Het elektronisch medisch dossier: Wat kan en wat mag

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

PATIENTENRECHTEN EN PLICHTEN
Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
relevante wetgeving en achtergrondinformatie
Informatiemiddag Wet Markt en Overheid 11 februari 2014.
Maatschappelijke aspecten les 2: Downloaden en uploaden: legaal of illegaal? [Bron: Downloaden: legaal of illegaal?, dr. mr. Bart W. Schermer]
Juridische aspecten van eHealth Startconferentie INPREZE 25 juni 2013 mr. dr. Anton Ekker.
Wie beschermt onze privacy?
HET IN OVEREENSTEMMING BRENGEN VAN HET RIJKSREGISTER MET HET BESTAND VAN DE AFGEVOERDEN GEHOUDEN DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID ADVIES.
Informatiebeveiliging
Geef uw zorgverlener toestemming voor het delen van uw medische gegevens! Informatiefolder gegevensuitwisseling voor zorgconsumenten in Zuid-Holland.
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
Provinciale ronden mei 2008
Rechtshandelingen van de Unie
Beroepsgeheim in de Bijzondere Jeugdbijstand Antwerpen, 14 oktober 2008 Beroepsgeheim: we zwijgen erover?! Axel Liégeois K.U.Leuven – Broeders van Liefde.
Voorontwerp van wet “Diverse bepalingen”, hoofdstuk “Administratieve vereenvoudiging” Deel “Rijksregister”
Aanpassing Selectie beleid. Waarom aanpassingen in het huidige selectie beleid?
Collectieve en Individuele valbeveiliging
Logo van de desbetreffende sectie hier toevoegen.
Codering Medische Gegevens (MG-MZG)
ELEKTRONISCHE FACTUUR
Hoofdstuk 4 Europese wetgeving.
Vraag 1) juist/onjuist. De plichten van de patiënt:
Tele-monitoring …welke zijn de juridische verplichtingen en beperkingen? Brendan Van Alsenoy
Affligem, 23 april 2003 V-ICT-OR SHOPT IT. Affligem, 23 april 2003 Gebrek aan regelgeving, nood aan duidelijkheid oplossing : e-policy ? wettelijke beperkingen.
‘Rechten van de patiënt’ Gent, 28 januari 2003 Werkgroep Klinische Biologen West-Vlaanderen & Gentse Apothekers Biologen UITEENZETTING DOOR Prof. K. Schutyser.
HOREN ZIEN EN SCHRIJVEN
Telematica in de gezondheidszorg Studiedag MIM "een blik vooruit” 11 november 2000 in het Congressencentrum St Jan Brugge Christiaan Decoster - Directeur-generaal.
INZAGERECHT EN ELEKTRONISCH MEDISCH DOSSIER
F onds voor de M edische O ngevallen 1. OVERZICHT 1.Procedure; 2.Structuur; 3.Contactgegevens. 2.
Voorschrift op stofnaam en substitutie
Beroepsgeheim van de tandarts
De juridische context van de digitale factuur.
E-Government binnen de sociale zekerheid
Federaal Agentschap voor de Veiligheid van de Voedselketen Medisch toezicht van personen in de levensmiddelensector. Koninklijk besluit tot wijziging van.
Recordkeeping - in 7 stappen naar een digitaal archief
The making of NEN 1010: september 2015
Onderwijsinspectie – Het juridische verhaal 22 september 2015.
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Consumentenbescherming in Nederland en onder de tropenzon Dr. Viola Heutger EU CARICOM.
De rechten van de patiënt.. Herman Nys Centrum voor biomedische en recht KU Leuven.
De rol van het ethisch comité van het ziekenhuis bij knelpunten rond medisch begeleide voortplanting en draagmoederschap Tom Balthazar Hoofddocent gezondheidsrecht.
De rechten en Verantwoordelijkheden in Jean-Marc Van Gyseghem
Gij zult openbaren: privacy en de open overheid
Definitieve arbeidsongeschiktheid Einde AO wegens overmacht
Klachtenregeling Actan adviseurs & accountants
Het verwijzingsrepertorium Implementatie van het project "Hubs-Metahub" 1.
End-to-end vercijfering
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Gegevensdeling via de hubs iShare conferentie 12/11/2015
Het Delen van patiëntgegevens
Mediprima en Dringende Medische Hulp
Model academiereglement deeltijds kunstonderwijs
Studiedag Veilig organiseren van sportieve evenementen
Studiedag Veilig organiseren van sportieve evenementen Overijse - 1 februari
Privacy en Leerplicht/RMC
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
7 december 2017 Bedrijfsgeheimen en andere vertrouwelijke informatie in de civiele procedure Vereniging Corporate Litigation – 31 mei 2018 Ruud Hermans.
Implementatie van de Europese netwerkcodes in België
Privacy en Leerplicht/RMC
Bestuursrecht Hoorcollege 1
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Het vragenuurtje Symposium Provinciale Raad Orde der Artsen te Antwerpen
DE AVG EN DE RECHTEN VAN DE BETROKKENE - RECHT VAN TOEGANG
De onafhankelijkheid in het sociaal recht en re-integratie
Transcript van de presentatie:

Het elektronisch medisch dossier: Wat kan en wat mag René Heylen

Wettelijke bronnen De Wet Verwerking Persoonsgegevens of de Privacywet dd. 8 december 1992 Art. 458 van het Sw.: Medisch Beroepsgeheim Het K.B. van 3 mei 1999 inzake het medisch dossier De Wet Patiëntenrechten dd. 22 augustus 2002

Dossierplicht en de Wet Patiëntenrechten Patiënt heeft recht op dossier Voorheen geen algemeen geregelde dossierplicht, maar disparate bepalingen Algemene dossierplicht lost onduidelijkheid over inhoud en structuur van dossier niet op Patiënt kan vragen dat stukken aan dossier worden toegevoegd

Inzage in dossier Recht op inzage Principieel rechtstreeks recht op inzage Patiënt kan dossier zelf inzien Kan zich laten bijstaan door vertrouwenspersoon Kan inzagerecht zelfs delegeren aan vertrouwenspersoon

Verzoek tot inzage moet In beginsel ‘onverwijld’ Ten laatste ‘binnen vijftien dagen’ ingewilligd worden Te frequent herhaalde aanvragen moeten niet meteen ingewilligd worden Volgens MvT: slechts binnen ‘redelijke termijn’ na vorige aanvraag

Uitzonderingsregime voor delen van medisch dossier Voor persoonlijke notities Gegevens betreffende derden Motivering voor therapeutische exceptie Persoonlijke notities en gegevens betreffende derden zijn in beginsel uitgesloten van inzage Persoonlijke notities wel ingezien worden door andere beroepsbeoefenaar (die dan rapporteert aan patiënt)

Persoonlijke notities zeer restrictief omschreven in Mvt Onderdelen van dossier die ‘afzonderlijk worden opgeborgen’ Die niet toegankelijk zijn voor anderen (zelfs niet leden van dezelfde zorgverleningsequipe)

Betwisting over onrechtstreekse inzage Mag beroepsbeoefenaar behoren tot andere beroepscategorie ? Inzage medisch dossier door logopedist of apothekersassistent ? Art. 2, 3° versus art. 4 van de wet

Recht op afschrift van medisch dossier Patiënt heeft recht op afschrift van dossier ‘Afschrift’ is fotokopie, e-mail, floppy, transcriptie… Afschrift is ook mogelijk voor Persoonlijke notities Gegevens waarop therapeutische exceptie werd toegepast Maar dan wel via andere beroepsbeoefenaar

Aflevering van afschrift kan geweigerd worden Om verder gebruik te beperken, moet elk afschrift vermelden: ‘strikt persoonlijk en vertrouwelijk’ Aflevering van afschrift kan geweigerd worden Bij duidelijke aanwijzingen Dat patiënt onder druk wordt gezet om afschrift aan derden mee te delen

Post mortem-inzage Onrechtstreekse bevestiging van beroepsgeheim post mortem Erfgenamen kunnen inzage vragen Indien verzoek gemotiveerd en ‘gespecificieerd’ is Indien patiënt zich niet uitdrukkelijk verzet heeft Via beroepsbeoefenaar

Het K.B. van 3 mei 1999 in uitvoering van Art. 15 van de Ziekenhuiswet

"Overwegende dat redelijkerwijze kan worden verwacht dat het medisch dossier, of bepaalde elementen, zoals in zonderheid het ontslagverslag, systematisch in een elektronische vorm zullen worden bijgehouden, bewaard en overgemaakt; dat intussen deze mogelijkheid is voorzien in onderhavig besluit en zelfs wordt aanbevolen, waarbij is gestipuleerd dat de minister de modaliteiten kan bepalen betreffende de elektronische uitwisseling van de gegevens uit het medisch dossier.”

“Deze modaliteiten zullen binnen hogervermelde termijnen worden bepaald voor de uitwisseling en alle aspecten die zich aan de basis van deze elektronische uitwisseling bevinden, m.n. de structuur van de gegevens; Dat de minister om redenen van efficiëntie en coherentie, een advies zal inwinnen bij de Commissie Standaarden inzake telematica ten behoeven van de gezondheidszorg, opgericht bij K.B. van 3 mei 1999."

Het elektronisch medisch dossier is een moderne vorm van een medisch dossier Art. 1. § 2, K.B. ZHMD: het medisch dossier mag bijgehouden en bewaard worden in een elektronische vorm, mits voldaan wordt aan alle in dit besluit gestelde voorwaarden.

• informatie relatief ontoegankelijk en versnipperd • vele regels moeten dus worden afgeleid uit andere teksten: bv. internationale verdragsteksten, algemene rechtsbeginselen, grondwettelijke bepalingen, bv. m.b.t. het recht op privéleven (Art. 22 Grondwet) en uit strafrechtelijke bepalingen, bv. met m.b.t. het medisch beroepsgeheim (Art. 458 Sw.).

Een (elektronisch) medisch dossier is op zich een bestand, indien de gegevens op een ordelijke wijze zijn gestructureerd, zodat de gegevens onmiddellijk terug te vinden zijn, zonder dat men het gehele dossier dient door te nemen.

Een elektronisch medisch dossier is dus een bestand in de zin van artikel 1 § 2 van de WVP, aangezien een systematische raadpleging ervan mogelijk is door de logisch gestructureerde wijze waarop een geheel van persoonsgegevens wordt samengesteld en bewaard.

Commissie Standaarden inzake telematica ten behoeve van de sector van de gezondheidszorg • advies uit te brengen over het elektronisch uitwisselen van patiëntengegevens • bevorderen van het elektronisch uitwisselen van gegevens in de sector • het gebruik van EMD te bevorderen

Het K. B. van 25 januari 1999 voegt een Art. 45bis in het K. B. nr Het K.B. van 25 januari 1999 voegt een Art. 45bis in het K.B. nr. 78 van 10 november 1967: de koning kan minimumcriteria vaststellen waaraan de programmatuur moet beantwoorden om gehomologeerd te worden.

Financiering van informatica in het ligdagbudget: operatiekwartier Hoofdstuk V, art. 16 §1. De afschrijvingen voor de lasten van [...] uitrusting en apparatuur [...] Art. 20 § 1. In afwijking van art. 16 worden de volgende lasten, na afschrijving van de betoelaagde investeringen, forfaitair vergoed: [...] 2° de lasten die verband houden met de afschrijving van de niet-medische uitrusting, met inbegrip van informatica-apparatuur.

Problemen: Artikel 1 § 3 medisch dossier ziekenhuizen: "Het medisch dossier dient gedurende minstens 30 jaar in het ziekenhuis bewaard te worden." Garantieverplichting inbouwen in het contract met de leverancier, bv. neerlegging broncodes bij notaris. • evolutie in de technologie? • compatibiliteit tussen systemen bij wisseling van leveranciers?

Problemen: Een aantal stukken dienen door de verantwoordelijke artsen ondertekend te zijn: • de uitslagen van de medico-technische onderzoeken • de adviezen van de geconsulteerde geneesheren. • de voorlopige en definitieve diagnose. • de ingestelde behandeling, het operatieverslag en het anesthesieverslag. • het verslag van een eventuele lijkschouwing.

Oplossing: elektronische handtekening Een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificeerd certificaat en aangemaakt door een veilig middel voor het aanmaken van een handtekening, wordt geassimileerd met een handgeschreven handtekening (artikel 4 § 4). Deze wettelijke evolutie opent ook de deur voor een elektronisch medisch voorschrift. Wet van 9 juli 2001 (B.S. 29.09.2001) houdende vaststelling van bepaalde regels i.v.m. het juridisch kader voor elektronische handtekeningen en certificatiediensten.

Toegang van verpleegkundigen? • beperkt tot welbepaalde onderdelen • periodes van verzorging • de verpleegkundigen die de patiënt zelf verzorgen • quid onderdeel ‘algemene anamnese centraal medisch elektronisch dossier’ • rol Commissie Privacy & Security in het ziekenhuis

Veiligheid en gegevensbescherming: juridische aspecten

De cruciale uitdaging van de informatica- en telematica-oplossingen binnen de gezondheidszorg is een technisch goed onderbouwde performante betrouwbare oplossing te vinden binnen het spanningsveld tussen twee imperatieven, nl. enerzijds de gebruiksvriendelijke toegankelijkheid van de gegevens en anderzijds de bescherming van de privacy.

Soft law - technische regels • welke zijn suppletief? • welke zijn een minimum minimorum en dwingend van aard? • afdwingbaarheid van deze regels?

Nederland: computervirus verspreidt vertrouwelijke ziekenhuisgegevens (30 augustus 2001) Copyright MediMediaNet Een virus in de computers van het Academisch Ziekenhuis Maastricht (AZM) stuurt al dagenlang vertrouwelijke patiëntengegevens per e-mail naar willekeurige computers. Het ziekenhuis heeft het virus nog niet kunnen stoppen. Het Sircam-virus dook voor het eerst op in juli. Het stuurt zichzelf door naar mensen die in het adressenbestand van het e-mailprogramma Outlook staan. Al twee weken lang worden dagelijks vertrouwelijke documenten van een specialist uit het AZM de wereld ingestuurd. Het gaat om gegevens van operatieschema''s en om documenten die door de chirurg zijn opgesteld. Inmiddels is men erachter gekomen dat de vertrouwelijke gegevens vanaf minimaal vier computers waarmee de arts heeft gewerkt worden verspreid. Het virus zit op de pc van de arts en zoekt op de harde schijf naar documenten die hij dan automatisch verstuurt naar e-mailadressen die ergens in de computer voorkomen. Volgens het AZM is het probleem door een samenloop van omstandigheden ontstaan. AdM (bron: Medisch Vandaag)

Medisch beroepsgeheim: art. 458 Sw. • “geneesheren, ... en alle andere personen die uit hoofde van hun staat of beroep kennis dragen van geheimen die hen zijn toevertrouwd...” • bekendmaking vereist - opzet - bekendmaking toevertrouwen

Evenwicht tussen twee imperatieven • patiëntengegevens vlot laten doorstromen • patiëntengegevens voldoende beschermen Aangezien loutere nalatigheid, bv. in het privacy-reglement, of een gebrek aan controle op de toegang en het gebruik in het ziekenhuis, gebrekkige en goedkope informaticasystemen, enz., geen opzet betekent in de strikte interpretatie van de wet, ligt een veroordeling op basis van de schending van het beroepsgeheim krachten art. 458 Sw. niet voor de hand.

Geheimhoudingsplicht krachtens WVP • nieuw gecreëerde geheimhoudingsplicht Artikel 39 WVP bepaalt dat wordt gestraft met een geldboete van 100 tot 100.000 BEF: de verantwoordelijke, ..., zijn aangestelde of gemachtigde die persoonsgegevens verwerkt met overtreding van de voorwaarden die in artikel 4 § 1, worden opgelegd; 2° buiten de door de artikel 5 toegelaten gevallen 3° in overtreding van de artikelen 6, 7 of 8

Geheimhoudingsplicht krachtens WVP Artikel 1 § 2 WVP bepaalt dat onder verwerking wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot de persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiden, of op enerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.

Geheimhoudingsplicht krachtens WVP Art. 4 § 1 WVP bepaalt dat persoonsgegevens eerlijk en rechtmatig dienen te worden verwerkt.

Geheimhoudingsplicht krachtens WVP Artikel 4 § 1, 4° bepaalt dat persoonsgegevens nauwkeurig dienen te zijn en zonodig bijgewerkt moeten worden. Alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren.

Geheimhoudingsplicht krachtens WVP De strafrechter die een klacht op basis van artikel 39 WVP een overtreding van de voorwaarde, opgelegd in artikel 4 § 1, moet onderzoeken, zal uiteraard rekening houden met heel wat aanknopingspunten: Welke zijn nu die door artikel 4 § 1, 4° geëiste redelijke maatregelen die getroffen dienen te worden om de gegevens die onnauwkeurig of onvolledig zijn te verbeteren. Aan welke criteria moet een informaticasysteem voldoen om conform artikel 4 § 1 de persoonsgegevens eerlijk en rechtmatig te verwerken.

Veiligheid elektronische medische dossiers Het verslag aan de koning bij het 'K.B. houdende oprichting van de Commissie Standaarden...' stelt dat de officiële normeringsbevoegdheid zich situeert bij het BIN (Belgische Instituut voor de Normalisatie), alsook bij CEN (Comité Européen de Normalisation) en ISO (International Standards Organisation). Deze stelling dient genuanceerd te worden.

Veiligheid elektronische medische dossiers Als uitgangspunt wordt immers algemeen aanvaard dat technische specificaties overgelaten aan het Europese normalisatie instituut CEN private normen zijn die geen enkel verplichtend karakter inhouden. Nochtans hebben deze normen, geformuleerd door private organisaties toch een belangrijke waarde en een grote invloed op de standard of care.

Soft law-regels • adviezen van de Nationale Raad van de Orde der Geneesheren • richtlijnen van de Raad van Europa • harmoniserende normen van het Europese normalisatie-instituut CEN - CEN / TC 251 Healthcare Informatics - WG 3 N99-010 Safety and Security Related Software Quality Standards for Healthcare - WG 6 Healthcare Security and Privacy, Quality and Safety - ENV 12924 Security Categorisation and Protection for Healthcare Information Systems; revision N99-003

Soft law-regels PROREC (PROmotion Strategy for European electronic health care RECords) is a project of the IV-framework program of the European Commission. The main goal of PROREC is to promote en coordinate the European-wide convergence towards comprehensive, communicable and secure Electronic Health Records (EHCR). Managing the convergence will be PROREC International's main mission, and this will be realised by undertaking monitoring, assessment and dissimination activities. One of het intermediate goals of this purposeful strategy is te ensure that bodies, such as CEN-TC 251 at the one hand, and EC Informatics programs at the other hand, meet their purposes of providing standards and high quality research to enhance the care process for patients and users.

Soft law-regels - ISO / TC 215 WG 4 Health Informatics Security (gecoördineerd met CEN / TC 251) - ISO 74098-2 Digital Signature

Soft Law • niet afdwingbaar karakter • feitelijk vermoeden van onzorgvuldig handelen? • minstens een element bij de beoordeling van het zorgvuldigheidscriterium • gezagdragende organisatie • de aard van de publicatie en/of verspreiding, bv. publicatieblad van de Europese Gemeenschap • aan de naleving wordt een vermoeden van conformiteit met de essentiële eisen gekoppeld Lierman S.: De richtlijnen en het koninklijk besluit medische hulpmiddelen en de gevolgen van technische voorschriften op de aansprakelijkheid van de fabrikant en het ziekenhuis, T. Gez./Rev. Dr. Santé, 1998-2000, 360-376.

Fysische beveiliging a) Centrale databank en serversysteem - veilige plaats • gecontroleerde toegang lokaal • gelimiteerde risisco’s (brand, storm, water, stroom . . .) - continuïteit van de gegevens • bescherming tegen gevolgen van breuken en storingen : • automatisch herstel : RAID-5 of mirroring • “disaster backup” • resistentie van systeem tegen “computervirussen”

Fysische beveiliging a) Centrale databank en serversysteem - continuïteit van beschikbaarheid 7 / 24 • machines met hoge graad van betrouwbaarheid • mogelijkheid van “unattended operations” • voorzieningen voor stroomstoring (UPS) • eventueel “gespiegelde systemen” (2de reservesysteem) • eventueel voorziening voor uitwijken in geval van ramp - wettelijke verplichting om archief minstens 30 jaar te bewaren

Fysische beveiliging - aanmelding b) Toegang tot het systeem vanaf werkstations (PC’s) - aanmelding • dubbele sleutel : gebruikersnaam + paswoord • maximum aantal pogingen, dan : o afsluiten werkstation o uitschakelen geldigheid gebruikersnaam • mogelijkheid van configuratie paswoorden en vervaldata (voor vervanging)

Fysische beveiliging ... Toegang tot het systeem vanaf werkstations (PC’s) - aanmelding • mogelijkheid tot gebruik van secundaire identificatie via : o biometrische parameters : o mogelijkheid tot gebruik van hardware sleutels : * dongel * badge (chipkaart, magneetstrook, barcode, infra rood, inductie . . .) • mogelijkheid tot limiteren van toegang tot een vooraf ingesteld aantal stations (op basis van netwerkadres of naam van het station)

Fysische beveiliging ... Toegang tot het systeem vanaf werkstations (PC’s) - netwerk • afdoende afscherming van het netwerk tegen indringers o VPN (Virtual Private Network) o Firewall • gebruik van encryptie op de transmissies • mogelijkheid tot onderbreken of zelfs uitschakelen van sessie op werkstations na een bepaalde periode van inactiviteit

Logische beveiliging Het advies van de Nationale Raad van 16 oktober 1993 laat aan duidelijk niets te wensen over: ".... Het overseinen van resultaten, documenten en, in het algemeen, van om het even welk medisch gegeven of bericht, dient te beantwoorden aan de beginselen en waarborgen van authenticiteit, betrouwbaarheid en vertrouwelijkheid..."

Logische beveiliging a) Integriteit van de databank - bewaring eenduidigheid en continuïteit van de patiëntidentificatie • aanhoudende aliascontrole • integratie en recuperatie van gegevens afkomstig van andere departementale systemen - bewaking van de eenduidigheid van de gebruikte coderingen • op niveau van de databank • op niveau van alle departementale systemen • op niveau van het ziekenhuis

Logische beveiliging b) Toezicht op de databank - de databank staat onder toezicht van de hoofdgeneesheer - de databank moet gemeld staan in de kruispuntdatabank van het Ministerie

Logische beveiliging c) Integriteit van de gegevens "Integreteit: veronderstelt dat de informatie volledig is en juist, en dat preventieve maatregelen bestaan om niet-geautoriseerde wijzigingen te beletten. In geval van medische gegevens is het wenselijk de geregistreerde informatie te dateren, alsook de bron, de context en de zekerheidsgraad te vermelden. In principe zou men nooit mogen schrappen. Alle modificaties zouden idealiter moeten gebeuren door toevoeging, nooit door deletie." De Moor G.J.E.: Veiligheid en gegevensbescherming in formatiesystemen binnen de gezondheidszorg, Acta Hospitalia, 1994: p. 37-42.

Logische beveiliging ... Integriteit van de gegevens - alle gegevens zijn meervoudig gerelateerd (contextuele relaties) • patiënt identificatie • behandelende arts • probleemstelling en episode • ontstaan bij welk patiëntencontact

Logische beveiliging d) Toegangsregeling "Confidentialiteit: betekent dat alleen geautoriseerde gebruikers toegang hebben tot welbepaalde informatie (restricted access and use). Confidentialiteit kan dus worden beschouwd als het antwoord op de bescherming van de persoonlijke levenssfeer (privacy)."

Logische beveiliging … Toegangsregeling o toegang tot specifieke patiëntengegevens is beperkt tot: • behandelende artsen en verpleegkundigen • voor de duur van de behandeling • toegang uitbreidbaar tot geassocieerde artsen • expliciete toegangsverlening nodig voor andere artsen bij doorverwijzing of advies • speciale rechten voor noodartsen, artsen op Spoedafdeling en kritische diensten: enkel op het ogenblik dat de patiënt opgenomen is in de dienst.

Toegang voor niet-gemachtigde gebruikers (bv Toegang voor niet-gemachtigde gebruikers (bv. inzage in briefwisseling van een andere medische dienst) Technisch 3 mogelijke procedures: 1) enkel strikte toegang volgens de regels 2) toegang mogelijk, maar elke handeling wordt systematisch opgeslagen, de inlogger wordt verwittigd en een systematische volledige en sluitende controle achteraf 3) idem als voorgaande, maar controle gebeurt slechts steekproefgewijze

Toegang voor niet-gemachtigde gebruikers De 3de optie is m.i. niet conform de huidige security-vereisten.

- Patiënt kan steeds vragen om bepaalde individuele gegevens of delen van een dossier of een geheel dossier als vertrouwelijk te behandelen toegang tot deze gegevens blijft beperkt tot behandelende arts met uitsluiting van alle anderen

Elektronische transmissie van medische gegevens buiten de ziekenhuizen

Elektronische brievenbussen buiten de ziekenhuizen • Nationale Raad: onaanvaardbaar indien de toegang, wat de afzenders betreft, beperkt is tot één welbepaalde groep of verzorgingsinstelling, bv. één enkel laboratorium of één enkel ziekenhuis. - afhankelijkheid en gebondenheid • Oplossing Nationale Raad: onafhankelijke maatschappij de briefwisseling van om het even welke aanvrager aanvaardt.

Elektronische brievenbussen buiten de ziekenhuizen • Principe: juist • Praktijk: de facto onvermijdbaar en een feitelijk monopolie - incompatibiliteit tussen de codering van de verschillende labosystemen onderling - overheid: nog geen universele codering - EMD’s huisartsen niet bij machte een translatie uit te voeren

Bewaring van het centraal medisch dossier opgenomen patiënten buiten het ziekenhuis? K.B. 3 mei 1999 ZHMD: Art. 1 § 3 stelt dat het medisch dossier gedurende minstens 30 jaar in het ziekenhuis dient bewaard te worden. Finaliteit: - continuïteit der zorgen - privacy Verfijning van het standpunt van de Nationale Raad: - onderscheid tussen ‘dode’ archief vs ‘levende’ archief - onderscheid tussen ‘beheer’ en ‘stockering’ Advies van de Nationale Raad van 21/04/2001 - Bewaring van medische ziekenhuisgegevens, T.N.R., Nr. 93 van september 2001, p. 5.

• enkel en alleen de bevoegde arts heeft toegang tot de gegevens Toegepast op de elektronische vorm: op zichzelf genomen is de stockering van een elektronisch medisch dossier buiten het ziekenhuis dus niet verboden, indien aan een aantal voorwaarden voldaan wordt: • enkel en alleen de bevoegde arts heeft toegang tot de gegevens • het beheer van de database gebeurt onder verantwoordelijkheid van een arts, in het geval van een ziekenhuis onder verantwoordelijkheid (dit veronderstelt leiding, gezag en toezicht met een controlerecht) van de betrokken hoofdgeneesheer

To do’s

De lege feranda: Commissie Privacy & Security in alle ziekenhuizen • beleid inzake veiligheid noodzakelijk op het hoogste niveau • beschrijving van de kwaliteitsnormen • contractuele regelingen • ethische gedragscode • personeelsmotivatie • patiëntenrechten en procedures • enz.

De lege feranda: Commissie Privacy & Security in alle ziekenhuizen Naar analogie van de ethische comités zou men drie opdrachten van een 'Commissie Privacy & Security' kunnen onderscheiden: a) een begeleidende en raadgevende functie met betrekking tot de privacy en security-aspecten van de ziekenhuiszorg b) een ondersteunende functie bij beslissingen over individuele gevallen inzake privacy en security (bv. een individuele aanvraag van een patiënt voor inzage in het dossier, enz.) c) een adviserende functie m.b.t. alle protocollen inzake security van informatica, toegang tot het medisch dossier, enz.

Incorporatie van het security-reglement in het medisch reglement • huidige situatie: stuurgroepen en werkgroepen ad hoc

Het medisch reglement Het security-reglement dient dan ook gekwalificeerd te worden als een specifiek staff-reglement voor de medische informatica. Uiteraard is een dergelijk reglement een levende materie en wordt het jaarlijks herzien en aangepast aan de technische mogelijkheden.

Het medisch reglement Het security-reglement wordt dus een onderdeel van het medisch reglement dat door de beheerder eenzijdig uitgevaardigd wordt op verzwaard advies van de medische raad.

Het medisch reglement Om een medisch reglement afdwingbaar te maken van de ziekenhuisgeneesheren dienen de individuele overeenkomsten met de ziekenhuisgeneesheren een clausule te bevatten waarin opgenomen staat dat het medisch reglement deel uitmaakt van de verbintenissen van de ziekenhuisgeneesheer.

Enkele specifieke knelpunten In een procedure voor medische aansprakelijkheid wordt vastgesteld dat enkele essentiële onderdelen van het medisch dossier nooit gemaakt werden door de arts: quid?

De patiënt heeft het recht op een zorgvuldig bijgehouden dossier: dit medisch dossier dient te voldoen aan alle voorwaarden en criteria geschetst in het K.B. van 3 mei 1999.

Enkele specifieke knelpunten Een tweede frequent recent probleem betreft de waarde van de elektronische stukken van een medisch dossier, die niet uitgeprint werden en geen waarachtige elektronische handtekening bevatten.

Art. 1, §2 van het K.B. van 3 mei 1999 stelt dat de uitslagen van de klinische, radiologische, biologische, functionele en histopathologische onderzoeken, de adviezen van de geconsulteerde geneesheren, de voorlopige en definitieve diagnose, de ingestelde behandeling, het operatief protocol en het anesthesieprotocol en het verslag van de eventuele lijkschouwing door de desbetreffende uitvoerende en verantwoordelijke arts dienen ondertekend te zijn.

De wet van 9 juli 2001 (B.S. 29.09.2001), houdende vaststelling van bepaalde regels i.v.m. het juridisch kader voor elektronische handtekeningen en certificatiediensten. Een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificeerd certificaat en aangemaakt door een veilig middel voor het aanmaken van een handtekening, wordt geassimileerd met een handgeschreven handtekening, ongeacht of deze handtekening gerealiseerd wordt door een natuurlijke, dan wel door een rechtspersoon (Art. 4, §4). Deze wettelijke evolutie opent ook de deur voor het elektronisch medisch voorschrift.

Enkele specifieke knelpunten Derde probleem: de rechten van de medische raad inzake het invoeren van een globaal elektronisch medisch dossier.

Art. 15 van de Ziekenhuiswet stelt dat voor elke patiënt een medisch dossier moet worden aan gelegd en in het ziekenhuis worden bewaard om de medische activiteit kwalitatief te toetsen. Art. 125 Ziekenhuiswet, 2°, stelt dat de medische raad advies geeft aan de beheerder over: het reglement inzake de organisatie en de coördinatie van de medische activiteit in het ziekenhuis. Een ICT-reglement waarin regels vastgelegd worden inzake de organisatie van een elektronisch medisch dossier dient dus verplichtend voor advies aan de medische raad voorgelegd te worden.

Enkele specifieke knelpunten Het inzagerecht van de hoofdgeneesheer in het kader van de wettelijk voorziene audit?

Algemene besluiten De wetgever verkiest de elektronische vorm van het patiëntendossier.

Algemene besluiten K.B. 3 mei 1999 centraal medisch dossier opgenomen patiënten is volledig toepasbaar op de elektronische vorm. Wetgeving inzake de bescherming van de persoonlijke levenssfeer is eveneens dwingend van toepassing.

Algemene besluiten Een ziekenhuis dat een technologisch minderwaardig systeem weerhoudt met een laks toegangsbeleid, treft niet de redelijke maatregelen vereist door artikel 4 § 1 van de WVP, nl. dat persoonsgegevens eerlijk en rechtmatig dienen te worden verwerkt. Een onzorgvuldig beleid loopt dus het gevaar strafrechtelijk gesanctioneerd te worden op basis van de geheimhoudingsplicht, gecreëerd door artikel 39 WVP.

Algemene besluiten Het elektronisch medisch dossier voor opgenomen patiënten valt onder de eindverantwoordelijkheid van de hoofdgeneesheer.

Algemene besluiten Belgische dwingende rechtsregels werden tot op heden nog niet gepubliceerd en belangrijke adviezen worden verwacht van de Commissie Standaarden inzake telematica ten behoeve van de gezondheidszorg, opgericht bij K.B. van 3 mei 1999.

Algemene besluiten Zolang er geen minimum dwingende Belgische rechtsregels bepaald worden: soft law wijst de weg. • adviezen Nationale Raad • technische specificaties, geformuleerd door het Europese normalisatie-instituut CEN • de 333 PROREC-regels

Algemene besluiten To do’s: • ontoereikende financiering in ligdagbudget • security-normen op nationaal niveau • inzagerecht concreet regelen • inbouw van het security-reglement in het medisch reglement, waarbij een goed evenwicht gezocht wordt tussen enerzijds een juridisch en technologisch goed uitgebouwd systeem van toegangsmachtigingen, maar anderzijds een voldoende praktisch werkzaam systeem

Algemene besluiten To do’s: • wetgevende initiatieven om een security-commissie op te richten, verplichtend in alle ziekenhuizen, met duidelijk omschreven bevoegdheden