Waar gaat het over?
Op 25 mei 2018 ging de nieuwe Europese regelgeving in rond de bescherming van persoonsgegevens. Er wordt verwacht dat alle professionals en organisaties, die gestructureerd met persoonsgebonden informatie werken, actief aan kunnen tonen dat er voldoende maatregelen worden genomen om deze gegevens te beschermen.
Verwerking van persoonsgegevens
Er wordt een brede definitie gehanteerd van zowel het begrip persoonsgegevens als van de verwerking ervan.
- Onder persoonsgegevens wordt alle persoonsgerelateerde informatie begrepen die kunnen leiden tot de identificatie van een persoon. Ook gegevens die op zich neutraal lijken zoals leeftijd, gewicht, soort auto,… worden hieronder begrepen. Immers, een combinatie van deze gegevens kan leiden tot identificatie van een specifiek persoon.
- Verwerking houdt alle handelingen in die met gegevens gesteld kunnen worden: ook inzage in gegevens of opslag ervan valt hieronder.
Opletten met medische gegevens
Verder wordt er extra aandacht besteed aan gevoelige gegevens zoals medische gegevens. Deze mogen in principe niet verwerkt worden, tenzij er wordt voldaan aan de juiste rechtsgrond en de gegevens worden verwerkt door (of onder verantwoordelijkheid van) personen die gebonden zijn aan het beroepsgeheim. Artsen die een medisch dossier bijhouden, wachtposten en groepspraktijken hebben dus het recht om deze gegevens te verwerken maar dienen dit goed te documenteren en te verantwoorden.
Hoe beginnen?
Domus Medica staat artsen bij in het hele proces en stelt heel wat documentatie ter beschikking. Deze pagina wordt regelmatig aangevuld, kom voor nieuwe informatie zeker terug een kijkje nemen.
De Privacycommissie heeft een stappenplan ontwikkeld om de voorbereiding te begeleiden. Omdat dit stappenplan niet overal volledig van toepassing is op de huisartsenpraktijk, ontwikkelde Domus Medica een eigen stappenplan. Hiermee kan de arts concreet aan de slag in zijn praktijk.
Een eerste oplijsting van de impact van de GDPR op de (huis)arts en welke stappen moeten genomen worden, is terug te vinden in Huisarts Nu van april 2018. Hier wordt ook ingegaan op mogelijke uitzonderingen voor individuele zorgverleners op het 13-stappenplan.
De belangrijkste opdrachten ter voorbereiding van de GDPR zijn
- het opstellen van een verwerkingsregister en privacyverklaring,
- een procedure voor het melden van gegevenslekken opstellen en
- de overeenkomsten met verwerkers nakijken en waar nodig aanpassen.
Niet alles zal meteen afgerond zijn want het hele GDPR-proces is een lopend en evoluerend geheel van stappen die in de praktijkwerking moeten geïntegreerd worden. Vertrek vanuit een stappenplan om op te lijsten welke prioriteiten de praktijk zal leggen, en hoe de verschillende onderdelen zullen worden aangepakt. Eens het stappenplan is opgesteld, start u best met het opstellen van het verwerkingsregister om de bestaande processen in kaart te brengen, en van daaruit de privacyverklaring en de nodige beschermingsmaatregelen op te starten.
Opleidingen voor artsen
In mei 2018 organiseerde Domus Medica in samenwerking met de beroepsverenigingen van apothekers praktische opleidingen voor zelfstandige zorgverleners rond de GDPR. De presentaties van deze opleidingen kan u hier terugvinden, evenals de opgenomen sessie van 16 mei.
Presentatie GDPR-sessie 16 mei 2018
Verwerkingsregister
Een verwerkingsregister helpt om aan te geven welke gegevens worden bewaard in de praktijk, van zowel medewerkers als patiënten, de redenen om de gegevens bij te houden en te verwerken, de rechtsgronden, de genomen beschermingsmaatregelen enzovoort. Het opmaken van een verwerkingsregister is verplicht.
Hieronder kan u een template en invulhulp terugvinden. Let wel, een verwerkingsregister is altijd in ontwikkeling: als er nieuwe gegevens of nieuwe doelen van verwerking kunnen worden vastgesteld, moet dit aangepast worden. Pas ook zeker onderstaand register aan de situatie in uw eigen praktijk aan. Hiervoor kan het handig zijn om een verwerkingsverantwoordelijke aan te duiden in de huisartsenpraktijk die deze taak op zich zal nemen.
Download hier de template van een verwerkingsregister en de verwerkingsregister checklist.
Privacyverklaring
Patiënten dienen helder geïnformeerd te worden over oa. de gegevens die van hen worden bijgehouden, de doeleinden van de verwerking en met wie er gedeeld wordt. In dit document wordt aangehaald welke elementen in de privacyverklaring opgenomen dienen te worden.
Een privacyverklaring kan op de website van de huisartsenpraktijk worden geplaatst of in de wachtzaal worden opgehangen.
In het model privacyverklaring vindt u een voorbeeld terug van een privacyverklaring gericht op een gemiddelde huisartsenpraktijk. Pas het model aan waar nodig indien er afwijkingen zijn binnen uw praktijk of organisatie. Er is ook een franstalige versie beschikbaar.
Gegevenslekken
Bij inbreuken op de veiligheid van de gegevens (vb. laptop gestolen, verwijsbrief bij verkeerde patiënt,…) moeten deze bijgehouden worden in een intern register en gemeld worden aan de Privacycommissie. In bepaalde gevallen moeten ook de betrokkenen zelf verwittigd worden.
VOORBEELDEN
1. Een brief met gegevens werd naar het verkeerde adres gestuurd, maar werd niet geopend teruggestuurd. Aangezien de brief ongeopend bleef, is er hier geen sprake van een gegevenslek.
2. Problemen met het softwarepakket. Je trekt een printscreen van het scherm en stuurt dit naar de helpdesk via email en zet een beroepsorganisatie in cc. Op de printscreen zijn gezondheidsgegevens en patiëntengegevens te zien te zien. Dit vormt een gegevenslek. Deze moet gemeld worden aan de Privacycommissie en aan de patiënt, aangezien de gegevens op een slechte manier versleuteld werden.
3. De laptop van de arts werd gestolen. De medische gegevens zijn echter enkel met een eID te openen. Dit maakt een gegevenslek uit die aan de Privacycommissie gemeld moet worden. De patiënt moet niet verwittigd worden, aangezien de medische gegevens wel versleuteld zijn.
4. De chauffeur pikt bloedstalen op aan de buitendeur. Voorschriften hangen ter afhaling op het prikbord. Een pak vsn voor TD ligt klaar aan de buitendeur. Dit is een gegevenslek. Let op met de verpakking, plaatsing en uitwisseling van persoonsgegevens zoals bijvoorbeeld voorschriften, verslagen, bloedstalen,... Gebruik afgesloten en veilige verpakkingen en een beveiligde manier voor uitwisseling van bestanden of verslagen.
Er is een flowchart opgesteld die u kan helpen in dit proces die u kunt downloaden, en een voorbeeld van een register waarin u datalekken of inbreuken kan bijhouden.
Verwerkersovereenkomsten
Andere partijen waarmee u samenwerkt en die voor u persoonsgegevens verwerken of bewaren, zijn verwerkers. Zoals bijvoorbeeld uw EMD-software leverancier. De GDPR voorziet richtlijnen rond de afspraken die er tussen verwerkingsverantwoordelijken en verwerkers moeten worden gemaakt (artikel 28). Kijk uw contracten na en pas deze aan zodat ze in overeenstemming zijn met de nieuwe regelgeving. Een document met aandachtspunten rond de overeenkomst en voorbeelden van overeenkomsten kan u hieronder terugvinden. De voorbeelden bevatten alle wettelijk verplichte elementen van een verwerkersovereenkomst volgens artikel 28.
Voorbeeld verwerkersovereenkomst, opgesteld door Zorgnet Icuro.
Voorbeeld verwerkersovereenkomst, opgesteld door Frederik Dhondt en Piva eGov. Dit voorbeeld bevat eveneens een bijlage met een vertrouwelijkheidscontract voor werknemers.
Om na te gaan of een verwerkersovereenkomst die u hebt toegestuurd gekregen, voldoet aan de verplichtingen van artikel 28, kan u onderstaande checklist gebruiken. Indien er zaken ontbreken of foutief zijn aangegeven in de overeenkomst, kan u op basis van de checklist vragen om de nodige aanpassingen te doen, ofwel om als alternatief de voorbeeldovereenkomsten te gebruiken.
Download hier de bovengenoemde checklist, opgesteld door Whitewire.
Veelgestelde vragen
Mag men gegevens delen met andere zorgverleners buiten de organisatie?
Ja, heb aandacht voor het verwerkingsdoel en de gerechtvaardigde verwerkingsgrond.
Een patiënt trekt zijn geïnformeerde toestemming in. Mag nu niets meer gedeeld worden?
Men heeft de geïnformeerde toestemming nodig van de patiënt om gegevens van de patiënt te delen met andere zorgverleners via een eHealth-netwerk. Andere informatie delen is en blijft noodzakelijk en ook mogelijk. Het moet dan wel gaan om andere soort informatie, via een andere weg gedeeld, naar een specifieke bestemmeling en met medeweten van de patiënt.
Mag een secretariaatsmedewerker afspraken vastleggen en klachten noteren?
Ja, aangezien hier een rechtvaardig belang voor is. Het is nodig voor de goede praktijkvoering en voor toegankelijke medische zorg te kunnen waarborgen. Dit wil echter niet zeggen dat een vrije toegang tot medische dossiers toegelaten is. Men krijgt enkel toegang tot de informatie die nodig is om zijn of haar taken uit te voeren. Bovendien wordt er een geheimhoudingsplicht ingeschreven in de medewerkerscontracten.
Kan de chauffeur van de wachtpost nog patiëntengegevens in de GPS ingeven, alsook informatie over de ernst van de klacht?
Ja dit kan nog, omwille van het gerechtvaardigd belang rond goede praktijkvoering en de toegankelijke medische zorg. Dit wil opnieuw niet zeggen dat de chauffeur toegang heeft tot het medische dossier. Er dient ook een geheimhoudingsplicht te worden opgenomen in het contract met de chauffeur. De GPS-gegevens zijn enkel nodig om bij de patiënt te geraken en kunnen kort daarna gewist worden.
Is een softwareleverancier een verwerker?
Ja, het is bijgevolg nodig om een verwerkingsovereenkomst af te sluiten of clausules hieromtrent op te nemen in de bestaande samenwerkingsovereenkomst.
Mag ik een foto van een wonde vragen over de patiënt via whatsapp en doorsturen naar een collega?
In principe is een foto van een wonde niet herleidbaar tot de persoon als de patiënt niet herkenbaar is. MEn dient wel op te letten met "aanvullende informatie" waaruit er toch afleiding mogelijk is (bijvoorbeeld: metadata zoals de locatie, tijdstip, het ip-adres van de instelling,...). Het transport is versleuteld, maar er is ook geen duidelijkheid over de opslag van deze foto's. Het is daarom zeker niet aangeraden om deze foto's op deze manier door te sturen, aangezien ze vaak opgeslagen worden tussen je persoonlijke foto's, afhankelijk van de instellingen van de app.
Een patiënt geeft zijn akkoord om laboresultaten of een voorschrift per mail te versturen. Mag dit?
Het gebruik van e-mail dient absoluut vermeden te worden. Het zijn niet-versleutelde gegevens die verstuurd worden en gegevenslekker kunnen zo niet vermeden worden. Zelfs indien er een akkoord is van de patiënt, dan nog neemt men als arts onvoldoende maatregelen om de beveiliging van de persoonsgegevens te waarborgen. Het antwoord is dus nee. Een alternatief is om gebruik te maken van portalen of beveiligde websites om info te delen met derden zoals bijvoorbeeld via patiëntenportalen.
Mag ik mailadressen van patiënten opslaan en gebruiken?
Ja, maar informeer de patiënt dat je dat gaat doen en informeer hem ook over de doelstelling. Informatieve mails over bijvoorbeeld verlof binnen de huisartsenpraktijk, hebben een gerechtvaardigd belang, maar voor nieuwsbrieven en dergelijke heeft men wel degelijk toestemming nodig. Pas op met gezondheidsinformatie, dit valt hier uiteraard niet onder. Check ook zeker welke mailprovider/tool u gebruikt, aangezien er providers/tools zijn die data opslaan buiten de EU.
Elke patiënt heeft het recht om vergeten te worden. Geldt dat ook voor medische gegevens?
De patiënt heeft het recht om dit te vragen. Het is belangrijk dat de arts de patiënt wijst op de gevaren en gevolgen, maar uiteraard geldt er voor bepaalde gegevens wel een bewaarplicht. Men mag niet het gehele medisch dossier wissen, maar wel bijvoorbeeld het e-mailadres.
Ik bewaar mijn papieren archief in een overbodige slaapkamer thuis. Mag dit?
Het is belangrijk dat je maatregelen neemt zodat deze dossiers in een afgesloten bewaarplaats bewaard kunnen worden.
Ik stel bij de aflevering van medicatie vast dat een patiënt een medische shopper is. Mag ik dit melden aan collega-artsen en apothekers?
Ja, op voorwaarden dat de patiënt toestemming gaf om dit te melden. Zonder toestemming van de patiënt mag de apotheker de informatie van het voorschrift enkel en alleen overmaken aan de voorschrijver. Bij bevestiging van misbruik van de voorschrijver dient de apotheker de inspecteur te informeren.
Het papierafval van mijn praktijk verzamel ik voor ophaling voor de jeugdbeweging. Mag dit?
Als documenten met persoonsgegevens vrij terug te vinden zijn, spreekt men van een lek bijvoorbeeld: afgedrukt medicatieschema, kassaticketjes die meegenomen worden, laboverslagen. Vertrouwelijk papier moet vernietigd worden bijvoorbeeld door een papierversnipperaar.