Toestemming van patiënten voor gegevensuitwisseling in de zorg

Toestemming van patiënten voor gegevensuitwisseling in de zorg

Met het VIPP-programma als stok achter de deur, zijn veel zorgaanbieders bezig met het inrichten van online portalen om actuele gegevensuitwisseling tussen behandelend zorgverleners en patiënten mogelijk te maken. Deze gegevensuitwisseling vereist toestemming van patiënten conform de Algemene Verordening Gegevensbescherming (AVG). De AVG is sinds 25 mei 2018 van kracht en vervangt de Wet bescherming Persoonsgegevens (Wbp). De eisen van de AVG zijn strenger dan eerdere privacywetgeving, daarom is in veel gevallen toestemming van patiënten nodig voor het uitwisselen van gegevens met andere (behandelend) zorgverleners. In dit artikel geven we drie tips voor het vragen van toestemming in verband met de AVG in de zorg. 

Tip 1: Stel de juiste vraag op de juiste manier

De AVG stelt strenge eisen aan de manier waarop toestemming gevraagd wordt.

  • Vrijelijk gegeven: het lijkt vanzelfsprekend, maar de toestemming moet uit vrije wil gegeven zijn. Dat betekent dat er geen negatieve consequenties aan het niet geven van toestemming mogen kleven. Oftewel: een patiënt die geen toestemming geeft heeft recht op dezelfde goede behandeling als een patiënt die wel toestemming geeft.
  • Ondubbelzinnig/actief: het geven van toestemming vereist een actieve handeling van de patiënt waar geen misverstand over kan bestaan. De zogenaamde ‘opt-out’, die uitgaat van toestemming, tenzij een patiënt bezwaar maakt, is dan ook onvoldoende. Ook mondelinge toestemming is niet aan te raden (zie ook ‘Bewijslast’).
  • Geïnformeerd: de AVG is bedoeld om privacy te beschermen, ook tegen onwetendheid. Patiënten hebben het recht om precies te weten wie hun gegevens opslaat, wat voor gegevens er gedeeld worden wanneer ze toestemming geven en met wie. Deze informatie moet toegankelijk en beschikbaar zijn. Een informatiepagina op de website is hiervoor geschikt, maar ook een folder om mee te geven (tekst op B1-niveau, eventueel in meerdere talen beschikbaar).
  • Specifiek: het lijkt verleidelijk om de toestemmingsvraag zo breed mogelijk te stellen, zodat één keer toestemming volstaat voor alles waar nu en in de toekomst toestemming voor nodig is. Dat is nu juist niet de bedoeling; de toestemmingsvraag moet aansluiten op de specifieke verwerking van persoonsgegevens (het doel). Natuurlijk willen patiënten niet lastig gevallen worden met honderd toestemmingsvragen, dus ga op zoek naar een balans die recht doet aan de privacy van de patiënt.

Tip 2: Mondelinge toestemming telt niet; de AVG in de zorg vereist bewijslast

Anders dan vóór de AVG, moet je kunnen aantonen dat de toestemming geldig verkregen is. Dat wil zeggen dat de juiste vraag op de juiste manier gesteld is, maar ook dat de toestemming aansluit op de verwerking van persoonsgegevens (het doel).

Leg hiervoor het proces rondom de toestemmingsvraag vast, bewaar datum en tijd van het bezoek en de specifieke toestemming die een patiënt op dat moment gaf. Als de vraag verandert, bijvoorbeeld door het toevoegen van zorgverleners aan een portaal, toets dan of nieuwe toestemming nodig is.

Een goede manier van toestemming vragen is via een aanmeldzuil, waarbij patiënten zelf (actief) toestemming geven en de toestemmingsvraag verankerd is in het proces (elke patiënt meldt zich aan). Uiteraard is ook een patiëntportaal een goede omgeving voor de toestemmingsvraag. Wanneer de systemen voor gegevensuitwisseling hieraan gekoppeld zijn, zullen de patiëntgegevens automatisch zichtbaar zijn wanneer een patiënt toestemming geeft (en niet wanneer een patiënt geen toestemming heeft gegeven). Een alternatief is een papieren formulier voorzien van handtekening, al vereist dat meer verwerking en heeft dit tot gevolg dat de toestemming niet altijd actueel is.

3. De patiënt heeft de regie, ook als het om toestemming gaat

De patiënt heeft de regie. Het moet daarom net zo makkelijk zijn om de toestemming in te trekken als om de toestemming te geven. Werp geen drempels op om toestemming in te trekken, de patiënt heeft het recht op zijn eigen privacy. Regel je de toestemming via een vinkje op een aanmeldzuil of in een patiëntportaal? Zorg er dan voor dat de patiënt het vinkje ook uit kan zetten in deze omgeving. Op deze manier is er altijd ‘real time’ inzicht in de toestemming.

Het organiseren van een campagne rondom toestemming voor gegevensuitwisseling in de zorg
De invulling van de toestemmingsvraag verschilt per zorgaanbieder en doel van de gegevensverwerking. De functionaris gegevensbescherming kan hierbij helpen. Het is voor ziekenhuizen verplicht een functionaris gegevensbescherming te hebben. Deze weet alles van de privacywetgeving en kan een goed advies geven over de specifieke situatie. Vergeet ook het belang van een actief privacy-beleid onder personeelsleden niet; zij kunnen de functionaris gegevensbescherming alleen inschakelen als ze weten wanneer en waarom dit belangrijk is! Weet je zeker dat de informatie, de vraag en de techniek aan de juridische vereisten voldoen? Dan kun je aan de slag met een campagne.

Afgelopen voorjaar hebben we een campagne georganiseerd in verband met de komst van een nieuw zorgverlenersportaal. Huisartsen kunnen via dit portaal inzage krijgen in de gegevens van hun patiënten, maar alleen wanneer de patiënt hiervoor toestemming heeft gegeven. We zijn daarom al vóór livegang begonnen met toestemming vragen op papieren toestemmingsformulieren, begeleid door een folder, informatie op de website en verschillende promotiematerialen in het ziekenhuis. Patiënten kregen een formulier bij de balie of in de centrale hal, waar patiënten en bezoekers bij een marktkraam terecht konden voor extra informatie of om een formulier in te leveren. Ook huisartsen in de regio werden voorzien van een compleet pakket om toestemming te vragen, waardoor we in korte tijd een grotere groep relevante patiënten konden bereiken. De campagne was een mooie kickstart voor inzage van patiëntgegevens via het zorgverlenersportaal. Inmiddels kunnen patiënten toestemming geven via aanmeldzuilen of in hun eigen patiëntomgeving (‘Mijn Noordwest’).

Ook toestemming nodig vanwege gegevensuitwisseling in de zorg?

ALLEGRO MEDICAL kent de juridische uitdagingen en heeft ervaring met de communicatie en bewustwording van de AVG in de zorg, zowel voor werknemers als voor patiënten. Gegevensuitwisseling tussen zorgverleners is onderdeel van het VIPP-programma en kan veel betekenen voor patiënten. Wil je meer weten over privacy, gegevensuitwisseling en toestemming van patiënten, neem dan gerust contact op.

Kim Verheij
Consultant en projectleider
E: k.verheij@allegromedical.nl
T: 06-41782333

Zie ook:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken#wanneer-mag-u-zich-baseren-op-de-grondslag-toestemming-6331
https://www.nwz.nl/Nieuws-NWZ/ArtMID/6077/ArticleID/788/Noordwest-start-campagne-Zeg-ja-tegen-optimale-zorg

Maak anderen hierop attent:
Share on LinkedIn
Linkedin
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter