De AVG-Helpdesk geeft informatie over allerlei privacy- en AVG-gerelateerde onderwerpen. Onderstaande infographic geeft een overzicht over welke AVG en aanverwante (bestaande) wet- en regelgeving het zorgveld bij de Helpdesk terecht kan. Ook staat bij elke wet beknopt uitgelegd wat deze inhoudt of hierin is geregeld.
Klik op een plusje voor meer uitleg of download de infographic wet- en regelgeving.
Uitleg van de nummers in de afbeelding
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)
In de Wabvpz wordt onder andere het gebruik van het Burgerservicenummer (BSN) en vormen van digitale uitwisseling van medische gegevens tussen zorgverleners geregeld. Het BSN is een uniek persoonsnummer waarmee elk persoon staat ingeschreven in de Basisregistratie Personen (BRP).
Het BSN wordt gebruikt om persoonsverwisseling te voorkomen, maar ook voor het declareren van facturen bij de zorgverzekeraar.
Verder zijn in de Wabvpz verschillende patiëntenrechten vastgelegd, zoals:
- het recht op kosteloos en digitale inzage en afschrift van het medisch dossier;
- het recht om kosteloos en digitaal afschrift te krijgen van een loggingoverzicht (overzicht van wie er in het medisch dossier heeft gekeken);
- het recht om gegevens aan het medisch dossier toe te voegen.
Uitvoeringswet AVG (UAVG)
De AVG is een Europese Verordening die rechtstreeks in Nederland doorwerkt. Ondanks de rechtstreekse doorwerking kunnen Europese lidstaten op bepaalde onderwerpen aanvullende wetgeving invoeren. In Nederland heet deze aanvullende wet de UAVG.
De UAVG bepaalt onder andere dat een kind onder de 16 jaar niet zelfstandig toestemming mag geven. Daarnaast zijn er aanvullende bevoegdheden voor de <a href="https://autoriteitpersoonsgegevens.nl/over-de-autoriteit-persoonsgegevens">Autoriteit Persoonsgegevens</a> (AP) vastgelegd.
De UAVG is van toepassing op in Nederland gevestigde zorgaanbieders én op zorgaanbieders die geen vestiging in de EU hebben, maar wel in Nederland diensten en goederen aanbieden. Als een lidstaat zijn eigen UAVG kan maken, kan dit leiden tot verschillende toepassingen van de AVG op dezelfde zorgaanbieder van buiten de EU.
Wet elektronische gegevensuitwisseling in de zorg (Wegiz)
De Wegiz maakt het mogelijk dat aangewezen gegevensuitwisseling tussen zorgverleners én tussen zorgverleners en patiënten, genormaliseerd en elektronisch plaatsvindt. Deze digitale uitwisseling van gezondheidsgegevens moet goed beveiligd zijn. De voorwaarden hiervoor zijn vastgelegd in NEN-normen, kwaliteitsstandaarden en informatiestandaarden.
Bij de ontwikkeling van NEN-normen zorgt de minister via richtinggevende kaders dat de rechten van patiënten behouden blijven. Kortom, de Wegiz gaat niet direct over privacy, maar bepaalt slechts hoe gezondheidsgegevens moeten worden uitgewisseld (genormaliseerd en elektronisch). De Wegiz past binnen de huidige privacywetgeving (zoals de AVG, WGBO en Wabvpz).
Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)
De Wet BIG is een wet die regels stelt aan de beroepsuitoefening van gezondheidszorgberoepen. De wet is van toepassing op een groot aantal beroepen in de gezondheidszorg, waaronder artsen, tandartsen, verpleegkundigen, fysiotherapeuten- en psychotherapeuten. Het doel van deze wet is het beschermen van de patiënt tegen (mogelijk) ondeskundig en onzorgvuldig handelen van zorgverleners.
De Wet BIG stelt onder andere regels aan opleidingseisen, het medisch beroepsgeheim en voorbehouden handelingen (bepaalde handelingen mogen bijvoorbeeld alleen door artsen worden gedaan). De Wet BIG bevat ook strafbepalingen (tuchtrecht) voor zorgverleners. Het doel van dit tuchtrecht is om de zorgverlener die schade aan de patiënt of een kans daarop doet ontstaan, strafrechtelijk te kunnen vervolgen. Dit kan leiden tot waarschuwingen, boetes of schorsingen.
Kortom, de Wet BIG legt verantwoordelijkheden en bevoegdheden van een aantal beroepen in de gezondheidszorg vast en beschermt de patiënt.
Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
De Wkkgz heeft als doel het verbeteren van de kwaliteit van de zorg en het versterken van de positie van patiënten. De wet verplicht zorgaanbieders om zorg van goede kwaliteit te leveren en ervoor te zorgen dat patiënten tevreden zijn.
Zorgaanbieders moeten klachten van patiënten serieus nemen en een klachtenregeling aanbieden. Een klachtenfunctionaris kan het gesprek tussen zorgverlener en patiënt op gang brengen. Uit onderzoek blijkt dat patiënten niet altijd tevreden zijn over de manier waarop zorgverleners hun klacht afhandelen. Lost een gesprek tussen een patiënt en zorgaanbieder niets op, dan kan de patiënt een geschil voorleggen aan een geschilleninstantie. De geschilleninstantie doet een uitspraak waar zowel zorgverlener als patiënt zich aan moet houden. Zorgaanbieders zijn verplicht zich aan te sluiten bij een door de minister erkende geschilleninstantie.
Tot slot verplicht de Wkkgz zorgaanbieders om melding te doen bij de Inspectie voor de Gezondheidszorg- en Jeugd (IGJ) als er sprake is van een ernstig incident in de zorgverlening.
Kortom, de Wkkgz gaat over het leveren van goede zorg; voor wat betreft privacy verwijst de wet naar de AVG.
Besluit elektronische gegevensverwerking door zorgaanbieders (Begz)
Het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) is een algemene maatregel van bestuur (amvb), waarin wettelijke regels worden uitgewerkt.
De Begz is een uitwerking van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). De Begz gaat over de verwerking van persoonsgegevens door zorgaanbieders, zoals ziekenhuizen, huisartsen en apothekers.
Dit besluit verplicht zorgaanbieders dat hun systemen voldoen aan de veiligheids- en zorgvuldigheidseisen uit de NEN 7510 én dat gebruikt wordt gemaakt van veilige verbindingen (NEN 7512). Daarbij moeten zorgaanbieders een register bijhouden van gegevensverwerkingen en moeten zij zich houden aan de bewaartermijnen die van toepassing zijn (NEN 7513).
NEN-normen
NEN staat voor “Nederlands Normalisatie-instituut”. NEN beheert normen en stelt deze vast. In NEN-normen staan regels die in samenspraak met meerdere partijen uit het (zorg)veld zijn opgesteld en waar dus ook draagvlak voor bestaat. Hierdoor kan de wetgever verwijzen naar deze NEN-normen. Voor zorgaanbieders zijn dit drie belangrijke normen:
- De NEN 7510 gaat over beveiliging van persoonsgegevens in de zorgsector. In het kort is de NEN 7510 bedoeld om de vertrouwelijkheid en beschikbaarheid van persoonlijke gezondheidsinformatie te verzekeren. Zo zijn zorgaanbieders verplicht persoonsgegevens van patiënten veilig op te slaan, veilig te verwerken en veilig uit te wisselen. Zorgaanbieders moeten mogelijke risico’s voor de beveiliging van persoonsgegevens herkennen, bespreken en beheersen. Hieruit volgt dat de toegang tot persoonsgegevens bijvoorbeeld alleen mag worden verleend aan zorgverleners (en andere medewerkers) die deze gegevens nodig hebben voor hun werk.
- De NEN 7512 gaat onder andere over communicatie tussen zorgverleners, zorgaanbieders, zorgverzekeraars en patiënten. NEN 7512 biedt een vertrouwensbasis voor gegevensuitwisseling in de gezondheidszorg. Deze norm vult de NEN 7510 aan. De aanvulling ziet er op toe dat (zorg) partijen elkaar zekerheden moeten bieden als het gaat om onderlinge gegevensuitwisseling, zoals het gebruik van beveiligde verbindingen.
- De NEN 7513 gaat onder andere over het vastleggen van bepaalde handelingen in digitale medische dossiers, ook wel logging genoemd. Het medisch dossier bevat gevoelige informatie, dus het is belangrijk om te weten wie ernaar heeft gekeken en welke acties de zorgverlener in het medisch dossier heeft ondernomen.
Wet op de geneeskundige behandelingsovereenkomst (WGBO)
In de WGBO staan alle rechten en plichten van zorgverleners die zorg geven én van patiënten die zorg ontvangen. Voor de start van een behandeling moet de zorgverlener de patiënt informeren over zijn gezondheidstoestand en de behandelingsopties, zodat de patiënt een goed doordachte beslissing kan nemen over de behandeling.
Van de patiënt wordt verwacht dat hij eerlijk vertelt wat zijn situatie is. De patiënt heeft het recht om de behandeling te weigeren of te stoppen. Als zorgverlener mag je dus alleen behandelen als de patiënt daar toestemming voor geeft en begrijpt waarvoor hij toestemming geeft.
Andere patiëntenrechten uit de WGBO hebben betrekking op privacy. Zo zijn de gesprekken tussen de zorgverlener en patiënt vertrouwelijk en mogen medische gegevens niet zomaar met anderen worden gedeeld, tenzij er bijvoorbeeld sprake is van een veronderstelde toestemming of behandelrelatie. Het recht op privacy geldt in principe ook na het overlijden van de patiënt.
Kortom, de WGBO is een belangrijke wet die regels vaststelt voor hoe zorgverleners en patiënten met elkaar om moeten gaan.
Algemene Verordening Gegevensbescherming (AVG)
De AVG is Europese wetgeving die bepaalt op welke manier onder andere zorgaanbieders, ongeacht hun omvang of activiteiten binnen de EU, persoonsgegevens verzamelen en verwerken. De verwerking van deze gegevens moet voldoen aan specifieke voorwaarden. De AVG verbiedt de verwerking van bijzondere persoonsgegevens (zoals medische gegevens), tenzij er specifieke uitzonderingen van toepassing zijn en sprake is van een verwerkingsgrondslag.
Een voorbeeld van zo’n uitzondering is het geven van ‘uitdrukkelijke toestemming’. Op grond van de AVG hebben patiënten onder andere het recht om hun verwerkte gegevens te controleren en eventueel te laten verwijderen. Verder moeten zorgaanbieders maatregelen nemen om de veiligheid van persoonsgegevens te garanderen. Doen zorgaanbieders dit niet, dan kan de Autoriteit Persoonsgegevens (AP) sancties (zoals een boete, last onder dwangsom, verwerkingsverbod, berisping of waarschuwing) opleggen.
Zorgaanbieders die op grote schaal bijzondere persoonsgegevens verwerken, moeten een functionaris voor de gegevensverwerking (FG) in dienst hebben. Kortom, de AVG beschermt onder andere de privacy van patiënten en stimuleert zorgaanbieders verantwoordelijk om te gaan met persoonsgegevens.