Vanaf 1 juli zijn er een aantal bepalingen uit de Wet aanvullende bepalingen gegevensverwerking in de zorg de Wabvpz van kracht.

Patiënten, zoals jij en ik, hebben nu al het recht om een kosteloze inzage in je medisch dossier op te vragen. Dit namelijk al zo geregeld in de AVG, maar ook in de WGBO (Wet op de geneeskundige behandelingsovereenkomst). Indien je inzage en een afschrift wil ontvangen van je medische dossier, dan kun je dit opvragen bij je zorgaanbieder. In de praktijk blijkt dat het fysiek opvragen van je medische dossier een drempel is, waardoor eigenlijk niemand dit doet.

Wabvpz

Op 1 juli 2020 treden een aantal bepalingen van deze wet dus in werking.

Elektronische inzage: in artikel 15d staat dat je een kosteloze elektronische inzage kan hebben als je hierom vraagt.

Logging: in artikel 15e is bepaald dat de patiënt ook een loggings-overzicht kan opvragen. Zodat helder is wie in zijn medische dossier heeft gekeken of aanpassingen heeft gemaakt. Het niet hebben van een goed logging systeem in het Haga ziekenhuis heeft bij de Autoriteit Persoonsgegevens eerder al geleid tot een boete. De Wabvpz verwijst ook naar de NEN7513 mbt de logging eisen.

Deze nieuwe wet is een aanvulling op de WGBO, mbt het kosteloos opvragen in elektronische vorm. Daarnaast heb je recht op het complete medische dossier en niet alleen op de geneeskundige behandeling. De Wabvpz heeft een ruimer toepassingsgebied en is geldig voor alle zorgaanbieders die een patiëntendossier bijhouden.

NEN7510 certificering

Omdat de zorgaanbieder nu een electronisch inzicht moet geven aan de patiënt, heeft dit consequenties voor het zorg informatie systeem (ZIS, HIS, AIS enz..) Het systeem moet conform het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) voldoen aan de NEN7510, NEN7512. (zie artikel 3) De zorgaanbieder mag daarbij wel zelf bepalen hoe de gegevens aan de patiënt worden verstrekt, zolang dit wel veilig is. Sterker nog de wet spreekt zelfs dat dit van groot belang is. Het uitwisselen kan via een zorg-portaal of een Persoonlijke Gezondheidsomgeving (PGO – MEDMIJ), waarbij er ook alleen kan worden ingelogd als het veiligheidsniveau voldoende is. Denk aan 2FA. Als dit vooralsnog niet mogelijk is dan kan de inzage bijvoorbeeld op de praktijk plaatsvinden of het beschikbaar stellen van een afschrift op een beveiligde USB-stick of bijvoorbeeld via een beveiligde e-mail.

Het voldoen aan de NEN7510 is overigens al verplicht voor alle zorgaanbieders vanaf 15/12/2020. In artikel 3.4.a is zelfs het volgende vastgelegd;

“een van de rechtspersoon onafhankelijke organisatie heeft na onderzoek vastgesteld dat de rechtspersoon en het systeem dat hij beheert voldoen aan het bepaalde in NEN 7510 en NEN 7512 en heeft die bevinding opgenomen in een door die organisatie ten behoeve van de rechtspersoon opgesteld audit-rapport”

Niet veel zorgorganisaties kennen deze specifieke regel, maar is erg belangrijk als bewijslast voor IGJ. Uiteraard horen wij wel eens dat zorgaanbieders nog nooit een bezoek hebben gehad van IGJ en tot die tijd denken van ‘alle aandacht naar de zorg’ Dit gaat goed, zolang het goed gaat. Een zorgaanbieder is een IT organisatie geworden en dit moet op een veilige manier. Het is een ‘licence to operate’ wat gewoon wordt verwacht door al je patiënten. Op het moment dat er onverhoopt toch een informatie beveiliging incident is, die van die aard is dat het als een Datalek moet worden gemeld aan de AP ontstaat er een probleem. De AP werkt samen met IGJ en er zal navraag gedaan worden in welke mate de organisatie kan aantonen of er aan de NEN7510 wordt voldaan. Indien de zorgaanbieder dit niet (onpartijdig) kan aantonen, zal IGJ zeker ook zelf nader onderzoek doen op NEN7510 compliance.

Het hebben van een onpartijdige audit en zelfs certificering is belangrijk voor het vertrouwen in de zorgaanbieder zelf en het bestuur.

Informatiebeveiliging is een onderdeel van gewoon goede zorg verlenen.

Foto bronvermelding; Volkskrant/persgroep