GDPR

Bescherming van persoonsgegevens

Impact van de nieuwe Europese regelgeving ‘GDPR’ op uw praktijk

Auteurs

❯ Elfi Goesaert is verantwoordelijke Kennisdomein ICT, Domus Medica;
❯ Hilde Philips is huisarts, onderzoeker aan de Vakgroep Eerstelijns- en Interdisciplinaire Zorg (ELIZA), Universiteit Antwerpen, en Data Protection Officer (DPO).

Artikel werd overgenomen vanuit : HUISARTSNU  – nummer maart – april 2018

 

GDPR, AVG, … wat betekent dat?

De nieuwe Europese regelgeving over de bescherming van persoonsgegevens kreeg de benaming ‘General Data Pro- tection Regulation’ of ‘GDPR’ mee, in het Nederlands ‘Alge- mene Verordening Gegevensbescherming’ of ‘AVG’.1 Doel is een kader te bieden voor het omgaan met persoonsge- gevens van burgers binnen de Europese Unie (EU). Deze nieuwe regelgeving heeft ook impact op de bescherming van gegevens in de huisartsenpraktijk.


Identificeerbare persoonsgegevens

Het betreft alle informatie over een natuurlijke persoon die geïdentificeerd of identificeerbaar is. Concreet wil dit zeggen dat alle mogelijke informatie, ongeacht vorm en inhoud, die kan leiden tot de identificatie van een persoon, hieronder valt. Persoonsgegevens zijn dus niet beperkt tot evidente zaken als naam, adres, rijksregisternummer,… maar kunnen alle aspecten van een persoon zijn: haarkleur, aantal kinderen, woonsituatie, enzovoort. Eén enkel element leidt misschien niet meteen tot de identificatie van een specifiek persoon, maar een combinatie van verschillende elementen kan dit wel. Een eerste aandachtspunt in de GDPR is dat er meer aandacht dient te zijn voor alle soorten informatie die aan een persoon gekoppeld kunnen worden.

Het gaat hierbij niet enkel om persoonsgegevens die op elektronische wijze verwerkt worden; verwerking van persoonsgegevens via papier vereist minstens evenveel aandacht. GDPR is het geheel van alle technische en organisatorische maatregelen voor de bescherming van elk gestructureerd geheel van persoonsgegevens.

 

Drie beginselen: rechtmatig, behoorlijk en transparant

De kern van de GDPR draait rond drie principes: de verwerking van gegevens dient ‘rechtmatig, behoorlijk en transparant’ te gebeuren. Wat betekent dit concreet?

Rechtmatig wil zeggen dat wie de gegevens verwerkt, dit met een degelijke gegronde reden doet. Dat kan de toestemming van de persoon zelf zijn, maar vaker gebeurt dit in het kader van een overeenkomst, een wettelijke verplichting van de verwerker, of redenen van vitaal of algemeen belang. Met behoorlijk wordt bedoeld dat enkel die gegevens worden verwerkt die nodig zijn voor het doel. Informatie die niet strikt noodzakelijk is voor de verwerking, mag dus niet zomaar worden bijgehouden.

Ten slotte dient de verwerking transparant te zijn: De personen van wie de gegevens verwerkt worden, moeten worden geïnformeerd over welke categorieën van gegevens bewaard en verwerkt worden en wat er met hun persoonsgegevens gebeurt binnen de praktijk (o.a. welke gegevens, met wie worden de gegevens gedeeld, hoe worden ze bewaard,…). Een privacyverklaring waarin deze zaken kort en op een heldere, verstaanbare manier worden toegelicht, kan helpen om dit aan uw patiënt te verduidelijken.

 

Toepassing regelgeving in de praktijk

Deze Europese regelgeving beschermt de gegevens van iedereen die zich in de EU bevindt en geeft meer garantie dat er op een verantwoorde wijze met gegevens wordt omgegaan, zeker nu sociale media de drempel verlagen om persoonsgegevens openbaar te maken.

Alle organisaties, bedrijven, instanties, personen die persoonsgegevens verwerken en werkzaam zijn binnen de EU, dienen zich aan de regelgeving aan te passen. Niet-EU-organisaties die informatie van EU-burgers verwerken, moeten zich ook aan de regelgeving houden.

Kleine organisaties zijn niet vrijgesteld van de verordening: iedereen dient de regelgeving te implementeren en met evenveel zorg met persoonsgegevens om te gaan. De inleidende overwegingen, die de eigenlijke GPDR-artikels voorafgaan, benadrukken de aandacht die lidstaten dienen te hebben voor kleine, middelgrote en micro-ondernemingen.

Een individuele huisartsenpraktijk maar ook groepspraktijken, medische huizen en wijkgezondheidscentra vallen dus onder deze Europese regelgeving,
De nieuwe verordening wordt vaak als een extra last opgevat, maar naast verwerkingsverantwoordelijke van persoonsgegevens is elke zorgverlener natuurlijk ook zelf burger in de EU en geldt de bescherming ook voor diens eigen persoonsgegevens.

 

Uitzondering voor gezondheidsgegevens

De GDPR kent een bijzondere status toe aan gevoelige persoonsgegevens, zoals gezondheidsgegevens. Bescherming van dit soort gegevens was ook al opgenomen in de huidige privacywetgeving (wet van 8 december 1992).

De verordening laat de lidstaten de ruimte om eigen accenten te leggen voor bijzondere categorieën zoals gevoelige persoonsgegevens. Binnen België houdt het Sectoraal Comité van de Gezondheid zich nu al bezig met machtigingen en privacyregels omtrent de gezondheidszorg. Dit Sectoraal Comité kan dus specifieke aanbevelingen voor zorgverleners maken. Gevoelige persoonsgegevens mogen in principe niet verwerkt worden (artikel 9), tenzij omwille van bijzondere redenen. Voor zorgverleners is volgende uitzondering van toepassing:

De verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een over- eenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen.”

Zorgverleners mogen gezondheidsgegevens bijhouden en verwerken. Betrokkenen (dit zijn natuurlijke personen van wie de persoonsgegevens verwerkt worden) hebben binnen bepaalde grondslagen van de GDPR het recht om gegevens te corrigeren of te vragen deze te wissen. Dit recht van de burger geldt niet als er een wettelijke verplichting is om deze persoonsgegevens bij te houden. Voor medische gegevens is de bewaartermijn wettelijk vastgelegd op dertig jaar.

Verder stelt de Europese regelgeving dat de verwerking van gezondheidsgegevens toegelaten is, indien deze verwerkt worden door een beroepsgroep die onder het beroepsgeheim valt en zorgverlening als verwerkingsdoel heeft. Dit is een bijzonder aandachtspunt in praktijken waar naast huisartsen ook medisch secretariaatsmedewerkers of praktijkassistenten werkzaam zijn. Multidisciplinaire praktijken, waar andere zorgverleners (die onder het beroepsgeheim vallen) deel uitmaken van de praktijk, zijn onder deze bepaling gedekt. Voor medewerkers die niet onder de medische beroepen vallen, moet aan een toegangsbeperking worden gewerkt. Zo laten heel wat medische programma’s verschillende rollen toe om te vermijden dat gevoelige gegevens worden ingekeken door onbevoegde personen.

Het is dus belangrijk te definiëren wie recht heeft op toegang tot welke gegevens en ook maatregelen te nemen om niet-geoorloofde inzage te beperken. Ook voor andere zorgverleners binnen de praktijk is deze stap belangrijk; niet elke zorgverlener heeft het recht om alle gegevens van een patiënt in te kijken, maar enkel de gegevens die kaderen binnen zijn of haar takenpakket en functie.

Als er voor medewerkers die niet onder de zorgberoepen met beroepsgeheim vallen, gegronde redenen zijn voor een beperkte toegang tot gevoelige persoonsgegevens (bijvoorbeeld een patiënt die belt om een afspraak en de klacht wordt genoteerd), kan dit gekaderd worden binnen de nieuwe regelgeving (verwerking om redenen van gerechtvaardigd belang). Er dient wel voor gezorgd te worden dat in de arbeidscontracten van de medewerkers een clausule wordt opgenomen die hen mee bindt aan het beroeps- geheim. Deze clausule sluit niet uit dat er maatregelen genomen moeten worden rond het toegangsrecht.

 

Wat moet er juist gebeuren?

Op de site van de Privacycommissie is een algemeen stappenplan terug te vinden om na te gaan of de praktijk klaar is voor de implementatie van de GDPR.
Dit is een goede oefening om de bescherming van persoonsgegevens voor de eigen praktijk, huisartsenkring of wachtpost na te gaan. Welke gegevens verwerken we, op welke manier? Hoe worden ze bewaard, waar en hoe lang? Met welk doel? Wie heeft er toegang? Nemen we voldoende maatregelen om de gegevensbescherming te garanderen? Hebben we een plan van aanpak wanneer er toch iets misloopt?

De eerste stap in een goede implementatie van de nieuwe verordening is voldoende bewustwording bij de verantwoordelijken voor de verwerking. Van daaruit worden dan de acties georganiseerd om de verordening in de praktijk te vertalen.


Stel een dataregister op

Een hulpmiddel om deze denkoefening te maken is het oplijsten van deze zaken in een dataregister of verwerkingsregister.
Dit kan met een risicoanalyse voor elke categorie persoonsgegevens gecombineerd worden. Bijvoorbeeld: hoe verloopt de manier van verwerken? Wat zijn de risico’s op lekken en welke stappen worden ondernomen om deze te voorkomen? Dit kan gaan van het gebruik van de eHealthbox voor gegevensdeling met andere zorgverleners, het achter slot en grendel bewaren van papieren patiëntendossiers, met aandacht voor het veilig bewaren van de sleutel en kopieën (inclusief het bijhouden van een sleutelregister), het gebruik van verschillende wachtwoorden voor dossiers, geen gebruik van e-mail voor het uitwisselen van persoonsgegevens, enzovoort.


Informeer uw patiënt

De kern van de GDPR is het proactief informeren van patiënten en medewerkers hoe er met de persoonsgegevens wordt omgegaan. Situeer het wettelijk kader en leg de maatregelen uit die in de artsenpraktijk worden genomen om de gegevens te beschermen en lekken te voorkomen.

Een privacyverklaring maakt duidelijk hoe er op een verantwoorde wijze met de persoonsgegevens van patiënten wordt omgegaan.
Hou ook rekening met de patiëntenrechten die stellen dat patiënten toegang moeten kunnen krijgen tot hun gegevens: hoe deze toegang regelen? Hoe inzage van de patiënt organiseren? Hoe ingaan op vragen van patiënten rond de inzage van het eigen dossier? Wie gegevens deelt via eHealth of Vitalink, kan de patiënt ook verwijzen naar de patiëntenplatformen waar de patiënt de opgeslagen informatie kan raadplegen.

Het is belangrijk om de patiënt die inzage wil, te begeleiden in dit proces, zodat de opgeslagen medische gegevens correct geïnterpreteerd worden.


Houd het medisch dossier bij

Een correcte verantwoording voor de verwerking van de persoonsgegevens en gevoelige persoonsgegevens is belangrijk. Verwerking van persoonsgegevens op basis van toestemming van de betrokkenen is hierbij lang niet de enige grondslag die gebruikt wordt. Houd er rekening mee dat deze verwerkingsgrond ook de meest uitgebreide bijkomende rechten voor de betrokkenen inhoudt, zoals het recht op vergeten worden (wissen van opgeslagen informatie).

De belangrijkste grondslag voor huisartsen ligt bij het Globaal Medisch Dossier (GMD) en de verplichting om een medisch dossier met persoonsgegevens gedurende een bepaalde periode bij te houden.


Bespreek geïnformeerde toestemming

De geïnformeerde toestemming van de patiënt om gezondheidsgegevens te delen, regelt louter de uitwisseling van deze gegevens via eHealth en Vitalink. Als de patiënt toestemming geeft, komen zijn/haar persoonsgegevens centraal beschikbaar en kunnen ze enkel geraadpleegd worden door een zorgverlener met een therapeutische relatie. Wordt de toestemming ingetrokken, dan wordt de gedeelde informatie van het platform verwijderd. Voor patiënten die deze toestemming niet hebben gegeven, blijft de mogelijkheid bestaan om medische informatie met behandelende artsen uit te wisselen, maar dan wel via andere wegen dan de gegevensdeling via eHealth of Vitalink.


Registreer en meld datalekken

Hoe nauwkeuriger de voorgaande stappen zijn uitgevoerd, hoe kleiner het risico op datalekken. Bij een datalek hebben onbevoegden toegang tot persoonsgegevens of is er geen toegang tot de eigen gegevens na bijvoorbeeld een hacking. Incidenten waar er mogelijk schade is voor de betrokkene (schending van de geheimhoudingsplicht of gevoelige gegevens bij onbevoegden) of die de rechten en vrijheden van betrokkene schenden, moeten binnen 72 uur gemeld worden aan de toezichthouder (de Privacycommissie) door de verantwoordelijke databeheer van de praktijk. Het niet, of laat- tijdig melden van een datalek kan flinke boetes opleveren. In sommige gevallen moet de betrokkene (bv. de patiënt van wie de persoonsgegevens gelekt zijn) ook rechtstreeks verwittigd worden. Neem als voorbeeld een brief die gezondheidsgegevens bevat en aan de verkeerde patiënt werd gestuurd. Als deze brief ongeopend wordt teruggestuurd, is er geen reden tot melding aan de patiënt. Werd de brief wel geopend, dan hebben onbevoegden toegang gekregen tot gevoelige informatie en bestaat het risico op schade voor de betrokkene: dan dient de patiënt wel persoonlijk op de hoogte te worden gesteld.

Elke artsenpraktijk is verplicht om een intern register bij te houden van alle datalekken. Dit document helpt ook ter ondersteuning om in de toekomst incidenten te voorkomen. Vergeet niet dat de meeste datalekken door eigen, menselijke fouten gebeuren; de kans dat een hacker op de loer ligt, blijft eerder klein.

Draagbare opslagmedia zoals USB-sticks houden risico’s in op inzage door onbevoegden, zeker als de informatie erop niet beveiligd is. Uitwisseling van persoonsgegevens via digitale weg dient veilig te gebeuren; vermijd dus e-mail maar gebruik de eHealthbox voor communicatie over patienten. Controleer de veiligheid van de website telkens door na te gaan of het een ‘https’ website is (cfr. internetbankieren). Laat geen vertrouwelijke informatie rondslingeren op printers of scanners, gebruik verschillende codes voor administratieve en gevoelige persoonsgegevens, of maak een onderscheid tussen printers voor administratieve doeleinden en andere doeleinden. Stel uw computer met patiëntgegevens zodanig in dat hij na maximum vijf minuten in slaapstand gaat en enkel met een paswoord opnieuw opgestart kan worden.


Laat uw databank ontwerpen

Dataprotection by design wordt sterk benadrukt in de nieuwe regelgeving en is ook een opdracht voor de softwarevendors. De constructie van de databank achter het EMD moet dusdanig ontwikkeld zijn dat metadata gemakkelijk ter beschikking gesteld kunnen worden, dat een getrapte toegang voor de verschillende medewerkers in een praktijk een feit wordt, dat het minimaliseren of wissen van gegevens selectief mogelijk gemaakt wordt (bij voorbeeld van dossiers die niet meer in hun volledigheid behouden moeten worden) en dat het inzagerecht van de patiënt op een gemakkelijke en voor iedereen comfortabele manier kan verlopen.


Beveilig bestaande contracten

eHealth ontwikkelt veilige paden van gegevensuitwisseling tussen zorgverleners, maar ook de EMD-software die van de eHealth-diensten gebruikmaakt, moet garanties bieden om het risico op datalekken te minimaliseren. De meeste EMD-pakketten zijn met deze oefening bezig. Vraag een amendement aan het huidige contract om dit te waarborgen.

Een moderne artsenpraktijk maakt ook gebruik van een telesecretariaat, online agenda, tarificatiediensten, en andere toepassingen. Ook voor deze leveranciers moeten dezelfde afspraken gemaakt worden als met de softwarevendors. Let ook op databanken die u zelf bewaart over hulpverleners met wie u samenwerkt, personeelsregisters, sollicitatiebrieven of een werfreserve die u aanlegt voor het geval een van de secretaresses vertrekt. Het gaat allemaal om persoonsgegevens.


Stel een verantwoordelijke aan

Een aantal specifieke bepalingen binnen de GDPR vermelden expliciet uitzonderingen voor individuele zorgverleners. Zo is een ‘Privacy Impact Assessment’ of PIA (een ‘gegevens beschermings
effectbeoordeling’) noodzakelijk bij een grootschalige verwerking van persoonsgegevens, maar niet voor een gegevensbank van persoonsgegevens van patiënten van een individuele arts of andere zorgprofessional.

Er is binnen de nieuwe regelgeving voor de individuele zorgprofessional geen verplichting om een functionaris gegevensbescherming aan te stellen. Het is aangeraden om binnen de praktijk of huisartsenkring een persoon aan te duiden die binnen de organisatie aandacht heeft voor de implementatie van de GDPR en de genomen maatregelen opvolgt. Deze verantwoordelijke voor databeheer kan een specifieke opleiding voor Data Protection Officer (DPO) volgen, of advies vragen aan een DPO.

Conclusies: alles anders op 25 mei?

De nieuwe regelgeving houdt een belangrijke mentaliteitswijziging in wat het omgaan met persoonsgegevens betreft. Inhoudelijk lagen de bepalingen van de privacywetgeving al zeer sterk in lijn met de GDPR-bepalingen. De wettelijke basis blijft dus grotendeels hetzelfde. Wel moet er bewuster omgegaan worden met persoonsgegevens. Alle zorgverleners dienen de denkoefening te maken over hoe er momenteel met patiëntengegevens wordt omgegaan en waar er verbeteringen mogelijk zijn.

Vanaf 25 mei moet duidelijk uitgeschreven worden hoe persoonsgegevens verwerkt worden, wie toegang heeft tot welke informatie, met welke rechtsgrond ze verwerkt worden en hoe lang ze bewaard worden. Ook een opsomming van de maatregelen die genomen worden om de veilige verwerking te verzekeren, is nu noodzakelijk.

 

Literatuur

1 www.privacy-regulation.eu/
2 https://gdpr-eu.be/wp-content/uploads/2016/12/STAPPENPLAN-NL-V2.pdf
3 www.ehealth.fgov.be/ehealthplatform/nl/basisdiensten

Meer informatie?

❯ www.domusmedica.be/gdpr
❯ 13-stappenplan (Privacycommissie): www.privacycommission.be/nl/algemene-verordening-gegevensbescherming

 

Hoe beschermt eHealth persoonsgegevens?

 

Het eHealthplatform zorgt voor de veilige uitwisseling van persoonsgegevens, maar slaat zelf geen data op.
De basisdiensten van het eHealthplatform bieden zorgverleners een aantal beveiligde tools zodat gegevensdeling op een veilige manier kan verlopen3:

  • ❯  eHealthbox: een veilig alternatief voor e-mail is de eHealthbox, een digitale brievenbus die beveiligd is en commu-nicatie tussen zorgverleners mogelijk maakt (persoonlijke communicatie of gericht aan een specialist in functie bin-nen een ziekenhuis).
  • ❯  Versleuteling van berichten: via het eHealthplatform worden berichten verstuurd die end-to-end versleuteld zijn. Dit wilzeggen dat berichten die verzonden worden, een specifieke sleutel toegekend krijgen en de informatie vercijferd wordt.
  • ❯  Gebruikers- en toegangsbeheer: het systeem van toegang tot de eHealthdiensten werkt voorlopig met de elektro-nische identiteitskaart. Binnen het platform wordt vervolgens een toegangsmatrix geïmplementeerd, zodat enkel diezorgverleners toegang hebben tot de informatie waartoe ze gemachtigd zijn.
  • ❯  Controle van gegevens door logging: een bijkomende controle gebeurt door het bijhouden van wie toegang kreegtot het bekijken, wijzigen of verwijderen van bepaalde gegevens, van wie die persoon de gegevens opvroeg, via welke toepassing en wanneer dit gebeurd is.