Ga direct naar de inhoud, het hoofdmenu, het servicemenu of het zoekveld.

Wetgeving

Tussen juli 2017 en juli 2020 treden nieuwe wetten en besluiten in werking, met betrekking tot het elektronisch verwerken van (medische) persoonsgegevens en de privacy van de patiënt. Deze wetten zetten de patiënt centraal en bevatten onder andere nieuwe verplichtingen voor zorgaanbieders op het gebied van registratie, transparantie en informatiebeveiliging. In dit artikel leest u wat er op u afkomt, welke voorbereidingen PharmaPartners treft en wat u zelf kunt doen.

Een compleet overzicht van alle informatie over wetgeving vindt u op de pagina 'Wetgeving' op mijn.pharmapartners.nl. Via deze pagina informeren we onze klanten over alle relevante ontwikkelingen rondom de implementatie van deze wetten in onze producten en diensten. En hoe u alvast aan de slag kunt.

WCBEVVG

Op 1 juli 2017 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg ingegaan. Deze wet bestaat in essentie uit twee verschillende weten, namelijk de bestaande BSN-wet en de nieuwe wet cliëntenrechten bij elektronische verwerking van gegevens (WCBEVVG). Met de WCBEVVG wordt uitvoering gegeven aan een aantal moties van de Eerste en Tweede Kamer met betrekking tot de elektronische uitwisseling van medische persoonsgegevens. De wet schept aanvullende randvoorwaarden voor het eventuele gebruik van een elektronisch uitwisselingssysteem door zorgaanbieders.

Er is voor gekozen om de hiervoor genoemde wet in twee fases in te laten gaan. Het eerste deel betreft hoofdzakelijk het vragen van ‘uitdrukkelijke’ toestemming voor dossieruitwisseling via een elektronisch uitwisselingssysteem en het recht van de betrokkene om geïnformeerd te worden over uw verwerkingsplannen. In 2020 vindt een verdieping plaats op deze wetgeving en worden gespecificeerde toestemming en digitale inzage in dossier de norm.

Veranderingen 

De WCBEVVG heeft een aantal concrete gevolgen voor iedere zorgaanbieder én voor het huisartsen- en apotheekinformatiesysteem.

  • Cliënten moeten altijd actief (mondeling of schriftelijk) toestemming (opt-in) geven voor het uitwisselen van hun persoonlijke gegevens. Dit vereist aanpassingen in de software (het vastleggen van de opt-in) en een actie van u (toestemming vragen aan uw patiënten). We houden u van de ontwikkelingen op dit gebied op de hoogte. Uiteraard zorgen we ervoor dat uw zorgprocessen hier zo min mogelijk hinder van ondervinden. Denk hierbij aan gefaseerde activatie van aanpassingen en een transitieperiode voor uw organisatie.
  • Conform de Wet op de Geneeskundige Behandel Overeenkomst (WGBO) mogen er geen gegevens beschikbaar worden gesteld als dit de privacy van derden schaadt. Staat bijvoorbeeld in het dossier van mevrouw Jansen een opmerking over een aandoening van haar echtgenoot, dan mag deze opmerking niet worden uitgewisseld met anderen. Dit is ook een eis bij uitwisseling van gegevens via het Landelijk Schakel Punt (LSP) en wordt al ondersteund door Pharmacom, Hapicom en Medicom.
  • Vanaf 2020 moeten patiënten elektronisch kunnen zien wat er over hen geregistreerd is door hun zorgverlener en wie wanneer welke informatie heeft bekeken. De inzage in de registratie faciliteert PharmaPartners ten dele al met het patiëntenportaal MijnGezondheid.net. Dit wordt de komende jaren uitgebreid.
  • Het blijft zo dat zorgverzekeraars, bedrijfs-, verzekerings- en keuringsartsen geen toegang krijgen tot de informatie.
  • Er geldt een bijzondere regeling voor patiënten van 12 tot 16 jaar. Zij krijgen een eigen wilsbeschikking met betrekking tot het inzien en delen van hun gegevens. 

GDPR & AVG

De huidige Wet bescherming persoonsgegevens (Wbp) waarin enkele voorwaarden liggen vastgelegd met betrekking tot het (geautomatiseerd) verwerken van persoonsgegevens (alle varianten), wordt 25 mei 2018 vervangen door de Algemene Verordening Gegevensbescherming (AVG). Dit is de vertaling van de Europese privacywet GDPR (General Data Protection Regulation). Vooruitlopend hierop zou per 1 juli 2017 het Besluit elektronische gegevensverwerking door zorgaanbieders (kortweg ‘het besluit’) van kracht worden. Omdat er wat haken en ogen zitten aan de invoering, is dit opgeschort. Toch is het verstandig om vast aan de slag te gaan met de verplichtingen die voortvloeien uit het besluit. Twee maanden na een definitief akkoord van de wetgever, gaat het besluit namelijk alsnog in.

Voldoet u aan de huidige wet bescherming persoonsgegevens dan zal de komst van de AVG u niet al te zwaar raken. De AVG bouwt immers voort op de huidige rechten en plichten omtrent het verwerken van persoonsgegevens. Ook de AVG is van toepassing op het verwerken van persoonsgegevens en ook de AVG biedt slechts een aantal grondslagen voor het rechtmatig verwerken van dergelijke gegevens. Slechts wanneer persoonsgegevens worden geanonimiseerd en als gevolg daarvan niet meer tot een natuurlijke persoon herleidbaar zijn, is van persoonsgegevens (en dus de AVG) geen sprake meer. Het moet daarbij wel gaan om gegevens die ook daadwerkelijk anoniem zijn. Als de gegevens op enige wijze toch in verband gebracht kunnen woorden met een natuurlijke persoon of wanneer ze weer kunnen worden omgezet in persoonsgegevens, blijft de AVG van toepassing.

Veranderingen door de AVG

De AVG geeft onder andere een aantal (algemene) beginselen waaraan iedere gegevensverwerking moet voldoen.

  • De persoonsgegevens dienen te worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
  • De persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verzameld en mogen vervolgens niet verder op een met die doeleinde onverenigbare wijze worden verwerkt.
  • De persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
  • De persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of rectificeren.
  • De persoonsgegevens mogen niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
  • De persoonsgegevens dienen door middel van passende technische en organisatorische maatregelen te worden beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking.  
  • Om de hiervoor genoemde beginselen te borgen zijn sommige organisaties verplicht een Functionaris gegevensbescherming (FG) aan te stellen. Dit geldt ook voor PharmaPartners als ‘bewerker’ en voor iedere Pharmacom-, Hapicom- en Medicomgebruiker. Let op: De aanvankelijke eis dat een FG verplicht is bij bedrijven/organisaties met meer dan 250 werknemers, is vervallen.

Wij communiceren binnenkort uitgebreider over de AVG via het klantenportaal mijn.pharmapartners.nl. 

Veranderingen door het besluit

Het Besluit elektronische gegevensverwerking door zorgaanbieders stelt een aantal aanvullende eisen aan toestemming vragen voor gegevensuitwisseling, de rechten van patiënten en informatiebeveiliging.

  • Alle zorgaanbieders moeten na inwerkintreding van dit Beluit voldoen aan de NEN 7510 (norm voor beveiliging van gegevens), 7512 (norm voor uitwisseling van gegevens) en 7513 (norm voor logging van de toegang tot gegevens). PharmaPartners is gekwalificeerd voor de NEN 7510. Voor de invulling van de NEN 7512 en 7513 moet PharmaPartners aanvullend een aantal zaken inrichten. Zo is er nu wel logging, maar nog niet op het gedetailleerde niveau dat het nieuwe besluit eist.

Juridische verantwoordelijkheden

In de huidige situatie is PharmaPartners bewerker en ligt de verantwoordelijkheid voor het naleven van privacywetgeving hoofdzakelijk bij de zorgaanbieder. Onder de AVG en het besluit verandert dit enigszins en krijgt PharmaPartners een eigen verantwoordelijkheid omtrent het borgen van de privacy van patiënten. Als gevolg daarvan zijn wij een nieuwe bewerkersovereenkomst aan het opstellen, die binnenkort ter ondertekening aangeboden wordt aan alle gebruikers. Het kan ook zijn dat PharmaPartners vanuit die nieuwe rol bepaalde zaken verplicht moet gaan stellen richting gebruikers (zoals gebruik UZI-passen op naam). Deze nieuwe rol voor PharmaPartners wordt op dit moment nauwkeurig in kaart gebracht door juristen. Wanneer dit gevolgen heeft voor u wordt dit uiteraard tijdig gecommuniceerd.

Wat kunt u zelf doen?

U kunt al voorsorteren op de nieuwe wetgeving door:

  • UZI-passen op naam te regelen voor al uw medewerkers, inclusief bezorgers, hulpkrachten en stagiaires.
  • Geen gebruik (meer) te maken van teamviewer-achtige oplossingen. In het kader van de nieuwe wetgeving is het uit den boze om na sluitingstijd een scherm open te laten staan in de apotheek of huisartsenpraktijk. De meest veilige manier om thuis te werken is het aanschaffen van een thuiswerkplek.
  • Uw medewerkerstabel op te schonen en de juiste rollen toe te kennen.
  • Indien van toepassing: het lokale DPA/DMA te migreren naar de centrale oplossing.
  • De nieuwe bewerkersovereenkomst van PharmaPartners te ondertekenen en retourneren zodra u deze ontvangt.
  • Een juridische entiteit in te richten voor uw cluster (eventueel op regionaal niveau) en/of de statuten en reglementen van het cluster te actualiseren op basis van de standaard die PharmaPartners ontwikkelt met cluster Zwolle.
  • Een FG benoemen (dit kan praktijkoverstijgend en verschillende organisaties bieden externe ondersteuning aan).
  • De berichtgeving van PharmaPartners lezen en adviezen opvolgen. Wanneer u niet op tijd voldoet aan de nieuwe wet- en regelgeving riskeert u hoge boetes.

Data Protection Officer

Het implementeren van deze nieuwe wetten en het Besluit vraagt de komende periode een stevige inspanning van u en van PharmaPartners. Bij PharmaPartners is een Data Protection Officer gestart, die hierover de supervisie voert en ervoor zorgt dat de organisatie, producten en diensten volledig blijven voldoen aan de privacywetgeving. Remco Bakker vervult deze rol sinds 1 september bij PharmaPartners. Na zijn master Informatierecht was hij twee jaar legal council bij Solv Advocaten. 

Samen in gesprek

PharmaPartners is als marktleider in de ICT voor de eerstelijnszorg op de hoogte van alle ontwikkelingen rondom relevante nieuwe wetgeving. We zien de ontwikkelingen op het gebied van de AVG en de WCBEVVG als een groot en zeer belangrijk traject. We ervaren tijdens gesprekken met onze klanten dat er nog onvoldoende bekend is wat de gevolgen zijn voor zorgverleners. Daarom nemen we u graag tijdig mee in de informatie rondom de wijzigingen. 

Klantenportaal

Via de pagina 'Wetgeving' op mijn.pharmapartners.nl leest u een compleet overzicht van alle informatie over wetgeving op ieder moment terug. Via deze pagina informeren we onze klanten over alle relevante ontwikkelingen rondom de implementatie van deze wetten in onze producten en diensten. En hoe u alvast aan de slag kunt.