Juridische aspecten van eHealth Startconferentie INPREZE 25 juni 2013 mr. dr. Anton Ekker

Onderwerpen -Actualiteiten -Juridisch kader -Normen elektronische gegevensuitwisseling: -Gedragscode EGiZ -Wetsvoorstel cliëntenrechten bij elektronische gegevensverwerking

rapport CBP • autorisatie op basis van functie of werkcontext is onvoldoende, rechtstreekse betrokkenheid moet vooraf worden vastgesteld; • deze wijze van autoriseren komt nauwelijks voor • geen ‘sense of urgency’ • NB: alleen in de GGZ is sprake van een gemeenschappelijke set van eisen voor instellings-EPDs

Medische apps, is certificeren nodig? • Whitepaper -> gericht op medische apps – Sterke toename medische apps – Niet alle apps zijn medische hulpmiddelen – Complexe materie toegankelijk maken • Doorloop het stroomschema Onderzoek of certificeren voor uw app nodig is • Certificeringstraject Medische apps: is certificeren nodig?5

6 • Waarom en voor wie? • Vertaalslag richtlijn • Gebaseerd op MEDDEV • 4 uitkomsten • Aangemelde instantie

Juridisch kader -Wgbo: verhouding arts – patiënt -dossierplicht en bewaarplicht -geheimhoudingsplicht -Wbp: regels over gegevensverwerking -persoonsgegeven, verantwoordelijke, betrokkene, bewerker -algemene beginselen -patiëntenrechten

Gedragscode EGiZ • praktische uitwerking van geldende (wettelijke) normen: – Algemene bepalingen – Toestemming en informatieverstrekking – Autorisatie – Beveiliging 8

Gedragscode EGiZ • Cliëntenrechten: – informatie – toestemming – inzage en correctie – inzage logging – vernietiging – informatie over geconstateerd misbruik 9

Wetsvoorstel cliëntenrechten elektronische gegevensverwerking -Doel: aanvullende randvoorwaarden voor het gebruik van elektronische uitwisselingssystemen door zorgaanbieders -Aanleiding: moties Eerste Kamer bij behandeling Kaderwet landelijk EPD

Reikwijdte Elektronisch uitwisselingssysteem: 'een systeem waarmee een zorgaanbieder op elektronische wijze gegevens uit dossiers aan andere op het systeem aangesloten zorgaanbieders kan verzenden, of waarmee een zorgaanbieder toegang kan verschaffen tot een dossier of gedeelten van een dossier dat hij beheert, waaronder niet begrepen een systeem binnen een zorgaanbieder als bedoeld in onderdeel f, onder 1°, voor het bijhouden van een elektronisch dossier.’

Toestemming bij beschikbaar stellen ‘de cliënt heeft er recht op dat de zorgaanbieder gegevens slechts beschikbaar stelt voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daarvoor toestemming heeft gegeven’ -geldt dit ook voor bestaande systemen? -geldt dit voor pull én push?

Toestemming bij raadpleging ‘het raadplegen van gegevens die beschikbaar zijn gesteld via een elektronisch uitwisselingssysteem, of een afschrift maken van die gegevens is alleen toegestaan, met toestemming van de cliënt’ -Uitzonderingen: behandelrelatie/noodsituatie -twee keer toestemming vragen is onpraktisch -systeem EGiZ -doublure met recht om zorgaanbieders uit te sluiten

Recht op uitsluiten ‘de cliënt heeft er jegens de zorgaanbieder recht op dat het beschikbaar stellen van gegevens aan een andere zorgaanbieder of een categorie van zorgaanbieders via een elektronisch uitwisselingssysteem, op verzoek van de cliënt wordt uitgesloten of een uitsluiting weer wordt opgeheven’ -wat zijn categorieën? -dubbelop met toestemming raadpleging -NEN 7521

Recht op informatie ‘de zorgaanbieder geeft de cliënt informatie over zijn rechten bij elektronisch gegevensuitwisseling en de wijze waarop hij zijn rechten kan uitoefenen’ -te beperkt -EGiZ doet dit beter -wat bij uitbreiding?

Elektronische inzage ‘recht dat […] de inzage of afschrift die de zorgaanbieder beschikbaar stelt via een elektronisch uitwisselingssysteem […] op elektronische wijze wordt gegeven of verstrekt’ -vele praktische bezwaren: -Welke informatie? Er is geen standaard… -Veiligheidsrisico’s -Id + auth / vertegenwoordiging

Inzage medicatiegegevens ‘Bij de afgifte van medicijnen heeft de cliënt er jegens de apotheker recht op dat hij desgevraagd direct op elektronische wijze inzage krijgt in zijn medicatiegegevens. Op verzoek van de cliënt worden door de apotheker desgevraagd door de cliënt verstrekte gegevens over het gebruik van zelfmedicatie beschikbaar gesteld via het elektronisch uitwisselingssysteem’ -Kosteloos!

Toegangsverboden • Verbod aan verzekeraars en bedrijfs-, verzekerings-, keuringsartsen om zich toegang te verschaffen tot elektronisch uitwisselingssysteem • Sanctie verzekeraar: • Alle verzekerden kunnen binnen zes weken verzekering opzeggen • Boete van max. 500 k / 10 % winst onderneming NL

Nadere technische eisen • bij algemene maatregel van bestuur (amvb) • inhoud nog niet bekend • verwijzing naar NEN-normen?

Vragen? Anton Ekker