Inloggen

E-health: de praktische en juridische kant

Met welke regels houdt u rekening bij zorg op afstand?

22 april 2021 - De digitale zorgverlening heeft door Covid-19 een flinke duw in de rug gekregen. Vóór de uitbraak van de pandemie werd al meer en vaker zorg op afstand geleverd, sinds maart 2020 is die ontwikkeling versneld en uitgebreid. Niet altijd is voor zorgverleners en praktijkhouders duidelijk welke richtlijnen gelden voor e-health en zorg op afstand. Gelden er meer regels, andere regels? Wat zijn de voorwaarden, verantwoordelijkheden en risico’s?

Tijdens het VvAA-webinar ‘E-health: Cure, care, anywhere!’ bespreken Nina Witt, advocaat bij Ploum, Rotterdam Law Firm en Shirin Slabbers, senior jurist gezondheidsrecht bij VvAA, de regels en richtlijnen rondom e-health. Hoe gaat u als zorgverlener, praktijkhouder of bestuurder van een zorgorganisatie op een juridisch correcte en praktische manier om met zorg op afstand? Dit webinar is het eerste uit een serie van twee. Op 22 april gaan Nina Witt en Shirin Slabbers dieper in op de risico’s en verantwoordelijkheden van e-health. In dit artikel vatten we het eerste webinar samen en delen we een aantal praktische tips en juridische adviezen.  

Wat wordt verstaan onder e-health en zorg op afstand?
Shirin Slabbers: “Bij zorg op afstand gaat het bijvoorbeeld om beeldbellen, contact via patiëntenportaal of telefoon of het aflezen van medische gegevens die via een app worden ingevoerd. Een e-consult is een digitaal medisch consult dat plaatsvindt via internet. Dus ook een consult via e-mail is een vorm van e-health.”

De voorwaarden voor een e-consult
De Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) en andere gezondheidsrechtelijke regelgeving zijn gewoon van toepassing op e-consulten. Daarnaast is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Verder is relevant dat de KNMG-richtlijn 'Omgaan met medische gegevens' nadere eisen stelt aan e-consulten.

Voor een e-consult gelden 6 specifieke eisen:
  1. De arts moet de patiënt voldoende hebben geïnformeerd over de werkwijze bij het e-consult, zoals: wat zijn de (on)mogelijkheden, binnen welke termijn volgt antwoord op een online vraag, wie ziet de patiëntgegevens, wat zijn de kosten.
    Tip: bereid de organisatie van e-consulten goed voor.
  2. De arts moet voldoende relevante en betrouwbare (medische) gegevens van de patiënt kunnen beschikken om een verantwoord individueel advies te geven.
  3. De regels over kwaliteit en veiligheid van de zorg en de rechten van de patiënt moeten ook bij een e-consult in acht worden genomen.
  4. De identiteit van de patiënt moet in voldoende mate zijn vastgesteld. Dat is belangrijk, zeker als je als medisch specialist de patiënt voor het eerst ziet.
    Tip: vraag de patiënt van tevoren een ID-bewijs bij het consult te kunnen tonen.
  5. De arts moet expliciet aangeven dat het advies is gebaseerd op de door de patiënt gepresenteerde gegevens en de beschikbare dossiergegevens én dat bij verergering van de klachten opnieuw contact moet worden opgenomen.
    Tip: dit kan ook voorafgaand aan het e-consult digitaal kenbaar worden gemaakt (in het patiëntenportaal of via mail).
  6. De eigen huisarts van de patiënt moet over het gegeven advies geïnformeerd worden. Daar kan de patiënt bezwaar tegen maken.

De sterkste regel prevaleert
Privacy speelt uiteraard een belangrijke rol bij de relatie tussen patiënt en zorgverlener. De WGBO stelt regels voor de rechten en plichten in de overeenkomst tussen beide. Aanvullend stelt de AVG regels voor de verwerking van persoonsgegevens. Hierin gaat het onder meer over gegevensbeveiliging, datalekken, overeenkomsten met derden en rechten van betrokkenen. Nina Witt: “Goed om te onthouden: veelal prevaleert de sterkste regel. Hoe privacygevoeliger de informatie, des te meer vereisten er zijn.”

De relevante toezichthouders zijn in dit kader de Inspectie Gezondheidszorg en Jeugd (IGJ) die de kwaliteit van zorgaanbieders bewaakt, en de Autoriteit Persoonsgegevens (AP) die toeziet op de naleving van de AVG.

Nina: “De IGJ heeft eind 2019 een toetsingskader opgesteld met randvoorwaarden voor de inzet van e-health. Het uitgangspunt is dat e-health de zorg kan verbeteren, mits onder de juiste voorwaarden ingezet. De kwaliteit en veiligheid van de zorg mag niet in het geding komen. Er wordt getoetst op vijf thema’s. Zo is het invoeringsproces belangrijk, zorg voor een goed team en laat patiënten participeren. Het is belangrijk goed te onderzoeken wat de potentiële risico’s voor de persoonlijke levenssfeer zijn. Maak goede afspraken over verantwoordelijkheden binnen de organisatie, richt inkoopbeleid in en zorg voor goede informatiebeveiliging (sluit aan bij NEN-normen). Als je het goed inricht, kan er veel.”

Wie is verantwoordelijk en aansprakelijk?
Voor wie gelden de verplichtingen uit de AVG? Nina: “Het gaat hierbij om de verantwoordelijkheid van de gegevensverwerking in de zorg. Als het bestuur het doel en de middelen van de verwerking bepaalt, is de bestuurder aansprakelijk. In een ziekenhuis is dat bijvoorbeeld het bestuur van het ziekenhuis. Het kan ook een maatschap van artsen zijn die voor hun eigen afdeling doel en middelen bepalen. Bij een huisartsenpraktijk is het de huisartsenpraktijk en niet de individuele arts. Overigens geldt voor alle medewerkers natuurlijk de plicht om zich conform de AVG te gedragen.” Een aanvulling van Shirin: “Een vrijgevestigde zorgverlener met een solopraktijk wordt aangemerkt als verwerkingsverantwoordelijke en moet er dus voor zorgen dat aan de AVG-regels voldaan wordt. Dat vergt wel wat kennis.”

De 7 vuistregels van de AVG
  1. Verwerk de persoonsgegevens alleen als daar een in de wet vermelde grondslag voor is.
  2. Verzamel, gebruik en bewaar niet meer gegevens dan je nodig hebt en alleen als er geen andere - minder belastende - manier is om hetzelfde doel te bereiken.
  3. Gebruik de gegevens alleen voor het doel waarvoor ze verkregen zijn. Nina: “Een praktijkhouder mag het huisadres van een patiënt bijvoorbeeld niet gebruiken voor het toesturen van post die niet samenhangt met het doel: ‘het verlenen van zorg’.”
  4. Vertel altijd aan de betrokkene wat je doet met diens persoonsgegevens.
  5. Hoe privacygevoeliger de gegevens, des te meer eisen er gelden.
  6. Neem passende technische en organisatorische maatregelen tegen verlies, onbevoegde toegang of onbeschikbaarheid van de gegevens.
  7. Regel voldoende waarborgen als je persoonsgegevens met derden uitwisselt.
Waar moet je aan denken bij passende technische en organisatorische maatregelen voor beveiliging (regel 6)?
Nina: “Dan kun je denken aan het toepassen van tweefactor-authenticatie, het versleutelen van gegevens of het pseudonimiseren of anonimiseren van gegevens. Daarnaast stelt de AVG dat de beveiligingsmaatregelen moeten voldoen aan de ‘stand van de techniek’, of ‘state of the art’. Voor gezondheidsgegevens gelden zwaardere eisen, omdat dit bijzondere persoonsgegevens zijn.

Denk als zorgverlener goed na of je online diensten als WhatsApp gebruikt. Er bestaan betere apps wat betreft privacy. Zorg er ook voor dat je niet te veel gegevens doorstuurt, die herleidbaar zijn naar de patiënt. Voor de beveiliging gelden in de zorg ook nog normen als de NEN 7510, 7512, 7513 en NTA 7516.”

Voor een zorgorganisatie is privacy een belangrijk aspect bij de keuze voor softwareaanbieder, -pakket en app. Nina: “Denk voor de keuze of in ieder geval inzet goed na over de juridische aspecten van het delen van gegevens met derden en het vastleggen van de toestemming. Als je het direct goed inricht, ook op juridisch vlak, is er daarna vaak meer mogelijk en zijn risico’s op voorhand verminderd.”

24.000 datalekken per jaar
In 2020 kreeg de AP 24.000 Nederlandse meldingen van datalekken. De zorg is van alle sectoren koploper met ruim 7.000 meldingen. In verreweg de meeste gevallen gaat het om het sturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (66% in 2020). De AP heeft inmiddels een aantal zorginstellingen forse boetes opgelegd voor het niet naleven van de AVG. Zo kreeg het OLVG recent een boete van 440.000 euro omdat het te weinig maatregelen had genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen.

Nina: “Wees goed voorbereid op een mogelijk datalek en schakel altijd bij vermoeden van een datalek tijdig een specialist in. Maak ook goede afspraken met verwerkers en mede-verwerkingsverantwoordelijken.” In het volgende VvAA-webinar op 22 april zullen we specifiek ingaan op risico’s, aansprakelijkheid en klachten met betrekking tot e-health.

Shirin tot slot: “Ondanks de strenge regels en de risico’s die er zijn, hoop ik dat zorgverleners en zorgorganisaties wel (blijven) open staan voor e-health. Ontdek wat er mogelijk is, kijk naar wáár de drempels zitten en bedenk waaróm die drempels er zitten. Ga ook na corona aan de slag met e-health, want zowel voor zorgverlener als patiënt liggen er voordelen en kansen.”

Meer informatie

Wilt u meer weten over de juridische kant van e-health? De Juridische Helpdesk helpt u graag verder: