Nieuwe privacyregels... bent u klaar?

Vandaag 25 mei is de dag dat de AVG - ook wel GDPR genoemd - van kracht wordt: de nieuwe privacyregels van de EU. Ook voor artsen brengt die nogal wat huiswerk mee. Een risicoanalyse, een verwerkings-register, een privacystatement,... Bent u er al klaar mee?

...

Privacy by default en privacy by design luiden de deviezen: het gaat vooral om de juiste houding. In het medisch dossier van de patiënt bewaart u de gegevens die u nodig hebt voor de zorg - niet meer en niet minder. Die gegevens bewaakt u zorgvuldig zodat ze niet door onbevoegde ogen worden gezien. De Algemene Verordening Gegevensbescherming (General Data Protection Regulation) verplicht u bovendien dat te plannen en er zo nodig rekenschap van af te leggen. Daarvoor hebt u een aantal instrumenten nodig. De meeste praktijken zullen, als dat kan, de verantwoordelijkheid daarvoor gedelegeerd hebben naar één persoon.Het belangrijkste instrument is het verwerkingsregister dat in kaart brengt welke gegevens uw praktijk verwerkt en de principes die u daarbij hanteert. Naast persoonsgegevens (naam, telefoonnummer, persoonlijke kenmerken,...) bewaart een medisch dossier veelal gevoelige gegevens (gegevens over de lichamelijke en geestelijke gezondheid, genetische data,...). Met wie worden de gegevens gedeeld?Het verwerkingsregister vermeldt de rechtsgronden voor het bijhouden van de gegevens. Voor persoonsgegevens kan de arts zijn wettelijke verplichtingen inroepen en 'gerechtvaardigd belang'. Voor 'gevoelige gegevens' kan de arts zich beroepen op zijn opdracht binnen de gezondheidszorg en het beroepsgeheim waaraan hij gebonden is (art. 9 van de AVG). Toestemming van de patiënt is geen handige rechtvaardiging voor het bijhouden van het medische dossier. De AVG legt specifieke regels op voor het verkrijgen van een dergelijke toestemming. En de patiënt kan de toestemming elk moment intrekken. De arts heeft ook geen toestemming nodig om de gegevens nodig voor de zorg van de patiënt te delen met andere artsen, bijvoorbeeld om een verwijsbrief te schrijven voor de specialist. Een geïnformeerde toestemming hebt u wel nodig om gegevens te delen over het eHealth-platform. Maar dat is een andere kwestie.Bij het verwerkingsregister hoort ook een risicoanalyse: aandachtspunten en beschermingsmaatregelen om de gegevens veilig te bewaren. Laat geen schermen open staan zonder wachtwoord, zorg dat kasten en lokalen op slot gaan,... Gegevensbescherming gaat niet alleen over elektronische data, maar ook over gegevens op papier, zoals brieven.In de wachtkamer hangt u de privacy-verklaring uit. Die vermeldt wie de verantwoordelijke is voor de gegevensverwerking, waarom gegevens worden bijgehouden en met wie ze worden gedeeld, wat de bewaartermijn is en wat de rechten zijn op inzage,...Gaan er ondanks alle veiligheidsmaatregelen toch gegevens verloren of ontstaat er een lek, dan moet u dat melden. Melden aan de privacycommissie binnen de 72 uur is verplicht als het om gevoelige gegevens gaat. Als de gegevens niet versleuteld waren, moet u ook de patiënt op de hoogte brengen. Eén voorbeeld uit de opleidingssessies die Domus Medica de afgelopen weken organiseerde: de laptop van de huisarts wordt gestolen. De gegevens van het medisch dossier zijn wel versleuteld, en de dief kan onmogelijk de wachtwoorden kennen nodig voor de toegang tot de gegevens. Deze diefstal is belangrijk en moet u melden aan de Privacycommissie maar niet noodzakelijk aan de patiënten, want de dieven kunnen niet aan hun persoonlijke gegevens.De bedoeling is niet dat u dit alles zelf uitvindt. Uw praktijk baseert zich het best op bestaande voorbeelden. Domus Medica, bijvoorbeeld, organiseerde per provincie opleidingen. De presentaties daarvan, een video-opname, en modellen van een verwerkingsregister en privacy statement kunt u terugvinden op hun website - een aantal documenten zijn wel voorbehouden voor de leden.U moet ook de contracten van uw leveranciers nakijken, of die de regelgeving respecteren. Waar slaat uw EMD-software de medische gegevens op? Welke garanties voor de veiligheid bieden ze? Er zijn nieuwe criteria op komst voor de erkenning van softwarepakketten, daarin komen ook zaken als het eigendom van deze gegevens aan bod. Denk daarnaast aan het telesecretariaat, onlineagenda's voor het afsprakenbeheer,...Modelcontracten voor de softwareleveranciers zijn ook beschikbaar. U vindt ze onder meer op de website van Domus Medica. Domus gaat bij leveranciers na welke aanpassingen de firma's uitvoeren. Maar tot nu toe kwam er weinig feedback, meldt Elfi Goesaert van het kennisdomein ICT. De kwestie wordt verder opgevolgd via de overlegplatforms van eHealth.Moet uw praktijk of wachtpost een veiligheidsconsulent (data protection officer) aanstellen (en een zogenaamd 'privacy impact assessment' uitvoeren)? Domus Medica kreeg geen duidelijk antwoord van de privacycommissie op deze vraag. Grote praktijken en wachtposten (meer dan 20 personen) moeten deze extra stappen voor grootschalige gegevensverwerking misschien zetten. Als u gelooft dat de gegevensverwerking niet 'grootschalig' is, kunt u dat in het verwerkingsregister vermelden.Een nationale gedragscode voor huisartsen is misschien zinvol, denkt Goesaert. Hiervoor wil ze contact opnemen met de Franstalige collega's.