HR 2003/9

Het elektronisch medisch dossier: Wat kan en wat mag

René Heylen

HR 2003/9

Wettelijke bronnen

• De Wet Verwerking Persoonsgegevens of de Privacywet dd. 8 december 1992

• Art. 458 van het Sw.: Medisch Beroepsgeheim

• Het K.B. van 3 mei 1999 inzake het medisch dossier

• De Wet Patiëntenrechten dd. 22 augustus 2002

HR 2003/9

Dossierplicht en de Wet Patiëntenrechten

• Patiënt heeft recht op dossier• Voorheen geen algemeen geregelde

dossierplicht, maar disparate bepalingen• Algemene dossierplicht lost onduidelijkheid

over inhoud en structuur van dossier niet op• Patiënt kan vragen dat stukken aan dossier

worden toegevoegd

HR 2003/9

Inzage in dossier

• Recht op inzage• Principieel rechtstreeks recht op inzage• Patiënt kan dossier zelf inzien

• Kan zich laten bijstaan door vertrouwenspersoon

• Kan inzagerecht zelfs delegeren aan vertrouwenspersoon

HR 2003/9

• Verzoek tot inzage moet • In beginsel ‘onverwijld’

• Ten laatste ‘binnen vijftien dagen’ ingewilligd worden

• Te frequent herhaalde aanvragen moeten niet meteen ingewilligd worden• Volgens MvT: slechts binnen ‘redelijke termijn’ na

vorige aanvraag

HR 2003/9

Uitzonderingsregimevoor delen van medisch dossier

• Uitzonderingsregime• Voor persoonlijke notities

• Gegevens betreffende derden

• Motivering voor therapeutische exceptie

• Persoonlijke notities en gegevens betreffende derden zijn in beginsel uitgesloten van inzage

• Persoonlijke notities wel ingezien worden door andere beroepsbeoefenaar (die dan rapporteert aan patiënt)

HR 2003/9

• Persoonlijke notities zeer restrictief omschreven in Mvt• Onderdelen van dossier die ‘afzonderlijk worden

opgeborgen’

• Die niet toegankelijk zijn voor anderen (zelfs niet leden van dezelfde zorgverleningsequipe)

HR 2003/9

• Betwisting over onrechtstreekse inzage• Mag beroepsbeoefenaar behoren tot andere

beroepscategorie ?

• Inzage medisch dossier door logopedist of apothekersassistent ?

• Art. 2, 3° versus art. 4 van de wet

HR 2003/9

Recht op afschrift van medisch dossier

• Patiënt heeft recht op afschrift van dossier• ‘Afschrift’ is fotokopie, e-mail, floppy,

transcriptie…• Afschrift is ook mogelijk voor • Persoonlijke notities• Gegevens waarop therapeutische exceptie werd

toegepast• Maar dan wel via andere beroepsbeoefenaar

HR 2003/9

• Om verder gebruik te beperken, moet elk afschrift vermelden: ‘strikt persoonlijk en vertrouwelijk’

• Aflevering van afschrift kan geweigerd worden• Bij duidelijke aanwijzingen

• Dat patiënt onder druk wordt gezet om afschrift aan derden mee te delen

HR 2003/9

Post mortem-inzage

• Onrechtstreekse bevestiging van beroepsgeheim post mortem

• Erfgenamen kunnen inzage vragen• Indien verzoek gemotiveerd en ‘gespecificieerd’ is

• Indien patiënt zich niet uitdrukkelijk verzet heeft

• Via beroepsbeoefenaar

HR 2003/9

Het K.B. van 3 mei 1999 in uitvoering van Art. 15 van de

Ziekenhuiswet

HR 2003/9

"Overwegende dat redelijkerwijze kan worden verwacht dat het medisch dossier, of bepaalde elementen, zoals in zonderheid het ontslagverslag, systematisch in een elektronische vorm zullen worden bijgehouden, bewaard en overgemaakt; dat intussen deze mogelijkheid is voorzien in onderhavig besluit en zelfs wordt aanbevolen, waarbij is gestipuleerd dat de minister de modaliteiten kan bepalen betreffende de elektronische uitwisseling van de gegevens uit het medisch dossier.”

HR 2003/9

“Deze modaliteiten zullen binnen hogervermelde termijnen worden bepaald voor de uitwisseling en alle aspecten die zich aan de basis van deze elektronische uitwisseling bevinden, m.n. de structuur van de gegevens;

Dat de minister om redenen van efficiëntie en coherentie, een advies zal inwinnen bij de Commissie Standaarden inzake telematica ten behoeven van de gezondheidszorg, opgericht bij K.B. van 3 mei 1999."

HR 2003/9

Het elektronisch medisch dossier is een moderne vorm van een medisch dossier

Art. 1. § 2, K.B. ZHMD: het medisch dossier mag bijgehouden en bewaard worden in een elektronische vorm, mits voldaan wordt aan alle in dit besluit gestelde voorwaarden.

HR 2003/9

• informatie relatief ontoegankelijk en versnipperd

• vele regels moeten dus worden afgeleid uit andere teksten: bv. internationale

verdragsteksten, algemene rechtsbeginselen,

grondwettelijke bepalingen, bv. m.b.t. het recht op privéleven (Art. 22 Grondwet) en uit strafrechtelijke bepalingen, bv. met m.b.t. het medisch beroepsgeheim (Art. 458 Sw.).

HR 2003/9

Een (elektronisch) medisch dossier is op zich een bestand, indien de gegevens op een ordelijke wijze zijn gestructureerd, zodat de gegevens onmiddellijk terug te vinden zijn, zonder dat men het gehele dossier dient door te nemen.

HR 2003/9

Een elektronisch medisch dossier is dus een bestand in de zin van artikel 1 § 2 van de WVP, aangezien een systematische raadpleging ervan mogelijk is door de logisch gestructureerde wijze waarop een geheel van persoonsgegevens wordt samengesteld en bewaard.

HR 2003/9

Commissie Standaarden inzake telematica ten behoeve van de sector

van de gezondheidszorg

• advies uit te brengen over het elektronisch uitwisselen van patiëntengegevens

• bevorderen van het elektronisch uitwisselen van gegevens in de sector

• het gebruik van EMD te bevorderen

HR 2003/9

Het K.B. van 25 januari 1999 voegt een Art. 45bis in het K.B. nr. 78 van 10 november 1967: de koning kan minimumcriteria vaststellen waaraan de programmatuur moet beantwoorden om gehomologeerd te worden.

HR 2003/9

Financiering van informatica in het ligdagbudget: operatiekwartier

Hoofdstuk V, art. 16 §1. De afschrijvingen voor de lasten van [...] uitrusting en apparatuur [...]

Art. 20 § 1. In afwijking van art. 16 worden de volgende lasten, na afschrijving van de betoelaagde investeringen, forfaitair vergoed:

[...]

2° de lasten die verband houden met de afschrijving van de niet-medische uitrusting, met inbegrip van informatica-apparatuur.

HR 2003/9

Artikel 1 § 3 medisch dossier ziekenhuizen:

"Het medisch dossier dient gedurende minstens 30 jaar in het ziekenhuis bewaard te worden."

Garantieverplichting inbouwen in het contract met de leverancier, bv. neerlegging broncodes bij notaris.

• evolutie in de technologie?

• compatibiliteit tussen systemen bij wisseling van leveranciers?

Problemen:

HR 2003/9

Een aantal stukken dienen door de verantwoordelijke artsen ondertekend te zijn:

• de uitslagen van de medico-technische onderzoeken

• de adviezen van de geconsulteerde geneesheren.

• de voorlopige en definitieve diagnose.

• de ingestelde behandeling, het operatieverslag en het anesthesieverslag.

• het verslag van een eventuele lijkschouwing.

Problemen:

HR 2003/9

Een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificeerd certificaat en aangemaakt door een veilig middel voor het aanmaken van een handtekening, wordt geassimileerd met een handgeschreven handtekening (artikel 4 § 4).

Deze wettelijke evolutie opent ook de deur voor een elektronisch medisch voorschrift.

Wet van 9 juli 2001 (B.S. 29.09.2001) houdende vaststelling van bepaalde regels i.v.m. het juridisch kader voor elektronische handtekeningen en certificatiediensten.

Oplossing: elektronische handtekening

HR 2003/9

Toegang van verpleegkundigen?

• beperkt tot welbepaalde onderdelen

• periodes van verzorging

• de verpleegkundigen die de patiënt zelf verzorgen

• quid onderdeel ‘algemene anamnese centraal medisch elektronisch dossier’

• rol Commissie Privacy & Security in het ziekenhuis

HR 2003/9

Veiligheid en gegevensbescherming: juridische aspecten

HR 2003/9

De cruciale uitdaging van de informatica- en telematica-oplossingen binnen de gezondheidszorg is een technisch goed onderbouwde performante betrouwbare oplossing te vinden binnen het spanningsveld tussen twee imperatieven, nl. enerzijds de gebruiksvriendelijke toegankelijkheid van de gegevens en anderzijds de bescherming van de privacy.

HR 2003/9

Soft law - technische regels

• welke zijn suppletief?

• welke zijn een minimum minimorum en dwingend van aard?

• afdwingbaarheid van deze regels?

HR 2003/9

Nederland: computervirus verspreidt vertrouwelijke ziekenhuisgegevens (30 augustus 2001)

Copyright MediMediaNet

Een virus in de computers van het Academisch Ziekenhuis Maastricht (AZM) stuurt al dagenlang vertrouwelijke patiëntengegevens per e-mail naar willekeurige computers. Het ziekenhuis heeft het virus nog niet kunnen stoppen.Het Sircam-virus dook voor het eerst op in juli. Het stuurt zichzelf door naar mensen die in het adressenbestand van het e-mailprogramma Outlook staan. Al twee weken lang worden dagelijks vertrouwelijke documenten van een specialist uit het AZM de wereld ingestuurd. Het gaat om gegevens van operatieschema''s en om documenten die door de chirurg zijn opgesteld. Inmiddels is men erachter gekomen dat de vertrouwelijke gegevens vanaf minimaal vier computers waarmee de arts heeft gewerkt worden verspreid. Het virus zit op de pc van de arts en zoekt op de harde schijf naar documenten die hij dan automatisch verstuurt naar e-mailadressen die ergens in de computer voorkomen. Volgens het AZM is het probleem door een samenloop van omstandigheden ontstaan.AdM (bron: Medisch Vandaag)

HR 2003/9

Medisch beroepsgeheim: art. 458 Sw.

• “geneesheren, ... en alle andere personen die uit hoofde van hun staat of beroep kennis dragen van geheimen die hen zijn toevertrouwd...”

• bekendmaking vereist- opzet

- bekendmaking toevertrouwen

HR 2003/9

Evenwicht tussen twee imperatieven

• patiëntengegevens vlot laten doorstromen

• patiëntengegevens voldoende beschermen

Aangezien loutere nalatigheid, bv. in het privacy-reglement, of een gebrek aan controle op de toegang en het gebruik in het ziekenhuis, gebrekkige en goedkope informaticasystemen, enz., geen opzet betekent in de strikte interpretatie van de wet, ligt een veroordeling op basis van de schending van het beroepsgeheim krachten art. 458 Sw. niet voor de hand.

HR 2003/9

Geheimhoudingsplicht krachtens WVP

• nieuw gecreëerde geheimhoudingsplicht

Artikel 39 WVP bepaalt dat wordt gestraft met een geldboete van 100 tot 100.000 BEF: de verantwoordelijke, ..., zijn aangestelde of gemachtigde die persoonsgegevens verwerkt met overtreding van de voorwaarden die in artikel 4 § 1, worden opgelegd;

2° buiten de door de artikel 5 toegelaten gevallen

3° in overtreding van de artikelen 6, 7 of 8

HR 2003/9

Geheimhoudingsplicht krachtens WVP

Artikel 1 § 2 WVP bepaalt dat onder verwerking wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot de persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiden, of op enerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.

HR 2003/9

Geheimhoudingsplicht krachtens WVP

Art. 4 § 1 WVP bepaalt dat persoonsgegevens eerlijk en rechtmatig dienen te worden verwerkt.

HR 2003/9

Geheimhoudingsplicht krachtens WVP

Artikel 4 § 1, 4° bepaalt dat persoonsgegevens nauwkeurig dienen te zijn en zonodig bijgewerkt moeten worden. Alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren.

HR 2003/9

De strafrechter die een klacht op basis van artikel 39 WVP een overtreding van de voorwaarde, opgelegd in artikel 4 § 1, moet onderzoeken, zal uiteraard rekening houden met heel wat aanknopingspunten:

Welke zijn nu die door artikel 4 § 1, 4° geëiste redelijke maatregelen die getroffen dienen te worden om de gegevens die onnauwkeurig of onvolledig zijn te verbeteren.

Aan welke criteria moet een informaticasysteem voldoen om conform artikel 4 § 1 de persoonsgegevens eerlijk en rechtmatig te verwerken.

Geheimhoudingsplicht krachtens WVP

HR 2003/9

Veiligheid elektronische medische dossiers

Het verslag aan de koning bij het 'K.B. houdende oprichting van de Commissie Standaarden...' stelt dat de officiële normeringsbevoegdheid zich situeert bij het BIN (Belgische Instituut voor de Normalisatie), alsook bij CEN (Comité Européen de Normalisation) en ISO (International Standards Organisation).

Deze stelling dient genuanceerd te worden.

HR 2003/9

Als uitgangspunt wordt immers algemeen aanvaard dat technische specificaties overgelaten aan het Europese normalisatie instituut CEN private normen zijn die geen enkel verplichtend karakter inhouden.

Nochtans hebben deze normen, geformuleerd door private organisaties toch een belangrijke waarde en een grote invloed op de standard of care.

Veiligheid elektronische medische dossiers

HR 2003/9

Soft law-regels

• adviezen van de Nationale Raad van de Orde der Geneesheren

• richtlijnen van de Raad van Europa

• harmoniserende normen van het Europese normalisatie-instituut CEN

- CEN / TC 251 Healthcare Informatics

- WG 3 N99-010 Safety and Security Related Software Quality Standards for Healthcare

- WG 6 Healthcare Security and Privacy, Quality and Safety

- ENV 12924 Security Categorisation and Protection for Healthcare Information Systems; revision N99-003

HR 2003/9

Soft law-regels

PROREC (PROmotion Strategy for European electronic health care RECords) is a project of the IV-framework program of the European Commission.

The main goal of PROREC is to promote en coordinate the European-wide convergence towards comprehensive, communicable and secure Electronic Health Records (EHCR). Managing the convergence will be PROREC International's main mission, and this will be realised by undertaking monitoring, assessment and dissimination activities.

One of het intermediate goals of this purposeful strategy is te ensure that bodies, such as CEN-TC 251 at the one hand, and EC Informatics programs at the other hand, meet their purposes of providing standards and high quality research to enhance the care process for patients and users.

HR 2003/9

Soft law-regels

- ISO / TC 215 WG 4 Health Informatics Security (gecoördineerd met CEN / TC

251)

- ISO 74098-2 Digital Signature

HR 2003/9

Soft Law

• niet afdwingbaar karakter

• feitelijk vermoeden van onzorgvuldig handelen?

• minstens een element bij de beoordeling van het zorgvuldigheidscriterium

• gezagdragende organisatie

• de aard van de publicatie en/of verspreiding, bv. publicatieblad van de Europese Gemeenschap

• aan de naleving wordt een vermoeden van conformiteit met de essentiële eisen gekoppeldLierman S.: De richtlijnen en het koninklijk besluit medische hulpmiddelen en de gevolgen van technische voorschriften op de

aansprakelijkheid van de fabrikant en het ziekenhuis, T. Gez./Rev. Dr. Santé, 1998-2000, 360-376.

HR 2003/9

Fysische beveiliginga) Centrale databank en serversysteem

- veilige plaats

• gecontroleerde toegang lokaal

• gelimiteerde risisco’s (brand, storm, water, stroom . . .)

- continuïteit van de gegevens

• bescherming tegen gevolgen van breuken en storingen :

• automatisch herstel : RAID-5 of mirroring

• “disaster backup”

• resistentie van systeem tegen “computervirussen”

HR 2003/9

Fysische beveiliging

a) Centrale databank en serversysteem

- continuïteit van beschikbaarheid 7 / 24

• machines met hoge graad van betrouwbaarheid

• mogelijkheid van “unattended operations”

• voorzieningen voor stroomstoring (UPS)

• eventueel “gespiegelde systemen” (2de reservesysteem)

• eventueel voorziening voor uitwijken in geval van ramp

- wettelijke verplichting om archief minstens 30 jaar te bewaren

HR 2003/9

Fysische beveiliging

b) Toegang tot het systeem vanaf werkstations (PC’s)

- aanmelding

• dubbele sleutel : gebruikersnaam + paswoord• maximum aantal pogingen, dan :

o afsluiten werkstationo uitschakelen geldigheid gebruikersnaam

• mogelijkheid van configuratie paswoorden en vervaldata (voor vervanging)

HR 2003/9

Fysische beveiliging

... Toegang tot het systeem vanaf werkstations (PC’s)

- aanmelding• mogelijkheid tot gebruik van secundaire

identificatie via :o biometrische parameters :o mogelijkheid tot gebruik van hardware sleutels :

* dongel* badge (chipkaart, magneetstrook, barcode, infra

rood, inductie . . .)

• mogelijkheid tot limiteren van toegang tot een vooraf ingesteld aantal stations (op basis van netwerkadres of naam van het station)

HR 2003/9

Fysische beveiliging

... Toegang tot het systeem vanaf werkstations (PC’s)

- netwerk• afdoende afscherming van het netwerk tegen indringers

o VPN (Virtual Private Network)

o Firewall

• gebruik van encryptie op de transmissies

• mogelijkheid tot onderbreken of zelfs uitschakelen van sessie op werkstations na een bepaalde periode

van inactiviteit

HR 2003/9

Logische beveiliging

Het advies van de Nationale Raad van 16 oktober 1993 laat aan duidelijk niets te wensen over:

".... Het overseinen van resultaten, documenten en, in het algemeen, van om het even welk medisch gegeven of bericht, dient te beantwoorden aan de beginselen en waarborgen van authenticiteit, betrouwbaarheid en vertrouwelijkheid..."

HR 2003/9

Logische beveiliging

a) Integriteit van de databank

- bewaring eenduidigheid en continuïteit van de patiëntidentificatie• aanhoudende aliascontrole• integratie en recuperatie van gegevens afkomstig van andere departementale systemen

- bewaking van de eenduidigheid van de gebruikte coderingen• op niveau van de databank• op niveau van alle departementale systemen• op niveau van het ziekenhuis

HR 2003/9

Logische beveiliging

b)Toezicht op de databank

- de databank staat onder toezicht van de hoofdgeneesheer

- de databank moet gemeld staan in de kruispuntdatabank van het Ministerie

HR 2003/9

Logische beveiliging

c) Integriteit van de gegevens

"Integreteit: veronderstelt dat de informatie volledig is en juist, en dat preventieve maatregelen bestaan om niet-geautoriseerde wijzigingen te beletten. In geval van medische gegevens is het wenselijk de geregistreerde informatie te dateren, alsook de bron, de context en de zekerheidsgraad te vermelden. In principe zou men nooit mogen schrappen. Alle modificaties zouden idealiter moeten gebeuren door toevoeging, nooit door deletie."

De Moor G.J.E.: Veiligheid en gegevensbescherming in formatiesystemen binnen de gezondheidszorg, Acta Hospitalia, 1994: p. 37-42.

HR 2003/9

Logische beveiliging

... Integriteit van de gegevens

- alle gegevens zijn meervoudig gerelateerd (contextuele relaties)

• patiënt identificatie

• behandelende arts

• probleemstelling en episode

• ontstaan bij welk patiëntencontact

HR 2003/9

Logische beveiliging

d)Toegangsregeling

"Confidentialiteit: betekent dat alleen geautoriseerde gebruikers toegang hebben tot welbepaalde informatie (restricted access and use). Confidentialiteit kan dus worden beschouwd als het antwoord op de bescherming van de persoonlijke levenssfeer (privacy)."

HR 2003/9

Logische beveiliging

… Toegangsregeling

o toegang tot specifieke patiëntengegevens is beperkt tot:• behandelende artsen en verpleegkundigen

• voor de duur van de behandeling

• toegang uitbreidbaar tot geassocieerde artsen

• expliciete toegangsverlening nodig voor andere artsen bij doorverwijzing of advies

• speciale rechten voor noodartsen, artsen op Spoedafdeling en kritische diensten: enkel op het ogenblik dat de patiënt opgenomen is in de dienst.

HR 2003/9

Toegang voor niet-gemachtigde gebruikers (bv. inzage in briefwisseling van een andere

medische dienst)

Technisch 3 mogelijke procedures:1) enkel strikte toegang volgens de regels2) toegang mogelijk, maar elke handeling wordt

systematisch opgeslagen, de inlogger wordt verwittigd en een systematische volledige en sluitende controle achteraf

3) idem als voorgaande, maar controle gebeurt slechts steekproefgewijze

HR 2003/9

Toegang voor niet-gemachtigde gebruikers

De 3de optie is m.i. niet conform de huidige security-vereisten.

HR 2003/9

- Patiënt kan steeds vragen om bepaalde individuele gegevens of delen van een dossier of een geheel dossier als vertrouwelijk te behandelen

toegang tot deze gegevens blijft beperkt tot behandelende arts met uitsluiting van alle anderen

HR 2003/9

Elektronische transmissie van medische gegevens buiten de

ziekenhuizen

HR 2003/9

Elektronische brievenbussen buiten de ziekenhuizen

• Nationale Raad: onaanvaardbaar indien de toegang, wat de afzenders betreft, beperkt is tot één welbepaalde groep of verzorgingsinstelling, bv. één enkel laboratorium of één enkel ziekenhuis.

- afhankelijkheid en gebondenheid

• Oplossing Nationale Raad: onafhankelijke maatschappij de briefwisseling van om het even

welke aanvrager aanvaardt.

HR 2003/9

Elektronische brievenbussen buiten de ziekenhuizen

• Principe: juist

• Praktijk: de facto onvermijdbaar en een feitelijk monopolie

- incompatibiliteit tussen de codering van de verschillende labosystemen onderling

- overheid: nog geen universele codering

- EMD’s huisartsen niet bij machte een translatie uit te voeren

HR 2003/9

Bewaring van het centraal medisch dossier opgenomen patiënten buiten

het ziekenhuis?K.B. 3 mei 1999 ZHMD: Art. 1 § 3 stelt dat het medisch dossier gedurende minstens 30 jaar in het ziekenhuis dient bewaard te worden.

Finaliteit: - continuïteit der zorgen

- privacy

Verfijning van het standpunt van de Nationale Raad:- onderscheid tussen ‘dode’ archief vs ‘levende’ archief

- onderscheid tussen ‘beheer’ en ‘stockering’

Advies van de Nationale Raad van 21/04/2001 - Bewaring van medische ziekenhuisgegevens, T.N.R., Nr. 93 van september 2001, p. 5.

HR 2003/9

Toegepast op de elektronische vorm: op zichzelf genomen is de stockering van een elektronisch medisch dossier buiten het ziekenhuis dus niet verboden, indien aan een aantal voorwaarden voldaan wordt:

• enkel en alleen de bevoegde arts heeft toegang tot de gegevens

• het beheer van de database gebeurt onder verantwoordelijkheid van een arts, in het geval van een ziekenhuis onder verantwoordelijkheid (dit veronderstelt leiding, gezag en toezicht met een controlerecht) van de betrokken hoofdgeneesheer

HR 2003/9

To do’s

HR 2003/9

De lege feranda: Commissie Privacy & Security in alle

ziekenhuizen

• beleid inzake veiligheid noodzakelijk op het hoogste niveau

• beschrijving van de kwaliteitsnormen

• contractuele regelingen

• ethische gedragscode

• personeelsmotivatie

• patiëntenrechten en procedures

• enz.

HR 2003/9

Naar analogie van de ethische comités zou men drie opdrachten van een 'Commissie Privacy & Security' kunnen onderscheiden:

a) een begeleidende en raadgevende functie met betrekking tot de privacy en security-aspecten van de ziekenhuiszorg

b) een ondersteunende functie bij beslissingen over individuele gevallen inzake privacy en security (bv. een individuele aanvraag van een patiënt voor inzage in het dossier, enz.)

c) een adviserende functie m.b.t. alle protocollen inzake security van informatica, toegang tot het medisch dossier, enz.

De lege feranda: Commissie Privacy & Security in alle

ziekenhuizen

HR 2003/9

• huidige situatie: stuurgroepen en werkgroepen ad hoc

Incorporatie van het security-reglement in het medisch reglement

HR 2003/9

Het medisch reglement

Het security-reglement dient dan ook gekwalificeerd te worden als een specifiek staff-reglement voor de medische informatica.

Uiteraard is een dergelijk reglement een levende materie en wordt het jaarlijks herzien en aangepast aan de technische mogelijkheden.

HR 2003/9

Het medisch reglement

Het security-reglement wordt dus een onderdeel van het medisch reglement dat door de beheerder eenzijdig uitgevaardigd wordt op verzwaard advies van de medische raad.

HR 2003/9

Het medisch reglement

Om een medisch reglement afdwingbaar te maken van de ziekenhuisgeneesheren dienen de individuele overeenkomsten met de ziekenhuisgeneesheren een clausule te bevatten waarin opgenomen staat dat het medisch reglement deel uitmaakt van de verbintenissen van de ziekenhuisgeneesheer.

HR 2003/9

Enkele specifieke knelpunten

In een procedure voor medische aansprakelijkheid wordt vastgesteld dat enkele essentiële onderdelen van het medisch dossier nooit gemaakt werden door de arts: quid?

HR 2003/9

De patiënt heeft het recht op een zorgvuldig bijgehouden dossier: dit medisch dossier dient te voldoen aan alle voorwaarden en criteria geschetst in het K.B. van 3 mei 1999.

HR 2003/9

Een tweede frequent recent probleem betreft de waarde van de elektronische stukken van een medisch dossier, die niet uitgeprint werden en geen waarachtige elektronische handtekening bevatten.

Enkele specifieke knelpunten

HR 2003/9

Art. 1, §2 van het K.B. van 3 mei 1999 stelt dat de uitslagen van de klinische, radiologische, biologische, functionele en histopathologische onderzoeken, de adviezen van de geconsulteerde geneesheren, de voorlopige en definitieve diagnose, de ingestelde behandeling, het operatief protocol en het anesthesieprotocol en het verslag van de eventuele lijkschouwing door de desbetreffende uitvoerende en verantwoordelijke arts dienen ondertekend te zijn.

HR 2003/9

De wet van 9 juli 2001 (B.S. 29.09.2001), houdende vaststelling van bepaalde regels i.v.m. het juridisch kader voor elektronische handtekeningen en certificatiediensten.

Een geavanceerde elektronische handtekening, gerealiseerd op basis van een gekwalificeerd certificaat en aangemaakt door een veilig middel voor het aanmaken van een handtekening, wordt geassimileerd met een handgeschreven handtekening, ongeacht of deze handtekening gerealiseerd wordt door een natuurlijke, dan wel door een rechtspersoon (Art. 4, §4).

Deze wettelijke evolutie opent ook de deur voor het elektronisch medisch voorschrift.

HR 2003/9

Derde probleem: de rechten van de medische raad inzake het invoeren van een globaal elektronisch medisch dossier.

Enkele specifieke knelpunten

HR 2003/9

Art. 15 van de Ziekenhuiswet stelt dat voor elke patiënt een medisch dossier moet worden aan gelegd en in het ziekenhuis worden bewaard om de medische activiteit kwalitatief te toetsen.

Art. 125 Ziekenhuiswet, 2°, stelt dat de medische raad advies geeft aan de beheerder over: het reglement inzake de organisatie en de coördinatie van de medische activiteit in het ziekenhuis.

Een ICT-reglement waarin regels vastgelegd worden inzake de organisatie van een elektronisch medisch dossier dient dus verplichtend voor advies aan de medische raad voorgelegd te worden.

HR 2003/9

Het inzagerecht van de hoofdgeneesheer in het kader van de wettelijk voorziene audit?

Enkele specifieke knelpunten

HR 2003/9

Algemene besluiten

De wetgever verkiest de elektronische vorm van het patiëntendossier.

HR 2003/9

Algemene besluiten

K.B. 3 mei 1999 centraal medisch dossier opgenomen patiënten is volledig toepasbaar op de elektronische vorm.

Wetgeving inzake de bescherming van de persoonlijke levenssfeer is eveneens dwingend van toepassing.

HR 2003/9

Algemene besluiten

Een ziekenhuis dat een technologisch minderwaardig systeem weerhoudt met een laks toegangsbeleid, treft niet de redelijke maatregelen vereist door artikel 4 § 1 van de WVP, nl. dat persoonsgegevens eerlijk en rechtmatig dienen te worden verwerkt. Een onzorgvuldig beleid loopt dus het gevaar strafrechtelijk gesanctioneerd te worden op basis van de geheimhoudingsplicht, gecreëerd door artikel 39 WVP.

HR 2003/9

Algemene besluiten

Het elektronisch medisch dossier voor opgenomen patiënten valt onder de eindverantwoordelijkheid van de hoofdgeneesheer.

HR 2003/9

Algemene besluiten

Belgische dwingende rechtsregels werden tot op heden nog niet gepubliceerd en belangrijke adviezen worden verwacht van de Commissie Standaarden inzake telematica ten behoeve van de gezondheidszorg, opgericht bij K.B. van 3 mei 1999.

HR 2003/9

Algemene besluiten

Zolang er geen minimum dwingende Belgische rechtsregels bepaald worden: soft law wijst de weg.

• adviezen Nationale Raad

• technische specificaties, geformuleerd door het Europese normalisatie-instituut CEN

• de 333 PROREC-regels

HR 2003/9

Algemene besluiten

To do’s:

• ontoereikende financiering in ligdagbudget

• security-normen op nationaal niveau

• inzagerecht concreet regelen

• inbouw van het security-reglement in het medisch reglement, waarbij een goed evenwicht gezocht wordt tussen enerzijds een juridisch en technologisch goed uitgebouwd systeem van toegangsmachtigingen, maar anderzijds een voldoende praktisch werkzaam systeem

HR 2003/9

Algemene besluiten

To do’s:

• wetgevende initiatieven om een security-commissie op te richten, verplichtend in alle ziekenhuizen, met duidelijk omschreven bevoegdheden