Wetsvoorstel elektronische gegevensuitwisseling in de zorg – Autoriteit Persoonsgegevens vreest aantasting medisch beroepsgeheim

6 juli ’21 – Zeger van Ingen

Deze blog is een herziene versie van de blog van 15 juni 2021. In onderstaande versie is de reactie van de minister op het advies van de Autoriteit Persoonsgegevens opgenomen, die is te vinden in de Memorie van Toelichting van 30 april 2021.

Voor zorgverleners is actuele en uniforme informatie cruciaal. Momenteel gebruiken zorgaanbieders verschillende informatiesystemen. Dit bemoeilijkt de onderlinge uitwisseling van gegevens. Ook wordt slechts een beperkt deel van de gegevens elektronisch uitgewisseld, terwijl papieren documentatie de kans op menselijke fouten vergroot. Cliënten ondervinden daar negatieve gevolgen van, variërend van onjuiste diagnoses tot het voorschrijven van de verkeerde medicijnen. Om uniformiteit en betrouwbaarheid van medische persoonsgegevens te bevorderen, is er momenteel een wetsvoorstel in behandeling dat de uitwisseling moet gaan reguleren.

Advies van de Autoriteit Persoonsgegevens

In het wetsvoorstel voor de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) wordt het verplicht om bepaalde persoonsgegevens voortaan elektronisch uit te wisselen. Ook zullen eisen worden gesteld aan de gebruikte informatietechnologieproducten en -diensten om zo een uniforme standaard te creëren voor gegevensuitwisseling.

Dit wetsvoorstel heeft potentieel gevolgen voor de gegevensbescherming. De Autoriteit persoonsgegevens (AP) heeft daarom het wetsvoorstel onderzocht en hierover bij brief van 30 juli 2020 advies gegeven.[1] In de nieuwe Memorie van Toelichting (MvT) van 30 april 2021 is de minister hierop ingegaan.

Het wetsvoorstel in hoofdlijnen

Onder de nieuwe wet wordt het verplicht persoonsgegevens elektronisch uit te wisselen bij dertien aangewezen gegevensuitwisselingen. Daarbij hebben digitaal receptenverkeer, basisgegevensset zorg (BGZ), beelduitwisseling en verpleegkundige overdracht prioriteit.

Op grond van de nieuwe wet zullen in algemene maatregelen van bestuur (amvb’s) ook bepaalde kwaliteitseisen aan de gebruikte informatiesystemen worden gesteld. Die kwaliteit wordt straks gewaarborgd door middel van certificering. Wie een niet gecertificeerd informatiesysteem aan een zorgverlener aanbiedt voor een gegevensuitwisseling waar certificatie verplicht is, kan straks een boete krijgen.

De privacyrisico’s

De AP geeft in haar advies op drie hoofdpunten commentaar op het wetsvoorstel. Het eerste punt betreft artikel 2.1: Een zorgaanbieder ziet erop toe dat in een aangewezen gegevensuitwisseling bij het uitwisselen van gegevens door onder hem ressorterende zorgverleners ten minste gebruik wordt gemaakt van een elektronische infrastructuur. De Autoriteit stelt dat de voorgestelde wettekst onduidelijk is over de vraag of hier alleen het elektronisch uitwisselen verplicht wordt gesteld of ook het uitwisselen op zich. Wanneer het voor de zorgverlener niet duidelijk is of gegevens dienen te worden uitgewisseld, kan dat ertoe leiden dat meer gegevens worden uitgewisseld dan noodzakelijk. Dat betekent dat de zorgaanbieder op dat moment onrechtmatig handelt met als mogelijk gevolg economische schade of reputatieschade.

In de eerdere MvT was dit al toegelicht: het wetsvoorstel regelt niet of uitgewisseld mag worden, maar als uitgewisseld mag of moet worden, hoe dat dient te gebeuren. De AP is van mening dat het belangrijk is dat dit meteen duidelijk uit de wettekst blijkt. Uit de nieuwe MvT blijkt niet dat de minister voornemens is om de wettekst op dit punt aan te passen.

Ten tweede stelt de AP dat elektronische gegevensuitwisseling de zorgverlener in een feitelijke dwangpositie kan brengen die zijn beroepsgeheim kan aantasten. Die inbreuk op het beroepsgeheim van de zorgverlener kan de vertrouwensband met cliënten schaden. Onder de nieuwe wet kunnen zorgverleners geconfronteerd worden met een elektronisch systeem waar in detail is vastgelegd welke gegevens moeten worden uitgewisseld. Denk bijvoorbeeld aan een elektronisch formulier dat bepaalde velden verplicht stelt. Als het vanuit het oogpunt van goede zorgverlening noodzakelijk is om gegevens uit te wisselen, kan het zijn dat de zorgverlener meer informatie gaat verstrekken dan hij met het oog op zijn beroepsgeheim zou moeten doen. In een analoog systeem heeft een zorgverlener nou eenmaal meer keuzevrijheid.

In de nieuwe MvT wordt dit risico niet onderkend. De minister stelt dat in kwaliteitsstandaarden wordt neergelegd welke gegevens nodig zijn voor het verlenen van goede zorg. Op grond van de Wkkgz handelen zorgverleners overeenkomstig die kwaliteitsstandaarden. Vervolgens maakt de zorgverlener in het concrete geval zelf ook nog de afweging of doorbreking van het medisch beroepsgeheim aangewezen is, aldus de minister. Dat een elektronisch systeem die keuzevrijheid (deels) weg kan nemen, wordt in de MvT niet besproken.

Ten slotte bepleit de AP dat de wettelijke beveiligingsnormen geconcentreerd worden in één wettelijke regeling, in plaats van in verschillende lagere wetten en regels. In de Wegiz is bepaald dat in de lagere regelgeving waarin de uitwisseling is geregeld technische en organisatorische eisen kunnen worden gesteld.[2] Bij de AP bestaat de vrees dat zorgaanbieders hierdoor met drie verschillende beveiligingsregimes te maken krijgen voor de verschillende gegevensuitwisselingen waar zij verantwoordelijk voor zijn. Die van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), die van de Wegiz en daarnaast nog de algemene eisen van de Algemene Verordening Gegevensbescherming (AVG). Gegevensuitwisselingen die vallen onder de Wavbpz vallen namelijk niet onder de Wegiz.[3]

De minister volgt de AP hierin niet, omdat beveiliging in de zorg is genormaliseerd in de NEN 7510, NEN 7512 en NEN 7513 en in wet- en regelgeving steeds naar die normen verwezen wordt. Zolang in de nog op te stellen NEN normen in de toekomst geen aparte beveiligingseisen worden opgenomen, blijft wildgroei van beveiligingsnormen beperkt.

Wat betekent dit voor u

Door de Tweede Kamer zijn aan de minister vragen gesteld over het wetsvoorstel dat op dit moment voorligt. Als het wetsvoorstel wordt goedgekeurd, dient u vanaf de invoering de uitwisseling van gegevens rond digitaal receptenverkeer, basisgegevensset zorg (BGZ), beelduitwisseling en verpleegkundige overdracht voortaan elektronisch in te richten. Later komen daar nog een aantal andere uitwisselingen bij. Het is belangrijk dat u daarbij gebruik maakt van gecertificeerde informatiesystemen. Wij houden u op de hoogte van verdere ontwikkelingen.

[1]Zie Wetsvoorstel elektronische gegevensuitwisseling zorg: risico op aantasting medisch beroepsgeheim | Autoriteit Persoonsgegevens