We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
Ook huisartsen maken intensief gebruik van internet: 75% geeft aan dat het mogelijk is om via internet contact te hebben. Er bestaat echter ook een keerzijde: maar liefst 74%-87% van de artsen ervaart belemmeringen bij contact met patiënt via internet. Om het gebruik van moderne communicatiemiddelen in de medische wereld zoveel als mogelijk in goede banen te leiden, bestaat een aantal wettelijke voorschriften en buitenwettelijke richtlijnen.
We schreven al eerder op deze weblog over de strenge regels die gelden voor de verwerking van medische gegevens. De Wet bescherming persoonsgegevens (Wbp) classificeert dergelijke gegevens als “bijzondere persoonsgegevens”. Deze gegevens mogen in beginsel niet verwerkt worden, behalve indien aan specifieke wettelijke voorwaarden wordt voldaan (zie art. 21 Wbp). Ook de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) geeft strenge voorschriften met betrekking tot de verwerking van medische persoonsgegevens.
Gezien de gevoelige aard van medische gegevens gelden hogere beveiligingsnormen dan voor ‘gewone’ persoonsgegevens (art. 13 Wbp). Aangezien de wetgever (in zowel de Wbp als de WGBO) nalaat een concrete invulling te geven aan deze beveiligingsnormen, heeft het Nederlands Normalisatie-instituut een aantal NEN-normen opgesteld die enige invulling geven aan de beveiliging van medische gegevens (NEN7510 en enkele daarmee samenhangende normen). Van belang is te beseffen dat deze NEN-normen een vorm van zelfregulering zijn en derhalve geen wettelijke status hebben. Desondanks heeft de NEN-norm in het kader van het EPD/LSP wel een prominente rol gekregen. Bovendien geldt dat de toezichthouders (het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg) NEN7510 regelmatig behandelen als ware het een wettelijk verplichte norm. ‘Compliance’ is dus feitelijk vereist.
In het kader van het e-consult is NEN7510 verder uitgewerkt in een aantal richtlijnen (wederom zelfregulering). Deze richtlijnen zien op de situatie dat een arts online op de individuele patiënt gerichte (medische) informatie verstrekt.
De Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) heeft het lezenswaardige document “Richtlijn online arts-patiënt contact” opgesteld. De richtlijn gaat allereerst in op de vraag of een e-consult überhaupt is toegestaan. De KNMG adviseert dat een e-consult in beginsel alleen mag in geval van een bestaande behandelrelatie: “Alleen in die gevallen waarin de kwaliteit van zorg voldoende is gegarandeerd, de kans op nadelige gevolgen in voldoende mate is verkleind en de geboden zorg de patiënt ten goede komt, kan een arts besluiten om buiten een bestaande behandelrelatie online contact met patiënten aan gaan.”
De KNMG geeft een aantal specifieke voorwaarden waaraan een e-consult moet voldoen.
Een online consult waarbij een individueel medisch advies wordt gegeven is alleen geoorloofd indien aan de volgende cumulatieve voorwaarden is voldaan:
Indien tijdens een online consult tevens medicatie wordt voorgeschreven, moet aan de volgende voorwaarden worden voldaan (zie ook art. 67 Geneesmiddelenwet):
In geval van herhaalrecepten gelden nog drie extra voorwaarden:
Dat deze voorschriften geen overbodige luxe zijn, blijkt reeds uit het feit dat het CBP begin 2014 heeft vastgesteld dat het in toenemende mate mogelijk is herhaalrecepten via een online formulier aan te vragen bij huisartsen en apotheken. In mei 2013 heeft het CBP door middel van een steekproef 150 websites van huisartsen en apotheken onderzocht op de beveiliging van de online formulieren. Het CBP constateerde dat bij 43 websites het online aanvraagformulier over een onbeveiligde verbinding wordt verzonden, waarmee derhalve bijna een derde van de huisartsen en apothekers in strijd met de Wbp handelden. “Hierdoor kunnen anderen de gevoelige, medische gegevens relatief eenvoudig meelezen, verwijderen of aanpassen”, zo stelde het CBP destijds. Het ging in totaal om de medische gegevens van zo’n 250.000 patiënten.
Met betrekking tot de veiligheid van online communicatie merkt de KNMG op dat een arts een computer dient de gebruiken die is uitgerust met een up-to-date virusscanner, firewall en recente patches voor de software waarmee gewerkt wordt. Bij online uitwisseling van gegevens dienen voldoende maatregelen getroffen te worden die de privacy van de patiënt waarborgen. Zo dienen gegevens minimaal versleuteld verstuurd te worden. ‘Secure e-mail’ oplossingen en/of een ‘secure’ verbinding (encrypted server) verdienen echter de voorkeur.
E-mails van patiënten mogen in beginsel niet in het e-mailprogramma zelf worden bewaard, om te voorkomen dat computervirussen vat krijgen op de vertrouwelijke gegevens. Van deze e-mails wordt een geprinte, papieren versie in het dossier opgenomen of deze worden in het elektronisch medische dossier opgeslagen.
Ook de toegang tot de computer van de arts moet beveiligd zijn, bijvoorbeeld door middel van een wachtwoord, of beter nog, door middel van biometrische identificatie. Daarnaast zou de computer van de arts voorzien moeten zijn van een screensaver die beveiligd is met een wachtwoord, zodat de toegang tot de gegevens op de computer ook beperkt is op het moment dat de arts is ingelogd maar niet op zijn (werk) plek aanwezig is.
Zoals gezegd bestaat naast de KNMG-richtlijnen een aantal andere richtlijnen.
Zo heeft het Comité Permanent Européens (CPME) een aantal richtlijnen opgesteld, van welke met name de "CP guidelines for e-mail correspondence between a doctor and a patient" (CP 2001-112 ) informatief is. De richtlijn is qua inhoud vergelijkbaar met de hiervoor besproken richtlijn van het KNMG.
Het Nictiz heeft enkele weken geleden een lezenswaardig document uitgebracht, genaamd “Veilig omgaan met e-mail in de zorg”. Dit document beschrijft de risico’s en de kwetsbaarheden van e-mail, en houdt verschillende oplossingen tegen het licht.
Het is niet overdreven te stellen dat de wet- en regelgeving rondom eHealth zeer gecompliceerd kan zijn. De vele open normen in de wetgeving zijn hier ongetwijfeld debet aan. Totdat de wetgever meer duidelijkheid creëert, lijkt zelfregulering dan ook de oplossing te vormen.
Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity.