Amersfoort • Postbus 830 • 3800 AV Amersfoort • T 033 460 89 00 • KVK 40483580
[email protected] • www.ggznederland.nl • IBAN: NL56 INGB 0687 2118 08 BIC: INGBNL2A • IBAN: NL08 ABNA 0408 3901 07 BIC: ABNANL2A
1. Inleiding
Wat is eHealth
EHealth staat voor elektronische gezondheid, ofwel zorg via internet. Het gaat om online
behandel- en begeleidingstrajecten, al dan niet geïntegreerd in offline behandeling. Steeds
meer zien we dat behandelmodules, vragenlijsten, dagboeken en het eigen
gezondheidsdossier online toegankelijk zijn. De mengvorm van online en offline interventies,
‘blended care’, lijkt de toekomst te hebben. Voortdurend onderzoek in de praktijk stimuleert
de verdere ontwikkeling van eHealth. Het kabinet financiert ook anonieme e-mental health.
Daarmee kunnen mensen geholpen worden die bijvoorbeeld uit schaamte niet makkelijk
contact zoeken met hulpverleners (bron: website GGZ Nederland).
Juridische aspecten aan ehealth
Dezelfde regels die aan niet-elektronisch verleende zorg, zoals face-to-face
behandelgesprekken of papieren dossiervoering, worden gesteld, gelden onverkort voor zorg
via elektronische weg. Vanwege het verschil in vormgeving worden er wel andere of nadere
eisen gesteld aan beveiliging van die gegevens, zoals bijvoorbeeld systeembeveiliging.
Maar materieel is er geen verschil; ook bij eHealth is de zorgverlener verplicht goede zorg
afgestemd op de individuele patiënt te leveren; moet de patiënt goed over de behandeling
worden geïnformeerd zodat deze een goede afweging kan maken en gerichte toestemming
voor behandeling kan geven. Voor wat betreft de dossiergegevens verschilt een epd
materieel niet van de “afsluitbare dossierkast” (beveiligde toegang) en de “sleutel” die
verstrekt wordt aan de tot toegang bevoegde personen (autorisatieregels).
Aanleiding: Kennissessie 16 december 2013
Op 16 december 2013 vond er bij GGZ Nederland een kennissessie Wet-en regelgeving
eHealth plaats. Deelnemers konden voorafgaand vragen en casuïstiek aanleveren. Deze
notitie is bedoeld om een antwoord te geven op de gestelde vragen en de uitgangspunten
hierbij weer te geven, temeer omdat op 16 december, mede door de levendige en
informatieve discussie, niet alle vragen aan orde zijn gekomen.
2. Vraag&Antwoord - juridische aspecten aan eHealth
Aansprakelijkheid en verantwoordelijkheid
Ben je als behandelaar verantwoordelijk voor wat er op een forum gebeurt of in het
behandelprogramma?
Moet de behandelaar bijvoorbeeld het dagboek lezen (bijvoorbeeld bij suïciderisico)?
De zorgaanbieder is verantwoordelijk voor de ordelijke gang van zaken in een dergelijk
forum, dat wil zeggen dat men zich aan de ‘nettiquette’ houdt, elkaar respectvol bejegent,
niet pest of discrimineert en dat het forum in het kader van goede zorg en welzijn van
patiënten benut wordt. Bovendien is de zorgaanbieder tuchtrechtelijk verantwoordelijk als hij
zelf de normen schendt, of zich niet houdt aan de professionele standaard.
Voor wat betreft de behandelverantwoordelijkheid ligt een en ander aan de afspraken die je
met patiënt (via het behandelingsplan) maakt. Beloften moet je wel nakomen dus als je
afspreekt dat je het dagboek leest, mag je ervan uitgaan dat patiënt dat ook verwacht. Je
kunt ook gerichtere afspraken met patiënt maken, bijvoorbeeld afspreken dat de
zorgaanbieder het dagboek niet leest; de vraag is dan of hij ook toegang daartoe moet
hebben. Als de zorgaanbieder zich niet houdt aan de gemaakte afspraken, kan hij hiervoor
civielrechtelijk aansprakelijk worden gehouden.
De voor de behandeling belangrijke thema’s moeten in de zorgrelatie aan de orde kunnen
komen en besproken worden; dat moet wel duidelijk zijn tussen patiënt en zorgaanbieder. De
patiënt kan gericht een vraag of desnoods een passage uit zijn dagboek aan de
zorgaanbieder ter bespreking voorleggen. Als daaruit een behandelafspraak komt, wordt dat
aangetekend in het dossier (bijvoorbeeld: “de patiënt voelt zich al een tijd niet lekker; dit
wordt besproken met mogelijk aanpassing van de medicatie.”).
De zorgaanbieder moet duidelijk met de patiënt afspreken wat in geval van problemen of
crisis het beleid is. Dat kan per geval verschillend zijn, bijvoorbeeld een duidelijk signaal
afgeven aan zorgaanbieder of een speciaal noodnummer bellen of contact opnemen met de
huisarts. Bij twijfel of zorgen over de patiënt, moet de zorgaanbieder overwegen intensiever
contact te leggen met de patiënt of desnoods hem te zien om zich ervan te vergewissen hoe
het werkelijk met hem gaat.
Casus: Zelfmanagement tijdens wachttijd
Zorgaanbieder A heeft een wachtlijst. Om zijn patiënten tegemoet te komen, wil A patiënten
tijdens het wachten ehealth aanbieden, zoals een algemene “Wat heb ik al geprobeerd en
wat hoop ik te veranderen” - tool of vormen van “psychoeducatie”. In verband met de
financiering biedt A dit zonder begeleiding aan.
Vraag: Ben je verantwoordelijk voor die patiënt als er wat gebeurt en patiënt schade lijdt?
Hoe ligt dat bij het bieden van nazorg?
De vraag die als eerste gesteld moet worden is: is er sprake van een
behandelingsovereenkomst? Formeel komt een behandelingsovereenkomst tot stand op het
moment dat de ene partij een aanbod tot behandeling en/of preventie doet en de andere
partij dat aanbod accepteert. Wanneer sprake is van wachttijd en nog niet wordt over gegaan
tot daadwerkelijke behandeling is het aanbieden van zelfhulp en/ of psychoeducatie een
mogelijkheid. Het betreft hier dan geen behandeling, maar een service (sommigen spreken
van een pré-Wgbo-situatie), waarin wel een zekere verantwoordelijkheid bestaat voor de
betrokken zorgaanbieder maar dat zit hem vooral in het voeren van
‘verwachtingenmanagement”. Belangrijk is dat dit helder is voor de cliënt, diens verwijzer,
huisarts en mogelijke vertegenwoordiger en familie. Informeer over de tool, het doel en de
wachttijd. Verwachtingen managen dus: Patiënt moet weten waar hij aan toe is en desnoods
moeten kunnen kiezen voor een andere weg, behandeling en/of zorgaanbieder (overigens
kan hierin zijn zorgverzekeraar, als wachtijstbemiddelaar, ook een nuttige rol vervullen).
Hetzelfde geldt bij nazorg.
In vervolg op casus: Zelfmanagement: Is het gebruik van een disclaimer geoorloofd?
Het gebruik van een disclaimer is geoorloofd en hoewel het veel wordt gebruikt heeft een
disclaimer juridisch weinig waarde. Bovendien heeft een zorgaanbieder een
dwingendrechtelijke verantwoordelijkheid om goede zorg te leveren. Als een zorgaanbieder
in het leveren van goede zorg tekort schiet, kan hij daarvoor aansprakelijk worden gehouden;
een rechter beoordeelt of die zorgaanbieder verwijtbaar is tekortgeschoten. De centrale
aansprakelijkheid in de Wgbo kan men niet met enige clausule1 uitsluiten. Hoewel ook van
de patiënt wel iets kan worden verwacht, bijvoorbeeld dat hij aangeeft als er een crisis dreigt,
kan het risico niet op hem worden afgewenteld. Verwachtingenmanagement en goede
afspraken ter overbrugging van de wachttijd (bijvoorbeeld dat patiënt goed contact met de
huisarts onderhoudt, een telefoonnummer dat patiënt in geval van nood/crisis kan bellen of
mogelijk toch een andere zorgaanbieder adviseren e.d.) worden aanbevolen.
Dit geldt ook in geval van online behandeling. Er kunnen verwachtingen bestaan bij de cliënt
over de bereikbaarheid van de hulpverlener. Het is dan ook belangrijk, onder andere in
verband met calamiteiten (suïcidaliteit) de verwachtingen van de hulpvrager, zijn/haar familie
en van de verwijzer goed te managen. Hier is de handreiking verantwoordelijkheidsverdeling
in de zorg en de bijbehorende checklist van 13 aandachtspunten van belang.
Bij anonieme behandelingen, geen face-to-face contact.
Het is voorstelbaar dat patiënten anoniem, althans in het begin, worden behandeld, vanwege
de laagdrempeligheid, om patiënten makkelijker te bereiken en in zorg te krijgen. Echter, het
gegeven dat een zorgaanbieder/hulpverlener niet weet met welke patient en welke
stoornis/klachten hij van doen heeft, houdt risico’s in, zorginhoudelijk maar ook
kostentechnisch (kan de hulpverlener bijvoorbeeld een DBC openen?).Voor wat betreft de
kosten, voorziet de overheid wel in een subsidie voor anonieme ehealth maar dat is niet
ongelimiteerd.
Geadviseerd wordt om zo snel mogelijk, zodra het kan, de patiënt uit de anonimiteit te halen.
Dossier/EPD
Is de patiënt eigenaar van het dossier of de instelling?
Bij een zorgdossier kan men niet spreken van ‘eigendom’. De zorgaanbieder noch de patiënt
is eigenaar van het medisch dossier in de betekenis die het burgerlijk recht geeft aan de term
eigendom. De zorgaanbieder is bewaarnemer van het dossier en verantwoordelijk voor de
inrichting en het behoud ervan en heeft de plicht om ten behoeve van goede zorg aan patiënt
dit dossier goed bij te houden. De rechten van de patiënt in relatie tot het dossier in de Wgbo
en de WBP, zoals het recht op inzage, aanvulling, correctie en vernietiging, blijven onverkort
van toepassing maar zijn begrensd als dat risico’s voor de zorg en voor patiënt met zich
meebrengt, bijvoorbeeld als patient verzoekt om vernietiging van (delen van) zijn dossier die
essentieel zijn voor een goede behandeling aan patiënt. Met andere woorden: als
vernietiging van het dossier de hulpverlener belet om goede zorg te leveren, moet hij als
‘goed hulpverlener’ overwegen om niet tot de verzochte vernietiging over te gaan. Bespreek
dit met patiënt.
De zorgaanbieder (als rechtspersoon) is uiteraard wel eigenaar van de drager van de
gegevens, zoals de dossiermap of de computer.
Wanneer moet de patiënt inzage worden verleend?
Een zorgaanbieder moet wanneer een cliënt dat vraagt zo snel mogelijk inzicht kunnen
bieden in het dossier. Wat ‘zo snel mogelijk’ en ‘redelijk’ is, is niet in de wet vastgelegd.
Mogelijk is er even tijd nodig om het dossier te ‘lichten’. Ook is het belangrijk om altijd eerst
te checken of inzage niet het belang van een derde (onevenredig) schaadt. In dat geval moet
je informatie eruit halen. Informeer patiënt hierover, ook over hoe lang het duurt.
1
Hetzelfde geldt voor het uitsluiten van aansprakelijkheid via andere middelen, zoals een contract of een door
patiënt ondertekend formulier of verklaring.
Mag er een vergoeding voor kopieën uit het dossier worden gevraagd?
De WGBO gaat uit van een 'redelijke' vergoeding. Hiervoor wordt aansluiting gezocht bij het
‘Besluit kostenvergoeding rechten betrokkene Wbp’. Kort gezegd mag een instelling de
volgende tarieven in rekening brengen: voor het verstrekken van een mededeling mag u een
vergoeding van € 0,23 per pagina vragen met een maximum van € 5,00 per mededeling.
Bestaat de mededeling uit meer dan 100 pagina’s, uit een afschrift van een moeilijk
toegankelijke gegevensverwerking of uit afdrukken van een of meer röntgenfoto's, dan mag u
in afwijking van bovengenoemde bedragen een redelijke vergoeding in rekening brengen die
ten hoogste €22,50 bedraagt.
Inhoud EPD
Wat moet er in het EPD genoteerd worden?
De Wgbo geeft een algemeen kader dat door de zorgaanbieder ingevuld kan worden. De
hulpverlener heeft de plicht een dossier in te richten met betrekking tot de behandeling van
de patiënt. In het dossier houdt hij aantekening van de gegevens over de gezondheid van de
patiënt, de verrichtingen, verklaringen van de patiënt en bewaart hij de gegevens die
noodzakelijk zijn voor een goede hulpverlening en de continuïteit van zorg. Ook is het van
belang in het dossier op te nemen aan wie welke informatie is gegeven. Niet in het dossier
horen thuis persoonlijke werkaantekeningen van de hulpverlener. Daarnaast ook niet
informatie over klachten, meldingen van incidenten en calamiteiten en keuringsgegevens.
Uitgangspunt is om na te gaan wat vóór de komst van ehealth werd opgeslagen in het
dossier. Normaliter maakt een behandelaar een korte samenvatting of aantekening van een
gesprek. Dit is nog steeds voldoende. Je wordt geacht informatie die relevant is voor de
behandeling en waarneming/overdracht (in verband met de continuïteit van de behandeling)
op te slaan.
Persoonlijke werkaantekeningen
Persoonlijke werkaantekeningen zijn indrukken, vermoedens en vragen die bij de
hulpverlener leven in aanloop tot een definitieve vaststelling, bijvoorbeeld een diagnose. Zij
dienen als geheugensteun voor de gedachtevorming van de hulpverlener. Persoonlijke
werkaantekeningen worden per definitie niet met anderen gedeeld en hebben een tijdelijk
karakter. Zodra ze niet meer van nut zijn – de vermoedens hebben geleid tot een vaststelling
die in het dossier kan worden aangetekend – moeten ze worden vernietigd. Zodra
persoonlijke werkaantekeningen van enig belang zijn voor de behandeling, moeten zij in het
dossier worden opgenomen wat betekent dat deze dan onder het inzagerecht van de patiënt
vallen. Dit kan soms lastig zijn, bijvoorbeeld bij een vermoeden van kindermishandeling; bij
meer dan een eerste vermoeden moet dit toch in het dossier worden aangetekend. Zie ook
de meldcode kindermishandeling en huiselijk geweld: Over sommige patiënten moet je
praten.
Moet al het mailcontact worden opgeslagen in het EPD?
Brieven van patiënten worden in principe altijd opgeslagen in het EPD, e-mails dus ook,
indien en voorzover van belang voor een goede hulpverlening aan de patient. De
zorgaanbieder heeft een dossierplicht en hoeft als regel alleen voor de behandeling van de
patiënt noodzakelijke gegevens in het dossier op te nemen. Zie ook het antwoord over de
inhoud van het EPD.
Maar moet een mailtje dat de afspraak iets later plaatsvindt nu wel of niet in het dossier
worden opgenomen? Dat ligt eraan. Soms kan dat (bewijstechnisch) van belang zijn,
bijvoorbeeld als je wilt nagaan of de mail bij patient is aangekomen; of het terecht dat de
patient later komt of helemaal niet op de afspraak verschijnt.
Toegang tot het EPD
Hoe ver moet je gaan in de autorisatie?
Toegang tot het dossier hebben alleen de direct bij de behandeling van één patiënt
betrokken hulpverleners, zoals de psychiater, de spv, eventueel de maatschappelijk werker,
maar alleen en voor zover dat noodzakelijk is voor de uitvoering van hun zorgtaken ten
aanzien van die patiënt. Dit moet op enige manier in het systeem geborgd zijn. In alle andere
gevallen moet toestemming aan de patiënt worden gevraagd, of er moet sprake zijn van een
noodsituatie. Ongeoorloofde inzage moet worden voorkomen door de algemeen
dossierverantwoordelijke/zorgaanbieder; anderzijds, als een individuele hulpverlener of
medewerker zonder geldige reden een dossier inziet, kan dat arbeidsrechtelijke gevolgen
hebben.
Is inloggen met een persoonlijk DigiD verplicht?
Nee, nergens in de wet wordt werken met een DigiD verplicht gesteld. De zorgaanbieder
moet voldoen aan een ‘passend beveiligingsniveau’; hij kan ook kiezen voor een httpstoegang, gebruikersnaam en unieke inlogcode; toezending via sms.
Casus: meekijken met patiënt in patiëntenportaal
Jan heeft toegang tot een patiëntenportaal van ggzD waar hij via zijn DigiD inlogt. Jan vindt
het soms moeilijk om met het patiëntenportaal om te gaan en zijn broer Oscar kijkt af en toe
mee; soms typt Oscar namens Jan vragen aan de hulpverlener. Kan de instelling het
‘meekijken’ voorkomen?
“Meekijken” met patiënt kan uiteraard als patient dat wenst; patiënt logt dan zelf in. Indien
patiënt dit niet kan of hij is wilsonbekwaam en vervangende toestemming van de wettelijke
vertegenwoordiger is vereist, dan gebeurt dat via de eigen persoonlijke DigiD van
vertegenwoordiger. De zorgaanbieder kan dit technisch mogelijk maken via verschillende
DigiD’s (beperkt tot twee, die van patiënt en diens vertegenwoordiger) toegang tot het
dossier kan worden verschaft. De zorgaanbieder weet dan met wie hij communiceert, patiënt
of zijn vertegenwoordiger.
Bewaarplicht
Hoe lang moet het EPD worden bewaard?
De zorgaanbieder moet het dossier 15 jaar na einde van de behandeling.2 Bij minderjarigen
begint de termijn van 15 jaar te lopen vanaf hun 18e levensjaar.
Gegevensuitwisseling
2
formeel in de Wgbo (artikel 7: 454 BW) begint de bewaartermijn te lopen vanaf het moment van vastleggen van
de gegevens; in de praktijk is ervoor gekozen de termijn te starten vanaf het einde van de behandeling.
Wat is veilig mailen?
Als instelling heb je de verantwoordelijkheid om patiëntgegevens veilig uit te wisselen3 en
moet je altijd via een beveiligde verbinding mailen. Dit kan bijvoorbeeld via een beveiligd
portaal. Outlook is geen veilige verbinding. Als instelling kun je niet volstaan met een
disclaimer of het informeren van de cliënt over de risico’s van niet veilig mailen. Als
verantwoordelijke/zorgaanbieder heb je een eigen verantwoordelijkheid om een veilige
behandelomgeving te waarborgen en kun je de risico’s niet op de patiënt afwentelen.
Praktijk: de Parnassia Groep heeft als beleid dat via Outlook geen patiëntgegevens
verstuurd mogen worden. Omdat dit in de praktijk niet altijd haalbaar is, staat er in hoofdstuk
4 van het kwaliteitsdocument van de Parnassia Groep Veilig omgaan met informatie: “Als je
toch informatie over een patiënt moet versturen, zorg er dan voor dat de informatie niet
herleidbaar is naar de persoon. Gebruik bijvoorbeeld alleen initialen.”
Outlook ondersteunt veilig e-mailen wel, dat wil zeggen het ondertekenen en versleutelen
van emailberichten met certificaten. Echter daarvoor moet technisch wel het nodige worden
ingericht/ingeregeld.
Valt e-mailen met cliënten onder ehealth?
Als dit in het kader van zorg en behandeling gebeurt4, is e-mailen met patiënten ook onder
de definitie van e-health te vatten. Doe dit via een exclusieve en beveiligde portaal, met een
directe link tussen de zorgaanbieder/betrokken hulpverlener en patiënt. Leg een en ander
vast in algemeen (privacy)beleid, dat is in te zien door patiënten. Afspraken met de
individuele patiënt leg je vast in het elektronisch patiëntendossier (epd) en/of in het
behandelingsplan. Welke afspraken dit zijn, is niet in zijn algemeenheid te zeggen omdat dit
per patiënt verschillend kan zijn, maar denk aan mailmoment en –frequentie (bijvoorbeeld
elke donderdag om 16u); als dit leidt tot een aanpassing van het behandelingsplan, dan
wordt dat en de redenen hiervoor, ook in het epd vastgelegd. Eigenlijk niet anders dan
voorheen bij face-to-face-contact in een spreekkamer.
Moeten alle e-mail contacten met patiënten worden beveiligd en zo ja hoe?
Ja. De WBP vereist een passend beveiligingsniveau, rekening houdend met de risico’s, de
stand van de techniek en de kosten van de tenuitvoerlegging. Men kan dus rekening houden
wat gezien de stand der techniek haalbaar is tegen redelijke kosten. Echter, men kan dit niet
als excuus gebruiken om risicovolle situaties langere tijd te laten bestaan.
Bij het kiezen van een (tijdelijk) lager betrouwbaarheidsniveau moet sprake zijn van
zwaarwegende argumenten. Men dient de mogelijkheid om in plaats daarvan voorlopig van
de voorgenomen dienst af te zien serieus te overwegen. Men kan de doelgroep immers
onbedoeld blootstellen aan privacyrisico’s. Echter, daar kunnen andere zwaarwegende
belangen van de doelgroep tegenover staan (bv. een beter geïnformeerde patiënt).
Belangrijk hierbij is dat men een bewuste risicoafweging maakt op het juiste niveau in de
organisatie. De bestuurlijk verantwoordelijke moet een evenwichtig oordeel kunnen vormen
over de risico’s voor patiënten en organisatie die samenhangen met de gemaakte keuzes.
Voor de wijze van beveiliging is Hoofdstuk 4 van de Handreiking Patiëntauthenticatie van
Nictiz het raadplegen waard.
3
de WBP spreekt van “verwerken” van gegevens, daaronder wordt ook vastleggen, uitwisselen etc. verstaan.
en dat is het al snel, ook al gaat het over een verzetten van een afspraak; hieruit is immers af te leiden dat
betrokkene ggz ontvangt
4
Moet je op iedere mail van een patiënt reageren? Binnen welke termijn?
Zoals hierboven al gemeld, verschilt dat per behandelrelatie en moeten hulpverlener en
patiënt hierover gerichte afspraken maken, zodat de verwachtingen over en weer duidelijk
zijn en dus misverstanden en teleurstellingen worden voorkomen. Zonodig kan men
besluiten tot een tussentijdse evaluatie en bijstelling van gemaakte afspraken.
Mag je als instelling gebruik maken van Skype/ Google/ Facetime etc.
Het gebruik van dit soort ‘open source’ software is niet aan te raden. Veelal wordt gedacht
dat beeldbellen via Skype hetzelfde is als bellen via de telefoon, maar dan met beeld erbij.
Dit is niet het geval. Telefonie valt onder de Telecomwet, dat daarmee veel beter beveiligd is
dan het internet.
Uitgangspunt is om altijd goed na te gaan wat het privacybeleid is van de aanbieder. Worden
gesprekken opgenomen? Met welk doel? Is dat echt nodig? Worden de gegevens bewaard
en waar? Heb je invloed hierop? Zie wat hiervoor is gemeld: maak gebruik van beveiligde
verbindingen met een directe link tussen de zorgaanbieder/betrokken hulpverlener en
patiënt. Weet wat er met jouw gegevensverwerkingen gebeurt en zorg dat je hierop controle
hebt. Als verantwoordelijk zorgaanbieder moet je je aan de WBP en Wgbo houden.
Mag je via Skype iemand begeleiden? Is dit veilig genoeg?
Aan het behandelen via Skype zitten (privacy)risico’s.
Praktijk: De Parnassia Groep raadt het gebruik van Skype af gezien de veiligheidsrisico’s.
Zie ook www.security.nl
Is voor een SMS reminder de toestemming van patient vereist?
Ja, het is een gegevensverwerking met als doel de patient te herinneren aan zijn afspraak
met de zorgaanbieder. Dit moet vooraf met hem besproken zijn en met zijn toestemming
gebeuren.
Mag er ongevraagd sms reminders worden verstuurd om de patiënt zonodig een noshow in rekening te brengen?
Nee, er is geen toestemming van de patiënt. Bovendien is de sms-verzending niet in
overeenstemming met het doel van de verwerking, namelijk goede zorg aan patiënt.
Is een sms met afsprakendetails ook medische informatie?
Strikt genomen wellicht niet medische- maar wel gevoelige informatie die de WBP wil
beschermen. In de regel moet een zorgaanbieder veilig met patient mailen. Een sms is niet
veilig; deze gaat niet via een beveiligde portaal. Het verzenden van alleen administratieve
data afkomstig van een ggz instelling (bijvoorbeeld: “Denk om uw afspraak morgen 14/1 om
13.00u bij dr. E.M. Janssen; neem uw verzekeringspasje mee.”), is gevoelige informatie die
de WBP wil beschermen; dat mag dus alleen met geïnformeerde toestemming van de
patiënt.
Wij raden af om zorginhoudelijke of medische informatie (bijvoorbeeld: “U hebt een afspraak
morgen om 13.00u bij dr. E.M. Janssen; besproken wordt o.m. of uw dosis Fevarin moet
worden aangepast.”) in een sms mee te sturen maar uitsluitend via een beveiligd portaal.
Wie bepaalt bij kinderen (in diverse leeftijdscategorieën) of kind zelf of ouder(s) de
sms mag ontvangen?
Dat gebeurt in overleg met kind en ouder(s). Wat het beste werkt.
Verder kan een en ander worden afgezet tegen de toestemmingsregels bij minderjarigen die
gelden in de Wgbo, in de verschillende leeftijdscategorieën: een kind vanaf 16 jaar kan
zelfstandig over zijn behandeling beslissen. Een kind tussen de 12 en 16 jaar doet dat
samen met zijn ouders. Als het kind onder de 12 jaar is, moet specifiek bekeken worden of
het de gegeven verantwoordelijkheid aankan.
Overig
Wat eist de wet als het gaat om security audits (bijvoorbeeld hack-testen)?
Het is geen wettelijke eis maar wel belangrijk dat internetapplicaties zoals eHealth bestand
zijn tegen internetapplicatiedreigingen zoals vermeld op de internationale OWASP lijst.
OWASP = Open Web Application Security Project.
Bij het penetratietesten kan getest worden of E-Health bestand is tegen de top 10 van de
OWASP lijst.
Is een zorgaanbieder verplicht voor ‘zorgapps’ een CE- markering aan te vragen?
Het voeren van een CE-markering is voor medische hulpmiddelen verplicht. Ook apps
kunnen vallen onder de definitie van een medisch hulpmiddel en moeten daarom voldoen
aan de Europese richtlijn. Wanneer deze apps geen CE-markering dragen, mogen ze niet op
de markt worden gebracht en niet worden gebruikt. Ook elektronisch-voorschrijfsystemen
(EVS) en EPD’s vallen onder de definitie van medisch hulpmiddel en mogelijk ook bepaalde
e -mental health toepassingen. De inspectie hanteert de volgende definitie van een ‘medisch
hulpmiddel’: “Een medisch hulpmiddel is elk instrument, toestel of apparaat, elke stof of
software dat of die door de fabrikant bestemd is om bij de mens voor de volgende
doeleinden te worden aangewend:
- Diagnose, preventie, bewaking, behandeling of verlichting van ziekten;
- Diagnose, bewaking, behandeling, verlichting of compensatie van verwondingen of
een handicap;
- Onderzoek naar of vervanging of wijziging van de anatomie of van een fysiologisch
proces.”
Dit is een erg brede definitie waarbij de consequenties voor eHealth toepassingen in de ggz
nog niet heel helder zijn. Onlangs heeft de inspectie wel aangekondigd vanaf 1 januari 2014
te gaan handhaven op de wet medische hulpmiddelen voor software. IGZ heeft aangegeven
in het eerste kwartaal van 2014 een inventarisatie te maken en dan ’risico-gebaseerd’
toezicht te houden. Het toezicht zal in eerste instantie gericht zijn op de leveranciers van
medische software. Dit neemt echter niet weg dat ook zorgaanbieders hier aandacht voor
moeten hebben.
De leveranciers zijn verplicht zelf een CE-aanduiding op hun product aan te brengen.
Daarnaast moeten ze een dossier kunnen overleggen waarin tot uiting komt dat het
totstandkomingsproces professioneel is. De daadwerkelijke certificering van medische
software kent verschillende varianten, afhankelijk van het risico dat een medisch hulpmiddel
met zich meebrengt. Op basis van een aantal criteria is in te schatten in welke categorie een
medisch hulpmiddel valt. Voor meer informatie hierover verwijzen wij u naar de website van
IGZ en/of Nictiz5.
De huidige inschatting is dat de meest voorkomende e-mental-health -toepassingen
waarschijnlijk in de lichtste categorie vallen. In de Wet op de Medische Hulpmiddelen staan
5
De whitepaper van Nictiz beschrijft 7 stappen die doorlopen moeten worden om te bepalen of een CE keurmerk
vereist is voor een app
de elementen waarop gelet moet worden. Let wel: het gaat niet om toetsing van de
content/inhoud.
Voor meer informatie:
http://www.igz.nl/actueel/nieuws/thema__software_als_medisch_hulpmiddel__de_gebruikers
kant___er_zijn_nog_veel_uitdagingen.aspx
Wat betekent de Europese Algemene Verordening Gegevensbescherming voor
ehealth?
De AVG betekent het nodige maar niet specifiek voor E-health. GGZ Nederland ziet geen
wezenlijke veranderingen ten opzichte van de Wet Bescherming Persoonsgegevens nu,
alleen de sancties zijn forser. De wetgeving is voornamelijk bedoeld om harmonisatie van
wetgeving in de EU-landen te bewerkstellingen. In de laatste conceptversie van de AVG zijn
de maximale boetes die per overtreding kunnen worden opgelegd verhoogd naar 100 miljoen
€ of tot 5% van de jaaromzet6. Deze maximale boete geldt onder meer voor de in de
verordening opgenomen “meldplicht datalekken”.
Hoe ga je om met social media?
Hiervoor gelden geen specifieke wettelijke regels maar het is meer een kwestie van gedrag,
afgezet tegen de privacyregels die gelden en het beroepsgeheim van de hulpverlener. GGZ
Nederland heeft Richtlijnen Social Media ontwikkeld maar er zijn ook ander goede
voorbeelden te vinden, zoals die van de KNMG.
Praktijk: de Parnassia Groep schrijft hierover in haar beleidsdocument Veilig omgaan met
informatie, hoofdstuk 8 “Werkgerelateerde communicatie” (te vinden in kwaliteitssysteem):
”Laat geen werkgerelateerde, vertrouwelijke informatie achter op internet. Let bijvoorbeeld op
het plaatsen van foto’s of berichtjes op sociale media als Hyves, Facebook.”
6
Article 79 inofficial consolidated version , 22 october 2013
Overige bronnen:
•
•
•
•
•
•
•
•
GGZ Nederland, Vraagbaak Psychiatrie en recht, 400 veelgestelde vragen, Sdu
uitgevers 2007, ISBN/EAN: 9789012124898;
GGZ Nederland, Toelichting Wet op de Geneeskundige Behandelingsovereenkomst
(WGBO) , Amersfoort juli 2013.
KNMG, Richtlijn online arts-patiënt contact, Herziene versie september 2007;
addendum Handreiking artsen en social media, 2011
Werkgeversservice GGZ Nederland,Richtlijnen Social Media
College bescherming persoonsgegevens, Goed werken in netwerken. Regels voor
controle op e-mail en internetgebruik van werknemers. Den Haag april 2002. Tweede
herziene druk.
Zienswijze CBP over cloud computing, 10 september 2012
Hoofdstuk 4 Handreiking Patiëntauthenticatie, versie 1.0, platform “Patiënt en
eHealth”, 23 september 2013
Parnassia Groep, beleidsdocument Veilig omgaan met informatie, op te vragen bij
Parnassia Groep zelf.
Juridische helpdesk van GGZ Nederland
E: [email protected]
T: 033-4608987

Download Report