Privacy in de zorg Van wet naar praktijk Presentatie over Gedragscode EGiZ Regionale Bijeenkomst Noord-Holland Noord Elektronische Uitwisseling Patiëntengegevens Wim Hodes 4 okt 2012
Wat is het probleem? Neem een gewone zorgverlener, zeg een huisarts: Aangesloten op ‘OZIS-wdh’ (huisartsendossier opvraagbaar bij dokterspost) Aangesloten op ‘OZIS-mg’ (want apotheekhoudend) Werkend met ‘Edifact’ (berichten van en naar andere zorgverleners) Werkend met Beter Verwijzen (verwijsberichten naar ziekenhuizen) Met toegang tot ziekenhuisportaal (ziekenhuisgegevens van ‘zijn’ patiënten) Aangesloten op een ‘KIS’ (deelt gegevens met ketenzorggroep) Specialisten in ziekenhuis hebben toegang tot ‘zijn’ labgegevens (via cyberlab) Ook aangesloten op LSP Hoe kan deze huisarts zich netjes aan de (privacy)wet houden? En zou de patiënt het nog begrijpen, als die iedere keer toestemming moet geven?
Wat was het probleem in 2009? CBP: “regionale EPD’s in strijd met de wet” Geen eenduidige praktische regels, schuivende inzichten, verschillende regimes voor verschillende projecten/systemen Ontwikkeling landelijk EPD met apart regime Verschillende interpretaties bij verschillende zorgverleners Goede initiatieven om patiëntgegevens uit te wisselen lopen vast op angst en/of discussies!
Wat wij dus wilden … Heldere en toepasbare set aan (gedrags)regels (en bijbehorende normen voor voorzieningen) voor gegevensuitwisseling tussen zorgverleners. Toepasbaar voor belangrijkste deel van bestaande en in nabije toekomst denkbare oplossingen. Acceptabel voor wetgever en toetsende instanties. Optimale balans tussen: Privacybescherming patiënt en zorgverlener Adequate informatievoorziening voor zorgverlener en patiënt Werkbaarheid in de praktijk Beheersbaarheid (landelijk en in de regio) Een set waaraan wij ons allen kunnen en willen conformeren. Een set waardoor in de praktijk geen belemmerende onderlinge meningsverschillen meer bestaan.
Wie is “wij”? Taskforce Veldnormen Privacybescherming (TVP): Samenwerking van RSO’s (zie logo’s) O.v.v. W. Hodes (dir. GERRIT) Met ondersteuning van het NICTIZ (faciliteiten en juridische kennis) Opsteller van het eerste concept van de gedragscode Taakgroep gedragscode koepels: Samenwerking van LHV, NHG, KNMP, VHN en vz. TVP Met juridische ondersteuning vanuit NICTIZ en KNMG Opsteller huidige versie, die naar het CBP gaat
Kansen na april 2011 EPD-wet van de baan Zienswijze CBP over LSP / pullsystemen: opt-in (bijna) overal noodzakelijk Gedragscode zou ook van toepassing kunnen zijn op LSP-doorstart Streven naar één regime voor alles!
Wat hebben we gedaan? Bij elkaar gezeten en de (regionale) praktijk van alledag besproken: 12 verschillende uitwisselingsvormen! Bekeken hoe de hele privacyproblematiek, in al die situaties … begrijpelijk voor patiënten, zorgverleners en ondersteuners, eenvoudig voor zorgverleners en beheersbaar voor ondersteuners … kon worden opgelost. Concepten met vele partijen besproken en besproken en … Het resultaat is een compromis: Het zoekt soms de grenzen op van het toelaatbare. Het stelt soms juist hogere eisen dan de wet (bijv. OZIS voor dienstwaarneming) Het laat een heleboel mogelijkheden/varianten van toestemming in specifieke situaties onbenut. Wat we eenvoudig wilden opschrijven is toch weer juridisch verwoord.
Inhoud deel 1 ALGEMENE BEPALINGEN Begrippen Toepasselijkheid en inwerkingtreding Het gaat over alle uitwisseling tussen zorgpartijen Deel 2 ‘per direct’ Delen 3 en 4 per 1-1-2015 (voorstel) Algemene voorwaarden voor ‘rechtmatige verwerking’ Patiëntrechten: Informatie krijgen Toestemming geven / bezwaar maken
Inhoud deel 2 INFORMATIE EN TOESTEMMING Pull-systemen Push-systemen Brondossierhouder informeert en vraagt toestemming voor raadpleegbaar maken (opt-in). Informatie één keer persoonlijk, daarna via openbare kanalen. Raadpleging vereist behandelrelatie Push-systemen Informatie via openbare kanalen is voldoende Uitdrukkelijke toestemming is niet nodig, wel bezwaarmogelijkheid
Inhoud deel 3 AUTORISATIE Autorisatie Minimaal noodzakelijk beleid, vast te stellen door verantwoordelijke voor uitwisselingssysteem Zeggenschap patiëntenvertegenwoordiging Informatie/publicatie Vastlegging en toetsing behandelrelatie Check op behandelrelatie kent voorkeurshiërarchie: Vooraf toetsen o.b.v. registratie door betrokkene zelf Afleiden o.b.v. registratie zorgverlener zelf, in combinatie met checken achteraf Afleiden o.b.v. situatie, in combinatie met checken achteraf
Inhoud deel 4 BEVEILIGING Beveiligingsmaatregelen Logging Passende technische maatregelen t.b.v. toegang en verificatie identiteit Authenticatie zorgverleners via UZI-pas of vergelijkbaar Bij gegevensuitwisseling wordt BSN van betrokkene gebruikt Authenticatie betrokkenen via 2-factor authenticatie met face-to-face uitgifte sleutel Logging Vastlegging bewerkingsactie, datum/tijd, identiteit betrokkene, zorgverlener (persoon) en zorgaanbieder (praktijk/instelling) Verantwoordelijke voor uitwisselingssysteem zorgt voor opvolging
Status sept 2012 Onderschreven door NHG, LHV, KNMP, VHN, LVG en KNMG (met federatiepartners). In behandeling bij NVZ, NFU,GGZ-NL en KNGF Informele toets bij CBP gehad Per 1 oktober formele indiening, en dan: Uiterlijk 1 jan 2013 concept besluit en publicatie door CBP Formele bezwaartermijnen VZVZ en LSP houden zich al aan de code (zorgverleners die alléén op het LSP zijn aangesloten dus ook.)
Aan de slag: Wie moet nu wat doen? Verantwoordelijke (meestal samenwerkingsverband): Autorisatiebeleid (let op patiëntvertegenwoordiging) Technische en organisatorische waarborgen in de keten Publieksinformatie en (desgewenst) klantloket Brondossierhouder (zorgaanbieder die gegevens heeft): Ga alle pullsystemen na: wie is de verantwoordelijke en heeft deze de zaken voor elkaar? Ga na: voldoet mijn systeem en organisatie aan de eisen (bijv. GBZ)? Informeer de patiënt, vraag toestemming (in één keer goed) en registreer deze toestemming. Dossierraadpleger (zorgverlener die gegevens opvraagt): Ga na: voldoet mijn systeem en organisatie aan de eisen? Bied patiënt mogelijkheid van bezwaar tegen raadpleging. ICT-leverancier Bouw en implementeer systemen conform de eisen Patiënt Geef toestemming en blijf geïnformeerd
Communicatie in het kader van het LSP Ik houd medische gegevens van u bij in een geautomatiseerd systeem. Mijn systeem is gekoppeld aan het LSP, waarmee andere zorgverleners ook bij deze (dus uw) gegevens kunnen. Dat is in het belang van goede zorgverlening aan u. U kunt ervan op aan dat uw gegevens slechts op te vragen zijn door huisartsen, apothekers en ziekenhuizen, en voor zover dat voor uw behandeling nodig is. Hiervoor zijn gezamenlijk de nodige waarborgen gecreëerd. U kunt hierover nalezen op VZVZ.nl Vindt u dit goed? Mag ik ook uw gegevens opvraagbaar maken?
Communicatie in één keer goed ... Ik houd medische gegevens van u bij in een geautomatiseerd systeem… Mijn systeem is gekoppeld aan voorzieningen / uitwisselingssystemen waarmee andere zorgverleners ook bij deze (dus uw) gegevens kunnen. Dat is in het belang van goede zorgverlening aan u. U kunt ervan op aan dat uw gegevens slechts op te vragen zijn door zorgverleners die met u een behandelrelatie hebben, en voor zover dat voor uw behandeling nodig is. Hiervoor zijn gezamenlijk de nodige waarborgen gecreëerd. U kunt hierover nalezen op <website(s)>. Vindt u dit goed? Mag ik ook uw gegevens opvraagbaar maken? (maar regel dan wel de waarborgen!)