Wat is de status van het wetsvoorstel Cliëntenrechten bij elektronische gegevensverwerking?
Bijdrage ingezonden door Natascha van Duuren, De Clercq. Een update. Landelijk EPD: Na het verwerpen van het wetsvoorstel voor de Kaderwet landelijke EPD, is een aantal moties ingediend door zowel de Eerste als Tweede Kamer. Een belangrijke motie is ingediend door Kamerlid Tan, die de Kamer verzocht om: “te komen tot een nadere wettelijke regeling van normen en standaarden voor zowel digitale dossiervorming en ontsluiting, als de overdracht van gegevens, eisen met betrekking tot de veiligheid, toezicht, handhaving en sancties, inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt, teneinde veilig digitaal transport van gegevens (zowel pull als push) mogelijk te maken tussen zorgverleners binnen een regio”.
Wetsvoorstel: Deze motie heeft uiteindelijk geleid tot het wetsvoorstel cliëntenrechten bij elektronische gegevensverwerking dat op 1 juli 2004 door de Tweede Kamer is aangenomen. Dit wetsvoorstel bevat bepalingen voor het gebruik van elektronische uitwisselingssystemen ter bescherming van de persoonlijke levenssfeer van de burger door zorgaanbieders. Belangrijke voorwaarden voor het elektronisch beschikbaar stellen van patiëntgegevens zijn:
a. De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem als de cliënt daartoe “gespecificeerde toestemming” heeft gegeven (artikel 15a, eerste en tweede lid Wabvpz).
b. Het raadplegen van gegevens of het maken van een afschrift daarvan die via een elektronisch uitwisselingssysteem beschikbaar zijn gesteld, is alleen toegestaan binnen een behandelrelatie en met uitdrukkelijke toestemming van de cliënt (artikel 15b, eerste lid Wabvpz).
c. De zorgaanbieder geeft de cliënt informatie over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronische uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt (artikel 15c, eerste lid Wabvpz).
d. Zorgaanbieders zijn verplicht op verzoek van de cliënt elektronische inzage of afschrift van het dossier te verstrekken (artikel 15d en 15e Wabvpz). Daarnaast zijn de functionele, technische en organisatorische eisen waaraan een elektronische uitwisselingssysteem aan moet voldoen, opgenomen in een afzonderlijk besluit dat gelijktijdig in werking zal treden met het wetsvoorstel. In dit besluit wordt onder meer dwingend verwezen naar de normen voor informatiebeveiliging in de zorg van het Nederlands Normalisatie-Instituut: de NEN 7510:2011 (NEN 7510) en de verdere uitwerking van deze algemene norm in NEN 7512 en NEN 7513. Momenteel is de NEN 7521 in ontwikkeling. Deze norm dient te leiden tot uniforme en veilige gegevensuitwisseling tussen betrokken zorgverleners en zorginstelling rond de behandeling van een patiënt. Na publicatie van de NEN 7521 zal worden bezien of ook naar deze norm dwingend zal worden verwezen.
Introductie van een nieuwe toestemmingsvorm: de “gespecificeerde toestemming”: Uit verschillende hoeken wordt met een kritische blik naar het wetsvoorstel gekeken. Zo hebben de KNMG, GGZ Nederland, KNMP, NVZ, Actiz en VGN in een brief d.d. 13 februari 2015 aan de Eerste Kamer een reactie gegeven. In de brief wordt met name aandacht gevraagd voor de invoering van de “gespecificeerde toestemming” door de cliënt. De zorgaanbieder stelt op grond van het wetsvoorstel immers slechts gegevens van de cliënt beschikbaar via een elektronisch uitwisselingssysteem voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven (artikel 15a lid 1). Op grond van lid 2 betreft de in lid 1 bedoelde uitdrukkelijke toestemming een ‘gespecificeerde toestemming’ voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieder of categorieën van zorgaanbieders. Opvallend (en verwarrend) is dat in het wetsvoorstel slechts een definitie van “zorgverlener” wordt gegeven. Een “zorgverlener” wordt in het wetsvoorstel gedefinieerd als natuurlijke persoon die in het BIG-register staat ingeschreven of die een art. 34 BIG-beroep uitoefent. Een definitie van “zorgaanbieder” ontbreekt in het wetsvoorstel, dit terwijl deze term in het wetsvoorstel een belangrijke rol inneemt. De term “zorgaanbieder” is wel gedefinieerd in de Kwaliteitswet zorginstellingen: “1) de natuurlijke persoon of de rechtspersoon, die een instelling in stand houdt; 2) de natuurlijke personen of rechtspersonen, die gezamenlijk een instelling vormen.” Een zorgaanbieder kan dus ook een natuurlijke persoon zijn. Dit zou volgens de veldpartijen tot de conclusie kunnen leiden dat art. 15a lid 2 cliënten het recht geeft om door middel van het verlenen van “gespecificeerde toestemming” individuele zorgverleners uit te sluiten van toegang tot hun gegevens. De veldpartijen vragen zich (terecht) af of de “gespecificeerde toestemming” wel voldoende is doordacht. Het is volgens hen de vraag of het voorstel in de praktijk wel uitvoerbaar is. Er wordt immers een situatie gecreëerd waarin binnen een zorginstelling sommige zorgverleners wél en andere geen toegang tot de patiëntgegevens mogen hebben. Bovendien vragen zij zich af of de patiëntveiligheid hierdoor wel voldoende wordt gewaarborgd.
De deskundigenbijeenkomst van 13 april 2015: Momenteel ligt het wetsvoorstel bij de Eerste Kamer. Vanwege de kritiek van de veldpartijen op het wetsvoorstel is er een deskundigenbijeenkomst georganiseerd. Tijdens deze bijeenkomst is de “gespecificeerde toestemming” wederom uitgebreid aan de orde gekomen. Zo werd opgemerkt dat dit betekent dat een nieuwe term wordt geïntroduceerd in de toestemmingsliteratuur. De vraag is echter wat “gespecificeerde toestemming” betekent. De WGBO en de Wbp gaan immers uit van ‘toestemming’, die per definitie ‘voldoende specifiek’ moet zijn en ook ‘in vrijheid gegeven en op voldoende informatie gebaseerd’ zijn. In de Memorie van Antwoord bij het wetsvoorstel geeft de Minister een nadere toelichting op de “gespecificeerde toestemming”: Zo geeft de Minister aan: “Het zal bijvoorbeeld niet voldoende zijn om aan te geven dat alle fysiotherapeuten in de regio zijn aangesloten als niet duidelijk is tot waar de regio zich uitstrekt. Om als cliënt gespecificeerde toestemming te kunnen geven, moet helder zijn welke zorgaanbieders horen bij een aan te duiden categorie. Alle medische specialisten in Utrecht als categorie is niet gespecificeerd genoeg, de medisch specialisten van ziekenhuis X of de internisten van ziekenhuis Y en Z wel.” Het zal dus van groot belang zijn de cliënt goed te informeren over de reikwijdte van zijn (gespecificeerde) toestemming. Aan welke exacte criteria deze informatieplicht moet voldoen is niet duidelijk. Dat roept volgens de deskundigen de vraag op of de cliënt voldoende inzicht heeft in de reikwijdte van zijn toestemming, met alle privacyrisico’s van dien. Gezien het aantal en de complexiteit van de gestelde vragen heeft de Minister in een brief aan de voorzitter van de Eerste Kamer laten weten dat het niet mogelijk is de vragen binnen de gestelde termijn te beantwoorden. Om die reden is de behandeling van dit wetsvoorstel voorlopig uitgesteld en zal de Eerste Kamer voor Volksgezondheid, Welzijn en Sport (VWS) wachten op een nadere memorie van antwoord. De Minister heeft gezegd ‘de zomer’ nodig te hebben om uit te zoeken hoe een “gespecificeerde toestemming” kan worden gegeven aan zorgverleners om in het medisch dossier te mogen kijken. Daarbij wil de Minister bovendien nagaan voor hoeveel extra administratieve belasting dit zal zorgen bij individuele zorgverleners.