BLOG: De AVG en andere gezondheidsrechtelijke wetgeving, hoe zit het nu ?

Door Mr. Evert-Ben van Veen

Inleiding

Wie vanuit een algemene privacy achtergrond, dus de AVG, binnen de zorg gaat werken, duizelt het soms. Want name in de zorg is veel meer wetgeving van toepassing die oo gegevensverwerking betrekking heeft. Hoe is de verhouding tussen die wetten en de AVG? Dit artikel geeft op die vraag een globaal antwoord.

Over welke andere wetten hebben wij het dan?

Ter introductie, waarom zijn er zoveel? Dat komt omdat de zorg bij uitstek een veld is waar veel waarden samenkomen. Wij willen dat de zorg voor iedereen toegankelijk is en van goede kwaliteit. De zorg moet ook betaalbaar blijven. Zorgverlening is zelden meer een éénpersoons activiteit. Er wordt door een team samengewerkt binnen één zorgaanbieder en dezelfde patiënten worden soms door verschillende zorgaanbieders behandeld. En daar komt nog iets bij. Patiënten of cliënten in de zorg zijn veelal kwetsbaar. Het recht beoogt ook om ongelijkheid in feitelijke verhoudingen (meer) in evenwicht te brengen. Zie bijvoorbeeld het arbeidsrecht of het huurrecht. Die ongelijkheid, onder meer door het verschil in kennis en de genoemde kwetsbaarheid van de patiënt, geldt ook voor de zorg. Veel gezondheidsrechtelijke wetgeving wil die ongelijkheid compenseren.

Dus er is veel wetgeving. Hieronder worden de voornaamste genoemd, die later worden uitgewerkt. In de dagelijkse praktijk zul je als privacy adviseur met die min of meer regelmatig in aanraking komen. Maar er is (veel) meer[1].

We behandelen in het vervolg:

• De Wet op de geneeskundige behandelingsovereenkomst (WGBO, opgenomen als een aparte afdeling van het Burgerlijk Wetboek, BW);
• De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz);
• De Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
• De Zorgverzekeringswet (Zvw);
• De Wet publieke gezondheid (WPG).

Voor wie de zorg al kent, ja, er is ook de Wet beroepen in de individuele gezondheidszorg (Wet BIG). En wie in de zorg ICT werkt, mist de Wet elektronisch gegevensverwerking in de zorg (Wegiz). Maar we concentreren ons hier om de rechten van betrokkenen (de AVG term) of patiënten/cliënten (in gezondheidsrechtelijke termen) met betrekking tot de op hen betrekking hebbende gegevens.

In de toekomst komt daar bij de European Health Data Space Regulation (EHDS, iedereen benoemt die nieuwe regeling met de Engelse naam). De EHDS zal pas over een aantal jaren in werking treden en laten wij hier buiten beschouwing.[2] Ook secondair gebruik voor wetenschappelijk onderzoek wordt in dit overzicht niet besproken. Dat komt in een apart artikel.

Een eerste verduidelijking

Vooraf.
De AVG regelt niet alles met betrekking tot de verwerking van persoonsgegevens. Juist bij de gezondheidszorg en wetenschappelijk onderzoek, waar de EU niet rechtstreeks bevoegd is om te reguleren, is veel ruimte gelaten aan nationale wetgeving.[3]

De verhouding kun je je voorstellen als verschillende cirkels die elkaar overlappen. De buitenste cirkel is de AVG.[4] Daarbinnen is er dan de cirkel van de Nederlandse uitvoeringswet van de AVG, de UAVG. En daarbinnen dan weer de eerdergenoemde wetten, die elkaar deels overlappen, of tenminste definities hebben die naar elkaar verwijzen.

Het is dan “en, en”. Die AVG geldt in het algemeen, maar specifieke bepalingen vind je in die specifieke wetten. Die specifieke wetten mogen natuurlijk niet in strijd zijn met de AVG of UAVG, maar juist omdat de AVG hier zoveel ruimte laat, is dat ook niet zo. En die specifieke bepalingen gaan dan voor. Naar mooi ouderwets juridisch potjeslatijn, ‘lex specialis derogat lex specialis’. Hierna de uitwerking van die specifieke bepalingen.

WGBO (7:446-7:467 BW)

Dit is de oudste van de specifieke wetten. De WGBO regelt patiëntenrechten in het algemeen, zoals het recht op geïnformeerde toestemming bij een behandeling. Op grond van de WGBO moet de hulpverlener een dossier aanleggen. Dat is daarmee een grondslag in de zin van artikel 6.1.c AVG. De patiënt heeft rechten met betrekking tot dit dossier. In het algemeen kan worden gesteld die wat verder gaan dan de rechten van de betrokkenen op grond van 16 en 17 AVG. Deels ook verder dan artikel 15 AVG al stelt dat artikel weer aanvullende voorwaarden met betrekking tot de motivering van de gegevensverwerking. Artikel 15d van de Wabvpz (zie hierna) regelt overigens inmiddels dat het afschrift van het dossier op elektronische wijze wordt verstrekt.

Een enorm belangrijk element in de WGBO is de regeling van het beroepsgeheim. In beginsel mogen uitsluitend die hulpverleners die rechtstreeks zijn betrokken bij de uitvoering van de behandelingsovereenkomst toegang hebben tot de patiëntgegevens in het dossier en dan voorzover dat voor hun aandeel in de uitvoering van behandelingsovereenkomst noodzakelijk is. Alle anderen, zowel binnen als buiten de zorgaanbieder, zijn derden en die mogen in beginsel die gegevens dus niet inzien of verkrijgen. Het rollen- en rechtensysteem van de NEN 7510 is op deze bepaling gebaseerd. Ik noemde steeds ‘in beginsel’ want op het beroepsgeheim bestaat een aantal uitzonderingen. Zo is na een lange discussie in de WGBO opgenomen onder welke voorwaarden nabestaanden en vertegenwoordigers van de patiënt toegang kunnen hebben tot het dossier van een overleden patiënt. Er zijn andere uitzonderingen, deels in wetgeving neergelegd, deels op grond van ongeschreven recht, zoals bij het ‘conflict van plichten’. Een uitzondering is ook het melden van een gerede vermoedens van huiselijk geweld of kindermishandeling na het doorlopen van het stappenplan volgens de Meldcode huiselijk geweld en kindermishandeling.[5]

Wabvpz

Deze wet regelt een aantal zaken:

• Het verplichte gebruik van het BSN door zorgaanbieders om de patiënt uniek te identificeren tijdens de behandeling en in de communicatie met de zorgverzekeraars en het Centraal Indicatieorgaan Zorg. De Wabvpz bepaalt ook hoe het BSN moet worden vastgesteld.
• Het biedt een haakje om de naleving van de NEN 7510 verplicht te stellen.
• Het biedt bijzondere bepalingen voor de patiëntenrechten bij elektronische gegevensuitwisseling. Dat heeft in deze wet een specifieke betekenis namelijk waarbij gegevens uit het dossier door een zorgaanbieder kunnen worden opgesteld om door een andere later zorgaanbieder te worden geraadpleegd. Dat is het kunnen ‘ophalen’ van gegevens, te onderscheiden van het zenden van gegevens door zorgaanbieder 1 aan zorgaanbieder 2, bijvoorbeeld bij een verwijzing of een recept aan de apotheker.[6] Die rechten zijn:
  • o Informatie over zo’n gegevensuitwisselingssyteem;
  • o Toestemming dat gegevens mogen worden opgehaald (hier is veel discussie over en dit wordt mogelijk omgezet in een geen-bezwaar systeem bij spoedsituaties);
  • o Recht op een elektronisch afschrift van het dossier en op inzage in, en een afschrift over, wie de gegevens via zo’n uitwisselingssyteem beschikbaar hebben gesteld en wie het hebben geraadpleegd;
• Tot slot ook dat de relevante gegevens moeten gedeeld met de persoonlijke gezondheidsomgeving van de patiënt indien deze dat verzoekt

Wkkgz

Dit is een brede wet die regelmatig is gewijzigd. De nieuwste toevoeging is de regeling over kwaliteitsregistraties in de zorg. Deze wijziging was eerder als een aparte wet behandeld en zal gefaseerd in werking treden. Op deze komen we nog terug in een apart artikel.

Bij deze bespreking van de Wkkgz beperken wij ons weer tot die gegevensverwerking die een verbijzondering vormt van de AVG en – deels - ook een uitzondering op het beroepsgeheim.

• Er moet een procedure zijn voor ‘veilig melden’ van incidenten. Een incident is een niet-beoogde of onverwachte gebeurtenis, die betrekking heeft op de kwaliteit van de zorg, en heeft geleid, had kunnen leiden of zou kunnen leiden tot schade bij de cliënt. Die procedure betekent onder meer dat zonder toestemming van de patiënt in een meldingsregister incidenten kunnen worden opgenomen en worden ingezien door bijvoorbeeld een kwaliteitsfunctionaris. De bedoeling van zo’n melding is om er met alle betrokken hulpverleners van te leren. Het heet ‘veilig’ melden omdat deze gegevens in beginsel niet in een procedure mogen worden gebruikt en niet openbaar zijn.
• Aan de Inspectie voor de Gezondheidszorg en Jeugd (IGJ) moeten calamiteiten, geweld in de zorgrelatie en ontslag van zorgverlener op grond van ernstig tekortschieten in diens functioneren onverwijld worden gemeld. Daarbij mogen patiëntgegevens worden gemeld die voor het onderzoek door de IGJ noodzakelijk zijn.

Ambtenaren van de IGJ hebben toegang tot patiëntdossiers, indien dat nodig is voor hun toezichthoudende taak. De hulpverlener moet daaraan meewerken ook als daarmee diens beroepsgeheim zou worden doorbroken. De betrokken inspecteurs hebben dan een afgeleid beroepsgeheim.

Zorgverzekeringswet

Een belangrijke wet die de gelijke toegang tot zorg regelt van allen die rechtmatig in Nederland verblijven.[7] De Zvw regelt welke zorg daaronder valt, regelt de zorgverzekering, zorgverzekeraars, het Zorginstituut Nederland, de inkomensonhankelijke eigen bijdrage indien van zorg gebruik wordt gemaakt, en de (deels) inkomensafhankelijke bijdrage aan het zorgverzekeringsfonds, etc. Een en ander wordt in detail uitgewerkt in uitvoeringsregelingen. De Zvw is de kern van het Nederlandse solidair zorgstelsel van Nederland en de afwegingen die in verband met de houdbaarheid van het stelsel worden gemaakt. Inherent daaraan zijn de discussies of het wel solidair genoeg is. De Zvw heeft tal van bepalingen over hoe het Zorginstituut gepseudonimiseerde gegevens mag verwerken voor de werking van het stelsel maar die zijn voor dit artikel minder relevant. Net als eerder beperken wij ons tot de specifieke bepalingen over gegevensverwerking waar zorgaanbieders en hulpverleners direct mee te maken hebben. Dit betreft de uitvoerige regeling, met name in uitvoeringsbesluiten, voor de vergoeding van de geleverde verzekerde zorg door de zorgverzekeraar. De regeling houdt samenvattend in dat bij met de zorgverzekeraar gecontracteerde zorg de zorgaanbieder door de Zorgautoriteit[8] bepaalde gegevens over de geleverde zorg (in de vorm van een DBC) aan de zorgverzekeraar moet verstrekken. De zorgverzekeraar mag die gegevens verwerken. De doelen van die verwerking door de zorgverzekeraar houden niet alleen in de controle van die nota en daarop volgende betaling aan de zorgaanbieder maar ook de eventuele vaststelling van het eigen risico en bijdrage van de verzekerde en het verrichten van fraudeonderzoek. De wijze waarop zorgverzekeraars met de persoonsgegevens mogen omgaan is in de uitvoeringswetten uitvoerig geregeld. Materiele controle en fraudeonderzoek moet door de zorgverzekeraar getrapt plaatsvinden op basis van een protocol. Er geldt voor deze medewerkers een geheimhoudingsplicht.

Wpg

Onder publieke gezondheid wordt tweeërlei verstaan. In de eerste plaats een publiek aanbod van gezondheidszorg en preventie voor bepaalde bevolkingsgroepen, zoals de jeugdgezondheidszorg, de landelijke bevolkingsonderzoeken en het rijksvaccinatieprogramma. In de tweede plaats het tijdig onderkennen van bedreigingen voor de volksgezondheid en daarop gerichte maatregelen kunnen nemen. Voor dit artikel is van belang dat de besmetting met bepaalde infectieziekten zijn aangewezen als meldingsplichtig. De arts die deze besmetting bij diens patiënt vaststelt of het laboratorium dat dat doet, dient bij zo’n ontdekking diens beroepsgeheim te doorbreken en de ziekte of besmetting aan de GGD te melden. Bij bepaalde infectieziekten dient ook een vermoeden te worden gemeld, bij andere een vermoeden als de patiënt niet meewerkt aan verder diagnostisch onderzoek. Welke infectieziekten het betreft is bij of krachtens de Wpg aangewezen. Ook een ongewoon aantal infectieziekten die niet zijn aangewezen maar een gevaar vormt voor de volksgezondheid dient te worden gemeld met de in de Wpg benoemde gegevens van de patiënten. De achtergrond is dat dit de GGD of de veiligheidsregio handvaten biedt om verdere verspreiding te voorkomen.

Slot

Het is een hele lijst geworden van bij uitstek relevante wetten die voor de gezondheidszorg een verbijzondering vormen van het in de AVG bepaalde. Van die wetten zijn alleen de hoofdzaken behandeld. Er moet dieper worden gekeken om zeker te weten wat nu in een bepaalde situatie geldt. Maar de basis is nu gelegd waar te kijken. Zoals al opgemerkt, niet alle wetten zijn behandeld.