Vraag van de maand

Bij het verwerken van gegevens zijn de volgende twee begrippen belangrijk: verwerkingsverantwoordelijke en verwerker. Maar wat is het verschil tussen deze twee?

• Verwerkingsverantwoordelijke; Deze persoon of organisatie bepaalt waarom en hoe persoonsgegevens worden gebruikt en is hier verantwoordelijk voor.
• Verwerker; Deze persoon of organisatie voert opdrachten uit namens de verwerkingsverantwoordelijke en mag zelf geen beslissingen nemen over de gegevens.

Wie inzage heeft in het medisch dossier hangt af van de situatie binnen de jeugdzorginstelling:

• Gezinsouders als onderaannemers: Werken de gezinsouders in opdracht (onderaannemerschap) van een jeugdzorginstelling? Dan is de instelling verantwoordelijk voor de gegevens. De gezinsouders mogen geen eigen beslissingen nemen over het medisch dossier. De jeugdzorginstelling beslist of een ouder inzage krijgt.
• Gezinsouders in dienst van een jeugdzorginstelling: Zijn de gezinsouders in loondienst bij een jeugdzorginstelling? Dan is de instelling verantwoordelijk en bepaalt de instelling of de ouder het medisch dossier mag inzien.
• Zelfstandig gezinshuis: Werken de gezinsouders als zelfstandigen? Dan zijn zij zelf verantwoordelijk voor de gegevens en mogen zij beslissen over inzage in het medisch dossier.

Vraag

Onze sportvereniging organiseert een reünie. Hiervoor sturen we een uitnodiging via e-mail en per post. Ook maken we gebruik van social media. Hoe moeten we omgaan met de persoonlijke gegevens van de mensen die zich aanmelden voor de reünie?

Antwoord

Het verwerken van persoonlijke gegevens van deelnemers valt onder de AVG. Deze verordening reguleert de verwerking van persoonsgegevens. Hieronder staan enkele stappen en richtlijnen die kunnen helpen om volgens de AVG te handelen:

1. Voor het verzamelen en verwerken van persoonlijke gegevens is toestemming nodig. Dit kan via een toestemmingsverklaring op het inschrijfformulier of in de uitnodiging zelf. In deze verklaring moet specifiek aangeven welke gegevens worden verzameld, waarvoor ze worden gebruikt en hoe lang ze worden bewaard.
2. Beperk de gegevensverzameling: Verzamel alleen de gegevens die echt nodig zijn voor de reünie. Bijvoorbeeld naam, contactgegevens, in welk team iemand zat en in welke jaren.
3. Beveiliging: Bewaar de gegevens op een veilige plek, zoals op een goed beveiligde computer of in de cloud.
4. Bewaartermijn: Bewaar gegevens alleen zolang het nodig is voor de reünie. Verwijder ze daarna.
5. Transparantie: Vertel deelnemers duidelijk hoe je hun gegevens gebruikt, wie erbij kan en hoelang je ze bewaart.
6. Neem de nodige voorzorgsmaatregelen bij de inzet van social media om persoonlijke gegevens van deelnemers niet onnodig te delen.

Op grond van de AVG is een verwerkersovereenkomst vereist wanneer gegevens worden verwerkt door een verwerker namens de verwerkingsverantwoordelijke. Een verwerker is iemand die in opdracht van een andere organisatie persoonsgegevens verwerkt, maar niet gebruikt voor eigen doeleinden.

Een voorbeeld van een verwerker is een administratiekantoor dat wordt ingeschakeld om salarisuitbetalingen te verwerken of een clouddienst die persoonsgegevens opslaat voor een zorgaanbieder.

Wanneer sprake is van hoofd- en onderaannemerschap, is het alleen verplicht om een verwerkersovereenkomst af te sluiten als de onderaannemer persoonsgegevens verwerkt. De verwerkersovereenkomst vult de overeenkomst voor hoofd- en onderaannemerschap aan en vervangt deze niet. Beide overeenkomsten kunnen dus naast elkaar bestaan.

Wanneer je als onderaannemer ISO 9001 gecertificeerd bent, is het niet nodig om een VOG en/of diploma van een betrokken medewerker toe te sturen aan een hoofdaannemer (opdrachtgever). Op grond van de ISO 9001 (paragraaf 7.2) ben je verplicht om de benodigde competenties van de eigen werknemers vast te stellen.

Als de hoofdaannemer vraagt om een VOG en/of diploma van een werknemer, moet dit goed worden gemotiveerd. Het kan voorkomen dat de hoofdaannemer een wettelijke verplichting heeft om een kopie van de VOG te verwerken. In dat geval is er wel een noodzaak en wettelijke grondslag om een VOG te verstrekken.

Gelet op het feit dat een onderaannemer in het bezit is van een ISO 9001 certificaat, en als gevolg hiervan de aanwezigheid van de genoemde documenten via audits is getoetst, lijkt het onwaarschijnlijk dat de hoofdaannemer een noodzaak heeft bij het verkrijgen van een VOG en/of diploma van een werknemer van de onderaannemer.

Mag je voor leerdoeleinden (bijzondere) persoonsgegevens inzien, als de persoonsgegevens oorspronkelijk voor een ander doel gegeven zijn?

Antwoord

Nee. Dit is alleen toegestaan met expliciete toestemming van de betrokkene of diens vertegenwoordiger.

Antwoord
Het verwerken van een ledenlijst valt onder de AVG, die de bescherming van persoonsgegevens regelt. Een sportvereniging mag in principe een ledenlijst aan leden beschikbaar stellen. De AVG-Helpdesk adviseert wel om tijdens een ledenvergadering dit eenmalig als verzoek neer te leggen en hierover te stemmen.

Met een ledenlijst wordt uitdrukkelijk niet het gehele ledenbestand bedoeld, waarin zich méér gegevens bevinden (contactgegevens, financiële gegevens etc.),. Met een ledenlijst bedoelen we slechts een lijst met namen van personen die lid zijn van de sportvereniging. De AVG vereist immers dat de verwerking van persoonsgegevens beperkt blijft tot wat strikt noodzakelijk is voor de beoogde doeleinden van de verwerking.

Meer informatie is te vinden op de pagina sportverenigingen en persoonsgegevens.

Een vrouw, zonder zorgindicatie, woont zelfstandig in een aanleunwoning bij een zorginstelling, neemt maaltijden af en doet mee met activiteiten. De zorginstelling houdt een elektronisch dossier (inclusief toestemmingsverklaring) voor haar bij. Is dit toegestaan?

Antwoord

Volgens de AVG dienen organisaties transparant te zijn over hoe ze persoonsgegevens verwerken en moeten ze een grondslag hebben voor het verwerken van deze gegevens. Een toestemmingsverklaring kan een van die grondslagen zijn.

Wanneer je maaltijden afneemt én deelneemt aan activiteiten bij de zorginstelling, is het mogelijk dat er persoonsgegevens worden verwerkt voor administratieve doeleinden, bijvoorbeeld voor het bijhouden van maaltijdreserveringen of deelname aan activiteiten. In zo’n geval is het redelijk dat de instelling bepaalde gegevens nodig heeft voor het leveren van diensten. De gegevens die worden verwerkt moeten wel noodzakelijk zijn voor het doel waarvoor ze worden verwerkt. Als dit niet noodzakelijk is voor de diensten die aan de vrouw worden verleend, moet de zorginstelling hier per direct mee te stoppen.

De zorginstelling moet zich dus aan de AVG houden wanneer zij gegevens verzamelt. De zorginstelling hoort de vrouw bijvoorbeeld duidelijk te informeren over welke gegevens er worden verzameld en waarvoor ze worden gebruikt. Daarnaast zal de zorginstelling een zogenaamde grondslag moeten hebben. De grondslag kan toestemming zijn. Bovendien moet de vrouw op elk moment de mogelijkheid hebben om haar toestemming in te trekken of haar gegevens in te zien en te laten wijzigen wanneer deze niet kloppen.

Bij het aanmelden voor een polibezoek bij de aanmeldzuil van het ziekenhuis, wordt het ID-bewijs gelezen en vervolgens aan de patiënt toestemming gevraagd of een kopie van de pasfoto mag worden opgeslagen in het patiëntendossier. Mag de patiënt dit weigeren?

Antwoord

Ja, de patiënt mag weigeren om een pasfoto op te slaan in het patiëntendossier. Wel geldt in de zorg een identificatieplicht. Dit houdt in dat de patiënt een geldig identiteitsbewijs moet tonen als het medische zorg krijgt. Hierdoor weet je als zorgverlener dat de patiënt echt is die hij zegt te zijn. Als ziekenhuis mag je een patiëntenpas gebruiken met een foto, zodat de patiënt niet bij elk bezoek een identiteitsbewijs hoeft te laten zien.

Lees hier meer over identificatieplicht.

Vraag 1

Via de post heb ik een patiënt een oproep gestuurd voor de griepprik. Dit was een gesloten en persoonlijk geadresseerde vensterenvelop met op de buitenkant gedrukt ‘dit is een bericht van uw huisarts’. Patiënt vindt echter dat er op de uitnodiging privé en vertrouwelijk had moeten staan, omdat de uitnodiging niet altijd iets te maken heeft met leeftijd. De uitnodiging kan ook op grond zijn van bijvoorbeeld een chronische aandoening die niemand wat aangaat. Heeft deze patiënt gelijk?

Vraag 2

Cliënt heeft via de post een rapportage ontvangen met daarin zeer gevoelige en persoonlijke informatie over de gezinsproblematiek. Cliënt vraagt zich af waarom deze informatie per post is verstuurd en niet via versleutelde e-mail.

Antwoord

In beide gevallen geldt dat de zorgprofessional niet onjuist heeft gehandeld. Het versturen van (gevoelige) informatie per post is volgens de AVG toegestaan. Geadviseerd wordt om de post aangetekend te versturen en/of de envelop te voorzien met de tekst ‘vertrouwelijk’. Meer hierover vind je op onze pagina Medische gegevens per post.

Het versturen van (gevoelige) informatie per e-mail is ook mogelijk al is dit niet altijd wenselijk. Een fout is hierbij namelijk makkelijk gemaakt. De gegevens toch per post versturen? Check dan vooral onze pagina Gegevens delen per mail voor tips hoe je dit het beste kunt doen.

Als zorgprofessional ontvang ik regelmatig informatieverzoeken, onder meer van medisch adviseurs van letselschade deskundigen. Soms zijn deze verzoeken niet ondertekend of opgesteld door een arts, maar door een secretaresse. Zo is het onduidelijk of een medisch adviseur de aanvraag doet en zo ja, wie. In die gevallen verzoek ik om meer informatie, maar krijg ik vaak telefonisch geen gehoor of schriftelijk geen reactie. Hoe moet ik met dergelijke verzoeken omgaan?

Antwoord

Het delen van een medische gegevens mag alleen als cliënt/patiënt daar expliciet toestemming voor heeft gegeven. In de praktijk komt het vaak voor dat administratief medewerkers de gegevens namens de medisch adviseur opvragen. Ook administratief medewerkers zijn verbonden aan het medisch beroepsgeheim van de medisch adviseur, dit wordt het afgeleid beroepsgeheim genoemd. Als er wordt getwijfeld aan de administratief medewerker is het advies om rechtsstreeks contact op te nemen met de medisch adviseur. Heb je als behandeld arts twijfels over de verstrekking van de gevraagde informatie? Neem contact op met de patiënt om af te stemmen met wie welke informatie mag worden gedeeld.

Na toestemming van de cliënt is het toegestaan om het dossier te delen met de medisch adviseur. Dit kan per post of via beveiligde mail.

Het is ook mogelijk om het dossier door de client zelf op te laten halen. Vervolgens kan de client het dossier zelf afgeven bij de medisch adviseur.

In onze zorginstelling worden baxterzakjes in de prullenbak op de kamer van de cliënt weggegooid. Mag dit?

Antwoord

Baxterzakjes zijn zakjes waarbij tijdens een geautomatiseerd proces medicatie voor patiënten in wordt gedaan. Op deze zakjes staat privacygevoelige informatie zoals onder andere de naam van de patiënt, de soort en hoeveelheid medicatie. Deze zakjes mag je daarom niet zomaar in de prullenbak weggooien. Overleg met je werkgevern of verstrekker hoe je de zakjes verantwoord kunt verwerken. Denk bijvoorbeeld aan het onleesbaar maken van de gegevens met een watervaste stift of het doorknippen van de zakjes. Ook zijn er zakjes waarbij de inkt op het zakje eenvoudig met water is weg te halen of papieren zakjes, die lijken op plastic, maar door een papierversnipperaar mogen. Daarnaast bestaan er speciale afvalcontainers waar de zakjes in kunnen worden gedeponeerd.

Mijn zorgverlener is recent gestopt en stelt dat zij het medisch dossier van mijn kind zeven jaar moet bewaren. Het gaat om een cliënt rapportage systeem. Klopt dit?

Antwoord

De termijn van zeven jaar voor het bewaren van een financiële administratie geldt niet voor medische gegevens. De hoofdregel is dat een zorgaanbieder het dossier van uw kind 20 jaar moet bewaren. Deze termijn is gerekend vanaf het tijdstip dat het dossier voor het laatst is gewijzigd.

In sommige gevallen kan het medisch dossier zelfs langer worden bewaard:

• wanneer er een andere wettelijke bewaartermijn is (Archiefwet);
• wanneer dit noodzakelijk is voor goede hulpverlening (chronische ziekte);
• wanneer de medische gegevens belangrijk zijn voor een ander, zoals bij genetische gegevens (in het kader van een erfelijke ziekte) het geval kan zijn.

Op de pagina bewaartermijnen staan alle bewaartermijnen toegelicht.

Vraag

Onze apotheek verstuurt facturen per post met NAW-gegevens (naam, adres en woonplaats), geboortedatum en BSN-nummer van de patiënt. Een patiënt maakte bezwaar wegens fraudegevoeligheid, vooral bij verkeerd bezorgde brieven. Is dit bezwaar terecht?

Antwoord

De apotheek moet bepalen welke persoonsgegevens noodzakelijk zijn om op een factuur te plaatsen. Wanneer een apotheker een factuur verstuurd aan de zorgverzekeraar, is het toegestaan en zelfs verplicht om het BSN van de patiënt op de factuur te plaatsen. Dit is vastgelegd in hoofdstuk 2 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).

Het is niet nodig en niet toegestaan om het BSN op facturen te plaatsen die naar andere partijen gaan dan de zorgverzekeraar, zoals de patiënt zelf. Daarnaast dient de apotheker te beoordelen welke andere persoonsgegevens, zoals adresgegevens, geboortedatum en naam verder noodzakelijk zijn om op de factuur te plaatsen. Zo zal de zorgverzekeraar de adresgegevens van de patiënt niet nodig hebben.

Lees hier meer over gegevens delen per post en het gebruik van het BSN in de zorg.

Wat is een baxterzakje?
Een baxterzakje is onderdeel van een medicijnrol. Op het baxterzakje staat belangrijke informatie zoals: de dag en datum van de inname, innametijdstip, naam en beschrijving van het geneesmiddel en de persoonsgegevens van de patiënt, zoals geboortedatum en naam. Baxterzakjes zijn ontworpen om medicatiefouten te verminderen en de therapietrouw van patiënten te verbeteren. Voor zover bekend wordt het BSN niet vermeld op het baxterzakje.

Antwoord

In de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) staat dat zorgaanbieders het BSN van patiënten verplicht moeten registreren. Dit is noodzakelijk om fouten bij de uitwisseling van financiële en medische gegevens en persoonsverwisselingen te voorkomen.

Om de vraag te kunnen beantwoorden of het BSN mag worden vermeld op de baxterrol, dient er gekeken te worden naar de noodzakelijkheid van de gegevensverwerking, oftewel, is het vermelden van het BSN op de baxterzakjes noodzakelijk om het doel te bereiken?

Een baxterzakje moet voldoende informatie bevatten om te garanderen dat de juiste medicijnen aan de juiste patiënt worden toegediend. Hiervoor zijn de NAW-gegevens en de geboortedatum van een patiënt voldoende. Het gebruik van het BSN voegt in dit geval niets toe. Daarbij komt het gebruik van het BSN voor dit doeleinde niet overeen met wat is bepaald in de Wbsn-z.

Lees hier meer over BSN in de zorg op onze website of lees de aanbevelingen van de Autoriteit Persoonsgegevens.

Antwoord

De verplichting om te loggen is onderdeel van de wettelijke verplichting om persoonsgegevens te beveiligen. Daarnaast heeft het Nederlands Normalisatie Instituut (NEN) een norm vastgesteld over logging (NEN 7513). Verwerkingsverantwoordelijken voor een Elektronisch Uitwisselingssysteem (EUS) en/of zorginformatiesysteem, zijn verplicht om ervoor te zorgen dat genoemde systemen voldoen aan de eisen van NEN 7513.

Logging is verplicht, omdat de dossierhouder moet kunnen zien wie gegevens uit zijn of haar dossier(s) heeft geraadpleegd. Dit houdt in dat de dossierhouder onweerlegbaar moet kunnen vaststellen welke gebeurtenissen hebben plaatsgevonden in het dossier.
De Gedragscode van de KNMG vereist geschikte logging met toepasselijke controleprocedures. De hoeveelheid aan loggingcontroles is niet vastgelegd in de wet, maar het periodiek controleren van loggegevens wordt aanbevolen om de veiligheid van (patiënt)gegevens te waarborgen. De vraag over wat periodieke controle precies inhoudt, kan blijven bestaan. Hieronder worden enkele uitgangspunten gegeven met betrekking tot periodieke controle:

1. Volgens NEN 7510 is het verplicht om logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, te creëren, te bewaren en regelmatig te beoordelen.
2. Het rapport "Toegang tot digitale patiëntendossiers binnen zorginstellingen" benadrukt dat controle van logging systematisch en consistent moet plaatsvinden. Een steekproefsgewijze controle en/of controle op basis van klachten is niet toereikend.
3. Het doen van slechts één of enkele proactieve steekproeven per jaar wordt als onvoldoende beschouwd om te voldoen aan het vereiste van een passend beveiligingsniveau met betrekking tot logging.
4. De Autoriteit Persoonsgegevens (AP) is van mening dat een wekelijkse controle van dossiers die zijn geraadpleegd via de noodknopprocedure, zonder twijfel voldoet aan de eisen voor een systematische en consistente controle van loggegevens.

Patiënten kunnen bij zorgverleners vragen om een overzicht van de loggegevens. Ook kunnen zij hun gegevens eenvoudig digitaal raadplegen via Volgjezorg.

Om tijdelijk te beschikken over voldoende zorgpersoneel wordt in de zorg steeds vaker gebruik gemaakt van zzp’ers. Voor deze zzp’ers wordt – voor de verschillende systemen – een algemeen invalaccount aangemaakt. Hierdoor is moeilijk te achterhalen welke handelingen de betreffende zzp’er heeft gedaan. Is dit toegestaan?

Antwoord

Door verschillende medewerkers op een algemeen invalaccount te laten werken, is niet meer te controleren welke medewerker wanneer welke aantekeningen heeft gemaakt in een medisch dossier of andere handelingen heeft uitgevoerd. Dit is dan ook niet toegestaan.

Logging

Logging  is een geautomatiseerde registratie van gegevens, die bedoeld is om bij te houden welke gebeurtenissen/handelingen binnen een systeem hebben plaatsgevonden. Door middel van logging in de zorg kan achteraf worden gecontroleerd of er een (goede) reden was voor een medewerker om bijvoorbeeld een bepaald patiëntendossier in te zien.

Voor het verwijderen van een medisch dossier moet een patiënt de volgende stappen nemen:

1. De patiënt/cliënt start een gesprek met de arts of zorginstelling waar de medische gegevens worden bewaard.
2. Artsen of zorginstellingen mogen in sommige gevallen verzoeken weigeren op basis van uitzonderlijke omstandigheden.
3. Indien het verzoek wordt afgewezen, heeft de patiënt/cliënt de mogelijkheid om een klacht in te dienen bij de klachtencommissie van de zorginstelling. U kunt ook de website van de Autoriteit Persoonsgegevens (AP) raadplegen voor verdere begeleiding.

Lees hier meer over vernietiging van medisch dossiers.

De Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) verplicht zorgverleners om een dossier bij te houden voor de behandeling van patiënten. Dit dossier kan zowel op papier als digitaal worden bewaard, omdat de wet geen specifieke richtlijnen aan de exacte vormgeving van het dossier stelt.

Wat betreft de papieren dossiers: zodra deze zijn gescand en digitaal zijn opgeslagen, mogen ze worden vernietigd. Het is dus niet nodig om zowel de papieren versie als de digitale versie te bewaren. Belangrijk is wel dat de digitale scans goed zijn beveiligd en een nauwkeurige en volledige weergave zijn van de originele documenten. Ook moet het digitale dossier te allen tijde toegankelijk en raadpleegbaar zijn.

Welke rechten heeft een patiënt met betrekking tot het eigen medisch dossier of dat van een familielid?

Antwoord:

De AVG en aanverwante wet- en regelgeving geeft de patiënt de volgende rechten als het gaat om het medisch dossier:

1. recht op (elektronische) inzage in en (elektronisch) afschrift (op verzoek van de patiënt wordt de loggingsinformatie ook opgenomen)
2. recht op informatie over gegevensverwerking
3. recht op elektronische inzage of afschrift van de gegevens die digitaal zijn uitgewisseld met andere zorgaanbieders via een elektronisch uitwisselingssysteem of gericht berichtenverkeer
4. recht op het toevoegen van een verklaring
5. recht op de correctie van gegevens
6. recht op beperking van gegevensverwerking
7. recht op het meenemen van persoonsgegevens en over te dragen aan een ander.
8. recht op vernietiging van dossiergegevens

Bovenstaande patiëntenrechten worden door de patiënt zelf uitgeoefend. Bij minderjarige en/of meerderjarige wilsonbekwame patiënten kunnen deze rechten ook door hun vertegenwoordiger(s) worden uitgeoefend.

Wanneer een patiënt komt te overlijden, blijft de geheimhoudingsplicht van een arts gelden. Nabestaanden hebben wél het recht om het medisch dossier in te in de volgende gevallen:

1. toestemming gegeven door de patiënt
2. nabestaanden hebben een mededeling gekregen van een incident
3. een zwaarwegend belang

Meer informatie hierover vind je op onze pagina 'Recht op inzage dossier overledene'

In de dagelijkse praktijk verloopt e-mail vaak over onbeveiligde verbindingen. Dat maakt gewone (onbeveiligde, niet versleutelde) e-mail per definitie geen goed medium voor uitwisseling van medische gegevens. Bovendien is e-mail een bron van bedreigingen, zoals malware en phishing. Tegelijkertijd is alles via de post ook niet meer van deze tijd en is een e-mail stukken sneller.

Om gegevens te kunnen versturen (naar de cliënt of naar een andere zorgverlener) heeft een zorgverlener een grondslag nodig. Er is bijvoorbeeld sprake van een rechtsgeldige grondslag als de cliënt toestemming heeft gegeven voor het versturen van de gegevens.

Als de cliënt toestemming heeft gegeven voor het uitwisselen van de gegevens zal de zorgverlener dit ook op een veilige manier moeten doen. Voor het e-mailverkeer tussen zorgverleners en patiënt of cliënt hanteert de Autoriteit Persoonsgegevens de norm van versleuteling. Een zorgverlener mag dus met zijn cliënt mailen, mits de e-mails versleuteld worden verstuurd. Ook de rest van de beveiliging moet goed geregeld zijn. Denk aan een gebruikersrichtlijn, antivirus- en antispamsoftware en beveiliging van de opslag van e-mails.

Wij bieden psychologische zorg aan volwassen cliënten waarbij we ook diagnostiek uitvoeren. Een van mijn cliënten heeft afgelopen week suïcide gepleegd, terwijl ik deze week zijn diagnostiek resultaten en conclusie zou terugkoppelen.

De familie heeft het verzoek gedaan om de terugkoppeling met de familie te doen, daar de cliënt momenteel is overleden. Cliënt heeft hier geen nadrukkelijke toestemming voor gegeven. Moeder zou, naar eigen zeggen, wel meegegaan zijn naar het terugkoppelingsgesprek samen met de cliënt. Echter heb ik hier geen schriftelijke bevestiging voor gehad.

Graag zou ik willen weten wat toegestaan is binnen de huidige situatie, zodat ik dit met de familie kan bespreken.

Antwoord

Over het algemeen hebben nabestaanden, waaronder erfgenamen, geen recht op inzage in het dossier van een overledene. Hetzelfde geldt bijvoorbeeld voor een verzekeraar of politie/justitie. Deze algemene regel kent echter drie uitzonderingen.

Het inzien van een dossier na overlijden van cliënt mag:

• Als de cliënt bij leven hiervoor toestemming heeft gegeven;
• Als de nabestaanden een mededeling van een incident hebben ontvangen; of.
• Als er sprake is van een zwaarwegend belang.

Voor ouders of voogden van kinderen die op het moment van overlijden nog geen zestien jaar waren, geldt een bijzondere regeling voor inzage in het medisch dossier.  

Hoewel de familie in dit geval aangeeft wel naar het gesprek te zijn meegegaan met cliënt, is hier geen bewijs van. Het dossier mag in dit geval dus niet gedeeld worden met de familie.

Meer informatie over dit onderwerp vind je op onze pagina inzage dossier overledene.

Cliënt x is van onze praktijk overgestapt naar een nieuwe fysiopraktijk in een andere regio. Cliënt wilt graag dat wij haar dossier opsturen naar de nieuwe praktijk. Mag dit?

Antwoord

Voor onder andere artsen, tandartsen, apothekers, GZ-psychologen, psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen geldt het medisch beroepsgeheim. Dit is wettelijk geregeld. Het delen van een dossier mag dus niet zomaar. Hiervoor moet een cliënt uitdrukkelijk toestemming geven. Na deze toestemming is het toegestaan om het dossier te delen met de andere fysiopraktijk. Dit kan via een elektronisch uitwisselingssysteem of via beveiligde e-mail.

Het is ook mogelijk om het dossier door de client zelf op te laten halen. Vervolgens kan de client het dossier zelf afgeven bij de nieuwe praktijk.

Vraag
Ik werk als verpleegkundige in een zorginstelling. Is het vermelden van de achternaam op onze naambadge en in het dossier van een client bij rapportage verplicht? Door vermelding van onze achternaam kunnen andere zorgverleners, bezoekers etc. ons opzoeken op het internet. Dit is niet wenselijk vanwege onze privacy.

Antwoord
Er is in de wetgeving niets vastgelegd over vermelding van zowel voor- als achternaam op naambadges en/of in (digitale) medische dossiers.

Wel heeft een patiënt het recht om te weten wie de persoonsgegevens (die over hem of haar gaan) heeft ingezien of ontvangen. Een zorgaanbieder mag een inzageverzoek (gedeeltelijk) weigeren, bijvoorbeeld als de privacy van een zorgverlener in gevaar komt. De zorgaanbieder zal op dat moment de belangen van de zorgverlener af moeten zetten tegen de belangen van de patiënt. De zorgaanbieder moeten kunnen laten zien dat er een zorgvuldige afweging is gemaakt tussen de belangen van alle genoemde partijen. De persoonsgegevens van een medewerker kunnen zwart gelakt worden, als de zorgaanbieder tot de conclusie komt dat de belangen van de patiënt niet opwegen tegen de belangen van de zorgverlener.

Gezien de zorgen over uw privacy en de mogelijke ongewenste gevolgen van het delen van uw volledige naam, lijkt het verstandig om beleid te ontwikkelen dat ervoor zorgt dat de privacy van zowel patiënten als zorgverleners wordt beschermd. Dit kan inhouden dat er gekozen wordt voor het gebruik van voornamen of initialen op naambadges en in dossiers, in plaats van volledige namen.

In het kader van veiligheid, transparantie en professionaliteit, moeten zorgverleners hun naam kenbaar maken aan de cliënt. Het helpt cliënten om te weten wie hen verzorgt. Dit bevordert het vertrouwen en de communicatie tussen de zorgverlener en de cliënt.

Er kunnen echter uitzonderlijke situaties zijn waarin een zorgverlener bezwaar maakt tegen het delen van zijn of haar volledige naam, bijvoorbeeld vanwege persoonlijke veiligheidsredenen. Dit kan het geval zijn als er sprake is van bedreigingen of andere veiligheidsrisico’s. In dergelijke situaties kan de zorgverlener ervoor kiezen om alleen de voornaam of een pseudoniem te gebruiken om de eigen veiligheid te waarborgen.

Wel is het belangrijk dat de zorgverlener nog steeds herkenbaar en bereikbaar blijft voor cliënten en collega’s, en dat de kwaliteit van de zorg niet in het geding komt. In zulke gevallen is het belangrijk om dit te bespreken met de werkgever of de betreffende zorginstelling om tot een passende oplossing te komen.

Vanwege een aangetoond zwaarwegend belang heb ik inzage gekregen in het medisch dossier van mijn overleden partner. Nu ik recht heb op inzage in het medisch dossier en afschrift, heb ik dan ook in aanvulling op dat recht (artikel 15e Wabvpz) recht op het inzien van de logging?

Antwoord

De gegevens over logging maken geen deel uit van het medisch dossier. Hoewel u, op grond van een zwaarwegend belang, wel recht heeft op inzage in het medisch dossier heeft u dus geen recht op inzage in de logging.

Antwoord

Een medisch dossier mag alleen over worden gedragen als dit in overeenstemming is met de AVG en de wetgeving die ziet op de geneeskundige behandelingsovereenkomst en het medisch beroepsgeheim (WGBO).

Dit houdt in dat het niet is toegestaan om gezondheidsgegevens van een patiënt aan derden te verstrekken zonder toestemming van de patiënt. Deze toestemming is volgens de WGBO niet nodig, wanneer een andere zorgaanbieder (zoals bijvoorbeeld een onderaannemer die gespecialiseerd is in autismezorg) rechtstreeks betrokken is bij dezelfde behandeling van de patiënt.

Voor het antwoord op bovenstaande vraag is het dus van belang met wie de patiënt een behandelingsovereenkomst heeft gesloten:

• alleen met de hoofdaanbieder (waar de onderaannemer onder valt), of;
• afzonderlijk met de onderaannemer

Als een patiënt een behandelovereenkomst met alleen de hoofdaanbieder sluit en de onderaannemer als ‘hulppersoon’ (ook wel medebehandelaar genoemd) wordt ingeschakeld, dan is voor de uitwisseling van gezondheidsgegevens geen toestemming van de patiënt vereist. Kan de onderaannemer niet worden aangemerkt als medebehandelaar, omdat de onderaannemer afzonderlijk een behandelingsovereenkomst met dezelfde patiënten sluit, is voor de uitwisseling van gezondheidsgegevens – tussen de hoofdaanbieder en onderaannemer –  wel toestemming nodig.

Als fysiotherapeut verstuur ik informatie van naar huisartsen, zonder eerst toestemming te vragen aan de patiënten. Zo weet de huisarts als vaste behandelaar wat er speelt en kan ik eraan bijdragen dat een eventuele vervolgbehandeling in de eerste lijn aansluit op de behandeling die wij hebben ingezet. Mag dit?

Antwoord

Bij verwijzing van een patiënt door de huisarts mag de fysiotherapeut een terugkoppeling geven aan de verwijzend huisarts, ook zonder expliciete toestemming van de patiënt. In dit geval mag worden verondersteld dat de patiënt ook instemt met de terugkoppeling van de fysiotherapeut aan de verwijzend huisarts. Juridisch gesproken wordt een verwijzend arts gezien als medebehandelaar. Voor het uitwisselen van noodzakelijke gegevens is dan geen toestemming van de patiënt vereist.

Is er geen verwijzing van de huisarts geweest? Dan wordt de huisarts niet gezien als medebehandelaar. De fysiotherapeut moet dan aan de patiënt toestemming vragen voor het informeren van de huisarts. Geeft de patiënt geen toestemming? Noteer dan in het medisch dossier dat de patiënt terugkoppeling heeft geweigerd.