Let op! Meer regels voor zorgaanbieders bij elektronische verwerking van persoonsgegevens

Zorgaanbieders en zorgverzekeraars opgelet!

Voor het uitwisselen van medische persoonsgegevens via een elektronisch uitwisselingssysteem zijn de regels en verplichtingen aangescherpt. Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg heeft sinds 1 juli 2017 nieuwe verplichtingen voor zorgaanbieders in het leven geroepen om de privacy van cliënten beter te waarborgen.

Zorg ervoor dat de verstrekking van medische gegevens aan de patiënt op veilige wijze gebeurt. Alle inzagen en handelingen dienen zorgvuldig te worden gelogd. Voor het gebruik van een elektronisch uitwisselingssysteem dient de toestemming van een patiënt te worden gevraagd. Bij een vermeende overtreding van het toegangsverbod door zorgverzekeraars, bedrijfs- en verzekerings- en keuringsartsen tot het uitwisselingssysteem dient dit zo spoedig mogelijk door de verwerkingsverantwoordelijke te worden gemeld aan de NZa. Aan te raden is deze verplichting van de verwerkingsverantwoordelijke voortaan op de nemen in de verwerkersovereenkomst.

Let tot slot goed op de verschillende termijnen van inwerkingtreding van de nieuwe verplichtingen vanuit de Wet aanvullende verwerking persoonsgegevens in de zorg. Een aantal verplichtingen gelden al per 1 juli 2017, een aantal zullen door inwerkingtreding van de AVG per 25 mei 2018 gelden en tot slot treedt een deel van de Wet aanvullende verwerking persoonsgegevens in de zorg pas in 2020 in werking.


Het gebruik van digitale gegevens in de zorg neemt steeds meer toe terwijl de veiligheid van deze gegevens nog niet altijd voldoende wordt gewaarborgd. Verder bleek de huidige regelgeving (waaronder de Wet Geneeskundige Behandelingsovereenkomst en de Wet Bescherming Persoonsgegevens) tot nu toe onvoldoende soelaas te bieden voor het veilig uitwisselen van medische gegevens en de rechten van cliënten daarbij.

Dit is een van de redenen geweest dat de Wet cliëntenrechten bij elektronische verwerking van gegevens in het leven is geroepen. Doel van deze nieuwe wet is dan ook het scheppen van scherpere randvoorwaarden waaronder medische gegevens veilig en elektronisch mogen worden uitgewisseld of ingezien. Daarnaast regelt deze wet ook de rechten van cliënten bij elektronische gegevensuitwisseling.

De bepalingen van de Wet cliëntenrechten bij elektronische verwerking van gegevens zijn geïmplementeerd in de Wet gebruik burgerservicenummer in de zorg. Sinds 1 juli 2017 wordt deze wet aangeduid als de “Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg” en regelt dus niet meer alleen het gebruik van het burgerservicenummer.

Verder zijn als gevolg van de Wet cliëntenrechten bij elektronische verwerking van gegevens ook de Wet bescherming persoonsgegevens, de Zorgverzekeringswet en Wet marktordening gezondheidszorg op enkele punten gewijzigd.

Plichten zorgaanbieder per 1 juli 2017

Sinds 1 juli jl. moeten zorgaanbieders bij het elektronische verwerken van gegevens voldoen aan de volgende aanvullende verplichtingen op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg:

• De zorgaanbieder heeft de plicht om uitdrukkelijke toestemming aan de cliënt te vragen voordat de medische gegevens beschikbaar worden gesteld via een elektronisch uitwisselingssysteem;
• De zorgaanbieder heeft de plicht om de cliënt gericht te informeren over diens rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronisch uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt;
• Wanneer een nieuwe categorie zorgaanbieders aansluit bij een elektronisch uitwisselingssysteem of als de werking van het elektronisch uitwisselingssysteem substantieel wordt gewijzigd, heeft de zorgaanbieder de plicht om diens cliënt(en) te informeren over deze wijziging en over de mogelijkheid om de gegevens toestemming in te trekken of aan te passen;
• Het is verboden voor zorgverzekeraars, bedrijfs- en verzekerings- en keuringartsen om elektronische uitwisselingssystemen voor zorgaanbieders te raadplegen. Dit verbod wordt aangescherpt en de strafmaat wordt verhoogd. Zo heeft de NZa de bevoegdheid om een aanwijzing of een bestuurlijke boete van ten hoogste €500.000,- of indien dat meer is, tien procent van de omzet van de onderneming in Nederland op te leggen aan zorgverzekeraars bij overtreding van dit verbod. Op de verwerkingsverantwoordelijke komt de verantwoordelijkheid te rusten om in geval van een overtreding van dit verbod een mededeling te doen aan de NZa.

Extra technische en organisatorische eisen aan elektronische gegevensuitwisseling per 1 juli 2017

Op 1 juli 2017 is tevens het Besluit elektronische gegevensverwerking door zorgaanbieders in werking getreden. In deze Algemene Maatregel van Bestuur (AMvB) worden voor zorgaanbieders de volgende specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling gesteld:

1. Het benoemen van een functionaris voor de gegevensbescherming van cliënten;
2. Het vastleggen van het beleid, de procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen;
3. Gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen moeten voldoen aan de veiligheidseisen en zorgvuldigheidseisen van NEN-7510;
4. Overeenkomsten tussen zorgaanbieder en de verantwoordelijke van een elektronisch uitwisselingssysteem moeten voldoen aan NEN-7510;
5. Zorgdragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN-7512;
6. De logging van cliëntengegevens moet voldoet aan NEN-7513.

Plichten zorgaanbieder per 25 mei 2018

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg bepaalt dat een aantal nieuwe verplichtingen pas in 2020 in werking zullen treden. Ten aanzien van een aantal van deze verplichtingen doorkruist de Algemene verordening gegevensbescherming (AVG) de datum van inwerkingtreding. Per 25 mei 2018 dienen zorgaanbieder op grond van de AVG aan de volgende verplichtingen te voldoen die tevens staan opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg:

• De zorgaanbieder heeft de plicht om een registratie bij te houden van de door cliënten gegeven toestemming. Hierbij wordt mede aangetekend vanaf welk tijdstip de toestemming van kracht is geworden.
• De zorgaanbieder heeft de plicht om de cliënt kosteloos elektronisch inzage en een elektronisch afschrift van het dossier of gegevens uit het dossier te geven indien de cliënt hierom vraagt. Overigens stelt de wet geen eisen aan de vorm waarin elektronische inzage wordt verleend. Dit mag dus in principe ook schriftelijk worden verleend.

Plichten zorgaanbieder per 1 juli 2020

Zoals hiervoor vermeld staan een aantal verplichtingen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg opgenomen waaraan zorgaanbieders pas op 1 juli 2020 hoeven te voldoen. Zorgaanbieders hebben dus nog drie jaar de tijd om de volgende verplichtingen te implementeren:

• De zorgaanbieder heeft de plicht om gespecificeerde toestemming aan de cliënt te vragen voordat de medische gegevens beschikbaar worden gesteld via een elektronisch uitwisselingssysteem. Dit houdt in dat de cliënt toestemming zal moeten geven om alle of bepaalde gegevens bij een zorgaanbieder beschikbaar te stellen aan bepaalde door de cliënt aan te duiden andere zorgaanbieders of categorieën van zorgaanbieders.
• De zorgaanbieder heeft de plicht om de cliënt te voorzien van een elektronisch afschrift van de ‘logging’, indien de cliënt hierom vraagt. Zorgaanbieders zullen het recht van cliënten moeten waarborgen dat zij mogen inzien op welke datum wie of welke zorgverlener hun dossier heeft bekeken, opgevraagd of beschikbaar heeft gesteld.

Hoe verhouden deze nieuwe regels zich tot de AVG?

Het zal u vast niet zijn ontgaan dat vanaf 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) voor heel Europa zal gelden. Wat betreft de specifieke privacyregels ten opzichte van de zorgsector geeft de AVG de lidstaten de ruimte om dit op nationaal niveau nader uit te werken. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg is hier een voorbeeld van.

Maar hoe verhouden de nieuwe verplichtingen vanuit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg zich eigenlijk tot de nieuwe informatieverplichtingen en privacyregels onder de AVG?

Ook de AVG regelt nieuwe informatieverplichtingen ter garantie van veilige en betrouwbare elektronische gegevensuitwisseling in de zorg. Over het algemeen worden de bestaande privacyregels door de AVG bevestigd en blijven wetten zoals de WGBO, de Wkkgz alsook de Wet aanvullende bepaling verwerking persoonsgegevens in de zorg bestaan.

De verplichtingen vanuit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg gelden daarbij aanvullend ten opzichte van de verplichtingen in de AVG. Dit betekent ook dat waar de AVG meer bescherming voor cliënten biedt, het beschermingsniveau vanuit de AVG dient te worden gehanteerd.

Is uw organisatie voldoende AVG compliant? Weet u niet precies aan welke verplichtingen vanuit de AVG u moet voldoen? Of wilt u dit controleren? Via gdpr.kvdl.nl biedt het privacy team van Kennedy Van der Laan een overzichtelijk actieplan voor de route naar GDPR (Algemene Verordening Gegevensbescherming) compliance.

Over de auteur

  • Michèle van Lopik

    Michèle van Lopik werkt sinds 2016 als advocaat bij Kennedy Van der Laan op de sectie Corporate, team Gezondheidszorg.

Comments are closed.

Cookie instellingen