Opiniërend gesprek in de Voorbereidinggroep Patiënt Consent Opiniërend gesprek in de Voorbereidinggroep Sjaak Gondelach 14-02-2017

Patiënt Toestemming - Uitgangspunten RTPU acteert binnen de kaders van wet- en regelgeving Op de uitwisseling van persoonsgegevens via elektronische uitwisselingssystemen zijn voorschriften in de Wet bescherming persoonsgegevens (Wbp) en Boek 7, Titel 7, Afdeling 5 BW (Wgbo) van toepassing. Door de RSO’s wordt de Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) gebruikt EGiZ, art. 5.6: Raadpleging van gegevens door een Dossierraadpleger vindt slechts plaats nadat de aanwezigheid van een Behandelrelatie tussen de Betrokkene en de Dossierraadpleger is vastgesteld overeenkomstig artikel 8. Indien een Behandelrelatie niet kan worden vastgesteld vindt raadpleging slechts plaats nadat de Dossierraadpleger hiervoor Uitdrukkelijke toestemming heeft verkregen van de Betrokkene. Europese Privacy Verordening (wordt medio 2018 van kracht) Bevat meer verdergaande regels over het patient consent, o.a. ‘Specifieke Toestemming’ om aan te geven WAT en met WIE gegevens gedeeld mogen worden.

Informatieverstrekking en Toestemming (Patiënt Consent) In de praktijk roepen met name de regels rondom informatieverstrekking aan de patiënt (de ‘Betrokkene’) en het verkrijgen van toestemming veel vragen op. Mede afhankelijk van ‘Pull-verkeer’ of ‘Push-verkeer’.

Patiënt Consent bij Pull-verkeer Brondossierhouder (zorgaanbieder) stelt gegevens beschikbaar aan andere zorgaanbieders Vooraf niet duidelijk welke zorgaanbieders (dossierraadplegers) die gegevens gaan raadplegen Voorbeelden: LSP, XDS, Zorgverlenersportalen van zorgaanbieders Informatieverstrekking aan- en voorafgaande uitdrukkelijke toestemming van de patiënt zijn hiervoor vereist !! De Brondossierhouder draagt zorg voor registratie van de uitdrukkelijke toestemming en de intrekking hiervan

Patiënt Consent bij Push-verkeer Brondossierhouder (zorgaanbieder) verzend gegevens aan één of meer specifieke zorgaanbieders die een behandelrelatie hebben met de patiënt De ontvangende zorgaanbieder krijgt de gegevens zonder daarvoor zelf initiatief te hoeven nemen Voorbeelden: Mail, Edifact verwijs- en ontslagbrieven en uitslagen, ZorgDomein, POINT Informatieverstrekking en voorafgaande toestemming van de patiënt zijn niet vereist (veronderstelt consent) Patiënt kan wel bezwaar maken Wel permanente informatie via openbare communicatiekanalen

Discussie: Wat moeten we vastleggen / wat is voldoende Discussie: Wat moeten we vastleggen / wat is voldoende? In de regio moeten we hier één mening over vormen Uitdrukkelijke toestemming voor Nederland (vb: medicatie LSP) De patiënt geeft toestemming dat de brondossierhouder mag publiceren en dat alle zorgverleners –mits geautoriseerd- binnen Nederland gegevens mag opvragen Uitdrukkelijke toestemming voor de regio (vb: LSP huisartsen) De patiënt geeft toestemming dat de brondossierhouder mag publiceren en dat alle zorgverleners –mits geautoriseerd- van het affinity domain gegevens mag opvragen Uitdrukkelijke toestemming voor een zorgaanbieder De patiënt geeft toestemming dat de brondossierhouder mag publiceren voor een specifiek genoemde zorgaanbieder, bijvoorbeeld: huisarts(enpraktijk), ziekenhuis e.d. Uitdrukkelijke toestemming voor een zorgverlener De patiënt geeft toestemming dat de brondossierhouder mag publiceren voor een bij naam genoemde zorgverlener. (Systemen (XDS) kunnen dit momenteel niet ondersteunen) Generiek bezwaar

Het principe van de patiënt Toestemming Zorgverleners en zorgaanbieders met behandelrelatie, hebben inzage in de gegevens van de patiënt. De autorisatie (rol) bepaald wat zij mogen zien. Indien een Behandelrelatie niet kan worden vastgesteld vindt inzage slechts plaats nadat de dossierraadpleger hiervoor uitdrukkelijke toestemming heeft verkregen van de patiënt.

Zorgaanbieders en Behandelrelatie (EGiZ) Zorgaanbieder: De natuurlijke persoon of rechtspersoon waarmee een patiënt een Behandelingsovereenkomst heeft. Het gaat altijd om een instelling of een vrijgevestigd beroepsbeoefenaar in de zin van de Wet beroepen individuele gezondheidszorg (Wet BIG). Behandelrelatie: Wanneer een Zorgverlener in dienst is bij een instelling komt de Behandelingsovereenkomst tot stand met de instelling. De instelling is in dat geval dus de Zorgaanbieder. De patiënt (betrokkene) heeft een behandelovereenkomst met het ziekenhuis én gelijktijdig met de afzonderlijke medisch specialisten (rol Zorgaanbieder) waarmee de patiënt van doen heeft. Het personeel in dienst van het ziekenhuis heeft behandelrelaties met de patiënt uit hoofde van de behandelingsovereenkomst met het ziekenhuis.

Wat moeten we vastleggen Bron: Rapport_Uitgangspunten_Autorisatieprotocollen_toestemmingsprofielen_V1.0.pdf In de IHE Basic Patient Privacy Consents Profile draft worden de volgende elementen in de toestemmingsverklaring betrokken: Aard van de toestemming (verondersteld, expliciet) Verwijzing naar een policy Bereik van de toestemming (generiek, specifiek, clausuleringen) Bijzondere omstandigheden Geldigheidsduur Wijze van ondertekening Uitwerking van de policies voor toestemming valt buiten het kader van dit rapport. Voor de logging is wel essentieel dat bij elke actie op het patiëntendossier verwezen kan worden naar de policy waaronder de actie heeft plaatsgevonden. In de policies kunnen bijvoorbeeld details gespecificeerd worden voor toestemming of weigering voor: met name genoemde partijen voor toegang tot het gehele dossier om bepaalde functionele rollen aan te nemen specifieke zorgfuncties (bv. afdelingen, specialismen) specifieke functionele rollen voor toegang tot bepaalde delen van het dossier voor toegang tot gegevens met een specifieke gevoeligheid voor bepaalde acties op het dossier (bv. lezen, schrijven, wijzigen, kopiëren, bevragen) specifieke doeleinden bv. directe zorgverlening, ondersteuning, onderwijs, onderzoek rechtvaardiging of bewijsvoering

Wat XDS niet kan ondersteunen Bron: Richtlijn toepassing BPPC v1.0.pdf Het BBPC-profiel kan niet alle toestemmingen van de patiënt realiseren. De volgende situaties zijn niet mogelijk met het BPPC-pofiel: Patiënt identificeert individuele zorgverleners die toestemming krijgen. Patiënt identificeert individuele zorgverleners die uitgesloten worden. Elke opvraging van een document wordt geautoriseerd door de patiënt. Notificatie aan de zorgverleners die een document gebruiken om de toestemming van de patiënt te herroepen. Terugtrekken van documenten die zijn gebruikt waarbij in een later stadium de toestemming van de patiënt wordt herroepen. Het betekent feitelijk dat je niet kunt wissen uit geheugen van mensen of machines als er ooit inzage is geweest.

Hoe en waar vastleggen van de Patiënt Toestemming Bron: Richtlijn toepassing BPPC v1.0.pdf De manier waarop de consent van de patiënt moet worden vastgelegd is wettelijk niet voorgeschreven. De wet schrijft wel voor dat: elke zorgverlener toestemming moet vragen aan de patiënt; de vastlegging aantoonbaar moet zijn voor controle doeleinden. Er is dus geen duidelijk wettelijk kader over de vastlegging van de toestemmingsprofielen van de patiënt. De zorgverlener is gebaat bij een laagdrempelige oplossing en voor controledoeleinden is een zo goed mogelijke traceerbaarheid nodig. De achterliggende reden bij het opslaan van deze informatie is dat andere zorgverleners (en andere stakeholders zoals auditers) de toestemming van de patiënt moet kunnen zien en kunnen controleren. In deze situatie is een frictie tussen wettelijke kaders en werkbare zorgprocessen. Hieronder staan een aantal mogelijke opties, in volgorde van wenselijkheid: De (digitale) handtekening van de patiënt wordt gevraagd en (digitaal) opgeslagen. De (digitale) handtekening van de arts wordt geplaatst en (digitaal) opgeslagen. De zorgverlener plaatst een vinkje in zijn systeem. Tevens wordt de papieren kopie met handtekening van de patiënt in het dossier toegevoegd. De zorgverlener plaatst een vinkje, waarbij logging plaatsvindt zodat achteraf de behandeling traceerbaar is. Bijvoorbeeld naar de afspraken in de agenda of de DBC declaratie.