Nieuws

24 april 2014, 10:35:00

Specifieke toestemming voor gegevensverwerking via het LSP

Er is een initiatief gestart dat ervan uit gaat dat de uitdrukkelijke toestemming voor gegevensverwerking via het LSP (Landelijk Schakelpunt) een generieke en eenmalige toestemming zou zijn. Dit is echter een volstrekt onjuiste weergave van de werkelijkheid. Hieronder leggen we daarom nog eens uit hoe het toestemmingsproces bij het LSP werkelijk is geregeld.

De specifieke toestemming voor LSP in een samenvatting:

  • de toestemming is altijd vrijwillig;
  • toestemming verplicht de zorgaanbieder niet om gegevens van een patiënt aan te melden, hij maakt zelf een afweging (en bespreekt die met de patiënt als dit afwijkt van diens wens);
  • toestemming wordt gevraagd op basis van volledige informatie;
  • per zorgverlener (huisarts, apotheker) wordt apart toestemming gevraagd; elke zorgverlener heeft zelf toestemming nodig voor het beschikbaar maken van geselecteerde gegevens;
  • er is alleen toestemming voor geselecteerde noodzakelijke gegevens (dus geen dossiers): waarneemsamenvatting en medicatiegegevens;
  • het is mogelijk om gegevens verder af te schermen indien gewenst door de patiënt en/of de huisarts;
  • opvragen van gegevens kan alleen door de specifieke categorieën genoemde zorgaanbieders;
  • er is opnieuw of aanvullende toestemming nodig bij uitbreidingen of aanpassingen in de gegevensverwerking met andere zorgverleners of gegevens, of voor andere doeleinden;
  • de toestemming geldt alleen voor de opvragende zorgverlener(s) met een behandelrelatie met de patiënt;
  • er is uitsluitend toestemming voor inzage van gegevens als dit relevant is voor de behandeling;
  • de toestemming kan op ieder moment worden ingetrokken, bij meerdere zorgaanbieders of bij een van hen. Dat kan ook via de VZVZ in een keer;
  • er is uitsluitend en specifiek toestemming voor bij het LSP aangesloten en te controleren zorgverleners;
  • De VZVZ, de vereniging van de aangesloten zorgaanbieders samen, ziet daar op toe;
  • zowel de patiënt als de huisarts kan zelf mee controleren: er is een real time notificatie bij inzage van gegevens door zorgverleners.

Toestemming ingericht volgens de wettelijke vereisten

Wanneer toestemming de grondslag vormt voor gegevensverwerking dan dient het te gaan om een gerichte en specifieke toestemming. Dat is geen keuze maar een wettelijk vereiste. De VZVZ heeft de toestemmingsprocedure op basis van de wettelijke vereisten ingericht.

De VZVZ heeft voorlichtingsmateriaal ontwikkeld om begrijpelijke, volledige en juridisch juiste informatie te geven aan patiënten die voor de gegevensverwerking hun uitdrukkelijke toestemming kunnen geven. De VZVZ heeft dat samen met alle belanghebbende partijen gedaan. Zorgkoepels, patiëntenverenigingen, communicatiedeskundigen, juristen en privacydeskundigen hebben de tekst in het standaardinformatiemateriaal ‘bewaakt’ opdat juiste en volledige informatie verstrekt wordt. Dat standaardmateriaal van de VZVZ, of materiaal met dezelfde inhoud van de regio’s of de praktijk zelf, dienen de aangesloten zorgaanbieders te gebruiken voor het vragen van de toestemming.

Zorgaanbieders zijn via de Goed Beheerd Zorgsysteem (GBZ) eisen en de contractsafspraken verplicht om de toestemming te vragen op basis van de juiste informatie en deze op de juiste manier vast te leggen. Alleen wanneer de zorgaanbieder toestemming heeft verkregen van de patiënt mag deze bepaalde gegevens beschikbaar stellen voor raadpleging door bepaalde categorieën rechtstreeks bij de behandeling betrokken zorgaanbieders. De toestemming is -zoals uit de toestemmingsfolder blijkt- ook nodig voor de VZVZ die deze gegevensverwerking via het LSP faciliteert. De VZVZ is verantwoordelijk voor de infrastructuur en in de VZVZ zijn alle gebruikers van het systeem verenigd.

Toestemming is altijd gericht en specifiek

De toestemmingvraag is gericht en specifiek verwoord. Het doel van de gegevensverwerking is zeer specifiek het verwerken van bepaalde gegevens voor zover dit in het kader van de (mede)behandeling van betrokkene noodzakelijk is. De toestemming moet bij elke zorgaanbieder die bepaalde gegevens beschikbaar kan stellen apart worden gegeven. Het gaat daarbij om de apotheker en de huisarts. Het gaat alleen om bepaalde geselecteerde gegevens uit het dossier. De standaard die hierbij gehanteerd wordt om te bepalen wat de noodzakelijke gegevens zijn bij uitvoering van de werkzaamheden door de medebehandelaar of de waarnemer, is door de beroepsgroep zelf vastgesteld. Zo bepalen apothekers onderling wat voor de medicatiebewaking van belang is in geval van waarneming. En huisartsen bepalen met elkaar welke gegevens voor de waarneming op de huisartsenpost van belang is. Artsen en patiënten hebben daarbij de mogelijkheid om gegevens verder af te schermen voor opvraging.

De toestemming is specifiek gericht op de voor die functies noodzakelijke gegevens en niet meer dan dat. Ook is de toestemming specifiek gericht op een aantal met name genoemde categorieën van opvragende zorgaanbieders. Het gaat om huisartsen, apothekers of medisch specialisten. Elk van deze zorgaanbieders is geautoriseerd voor dat wat voor zijn taken nodig is. Het uittreksel van medicatiegegevens dat door de apotheker beschikbaar kan worden gemaakt kan door de waarnemend apotheker, huisartsenpost of de mede behandelend medisch specialist worden geraadpleegd in verband met voorschrijven van medicatie en het voorkomen van fouten daarbij. De professionele samenvatting uit het huisartsdossier kan alleen door de waarnemend huisarts worden opgevraagd. Medicatiegegevens en allergieën kunnen ook door een medisch specialist of apotheker worden opgevraagd die de patiënt behandelt.

Op andere vormen of toepassingen van gegevensverwerking of andere zorgaanbieders richt de toestemming zich niet. De toestemming is dus beperkt en gericht. Toestemming kan bovendien op elk moment ook weer worden ingetrokken.

Alleen voor aangesloten en geauthentiseerde zorgverleners

Gegevens mogen alleen worden opgevraagd door de aangesloten  (en geauthentiseerde) medebehandelaar of waarnemer voor zover dat in het kader van de werkzaamheden van deze zorgaanbieder bij de behandeling van betrokken patiënt noodzakelijk is. Daarvoor zijn zowel contractuele als technische en organisatorische maatregelen getroffen om dit te borgen. Daarnaast heeft de patiënt de mogelijkheid om via een beveiligde portal het (juiste) gebruik van zijn gegevens te controleren en een melding te ontvangen wanneer zijn gegevens worden geraadpleegd.

Zou in de toekomst een andere toepassing tussen bepaalde (andere) zorgaanbieders van belang worden geacht door de beroepsgroep en deze toepassing ook ontwikkeld worden, dan is voor de uitwisseling van gegevens altijd nieuwe uitdrukkelijke toestemming van de betreffende patiënten noodzakelijk, gericht op die specifieke gegevensuitwisseling.

Deze voorwaarden aan de toestemming volgen uit de met zorg vastgestelde toestemmingsinformatie. De verplichtingen van zorgaanbieders als gebruikers van de zorginfrastructuur en het LSP bij het vragen en vastleggen van toestemming zijn via de waarborgen van het systeem geregeld. Zorgaanbieders kunnen alleen aansluiten als zij aan de eisen van een Goed Beheerd Zorgsysteem voldoen en zijn gehouden aan de contractsafspraken met de vereniging van de gebruikers samen, de VZVZ.

VZVZ ziet daarop toe. Daarnaast is er een Patiënten- en Privacyraad, met onafhankelijke adviseurs en patiënten, die erop toeziet dat de rechten en privacy van betrokkenen worden geborgd.

Conclusie

Er is dus zeker geen sprake van generieke of eenmalige toestemming, maar juist van een gerichte en specifieke toestemming. Bovendien is er dus geen toegang door ‘talloze’ zorgaanbieders maar alleen voor genoemde zorgaanbieders onder de gestelde voorwaarden.

De feitelijke inrichting van de toestemmingsprocedure en de gegevensverwerking door zorgaanbieders via de VZVZ voldoet aan alle wettelijke kaders.

« terug