Adviseur Gezondheidsrecht KNMG Aansprakelijkheidsrisico’s bij elektronische uitwisseling van patiëntgegevens Mr. dr. Sjaak Nouwt, Adviseur Gezondheidsrecht KNMG s.nouwt@fed.knmg.nl 030-2823274
Vuistregels zorgvuldig omgaan met elektronische patiëntgegevens: Eigen dossiers goed bijhouden Waar zinvol EPD (lokaal, regionaal of landelijk) raadplegen voor relevante informatie Uit het EPD ontvangen gegevens van anderen goed controleren Prompt reageren op mogelijke fouten in het EPD UZI-pas en/of wachtwoord niet uitlenen Onderzoeksplicht naleven Zorgvuldig e-mailen Beveiliging informatiesysteem actueel houden Rapport p. 86. Op juiste wijze met EPD omgaan = BSN correct invoeren, controleren of juiste persoon is geidentificeerd, toegangsbeperkingen op individuele dossiers goed invoeren en bijhouden. Eigen dossiers goed bijhouden = geen tikfouten of omissies, de juiste gegevens opnemen in het deel van het dossier dat via het EPD beschikbaar is Deze zorgplichten zijn (niet meer dan) een concrete invulling van de medisch-professionele standaard op het EPD. Veilig uitwisselen van elektronische patientgegevens
Veilig uitwisselen van elektronische patientgegevens Waarom? Beschikken over actuele en juiste informatie om uw patiënt goed te kunnen behandelen; Waarborgen van de vertrouwensrelatie met uw patiënten; Handelen als een ‘goed hulpverlener’ (volgens de professionele standaard) Veilig uitwisselen van elektronische patientgegevens
Veilig uitwisselen van elektronische patientgegevens Dus niet: Veilig uitwisselen van elektronische patientgegevens
Veilig uitwisselen van elektronische patientgegevens Juridische risico’s Negatieve publiciteit (vertrouwen) Tuchtrechtelijk aansprakelijk Bestuursdwang Last-onder-dwangsom Strafrechtelijke vervolging Civielrechtelijke aansprakelijkheid Arbeidsrechtelijke gevolgen Risico’s voor bestuurders wanneer informatiebeveiliging niet in orde is en iemand (patient, werknemer) daardoor schade lijdt: Negatieve publiciteit: de goede naam van de instelling (en de bestuurders) wordt geschaad, evenals het vertrouwen in de instelling. Tuchtrechtelijk aansprakelijk: iedere BIG beroepsbeoefenaar valt onder het BIG tuchtrecht; Bestuursdwang: een juridische maatregel (“situatieve sanctie”) uitgevoerd door een bestuursorgaan, waarmee feitelijk een einde kan worden gemaakt aan een onrechtmatige situatie (stekker er uit trekken). Bv. Minister o.g.v. art. 14 KWZ=bij onvoldoende naleving van de KWZ, CBP=bij onrechtmatig verwerken van persoonsgegevens; Last-onder-Dwangsom: bestuursorgaan dat bestuursdwang mag toepassen, kan in plaats daarvan een last-onder-dwangsom opleggen: = bevel van bestuursorgaan om een onrechtmatige situatie in overeenstemming te brengen met de geldende voorschriften (binnen bepaalde termijn). Bij nalatigheid verbeurt men het door het bestuursorgaan vastgestelde bedrag. Dwangsom=bedrag ineens, bedrag per tijdseenheid of bedrag per overtreding. De hoogte van de op te leggen dwangsom is vrij, maar moet “in redelijke verhouding staan tot de zwaarte van het geschonden belang en de beoogde werking van de dwangsom.” Voorbeeld 8 juni 2009: “CBP legt last onder dwangsom op aan vier ziekenhuizen” wegens gebrekkige informatiebeveiliging. Oplopend tot € 200.000. Strafrechtelijke vervolging: Opzettelijke schending van geheimhoudingsplicht artsen is strafbaar feit (art. 272 WvSr). Civielrechtelijke aansprakelijkheid houdt in dat iemand (patient, werknemer) die schade lijdt door ontoereikende informatiebeveiliging de instelling voor de burgerlijke rechter kan dagen om vervolgens financiele schadevergoeding (ook immaterieel) te eisen. Vaak zal dan worden beweerd dat de instelling onzorgvuldig heeft gehandeld en daardoor een “onrechtmatige daad” (=juridisch begrip) heeft gepleegd. Schade kan bijv bestaan uit gezondheidsschade (+behandelkosten) a.g.v. contra-indicatie bij medicijngebruik of a.g.v. verwisseling identiteit patient. Arbeidsrechtelijke gevolgen: Veilig uitwisselen van elektronische patientgegevens
Veilig uitwisselen van elektronische patientgegevens Theorie of praktijk…? EHRM: I. vs. Finland (2008) CBP legt 4 ziekenhuizen last onder dwangsom op wegens onvoldoende informatiebeveiliging (2009) CBP onderzoek CHP Gorinchem (2009) CBP onderzoek SPITZ-MH Gouda (2009) Secretaresse kijkt in GGZ-EPD (2010) I. vs. Finland: 17 juli 2008: € 34.000 schadevergoeding wegens onrechtmatig gebruik elektronisch dossier (privacy schending) waarna arbeidscontract niet werd verlengd CBP 8 juni 2009: Het betreft Ommelander Ziekenhuis Groep, MC/Lelystad, Medisch Spectrum Twente en het Rijnland Ziekenhuis. Naar aanleiding van het onderzoek naar het niveau van informatiebeveiliging door het CBP in samenwerking met de Inspectie voor de Gezondheidszorg (IGZ) in 2007, kregen de ziekenhuizen tot 15 oktober 2008 de tijd om een Plan van Aanpak op te stellen. Hierin moest duidelijk worden omschreven wat het ziekenhuis onderneemt om de beveiliging op orde te brengen zodat het aan de geldende norm voor informatiebeveiliging in de zorg voldoet. Recently, in June 2009, the CBP imposed an order for periodic penalty payment (last onder dwangsom) on four Dutch hospitals where the level of information security did not comply with the standard NEN 7510 (information security in health care) published by the Dutch Standardization Organization NEN. Preceding to this penalty, the CBP together with the IGZ investigated twenty hospitals for compliance with the information security standard. For one of the hospitals the penalty payment consisted of € 2,000 for each day that the risk analysis was not performed (to a maximum of € 60,000), and € 2,000 for each day that no report on the risk analysis was available (to a maximum of € 60,000), and € 1,000 for each day the function profile of the information security manager was lacking (to a maximum of € 30,000), and € 1,000 for each day the information security manager was not yet appointed (to a maximum of € 30,000), and € 1,000 for each day the Board of Directors has not appointed a responsible Director for Information Security amongst them (to a maximum of € 30,000). Therefore, the total amount could mount up to € 210,000. CBP Gorinchem en Gouda (27 mei 2009): De CHP en SPITZ-MH hebben verzuimd patiënten persoonlijk te informeren op het moment dat hun persoonsgegevens werden opgenomen in het uitwisselingssysteem. CHP en SPITZ-MH hebben onvoldoede (technische) maatregelen getroffen om te voorkomen dat hulpverleners zonder behandelrelatie toegang hebben tot patientengegevens. CHP en SPITZ-MH gebruiken logging onvoldoende effectief om controle uit te oefenen op mogelijk onbevoegde toegang tot patientengegevens. Zie recent: Ktr. ‘s-Gravenhage, 2 juni 2010: Collectief belang wordt regelmatig aangehaald in rechtspraak. De Zaak: Een 13-jarig meisje wordt op een verjaardagsfeestje onzedelijk betast door een man. De ouders zien van aangifte af op voorwaarde dat de man, een familielid, zich laat behandelen. De moeder ontdekt enige tijd later dat de man zich daar niet aan houdt. Zij is namelijk werkzaam als secretaresse bij een instelling voor geestelijke gezondheidszorg, waar de man zich had gemeld. Een collega vertelde haar dat er alleen een intakegesprek was geweest. Dat controleert de moeder door in het Elektronisch Patiënten Dossier (EPD) te kijken. Zij vertelt vervolgens haar echtgenoot dat de man zich inderdaad niet aan de afspraak hield. Daarop doen de ouders alsnog aangifte. Het openbaar ministerie stelt vervolging in. De kantonrechter: Die zegt de aanranding niet te ‘bagatelliseren’ maar laat van haar argumenten weinig heel. Als werknemer heeft zij gefaald. De privacy van patiënten is niet alleen een wezenlijk belang van de instelling, maar ook van de samenleving. Ieder die zich bij de geestelijke gezondheidszorg meldt moet op geheimhouding kunnen vertrouwen. ‘Men moet zich immers niet geremd voelen’ om hulp te zoeken uit angst dat het uitlekt. Of het een lange, een korte behandeling of een intakegesprek was maakt voor de rechter niet uit. Achteraf je teammanager informeren maakt inzien ook niet toelaatbaar. „Iedere informatie uit het EPD is immers vertrouwelijk. Het kan niet zo zijn dat individuele werknemers van een zorginstelling kunnen bepalen welke informatie al dan niet vertrouwelijk is.” De secretaresse handelde ‘zeer ernstig verwijtbaar’ en is haar baan kwijt. Veilig uitwisselen van elektronische patientgegevens
Aansprakelijkheid en EPD 3 soorten schade: Gezondheidsschade: letselschade of overlijdensschade (ziektekosten, inkomensschade, gederfd levensonderhoud, begrafeniskosten) Privacyschade a.g.v. schending privacy patiënt (meestal geringe immateriële schade; vermogensschade soms groter door reputatieschade of niet krijgen van een baan) Andere schade bestaande uit kosten of verloren tijd (meestal gering) Gezondheidsschade: schade als gevolg van letsel of overlijden van de patiënt (zie bv. casus 3). Het gaat dan vooral om ziektekosten en inkomensschade. Met name de inkomensschade kan aanzienlijk zijn indien de patiënt jong is en arbeidsongeschikt wordt. Ingeval van overlijden kunnen familieleden schadevergoeding vorderen wegens derven van levensonderhoud (art. 6:108 BW) en kosten van de lijkbezorging. Privacyschade: schade als gevolg van de schending van de privacy van de patiënt. Dergelijke schade is meestal betrekkelijk gering; de rechter kent meestal slechts een laag smartengeld toe wegens schending van privacy (zoals in casus 2). Alleen indien er ook vermogensschade (geldelijke gevolgen) is, zoals verlies van inkomsten door verslechtering van de reputatie van een bekende Nederlander of door het niet verkrijgen van een baan, kan deze schade financieel groter zijn. Andere schade kan bestaan uit kosten en verloren tijd. Deze schade is meestal betrekkelijk gering. Een veroordeling tot betaling van schadevergoeding is vanwege de mogelijk grote financiële gevolgen wellicht de belangrijkste consequentie van aansprakelijkheid. Daarnaast kunnen er ook andere sancties worden opgelegd die voor de individuele zorgaanbieder misschien nog wel indringender zijn, zoals een tuchtrechtelijke of strafrechtelijke veroordeling. De patiënt kan hier een zekere mate van genoegdoening aan ontlenen. Veilig uitwisselen van elektronische patientgegevens
Algemene conclusies rapport UvT De aansprakelijkheidsrisico’s bij het EPD wijken niet wezenlijk af van de soort en omvang van de risico’s die reeds gelden voor het gebruik van ICT in het huidige stelsel van gezondheidszorg. Het EPD is nieuw, waardoor niet voor iedereen duidelijk is hoe te handelen om aansprakelijkheden te vermijden. Onderling overleg (bv op niveau van beroepsorganisaties) is zinvol om handvatten te ontwikkelen. Ook buiten het landelijke EPD om blijft het mogelijk om elektronisch informatie uit te wisselen. Ook al is het een hulpverlener niet altijd verwijtbaar, hij kan toch aansprakelijk zijn voor het handelen of nalaten van hulppersonen of het gebruik van gebrekkige hulpzaken, zoals apparatuur. Belangrijkste conclusies uit rapport “Aansprakelijkheden rond het EPD” (April 2008, i.o.v. VWS). Rapport, p. 86/Boek p. 85. Ad 3: niveau beroepsorganisaties: Handreiking + Gedragscode EZU Veilig uitwisselen van elektronische patientgegevens
Niet naleving zorgplichten Civielrechtelijk aansprakelijk: Voor eigen fouten Voor fouten van hulppersonen en ondergeschikten (triage-assistent, XIS-beheerder, ZSP) en Voor hulpzaken (gebrekkige computerapparatuur) Hulpverlener kan aansprakelijkheid niet uitsluiten (7:463 BW) Regres (verhaal, bv op de provider) is wel mogelijk (tenzij die aansprakelijkheid contractueel heeft beperkt of uitgesloten) Eigen fout= niet tijdelijk uit de lucht zijn van het XIS wegens onderhoud. Triage-assistent = assistente van de huisartsenpraktijk. Fout is bv onjuiste gegevensinvoer door de triage-assistente, waardoor patient schade lijdt. Zorgaanbieder is dan aansprakelijk voor fouten van deze persoon (art. 6:76 BW). Zorgaanbieder is niet aansprakelijk voor onbevoegd gebruik UZI-pas door assistente, tenzij hij die heeft laten slingeren. Verkeerd gebruik van EPD door gebrekkige computerapparatuur kan tot schade bij patient leiden. Zorgaanbieder is aansprakelijk (art. 6:77 BW), tenzij dit o.g.v. bepaalde omstandigheden onredelijk zou zijn (omstandigheden = gelet op inhoud en strekking van de rechtshandeling waaruit de verbintenis voortvloeit, de in het verkeer geldende opvattingen en de overige omstandigheden van het geval). Veilig uitwisselen van elektronische patientgegevens
Niet naleving zorgplichten Strafrechtelijk aansprakelijk: Bij niet-voldoen aan medisch-professionele standaard waarbij sprake is van dood of ernstig letsel Tuchtrechtlijk aansprakelijk (3 hoofdgroepen tuchtrechtklachten): vakmatig handelen verhouding tot patient (informed consent, toestemming, beroepsgeheim) of verhouding met andere beroepsbeoefenaren Privacyrechtelijk aansprakelijk: Bij onbevoegd opvragen gegevens (zonder toestemming patiënt, zonder behandelrelatie, met verlopen UZI-pas) Bijv EHRM: mw. I. vs. Finland, Privacyrechtelijke aansprakelijkheid = tuchtrecht, strafrecht, bestuursrecht, civiel recht en klachtrecht Rapport, p. 87. Aansprakelijkheid voor zorginstellingen = Civielrechtelijk o.g.v. centrale aansprakelijkheid ziekenhuis Voor exact hetzelfde als zorgaanbieders Voor het beheer van dossiers Strafrechtelijk: gering aansprakelijkheidsrisico Bestuursrechtelijke sancties (o.g.v. Kwaliteitswet zorginstellingen): Bevel IGZ Bestuursdwang IGZ Last onder dwangsom IGZ Privacyrechtelijk (Wbp): Last onder dwangsom CBP Bestuursdwang CBP Veilig uitwisselen van elektronische patientgegevens
E-mailen van patiëntgegevens? Toestemming (expliciet, verondersteld), wettelijk verplicht, conflict van plichten Identiteit ontvanger vaststellen Gegevens versleutelen Berichten niet in e-mail programma bewaren maar afdruk in (e-) dossier PC/laptop beveiligen (toegang, screensaver, virusscanner, firewall) Respecteer e-mail- en internetrichtlijnen van de organisatie Vermijd uitingen van boosheid, vrijpostigheden, e.d. Bron: KNMG Richtlijnen inzake het omgaan met medische gegevens. Januari 2010. Veilig uitwisselen van elektronische patientgegevens
Veilig uitwisselen van elektronische patientgegevens Cases (1) Sacha de B. merkt tot haar schrik en verbazing dat een roddelblad melding maakt van haar pogingen om zwanger te raken. Daarbij worden allerlei details vermeld van behandelingen die alleen uit haar medisch dossier zouden kunnen blijken. Na tussenkomst van haar advocaat blijkt uit de logging-gegevens van het LSP dat een haar onbekende arts de gegevens heeft geraadpleegd. De arts weet van niets, maar herinnert zich na enig nadenken dat hij zijn UZI-pas en wachtwoord had verstrekt aan een tijdelijke assistente opdat zij voor hem het opzoekwerk in het EPD kon doen. De assistente blijkt de UZI-pas gebruikt te hebben om gegevens van de presentatrice op te zoeken. Rapport, p. 19-20/Boek p. 15-16: Arts: In deze casus heeft de arts verwijtbaar gehandeld doordat hij zijn UZI-pas en wachtwoord aan zijn assistente heeft gegeven. Hij is daar aansprakelijk voor, zowel civielrechtelijk als tuchtrechtelijk. Er kan een tuchtklacht en een gewone klacht tegen hem worden ingediend. Daarnaast kan er schadevergoeding worden gevorderd wegens inbreuk op de persoonlijke levenssfeer van de presentatrice, misschien ook wegens inkomensverlies (mogelijk verliest zij een contract omdat de producer vreest dat zij wegens zwangerschap zal uitvallen) of aantasting van haar reputatie. Assistente: Verder is de assistente – die willens en wetens verkeerd heeft gehandeld – uiteraard aansprakelijk, zij zou ook strafrechtelijk vervolgd kunnen worden. Veilig uitwisselen van elektronische patientgegevens
Veilig uitwisselen van elektronische patientgegevens Cases (2) Apotheek A legt medicatiegegevens vast en legt dit correct vast. De melding wordt gedaan bij het LSP. De cliënt komt bij apotheek B. De apotheker ziet wel dat apotheek A een medicijn verstrekt heeft, maar de computer van A functioneert niet zodat hij niet ziet welk medicijn. De patiënt krijgt een ander medicijn. De twee medicijnen hebben een zodanige interactie dat permanente gezondheidsschade optreedt. Dezelfde casus, maar nu is het LSP uit de lucht en weet de apotheker dus ook niet dat een andere apotheek heeft voorgeschreven. Minister (in Nota n.a.v. verslag, nr. 8, p. 15): In zijn algemeenheid kan gezegd worden dat de behandelend hulpverlener verantwoordelijk is voor de volledigheid en juistheid van zijn dossiers. Schade die ontstaat door fouten in het dossier kunnen dus voor rekening komen van degene die verantwoordelijk is voor dit gedeelte van het dossier. Ook fouten gemaakt door directe ondergeschikten (bijv. een huisartsassistent) komen hierbij voor rekening van de zorgaanbieder. Eén en ander neemt natuurlijk niet weg dat, zoals hiervoor reeds weergegeven, iedere hulpverlener zijn eigen onderzoeksplicht houdt. Een hulpverlener kan daarom niet klakkeloos uitgaan van hetgeen is vermeld (of juist ontbreekt) in het EPD. Tegen dit licht moeten de 1e, 2e en 3e casus worden bekeken. 1e casus: In deze casus heeft apotheker B gekeken of er door apotheker A medicijnen zijn verstrekt. Hij verzuimt echter om, nu hij niet kan zien welke medicijnen er zijn verstrekt, nader onderzoek te doen welke andere medicijnen de patiënt gebruikt en of deze eventueel zouden conflicteren met de voorgeschreven medicijnen. Het niet werken van het computersysteem van apotheker A ontheft B niet van deze onderzoeksplicht. 2e casus: In de tweede casus kan apotheker B de gegevens niet opvragen omdat het LSP uit de lucht is. Ook in dit geval is apotheker B, net als in de eerste casus, nog steeds gehouden om aan zijn onderzoeksplicht te voldoen en op een andere manier te trachten de voor hem noodzakelijke gegevens te achterhalen. Veilig uitwisselen van elektronische patientgegevens
Veilig uitwisselen van elektronische patientgegevens Cases (3) Een zorgverlener maakt een fout in het noteren van de bloedgroep. Bij een spoedtransfusie wordt verkeerd bloed toegediend en sterft de patiënt. Ook voor deze casus geldt dus dat de behandelend hulpverlener verantwoordelijk is. In dit geval maakt een zorgaanbieder een fout in het noteren van de bloedgroep. Bij een spoedtransfusie wordt verkeerd bloed toegediend en sterft de patiënt. Niet duidelijk is door wie de fout hier is gemaakt, de zorgaanbieder die de gegevens invoert, of de zorgaanbieder die de gegevens opvraagt. Elke zorgbieder is verantwoordelijk voor het correct en volledig invullen van zijn patiëntendossier. Dit geldt na invoering van het EPD net zoals in de huidige situatie. Ook hier heeft echter de zorgaanbieder die de transfusie uitvoert zijn eigen onderzoeksplicht, zeker nu het om een zodanig belangrijk gegeven gaat als de bloedgroep. Indien bloed gegeven wordt van een verkeerde bloedgroep, kan de patiënt immers overlijden. Veilig uitwisselen van elektronische patientgegevens
Veilig uitwisselen van elektronische patientgegevens Cases (4) Het LSP is één dag lang uit de lucht, waardoor ziekenhuizen en huisartsen niet bij de patiëntengegevens kunnen en aantoonbare meerkosten maken om gegevens over patiënten te achterhalen. Dezelfde casus, maar nu omdat een computer defect bleek, niet aan stond of een virus het doorsturen van informatie heeft geblokkeerd. De zorgaanbieder kan niet aansprakelijk worden gehouden voor storingen, fouten of niet-functioneren van het LSP zelf. Hij heeft immers geen contractuele of opdrachtsrelatie met betrekking tot de beheerder van het LSP. “Een eventuele schadeclaim door een zorgaanbieder, op grond van niet functioneren van het LSP, zou daarom gebaseerd moeten worden op een onrechtmatige daad.” Over het algemeen kan de zorgaanbieder door de patiënt aansprakelijk gesteld worden voor schade als gevolg van verwijtbare fouten en storingen in zijn eigen zorginformatiesysteem en de netwerkverbinding met het LSP. Hij heeft immers de taken met betrekking tot het beheer van zijn ICT-systeem en de koppeling aan het LSP waarschijnlijk uitbesteed aan de beheerder van zijn zorginformatiesysteem en de zorgserviceprovider. De zorgaanbieder is verantwoordelijk voor de door hem gebruikte hulppersonen en in die zin aansprakelijk voor deze hulppersonen jegens zijn patiënten. Als de schade het gevolg is van verwijtbaar handelen van deze hulppersonen kan de zorgaanbieder echter wel regres op hen nemen, voor zover het tussen hen afgesloten contract dit toelaat. Veilig uitwisselen van elektronische patientgegevens
Adviseur Gezondheidsrecht KNMG Aansprakelijkheidsrisico’s bij elektronische uitwisseling van patiëntgegevens Mr. dr. Sjaak Nouwt, Adviseur Gezondheidsrecht KNMG s.nouwt@fed.knmg.nl 030-2823274