privacywetgeving en omgaan met patiëntengegevens

V.05 Privacywetgeving en omgaan met patiëntengegevensconsult

V.05

Privacywetgeving en omgaan metpatiëntengegevens

®KNMG uitgave - versie 3.0Organisatie/Auteur: KNMG, Mr. R.M.S. Doppegieter, Laatst gewijzigd: 2002

1


Inhoudsopgave

Inleiding 3

A Voor alle artsen 5

B Voor artsen die in een zelfstandige praktijk buiten een instelling werken 12

C Voor artsen die in een instelling werken 14

D Voor artsen die ‘in opdracht’ van een derde werken 17

Bijlage 1 - Modellen voor informatiefolders voor patiëntengegevens 20

Bijlage 2 - De WBP en medewerkers in een artsenpraktijk 25

Bijlage 3 - Toegangsbevoegdheden van functionarissen of personen 26

Bijlage 4 - Aandachtspunten voor een contract met een bewerker 27

Bijlage 5 - Besluit over prijzen van afschriften 28

Bijlage 6 - Mogelijke doelen voor het verwerken van patiëntgegevens 29

Bijlage 7 - Invullen van het WBP meldingsprogramma of van het meldingsformulier 30

Bijlage 8 - Beveiliging van patiëntgegevens door artsen 31

Literatuur, Noten en Afkortingen 32


2


Inleiding

Deze brochure beschrijft de consequenties voor artsen van de nieuwe privacywet: de Wet BeschermingPersoonsgegevens (WBP). De WBP, die per 1 september 2001 wordt ingevoerd, vervangt de Wet Persoonsregistraties(WPR).

De betekenis van de WBPDe consequenties van de WBP zijn voor de gezondheidszorg beperkt. Er bestaan immers al wetten die het vastleggenen verstrekken van gegevens van patiënten behandelen. Voorbeelden hiervan zijn de Wet op de GeneeskundigeBehandelinsgovereenkomst (WGBO), de Wet Bijzondere Opnemingen in Psychiatrische Ziekenhuizen (BOPZ), deWet op de Medische Keuringen (WMK) en de Infectieziektenwet.De belangrijkste gevolgen van de nieuwe privacywet zijn aanvullende eisen aan artsen of instellingen. Zo is er de plichtom de gegevensverwerking te melden en de informatieplicht van de arts of de instelling over de doelen van degegevensverwerking en de beveiligingseisen.Deze brochure1 behandelt de nieuwe privacy-eisen in samenhang met de bestaande wetgeving inzake het omgaan metpersoonsgegevens. Voor de beroepsgroep geeft dat een overzichtelijker beeld. Overigens geeft deze brochure geenuitputtende beschrijving van alle mogelijke situaties die betrekking hebben op het omgaan met patiëntgegevens.Alleen de meest voorkomende zaken worden op hoofdlijnen beschreven.

LeeswijzerHet algemene deel (A) bevat informatie over privacy-eisen en het omgaan met patiëntgegevens. Dit deel geldt vooralle artsen. De WBP koppelt privacy-eisen aan de persoon of personen die verantwoordelijk is c.q. zijn voor degegevensverwerking. De WBP betitelt hen als ‘verantwoordelijke’. In deze brochure worden de consequenties van denieuwe wet voor drie groepen artsen uiteengezet.Voor een huisarts of bijvoorbeeld voor een keuringsarts met een zelfstandige praktijk (zie deel B) brengt de WBPméér activiteiten met zich mee dan voor bijvoorbeeld een specialist in een ziekenhuis (zie deel C) waar de directie ofde Raad van Bestuur doorgaans de ‘(eind)verantwoordelijke’ is.Een derde doelgroep bestaat uit artsen die in opdracht van een ander dan de patiënt geneeskundige handelingenverrichten, zoals keuringsartsen, medisch adviseurs of bedrijfsartsen. Het gaat hierbij om ‘in opdracht’ handelingen(waarbij niet twee maar drie partijen betrokken zijn: de arts, de patiënt en de opdrachtgever), zoals het adviseren vande werkgever in het kader van verzuimbegeleiding van de patiënt/werknemer. Voor deze ‘buiten het contract met depatiënt gelegen relaties’ geldt een aantal andere regels, die met name samenhangen met de reikwijdte van hetberoepsgeheim (het verstrekken van informatie aan de opdrachtgever) en de invulling van een aantalpatiëntenrechten. Deel D gaat daarop nader in.De delen B, C en D behandelen specifieke informatie voor verschillende groepen artsen. U hoeft dus niet de gehelebrochure te lezen. Aan het begin van B, C en D vindt u voorbeelden van artsen die onder die doelgroep vallen. B, C enD besluiten met checklists van activiteiten die op grond van de WBP verplicht zijn. Deze checklists moeten door de‘verantwoordelijke’ worden uitgevoerd.In de bijlagen vindt u onder meer een patiënteninformatiefolder, WBP-eisen voor medewerkers, een overzicht van deeventueel in rekening te brengen kosten voor afschriften van gegevens, nadere voorschriften voor beveiligingseisen.Deze bijlagen kunt u zo nodig aanpassen en gebruiken voor het informeren van bijvoorbeeld uw patiënten enmedewerkers.


3


Samengevat:voor alle artsen:het algemene deel Avoor artsen met een eigen praktijk buiten een instelling:deel B en bijlage 1a, 2, 3, 4, 6, 7 en 8voor artsen werkzaam binnen een instelling:deel C, bijlage 1b, 2 (ter informatie: bijlage 3 en 5)voor artsen die in opdracht van een derde werken:deel D, bijlage 1c, 2 (ter informatie: bijlage 3 en 5)

Omwille van de leesbaarheid zijn steeds mannelijke aanduidingen gebruikt.

Nadere informatieAls u na het lezen van deze brochure nog vragen heeft, kunt u zich wenden tot de KNMG Artseninfolijn,tel. (030) 28 23 322, fax (030) 28 23 397 of e-mail: [email protected] . U wordt dan doorverbonden metmedewerkers die u verder kunnen helpen.In 2001 gaat een helpdesk van start die ondersteuning zal bieden aan individuele leden van de brancheorganisatiesZorg (GGZ Nederland, Arcares, VGN, NVZ Vereniging van Ziekenhuizen). Als de instelling waarbinnen u werkzaambent, hierbij is aangesloten, kunt u ook via deze helpdesk informatie krijgen. Voorlopig is nadere informatie over debereikbaarheid van de helpdesk te verkrijgen via de Artseninfolijn.Ook kunt u terecht bij het College Bescherming Persoongegevens (CBP; voorheen Registratiekamer) in Den Haag.Het CBP is een onafhankelijk college dat toezicht houdt op de naleving van de WBP-eisen. U kunt het CBP bereikenvanaf 1 september 2001 via www.cbpweb.nl. en per telefoon (070) 38 11 300.


4


A Voor alle artsen

A 1 Wanneer is de WBP van toepassing?De WBP is van toepassing als er sprake is van het verwerken van persoonsgegevens. Persoonsgegevens zijn gegevensdie informatie bevatten over een persoon die identificeerbaar is. In het algemeen vallen patiëntgegevens onder dezedefinitie, althans als ze zijn te herleiden tot de betreffende patiënt. Geanonimiseerde gegevens, waarmee wordtbedoeld dat met deze gegevens een persoon niet kan worden geïdentificeerd, zijn geen persoonsgegevens. Niet alleen(gecombineerde) gegevens als naam, adres, woonplaats en geboortedatum, maar ook fotos, geluidsbanden, chipcards,vingerafdrukken en DNA-profielen zijn persoonsgegevens. Gemakshalve spreken we verder over patiëntgegevens; deWBP spreekt over gezondheidsgegevens (zie ook bijlage 8).Het ‘verwerken’ van patiëntgegevens behelst alle handelingen met patiëntgegevens vanaf het moment dat deze wordenverzameld totdat ze worden vernietigd. Dus: ordenen, bijwerken, raadplegen, gebruiken, verstrekken, koppelen etc.Als u een of meer van deze handelingen verricht, ‘verwerkt’ u patiëntgegevens. Naast artsen en andere hulpverleners ishet verwerken van patiëntgegevens - voor een beperkt aantal doelen - toegestaan aan onder meer verzekeraars,instellingen voor maatschappelijke dienstverlening en speciale scholen.In de gezondheidszorgpraktijk is de WBP van toepassing op vrijwel alle gegevensverzamelingen die zijn te herleidentot patiënten of cliënten. Dat geldt zowel voor elektronische als voor handmatige verwerkingen. Uitgezonderd zijnhandmatige verwerkingen die niet in een systematisch toegankelijk dossier of systeem worden opgeslagen. Dat isdoorgaans echter niet het geval omdat goede toegankelijkheid één van de vereisten is die aan patiëntendossiers wordtgesteld.

A 2 Wie zijn de ‘verantwoordelijke’ en de ‘bewerker’?De ‘verantwoordelijke’ is degene die bepaalt wat er met de gegevens gebeurt. Vaak zullen er medeverantwoordelijkenen eindverantwoordelijken zijn. Zo is binnen een instelling de directie of de Raad van Bestuur doorgaanseindverantwoordelijk voor het beheer en het instandhouden van het informatienetwerk en de gegevensbestanden. Deartsen die binnen de instelling werkzaam zijn, zijn medeverantwoordelijk voor het verwerken van de patiëntgegevens.Binnen een zelfstandige (huisartsen- of andere) praktijk zal de arts of zullen de artsen gezamenlijk ‘verantwoordelijke’zijn. De WBP legt aan de ‘(eind)verantwoordelijke’ een aantal plichten op. Zie A 4.De ‘bewerker’ is een persoon of organisatie buiten de praktijk of instelling aan wie de ‘verantwoordelijke’ (een deelvan) de gegevenswerking heeft uitbesteed. De ‘bewerker’ bewerkt volgens instructies en onder uitdrukkelijkeverantwoordelijkheid van de verantwoordelijke. Voorbeelden van bewerkers zijn: een externe netwerkbeheerder, eenservicebureau of een administratiekantoor. Wanneer er een hiërarchische relatie bestaat tussen verantwoordelijke enbewerker is er sprake van (intern) beheer en niet van een bewerker. De bewerker is, naast de verantwoordelijke,aansprakelijk voor eventuele nadelen die iemand ondervindt omdat de privacy-eisen niet zijn nagekomen. Debewerker en zijn medewerkers hebben een geheimhoudingsplicht. Zie ook bijlage 4 en A 4 onder ‘bewerkerscontract’.

A 3 Genetische gegevensDe WBP onderwerpt het verwerken van genetische gegevens aan strengere eisen dan het verwerken van anderepatiëntgegevens. Genetische gegevens mogen uitsluitend voor de patiënt zelf worden verwerkt en bijvoorbeeld nietvoor een familielid. Deze restrictie heeft consequenties voor verzekeraars. Een verzekeraar die van iemanderfelijkheidsgegevens ontvangt in verband met het afsluiten van een (levens- of arbeidsongeschiktheids)verzekering,mag deze gegevens alleen voor dat doel gebruiken en niet voor eventuele te verzekeren of al verzekerde familieleden.De WBP maakt een uitzondering voor artsen die genetische gegevens nodig hebben voor de behandeling van eenpatiënt of voor wetenschappelijk onderzoek, onderwijs of statistiek. Zij mogen deze gegevens - voor wetenschappelijkonderzoek, onderwijs of statistiek onder voorwaarden (zie A 6) - dus wel voor die doelen gebruiken.


5


A 4 Verplichtingen van de ‘verantwoordelijke’

MeldingsplichtDe (eind)verantwoordelijke is verplicht om elektronische gegevensbestanden bij het College BeschermingPersoonsgegevens te melden. Papieren bestanden hoeven slechts te worden aangemeld als er een bijzonder risico voorprivacyschending aanwezig is, bijvoorbeeld als gegevens worden vastgelegd zonder dat de persoon op wie de gegevensbetrekking hebben, daarvan op de hoogte is. Dit laatste zal zich niet zo snel voordoen, omdat de WGBO deinstemming (informed consent) van een patiënt vereist. Concreet: in de gezondheidszorg zullen in de regel alleenelektronische verwerkingen van patiëntgegevens hoeven te worden gemeld.Gegevensbestanden die in een kleine (huisartsen- of andere zelfstandige) praktijk alleen door de arts en zijnwaarnemer worden gebruikt, voor bijvoorbeeld behandeling, begeleiding, eigen wetenschappelijk onderzoek enfinanciële administratie zijn vrijgesteld van de meldingsplicht. Wordt samen met bijvoorbeeld apothekers ofziekenhuizen een bestand gevormd, of is het bestand toegankelijk voor gebruikers binnen een grotersamenwerkingsverband, bijvoorbeeld een gezondheidscentrum, dan kan doorgaans niet meer worden gesproken vanvoldoende transparantie van de gegevensverwerking voor de patiënt. Dan geldt derhalve wél de meldingsplicht.

Tip: Als u twijfelt, kunt u het beste melden. Bijlage 7 geeft adviezen bij het melden.Ook wijzigingen moet u melden. Denk aan wijzigingen in het doel van de gegevensverwerking, in de vasteontvangers van gegevens, in de beveiligingsmaatregelen of als de naam of het adres van de verantwoordelijkeverandert. De eerstgenoemde wijzigingen moet u binnen een jaar bij het CPB melden; wijzigingen in de naam ofhet adres van de verantwoordelijke moet u binnen een week melden.

InformatieplichtIn de WBP is de informatieplicht van de verantwoordelijke belangrijker (of dwingender) geworden. De persoon vanwie gegevens worden verwerkt (de betrokkene) moet worden ingelicht over: wie de verantwoordelijke is, het doel ofde doelen van de gegevensverwerking, de wijze waarop de verwerking plaatsvindt en eventuele medegebruikers ofontvangers van de gegevens. De verantwoordelijke is aanspreekpunt voor de patiënt bij vragen over degegevensverwerking. Ook moet de patiënt worden gewezen op de rechten waarop hij zich kan beroepen. Deze rechtenvindt u in A 9.U kunt patiënten informeren door middel van een informatiefolder.Overhandig deze folder bij voorkeur aan depatiënt bij zijn eerste contact met de arts. Bijlage 1 bevat voorbeelden van zo’n folder.Informatie over de gegevensverwerking van wilsonbekwame patiënten (bijvoorbeeld jongeren onder de zestien) moetworden verstrekt aan de (wettelijk)vertegenwoordiger, zoals de ouders, voogd, curator, mentor. Heeft de patiënt toenhij nog wel wilsbekwaam was, een ander schriftelijk gemachtigd namens hem op te treden, dan moet de informatieaan die persoon worden gegeven. Als de wettelijk vertegenwoordigers of de gemachtigden ontbreken of niet wensennamens de patiënt op te treden, dan wordt de patiënt vertegenwoordigd door echtgenoot of partner, kind, broer ofzus.

BeveiligingsmaatregelenDe verantwoordelijke moet voor passende organisatorische beveiligingsmaatregelen zorgen. Dat betekent onder meerdat hij duidelijk moet maken - bijvoorbeeld via een overzicht - welke personen toegang hebben tot welke gegevens(zie bijlage 3).Er zijn ook vereisten aan de technische beveiliging. Toegang tot elektronische gegevens moet alleen mogelijk zijn viaeen uniek wachtwoord. Patiëntgegevens die elektronisch worden verzonden via een ook voor (onbevoegde) derdentoegankelijk medium, moeten eerst worden geëncrypteerd. Voorbeeld: vóórdat patiëntgegevens of afspraken voor eenconsult per e-mail worden verstuurd, moet het bericht eerst worden gecodeerd zodat de gegevens niet meer tot depatiënt zijn te herleiden. Immers, de kans bestaat dat onbevoegde derden, bijvoorbeeld een familielid, toegang hebbentot de gegevens. Dat kan al het geval zijn als het adres verkeerd wordt getypt. Handmatig bijgehouden dossiers (maarook laptops) moeten in goed afsluitbare kasten en ruimten worden bewaard. Bijlage 8 gaat in opbeveiligingsmaatregelen.


6


BewerkerscontractAls gegevens extern worden bewerkt, moet de verantwoordelijke een bewerkerscontract opstellen. Zie A 2 en bijlage 4.

Vervallen privacyreglementIn de WPR was de (eind)verantwoordelijke van het gegevensbestand verplicht een privacyreglement op te stellen voorpatiënten en medewerkers. Die plicht komt in de WBP te vervallen.

Tip: Het is raadzaam dat de verantwoordelijke aan de gebruikers van het gegevensbestand uiteenzet welke eisenworden gesteld aan het omgaan met patiëntgegevens. De verantwoordelijke is immers ook aanspreekbaar oponrechtmatig gebruik door personen binnen de instelling of organisatie.

A 5 Doelen van de gegevensverwerkingDe ‘verantwoordelijke’ moet aangeven voor welk(e) doel(en) persoonsgegevens worden verzameld, nagaan of diedoelen ‘gerechtvaardigd’ zijn en of niet meer gegevens worden verwerkt dan voor het doel noodzakelijk is. Worden ergegevens voor andere doelen verwerkt, dan moet zijn voldaan aan extra voorwaarden, zoals uitdrukkelijketoestemming van de betrokkene. Voorts moet de verantwoordelijke ervoor zorgen, dat de gegevens juist en zoobjectief mogelijk zijn. Dat geldt ook voor gegevens die aan anderen worden verstrekt. Van derden ontvangengegevens moeten rechtmatig zijn verkregen, dat wil zeggen met kennis en (veronderstelde) toestemming van depatiënt. Een arts moet er dus op toezien dat alle patiëntgegevens die hij ‘verwerkt’, aan deze eisen voldoen. Immers,deze eisen sluiten grotendeels aan bij de plicht van een arts om een zorgvuldig dossier bij te houden (zie A 5.1).Wordt aan alle eisen voldaan, dan is de gegevensverwerking ‘rechtmatig’. In instellingen zullen de doelen van degegevensverwerking doorgaans in samenspraak tussen ‘verantwoordelijke’ en (een vertegenwoordiging namens)artsen en andere hulpverleners worden gedefinieerd.Hieronder geven we voor artsen uit de drie doelgroepen B, C en D de (hoofd)doelen van de gegevensverwerking aan.Er kunnen ook nog andere doelen zijn waarvoor artsen gegevens verwerken.

Tip: Bijlage 6 bevat een overzicht van de meest voorkomende doelen van gegevensverwerking.

A 5.1 Goede zorg en hulpverleningBinnen een geneeskundige behandelingsovereenkomst is het aanleggen en bijhouden van een medisch dossier door debehandelend arts noodzakelijk om de patiënt goede hulp en zorg te kunnen bieden. De WGBO noemt dit de‘dossierplicht’. Ook de vervanger, de waarnemer en andere personen die rechtstreeks bij de behandeling van depatiënt zijn betrokken, zoals een mede-behandelaar, verpleegkundige of fysiotherapeut, hebben een dossierplicht. Inhet dossier mogen ook ‘bijzondere’ persoonsgegevens, zoals de WBP ze noemt, worden opgenomen, mits dezerelevant zijn voor een goede hulpverlening. Voorbeelden daarvan zijn gegevens over iemands ras, levensovertuiging ofseksuele leven.Het verwerken van iemands patiëntgegevens met het oog op een goede behandeling, verzorging of begeleiding is dusrechtmatig. Ook het verwerken van (uitsluitend de noodzakelijke) gegevens voor de financiële afhandeling van debehandeling vormt een onderdeel van dit (primaire) doel. Deze gegevens moeten aan de zorgverzekeraar wordenverstrekt.

A 5.2 Medisch advies in opdracht van een anderPatiëntgegevens kunnen ook worden verwerkt in verband met een advies aan een derde, bijvoorbeeld een advies vaneen bedrijfsarts aan de werkgever, een conclusie van een medisch adviseur aan het Regionaal Indicatie Orgaan of eenuitslag van een keuringsonderzoek door de keuringsarts aan een sportclub. Alleen de voor dat doel noodzakelijkegegevens mogen worden ‘verwerkt’. Op deze situaties is de WGBO van toepassing. De gedachte hierachter is dat derechten van een patiënt niet alleen in behandelsituaties (tussen arts en patiënt) moeten worden beschermd, maar ookin andersoortige situaties waarin een patiënt aan een geneeskundig onderzoek of behandeling wordt onderworpen.


7


Omdat op deze situaties ook andere wetten van toepassing zijn, zoals de sociale-zekerheidswetgeving en de Wet op deMedische Keuringen, kunnen er conflicterende eisen aan de arts-patiëntrelatie worden gesteld. Daardoor is niet altijdduidelijk of, en zo ja, in hoeverre de WGBO- en de WBP-bepalingen kunnen worden toegepast. Zie deel D.2

A 5.3 Secundaire doelenOnder aanvullende voorwaarden mogen de gegevens ook worden gebruikt voor secundaire doelen, zoals beleid enmanagement van de praktijk of de instelling, kwaliteitsbewaking van de zorg, registratie van complicaties,intercollegiale toetsing, medisch onderwijs, wetenschappelijk onderzoek en statistiek. Hoofdregel is dat voor toegangtot herleidbare patiëntgegevens expliciete toestemming nodig is van de patiënt, zijn vertegenwoordiger of eengemachtigde.

Er zijn echter enkele nuanceringen. Bij intercollegiale toetsing binnen een praktijk of instelling kunnen met‘veronderstelde toestemming’ van de patiënt diens gegevens worden gebruikt en verstrekt. Voorwaarde is dat depatiënt daarvan tevoren (bijvoorbeeld via de informatiefolder) op de hoogte is gebracht én hij niet heeft aangegevendaartegen bezwaar te hebben. Is het doel het toetsen van het kwaliteitsbeleid van een instelling dan moet eerst wordennagegaan of niet kan worden volstaan met geaggregeerde gegevens. Is dat onmogelijk dan kan de medisch directeurmet ‘veronderstelde toestemming’ van de patiënt gebruikmaken van uitsluitend de noodzakelijke gegevens. Ook hiergeldt de voorwaarde dat de patiënt vooraf moet zijn geïnformeerd en geen bezwaar heeft aangetekend. In A 6 en A 7wordt ingegaan op een aantal bijzondere situaties.

A 6 Gegevens verstrekken zonder toestemming van de patiëntHoofdregel is dat gegevens alleen aan ‘anderen’ mogen worden verstrekt als de patiënt daarvoor uitdrukkelijktoestemming heeft gegeven.Met ‘anderen’ bedoelt de WGBO niet de hulpverleners die rechtstreeks bij de behandeling of begeleiding van depatiënt zijn betrokken, zoals een medebehandelaar, praktijkassistente, arts-assistent, verpleegkundige, fysiotherapeut,een vervanger of waarnemer. Met ‘anderen’ worden evenmin bedoeld de (wettelijk) vertegenwoordiger van de patiënt,zoals ouders, voogd, curator, mentor, kind, broer of zus, of de door de patiënt (schriftelijk) gemachtigde. Voorinformatieverstrekking aan deze personen hoeft de arts dus niet eerst toestemming aan de patiënt te vragen. Wél voorverstrekking aan personen die hierboven niet zijn aangegeven.

Tip: In de hoofdstukken 5 en 7 van het KNMG-consult Arts en patiëntenrechten vindt u hierover meer informatie(zie Literatuur).

In enkele bijzondere situaties is een arts verplicht gegevens te verstrekken. Voorbeelden zijn de plicht om eeninfectieziekte te melden of de plicht om een verklaring van overlijden af te geven. Ook in een situatie dat zich een‘conflict van plichten’ voordoet, moeten relevante gegevens door een arts verstrekt worden zonder dat daarvoortoestemming aan de patiënt is gevraagd (bijvoorbeeld in geval van kindermishandeling of incest).3

De WGBO biedt een mogelijkheid om patiëntgegevens voor wetenschappelijk onderzoek, statistiek en medischonderwijs4 te verwerken. Hoofdregel is dat toestemming (liefst schriftelijk) van de patiënt nodig is.Een uitzondering daarop is echter mogelijk als aan alle van de volgende vier voorwaarden is voldaan:� het onderzoek5 dient een algemeen belang;� het onderzoek kan zonder de gevraagde gegevens niet worden verricht;� de patiënt heeft geen uitdrukkelijk bezwaar gemaakt tegen de gegevensverwerking;� er doet zich één van de twee volgende situaties voor:

a. toestemming vragen is redelijkerwijs niet mogelijk op gronden, gelegen in de persoon wiens gegevenshet betreft (bijvoorbeeld: de persoon is overleden, onbereikbaar door verhuizing, of de confrontatiemet het onderzoek zou voor hem onnodig bezwarend zijn). Onder deze omstandigheden heeft deonderzoeker de plicht het onderzoek zo uit te voeren dat de privacy van de patiënt zo min mogelijkwordt geschaad;

b. toestemming vragen kan in redelijkheid niet worden verlangd vanwege de aard van het onderzoek(bijvoorbeeld onderzoek waarbij zeer veel patiënten zijn betrokken of onderzoek waarbij een reële kans


8


op selectieve respons bestaat). In deze gevallen moet de arts de gegevens zodanig coderen, dat deonderzoeker de gegevens niet kan herleiden tot de patiënt.

A 7 Gegevens van een overleden patiënt verstrekkenDe hoofdregel bij het verstrekken van informatie uit het dossier van een overledene is dat de privacy van een patiëntook na diens dood wordt gerespecteerd en dat anderen dus geen inzage in zijn gegevens krijgen. Strikte navolging vandeze hoofdregel regel zou ertoe leiden, dat geen enkele informatie over een overledene aan wie dan ook mag wordenverstrekt. Er zijn echter uitzonderingen.� Er is een wettelijke bepaling die verplicht om inzage te geven, bijvoorbeeld (ingevolge de BOPZ) aan de

Inspecteur voor de Gezondheidszorg.� In geval van ‘veronderstelde toestemming’ van de overleden patiënt: als de arts tot de overtuiging komt, na

‘reconstructie van de wil van de overledene’, dat in een concreet geval de overledene toestemming tot inzagezou hebben gegeven. Zo kunnen kinderen bijvoorbeeld inzage in het dossier van een overleden ouder krijgenvanwege een erfelijke ziekte of met het oog op een klacht, tenzij voor de arts duidelijk is dat de ouder dat nietzou hebben gewild.6

� Als er sprake is van een ‘conflict van plichten’ en als is voldaan aan de desbetreffende criteria7 kan de arts totgegevensverstrekking overgaan. Het moet daarbij altijd gaan om zeer zwaarwegende belangen van derden. Hetverdient aanbeveling dat de arts in zijn dossier aantekening maakt van zijn belangenafweging en zijn motievendaarbij.

A 8 Gegevensverkeer met het buitenlandVoor het verstrekken van patiëntgegevens aan landen binnen de Europese Unie stelt de WBP geen specifieke eisen.Dat komt doordat alle Lidstaten in 1995 de Europese Privacy Richtlijn hebben ondertekend, die de Lidstaten ertoeverplicht een aantal basisnormen over te nemen in hun privacywetten.Voor gegevensverkeer met landen buiten de Europese Unie geldt dat gegevens alleen mogen worden doorgegeven alsdat land een ‘passend niveau van privacybescherming’ waarborgt. Dat is op afstand vaak moeilijk te bepalen. Tochhoeft dit voor de gezondheidszorg geen problemen op te leveren omdat met uitdrukkelijke toestemming van depatiënt (of zijn vertegenwoordiger) de gegevens altijd mogen worden verstrekt of eventueel meegegeven. Een anderemogelijkheid is het verstrekken van patiëntgegevens in het kader van een (behandel)contract tussen arts en patiënt.Dit geldt bijvoorbeeld bij verwijzing naar het buitenland voor een specifieke behandeling.

A 9 Rechten van de patiëntDe WGBO geeft de patiënt een aantal rechten8 zoals het recht op inzage, afschrift, aanvulling en vernietiging. De WBPbiedt de betrokkene (de persoon op wie een gegeven betrekking heeft) het recht van kennisneming, correctie,aanvulling, afscherming en verwijdering.

A 9.1 Recht op inzage en afschriftDe patiënt heeft recht op inzage en afschrift van zijn gegevens. De WGBO maakt hierop één uitzondering: inzage ofafschrift mag niet worden gegeven als daardoor de privacy van een ander wordt geschonden. Het kan bijvoorbeeldgaan om gegevens die door een partner of familielid zijn verstrekt in het vertrouwen dat de patiënt daarvan niet op dehoogte wordt gebracht. De gegevens kunnen betrekking hebben op henzelf of op de patiënt. De arts zal die informatieuiteraard alleen vastleggen als dit voor de behandeling van de patiënt relevant is. Om een beroep te doen op deuitzondering moet de arts aantonen dat het privacybelang van de ander wordt geschaad door inzage te geven én datdit belang zwaarder weegt dan het belang van de patiënt. De arts moet dus een belangenafweging maken. Daarom isook van belang dat de diverse gegevens in het dossier goed en eenvoudig zijn te scheiden. Het gebruik onderhuisartsen om per gezinslid een afzonderlijke patiëntenkaart te gebruiken voorziet daarin.Aan een verzoek tot inzage of afschrift moet de arts of de ziekenhuisdirectie zo spoedig mogelijk, maar in elk gevalbinnen vier weken voldoen. Als het ziekenhuis het inzage- of afschriftverzoek afhandelt, is het van belang dat hetverzoek wordt afgestemd met de betrokken hulpverlener en dat conform een daartoe binnen de instelling opgesteldeprocedure wordt gehandeld. De betrokken hulpverlener moet beoordelen of alle gegevens kunnen worden ingezien ofopgevraagd.


9


De patiënt heeft in beginsel geen recht op afgifte van de originele patiëntgegevens. De originelen komen alleen toe aandegene die ze heeft opgesteld of degene die ze bewaart en beheert. Binnen een huisartsenpraktijk is het welgebruikelijk dat bij overdracht naar een andere huisarts de originele gegevens aan de patiënt worden meegegeven voorde opvolger (zie B 6). Voor het maken van afschriften (niet voor het geven van inzage) mag de arts of de instelling eenredelijke vergoeding aan de patiënt vragen. Zie bijlage 5 voor de bedragen die in rekening mogen worden gebracht.

A 9.2 Recht op aanvulling, correctie en afschermingDe patiënt heeft het recht om het dossier aan te vullen. Hiermee kan de patiënt bereiken dat - naar zijn mening - eenvollediger of juister beeld van zijn persoon of zijn gezondheidstoestand wordt geschetst. Het gaat dan om afwijkendeof aanvullende zienswijzen van de patiënt zelf óf - op verzoek van de patiënt - van een andere arts bijvoorbeeld in hetkader van een second opinion. Ook als de arts het met de inhoud van de verklaring niet eens is, moet hij de verklaringin het dossier opnemen.De patiënt mag de arts ook verzoeken om feitelijke onjuistheden in de gegevens te corrigeren, bijvoorbeeld verkeerdeadresgegevens.De patiënt mag de arts ook verzoeken zijn gegevens voor anderen af te schermen als hij van mening is dat deze feitelijkonjuist zijn of niet ter zake doen. Dat zal hij alleen vragen als hij het bewaren van deze gegevens van belang vindt;anders zal hij wel om correctie of vernietiging vragen. Binnen vier weken moet de arts of instelling laten weten of, enzo ja, in hoeverre aan deze verzoeken kan worden voldaan.In enkele specifieke situaties heeft de patiënt het recht om het doorgeven van zijn gegevens aan de opdrachtgever teblokkeren, bijvoorbeeld de uitslag van een onderzoek of keuring. Zie hierover D 6.

A 9.3 Recht op verwijdering en vernietigingDe patiënt heeft het recht om informatie die niet relevant is voor de behandeling, te laten verwijderen. Bijvoorbeeldgegevens over geloofsovertuiging of ras. Ook kan de patiënt verzoeken (een deel van) zijn dossier te laten vernietigen.De verantwoordelijke moet binnen vier weken op een vernietigingsverzoek reageren en het binnen drie maandenuitvoeren. Een eventuele weigering moet goed worden gemotiveerd. Op het recht op verwijderen of vernietigen vangegevens bestaan namelijk twee uitzonderingen:a. een voorschrift of een andere wet bepaalt dat de gegevens moeten worden bewaard;b. vanwege een ‘aanmerkelijke belang’ van een ander dan de patiënt, moeten (bepaalde) gegevens worden

bewaard.

ad a.Een voorbeeld van de eerste uitzondering is de bepaling in het Besluit patiëntendossier Bijzondere Opneming inPsychiatrische Ziekenhuizen (BOPZ) dat een verzoek tot vernietiging van gegevens door de (gedwongen opgenomen)patiënt pas vijf jaar na beëindiging van de BOPZ-behandeling kan worden ingediend. Een ander voorbeeld is de ‘lijstvan te vernietigen archiefbescheiden van de academische ziekenhuizen’.9 Hierin staat dat bepaalde documenten tot115 jaar na de geboorte(datum) van de patiënt moeten worden bewaard, vanwege het (bewijs)belang van de overheid.Het gaat daarbij om de ontslagbrief, het operatieverslag, het anesthesie- en PA-verslag en het verslag van de eerstehulp. Gegevens over calamiteiten moeten ook tot 115 jaar na het incident worden bewaard. Gegevens die relevanteinformatie bevatten voor gerechtelijke procedures, moeten worden bewaard totdat de procedure definitief is afgerond.Voor overige patiëntgegevens moet de bewaartermijn van de WGBO (van minimaal tien jaar) worden aangehouden.

Tip: Ook bij procedures tegen artsen of instellingen buiten de setting van een academisch ziekenhuis is hetraadzaam de gegevens te bewaren totdat de juridische procedure definitief is afgerond.

ad b.De tweede uitzondering op het recht van een patiënt om gegevens uit zijn dossier te verwijderen, heeft betrekking opeen ‘aanmerkelijk belang van een ander dan de patiënt’. De arts moet dit (liefst schriftelijk) aannemelijk maken. Hetkan bijvoorbeeld gaan om een situatie waarin de patiënt een procedure tegen de arts wil aanspannen of dit inmiddelsheeft gedaan. De arts heeft er dan een ‘aanmerkelijk’ belang bij dat hij de gegevens voor zijn verweer kan gebruiken.


10


Dat er slechts een ‘puur theoretische’ kans bestaat dat zo’n procedure in de toekomst nog eens zal worden gestart, isonvoldoende grond om een vernietigingsverzoek van de patiënt af te wijzen.Een andere situatie waarop deze tweede uitzondering betrekking kan hebben, is dat een familielid van de patiënt methet oog op een erfelijke ziekte binnen de familie, goede redenen heeft om aan te dringen op bewaring van de gegevens.De arts moet beoordelen of er sprake is van ‘een aanmerkelijk belang van een ander’. Een eventuele weigering van hetvernietigingsverzoek moet goed worden onderbouwd. Is de patiënt het niet eens met het oordeel van de arts, dan kanhij dit laten toetsen door een collega-arts. Is de arts van mening dat, gezien de medische voorgeschiedenis van depatiënt, hij deze niet meer verantwoord kan behandelen omdat de te vernietigen gegevens essentieel zijn voorbehandeling in de toekomst, dan zal hij dit eerst met de patiënt moeten bespreken. Daarbij kan ook het beëindigenvan de behandelingsovereenkomst aan de orde komen; maar dit zal in de regel beperkt blijven tot uitzonderlijkesituaties.

Tip: Met het oog op eventuele latere misverstanden of een procedure is het raadzaam om het vernietigingsverzoekschriftelijk te laten indienen en dit als correspondentie te bewaren.Het bewaren van gegevens in geanonimiseerde vorm is overigens wel altijd mogelijk. Dit kan bijvoorbeeld vanbelang zijn voor wetenschappelijke of statistische doelen.

A 10 Vanaf wanneer is de WBP van kracht?In de WBP is een overgangstermijn van een jaar opgenomen. Dat betekent dat voor gegevensbestanden die op 1september 2001 al zijn vastgelegd, de verplichtingen uit de WBP (zoals de meldingsplicht, de beveiligingsplicht en deinformatieplicht) vanaf 1 september 2002 moeten worden nageleefd. Voor nieuwe gegevensbestanden, die op of na 1september 2001 worden voorbereid of aangelegd, gelden de WBP-eisen direct, dus per 1 september 2001.

A 11 SanctiesAls naar het oordeel van de toezichthouder, het College Bescherming Persoonsgegevens, in strijd met deWBP-verplichtingen is gehandeld, kan het college een sanctie opleggen. Het college kan bestuursdwang toepassen,bijvoorbeeld door de ‘onrechtmatigheid’ op kosten van de overtreder ongedaan te maken. Bestuursdwang kan ookbestaan uit het geven van een bevel, in combinatie met een geldboete als dwangmiddel om aan het bevel te voldoen.Voorts kan het college een bestuurlijke boete opleggen (maximaal e 4.538) als het gegevensbestand niet (correct) isaangemeld of als wijzigingen niet zijn doorgegeven. Als een patiënt vindt dat zijn privacybelang is geschonden, kan hijzich tot het tuchtcollege of de rechter wenden.


11


B Voor artsen die in een zelfstandige praktijk buiten een instelling werken

Dit hoofdstuk is een aanvulling op deel A en is bedoeld voor huisartsen en andere artsen die werkzaam zijn in eenzelfstandige praktijk buiten een instelling (zoals sommige psychiaters en oogartsen). Doorgaans zullen één of meerartsen binnen een praktijk of hagro als ‘(eerst)verantwoordelijke’ optreden en het aanspreekpunt zijn voor vragenover de gegevensverwerking, over de uitvoering ervan en voor het contract met een eventuele bewerker. De‘verantwoordelijke’ is echter niet alleen, maar samen met de andere artsen verantwoordelijk voor degegevensverwerking binnen de praktijk, en wel ieder voor de gegevens die hij verwerkt en in het bestand inbrengt. Ineen solopraktijk is uiteraard de arts de (enige) ‘verantwoordelijke’.

B 1 Doelen van de gegevensverwerkingDe informatiefolder voor patiënten (zie bijlage 1a) moet de doelen van de verwerking vermelden. Voor het verwerkenvan gegevens voor andere doelen is de uitdrukkelijke toestemming van de patiënt nodig. Bijlage 6 geeft voorbeeldenvan veel voorkomende doelen.

B 2 Toegang tot de gegevensverwerkingBij elektronische opslag van patiëntgegevens moeten alle gegevens toegankelijk en beschikbaar zijn. Bij veranderingvan hard- of software moet worden nagegaan of de gegevens op de oude gegevensdrager ook in de toekomst nogkunnen worden ontsloten. Is dat niet het geval, dan moet een uitdraai van de oude gegevens worden gemaakt.

Tip: Het is raadzaam om dit ook als aandachtspunt in het contract met de bewerker op te nemen (zie bijlage 4).

Een arts die gegevens overdraagt aan een opvolger, is er verantwoordelijk voor dat de gegevens daadwerkelijkbeschikbaar zijn. In de informatiefolder voor patiënten kunt u aangeven welke medewerkers (per naam) offunctionarissen (per functie) toegang hebben tot de patiëntgegevens. De artsen binnen de praktijk dienen ditgezamenlijk op te stellen.

Tip: Bijlage 3 kan hierbij behulpzaam zijn.

Een waarnemer of vervanger moet uiteraard de patiëntgegevens kunnen inzien, echter uitsluitend voorzover datnoodzakelijk is voor de actuele hulpvraag van de betreffende patiënt. Een arts in de waarneemgroep van debehandelend arts, of een andere collega die gevraagd wordt een keuring te doen bij één van de patiënten van debehandelend arts, heeft voor dat doel geen toegang tot de patiëntgegevens, tenzij de patiënt daarvoor toestemmingheeft gegeven. Artsen doen er verstandig aan niet op te treden als keuringsarts van patiënten die u via de waarnemingal bekend zijn. Bij de behandeling betrokken medewerkers, zoals (dokters)assistenten, (praktijk)verpleegkundigen,assistenten en administratieve medewerkers, hebben uitsluitend toegang tot die gegevens, die voor hun taak nodigzijn. Het is raadzaam deze medewerkers niet alleen mondeling maar ook in hun arbeidsovereenkomst of via eenprotocol op hun geheimhoudingsplicht te wijzen (zie bijlage 2). Dit geldt ook voor een eventuele bewerker (zie bijlage4).

B 3 Opvolging en verwijzingBinnen de huisartsenpraktijk is het usance dat bij beëindiging van de behandelingsovereenkomst (omdat de artsvertrekt uit de praktijk of omdat de patiënt voor een andere arts kiest), na toestemming van de patiënt, het dossiervolledig aan een opvolger wordt overgedragen of aan de patiënt wordt meegegeven. Gezinsdossiers kunnen omprivacyredenen beter per (aangetekende) post worden verzonden. Gaat de patiënt niet akkoord met het overdragenvan zijn dossier, dan moet de oude huisarts het dossier bewaren totdat de bewaartermijn is verstreken (tenzij depatiënt eerder om vernietiging verzoekt). Onbetaalde nota’s mogen overdracht niet in de weg staan. Bij overdracht


12


mogen zonder toestemming van de patiënt geen gegevens of kopieën door de arts worden bewaard, tenzij de gegevensnodig zijn ter verdediging van de arts in een reeds aangespannen juridische procedure of bij reële dreiging daarvan(zoals een tuchtprocedure of claim). In geval van verwijzing naar een collega wordt een verwijsbrief en een kopie vaneventuele relevante informatie uit het dossier (doorgaans kosteloos) meegegeven of opgestuurd tenzij de patientdaartegen bezwaar maakt.

B 4 Rechten van de patiëntAls een patiënt een beroep doet op zijn rechten, moet de arts daarop in beginsel binnen vier weken reageren. A 9bevat een overzicht van patiëntenrechten.

B 5 MeldingsplichtIn aanvulling op A 4, waar is aangegeven wanneer de meldingsplicht wel geldt en wanneer er een vrijstelling is, is ereen diskette van het College Bescherming Persoonsgegevens (CBP). Met deze diskette kan een arts (als‘verantwoordelijke’) nagaan of de verwerking al dan niet moet worden gemeld. Zoals opgemerkt in A 4 vallenpapieren bestanden in beginsel buiten de meldingsplicht. Vrijstelling van de meldingsplicht laat onverlet dat deoverige eisen in deze brochure van toepassing zijn.

B 6 BewaartermijnDe wettelijk bewaartermijn is (minimaal) tien jaar. Om praktische redenen rekent men gewoonlijk vanaf het momentdat het laatste consult of de laatste behandeling werd beëindigd. Als deze termijn is verlopen, moet de arts nagaan oflanger bewaren noodzakelijk is (uiteraard tenzij een eerder vernietigingsverzoek is gehonoreerd, zie A 9.3). Degegevens moeten langer dan tien jaar worden bewaard als dat ‘redelijkerwijs uit de zorg van een goed hulpverlener’voortvloeit, bijvoorbeeld omdat de arts alleen goede zorg kan bieden als de gegevens langer worden bewaard. Tedenken valt aan langlopende of terugkerende behandelingen bij chronische ziekten of erfelijke aandoeningen. Ookmet het oog op wetenschappelijk onderzoek kan het van belang zijn gegevens langer te bewaren.Binnen de huisartsenpraktijk is het gewoonte de verschillende patiëntgegevens met het oog op de continuïteit vanzorg integraal op één kaart of in een bestand vast te leggen en langere tijd te bewaren. Het initiatief tot langer bewarenkan ook van de patiënt uitgaan. Daarover kunnen arts en patiënt samen afspraken maken.

De WGBO maakt het bewaren van gegevens die op het moment van inwerkingtreding van de WGBO (1 april 1995) alzijn geregistreerd, nog tien jaar (tot 1 mei 2005) mogelijk. Gelet op het belang van bewaring voor onder meermedisch-wetenschappelijk onderzoek adviseren we terughoudend te zijn met het vernietigen van medische dossiersen vernietiging bij voorkeur tot 1 mei 2005 uit te stellen, ook al wordt daarmee de bewaartermijn van tien jaar (ruim)overschreden. Dit is uiteraard niet van toepassing als de patiënt een beroep doet op vernietiging.

B 7 Checklist

� Een (eerst)verantwoordelijke benoemen.� In overleg met collegae en eventueel medewerkers de doelen van de gegevensverwerking definiëren (zie

bijlage 6).� De gegevensverwerking melden (zie bijlage 7), tenzij er een vrijstelling is (zie B 5).� Een patiënteninformatiefolder opstellen of uitbrengen (zie A 4 en bijlage 1a).� Medewerkers informeren over hun geheimhoudingsplicht (zie bijlage 2).� Een overzicht opstellen van toegangsbevoegde medewerkers en een geheimhoudingsbepaling opnemen in

het arbeidscontract (zie B 2 en bijlage 3).� Checken of wordt voldaan aan de voorschriften om gegevens te beschermen tegen verlies, diefstal of

onrechtmatige verwerking (zie A 4 en bijlage 8).� Als er een bewerker is benoemd, een contract opstellen en daarin afspraken opnemen over vertrouwelijke

omgang met patiëntgegevens (zie bijlage 4).


13


C Voor artsen die in een instelling werken

Dit hoofdstuk is een aanvulling op deel A en is bedoeld voor artsen die in een instelling voor gezondheidszorg werken.Met ‘instelling voor gezondheidszorg’ bedoelen we ziekenhuizen, verpleeghuizen, instellingen voorgehandicaptenzorg, psychiatrische instellingen, verslavingsklinieken, consultatiebureaus, gezondheidscentra10

etc. Of de artsen (in opleiding) al dan niet in dienstverband werkzaam zijn, is irrelevant.Doorgaans is in een instelling de directie of de Raad van Bestuur eindverantwoordelijk voor het beheren eninstandhouden van het informatienetwerk en de gegevensbestanden. De binnen de instelling werkzame artsen (inopleiding) zijn (mede)verantwoordelijk voor de patiëntgegevens die zij verwerken. De ‘eindverantwoordelijke’ heeftde in A 5 genoemde plichten, waaronder die van melding.

C 1 Doelen van de gegevensverwerkingDe ‘eindverantwoordelijke’ definieert in samenspraak met de artsen de doelen van de verwerking van patiëntgegevens.In de informatiefolder voor patiënten (zie bijlage 1b) moeten de doelen van de verwerking worden aangegeven.Gegevens mogen alleen voor andere doelen worden verwerkt als de patiënt daarin toestemt. Bijlage 6 geeftvoorbeelden van veel voorkomende doelen.

C 2 Toegang tot de gegevensverwerkingDe eindverantwoordelijke moet in samenspraak met de artsen zorgen voor een informatiefolder voor patiënten.

Tip: Bijlage 1b kan hierbij behulpzaam zijn.

Net als bij papieren dossiers moeten ook bij elektronische patiëntenbestanden alle gegevens toegankelijk enbeschikbaar zijn. Bij een verandering van hard- of software moet worden nagegaan of de gegevens op de oudegegevensdrager in de toekomst nog kunnen worden ontsloten. Is dat niet het geval dan moet een uitdraai van de oudegegevens worden gemaakt.

Tip: Het is raadzaam om dit als aandachtspunt in het contract met de bewerker op te nemen (zie bijlage 4).

In de informatiefolder voor patiënten kunt u aangeven welke medewerkers (per naam) of functionarissen (perfunctie) toegang hebben tot de patiëntgegevens. De eindverantwoordelijke dient hiervan in samenspraak met deartsen een overzicht op te stellen.

Tip: Bijlage 3 kan hierbij behulpzaam zijn.

Als er binnen de instelling wordt gewerkt met één integraal patiëntendossier, waarin ook alle gegevens van anderehulpverleners (zoals medisch specialisten, verpleegkundigen, fysiotherapeuten, maatschappelijk werkers) wordenopgenomen, moet de patiënt hierover worden geïnformeerd. Zie de voorbeeldtekst in bijlage 1b.Een waarnemer of vervanger moet uiteraard de patiëntgegevens kunnen inzien, echter uitsluitend voor zover datnoodzakelijk is voor de actuele hulpvraag van de betreffende patiënt.Een collega van de behandelend arts die wordt gevraagd een keuring te doen bij één van de patiënten van debehandelend arts, heeft voor dat doel geen toegang tot de patiëntgegevens, tenzij de patiënt daarvoor toestemminggeeft. Artsen doen er verstandig aan niet op te treden als keuringsarts van patiënten die hen via de waarneming albekend zijn.Bij de behandeling betrokken medewerkers, zoals assistenten, verpleegkundigen, secretaresses en administratievemedewerkers hebben uitsluitend toegang tot die gegevens, die op dat moment voor hun taak nodig zijn. De werkgever


14


(dat kan de directie of Raad van Bestuur zijn maar ook een maatschap of een arts) doet er verstandig aan dezemedewerkers niet alleen mondeling maar ook in hun arbeidsovereenkomst of via een protocol op hungeheimhoudingsplicht te wijzen (zie ook bijlage 2). Dit geldt ook voor een eventuele bewerker (zie bijlage 4).

C 3 Opvolging en verwijzingBij opvolging door een andere arts binnen de instelling heeft de ‘nieuwe’ arts toegang tot het volledige dossier.Doorgaans worden de patiënten ruime tijd voor vertrek van de ‘oude’ arts geïnformeerd over de opvolging. Depatiënt kan dan eventueel bezwaar maken tegen de opvolging en de overdracht van het dossier aan de ‘nieuwe’ arts.Kiest de patiënt voor een arts in een andere instelling, dan kan (tegen betaling, zie bijlage 5) een kopie van het dossieraan de patiënt worden verstrekt. Het originele dossier wordt binnen de instelling bewaard, tenzij een verzoek van depatiënt tot vernietiging wordt gehonoreerd (zie A 9.3).Onbetaalde nota’s mogen overdracht niet in de weg staan. Bij verwijzing naar een collega wordt een verwijsbrief eneventueel een kopie van relevante informatie uit het dossier meegegeven of opgestuurd, tenzij de patient daartegenbezwaar maakt. Voor deze intercollegiale informatie-uitwisseling worden doorgaans geen kosten in rekeninggebracht.

C 4 Rechten van de patiëntPatiënten hebben een aantal wettelijke rechten, zie A 9 voor een overzicht. Om een beroep op een recht te doenkunnen patiënten een verzoek richten tot de ‘(eind)verantwoordelijke’ of de behandelend arts. In alle gevallen zal debehandelend arts het verzoek beoordelen, omdat alleen hij kan motiveren of het patiëntenrecht al dan niet kanworden gehonoreerd. Als een patiënt een beroep doet op zijn rechten, dan moet de ‘(eind)verantwoordelijke’ of debehandelend arts daarop in beginsel binnen vier weken reageren.

C 5 BewaartermijnDe wettelijk bewaartermijn is (minimaal) tien jaar. Om praktische redenen rekent men gewoonlijk vanaf het momentdat het laatste consult of de laatste behandeling werd beëindigd. Als de termijn is verlopen, moet de arts nagaan oflanger bewaren noodzakelijk is (uiteraard tenzij een eerder vernietigingsverzoek is gehonoreerd, zie A 9.3). Degegevens moeten langer dan tien jaar worden bewaard als dat ‘redelijkerwijs uit de zorg van een goed hulpverlener’voortvloeit, bijvoorbeeld omdat de arts alleen goede zorg kan bieden als de gegevens langer worden bewaard. Tedenken valt aan langlopende of terugkerende behandelingen bij chronische ziekten of erfelijke aandoeningen. Ookmet het oog op wetenschappelijk onderzoek kan het van belang zijn gegevens langer te bewaren. Het initiatief totlanger bewaren kan ook van de patiënt uitgaan. Daarover kunnen arts en patiënt samen afspraken maken.De BOPZ kent een aparte regeling voor het bewaren van dossiers die tijdens een BOPZ-opname zijn vervaardigd. Totvijf jaar na afloop van deze opname mogen de gegevens niet worden vernietigd (zie A 9.3a). Daarna mag dat wel, alwordt (ook door de Stichting Patiënten Vertrouwenspersonen) geadviseerd deze gegevens minstens tien jaar tebewaren. Afschriften van rechterlijke beslissingen, beschikkingen van de burgemeester tot dwangopname (IBS) en debijbehorende geneeskundige verklaringen moeten echter vijf jaar na dagtekening worden vernietigd. Voor dezegegevens geldt dus een échte maximum bewaartermijn. In een speciale regeling voor academische ziekenhuizen isbepaald dat sommige gegevens 115 jaar moeten worden bewaard (zie A 9.3a).De WGBO maakt het bewaren van gegevens die op het moment van inwerkingtreding van de WGBO (1 april 1995) alzijn geregistreerd, nog tien jaar (tot 1 mei 2005) mogelijk. Gelet op het belang van bewaring voor onder meermedisch-wetenschappelijk onderzoek adviseren we terughoudend te zijn met het vernietigen van medische dossiersen de vernietiging bij voorkeur tot 1 mei 2005 uit te stellen, ook al wordt daarmee de bewaartermijn van tien jaar(ruim) overschreden. Dit is uiteraard niet van toepassing als de patiënt een beroep doet op vernietiging.


15


C 6 Checklist

In samenspraak met de ‘(eind)verantwoordelijke’:- De doelen van het verwerken van patiëntgegevens definiëren (zie bijlage 6).- De verschillende gegevensverwerkingen binnen de instelling inventariseren.- De verschillende gegevensverwerkingen binnen de instelling inventariseren.- Een overzicht van toegangsbevoegde functionarissen opstellen (zie bijlage 3).- Een eenvoudige procedure opstellen voor verzoeken van patiënten tot uitvoering van hun rechten.- Voorzover een arts of maatschap werkgever is: een clausule in het arbeidscontract of in het protocol vanmedewerkers opnemen over de geheimhoudingsplicht bij het omgaan met patiëntgegevens (zie bijlage 2).


16


D Voor artsen die ‘in opdracht’ van een derde werken

Dit hoofdstuk is een aanvulling op deel A en is bedoeld voor artsen die in opdracht van een derde (een ander dan depatiënt) geneeskundige handelingen verrichten, zoals het op basis van een wettelijke regeling afgeven van een adviesover de patiënt, een aanstellingskeuring, handelingen bij verzuimbegeleiding e.d. Artsen die onder deze doelgroepvallen zijn keuringsartsen, verzekeringsgeneeskundigen, GGD-artsen, artsen die een advies geven aan een RegionaalIndicatie Orgaan, bedrijfsartsen etc. Het kan ook gaan om huisartsen of medisch specialisten die, naast hun‘curatieve’ werk, keuringen doen en/of adviezen aan een opdrachtgever geven. Binnen één functie kan zowel sprakezijn van ‘handelingen in opdracht’ als van ‘vrijwillige handelingen’. Bijvoorbeeld een bedrijfsarts die naastaanstellingskeuringen, verplichte keuringen tijdens dienstverband en handelingen in het kader van deverzuimbegeleiding ook ’vrijwillige handelingen’ verricht zoals het houden van een arbeidsomstandighedenspreekuuren het doen van curatieve handelingen.Als bovengenoemde activiteiten worden uitgevoerd door een arts in een zelfstandige praktijk, zal hij als‘verantwoordelijke’ moeten zorgdragen voor uitvoering van de privacy-eisen zoals vermeld in A 5 en is de checklist inB 7 van toepassing. Is de arts werkzaam in een instelling zoals bedoeld in deel C, dan is doorgaans zijn werkgever‘eindverantwoordelijke’ en is de checklist in C 6 van toepassing.Als we spreken van ‘patiënt’ bedoelen we ook ‘keurling’ of ‘cliënt’.

D 1 Andere relevante wetgevingVoor deze doelgroep is behalve de WGBO ook specifieke wetgeving van toepassing. De WGBO, die de relatiearts-patiënt regelt, is ofwel rechtstreeks van toepassing (voor de ‘vrijwillige handelingen’) ofwel van overeenkomstigetoepassing (voor de ‘handelingen in opdracht’). Voor ‘handelingen in opdracht’ is niet altijd duidelijk in welke matede WGBO van toepassing is, met name als ook andere wettelijke regels van toepassing zijn, die van de WGBOafwijken. Dit kan zich doen gelden bij de reikwijdte van het beroepsgeheim (bij verplichte adviezen aan deopdrachtgever), de invulling van patiëntenrechten, de bewaartermijn van gegevens etc.Daarvan geven we hieronder een aantal voorbeelden.

D 2 Doelen van de gegevensverwerkingDe ‘verantwoordelijke’ moet de doelen van de gegevensverwerking definiëren. Is de directie van de instelling of dedienst de ‘verantwoordelijke’, dan zal dit in samenspraak met de artsen gebeuren.

Tip: Bijlage 6 geeft voorbeelden van veel voorkomende doelen. De verschillende doelen van gegevensverwerkingmoeten ook in de informatiefolder voor patiënten worden aangegeven (zie bijlage 1c).

Om gegevens voor andere doelen te verwerken is uitdrukkelijke toestemming van de patiënt nodig.

D 3 Toegang tot de gegevensverwerkingBent u als arts de ‘verantwoordelijke’, lees dan B 3; is de instelling de ‘(eind)verantwoordelijke’, lees dan C 3.Bijlage 1c geeft een voorbeeld van een informatiefolder voor patiënten waarin onder meer wordt aangegeven welkepersonen of medewerkers toegang hebben tot welke patiëntgegevens (zie D 4).Een vervanger of waarnemer moet patiëntgegevens kunnen inzien, echter uitsluitend voorzover dat noodzakelijk isvoor een goede vervulling van zijn taak. Hij mag bijvoorbeeld geen patiëntgegevens gebruiken voor doelen die depatiënt niet bekend zijn. Daarvoor moet de patiënt eerst toestemming geven.Bij overgang naar een andere (arbo)dienst, organisatie of instelling mogen gegevens alleen worden overgedragen alsde patiënt daartegen geen bezwaar heeft. Verwerkt de ‘nieuwe’ dienst de gegevens voor andere doelen, dan is eersttoestemming van de patiënt nodig.


17


D 4 Nadere invulling van de geheimhoudingsplichtVoor enkele veel voorkomende ‘handelingen in opdracht’ geven we in het kort aan wanneer en onder welkevoorwaarden gegevens aan de ‘opdrachtgever’ mogen worden verstrekt.

(aanstellings- of verzekerings)keuringDe WMK bepaalt dat de keurend arts en de geneeskundig adviseur niet méér aan de opdrachtgever mogen meedelendan voor het doel van de keuring noodzakelijk is. Voor het doorgeven van de keuringsuitslag is geen toestemming vande keurling nodig. Wel kan de keurling in bepaalde situaties gebruikmaken van het recht om het doorgeven vangegevens te blokkeren (zie D 6).

verplichte keuring tijdens dienstverbandDe bedrijfsarts mag zonder toestemming van de keurling de werkgever in kennis stellen van de uitslag en de eventueleconsequenties van een verplichte keuring tijdens dienstverband.

verzuimbegeleidingBij verzuimbegeleiding zijn de werkgever, de uitvoeringsinstelling, de curatieve sector en soms ook de particuliereverzekeraar betrokken. De bedrijfsarts kan zijn conclusies over de mogelijkheden tot het verrichten van arbeid zondertoestemming van de patiënt aan de werkgever meedelen. Hij mag echter alleen informatie verstrekken over dewerkzaamheden waartoe de werknemer nog wel of niet meer in staat is en over de inspanningen of voorzieningen tenbehoeve van de werkhervatting of reïntegratie, die de werkgever zou kunnen treffen. Eventueel kan de bedrijfsarts een(onderbouwde) uitspraak over de geschatte duur van de arbeidsongeschiktheid doen. Als een verzuimendewerknemer zich niet houdt aan wettelijke verplichtingen, zoals het meewerken aan de genezing, mag de bedrijfsartsdit aan de werkgever melden. Het verdient aanbeveling de patiënt altijd te informeren over hetgeen aan de werkgeverwordt gemeld. Gegevens over de gezondheid van de patiënt mogen alleen met toestemming van de patiënt aananderen worden verstrekt. Dat geldt ook voor gegevens over de gezondheid van de patiënt die worden uitgewisseldtussen de bedrijfsarts en de deelnemers aan het sociaal-medisch overleg of team (personeelsfunctionaris,bedrijfsmaatschappelijk werkende, bedrijfspsycholoog, arbeidsdeskundige).

het verstrekken van medische gegevens aan een uitvoeringsinstellingDe OSV verplicht de bedrijfsarts alle informatie aan de uitvoeringsinstellingen te verstrekken die nodig is voor deuitvoering van de sociale-zekerheidswetgeving. Die informatieplicht gaat heel ver. Met het oog op het beroepsgeheimhebben verschillende partijen, waaronder de KNMG, daar dan ook kritiek op geleverd. In het algemeen wordtaangenomen dat zonder toestemming van de patiënt informatie mag worden verstrekt over de werkzaamhedenwaartoe deze nog wel of niet meer in staat is, en over inspanningen of voorzieningen die de werkgever met het oog opwerkhervatting of reïntegratie zou kunnen treffen. Bij het verstrekken van meer informatie moet in beginsel op basisvan informed consent van de patiënt worden gehandeld. Als minimumeis geldt dat de patiënt de mogelijkheid moethebben hiertegen bezwaar te maken.Meer informatie over de reikwijdte van de geheimhoudingsplicht van de arts is te vinden in het advies ‘WGBO enBedrijfsarts’ en in de KNMG-Code ‘Samenwerking bij arbeidsverzuim’ (zie Literatuur).

D 5 Rechten van de patiëntPatiënten hebben recht op inzage in en afschrift van hun gegevens. Voorts hebben zij recht op aanvulling, correctie,afscherming en vernietiging van gegevens. Als een patiënt gebruik wenst te maken van een of meer rechten, is debehandelend arts verplicht op dat verzoek te reageren.Bij ‘handelingen in opdracht’ kan een beroep van een patiënt op een patiëntenrecht in strijd zijn met ‘(redelijke)belangen van derden’. Voorbeeld: een verzoek om gegevens te vernietigen kan op gespannen voet staan met goedebedrijfsgezondheidszorg. Zo kunnen de werkgever en de hulpverleners binnen de arbodienst belang hebben bij hetbewaren van informatie die bij (verplichte) keuringen tijdens dienstverband is verkregen, en die relevant is voor eengoede verdere begeleiding. ‘Advies WGBO en bedrijfsarts’ (zie Literatuur) gaat hierop nader in.

D 6 BlokkeringsrechtIn enkele gevallen heeft de patiënt het recht om het doorgeven van bepaalde gegevens aan de opdrachtgever, zoals deuitslag van een onderzoek of keuring, te blokkeren. Om dit recht te kunnen uitoefenen moet de patiënt als eerste in


18


kennis worden gesteld van de uitslag en de daaraan te verbinden gevolgtrekkingen. Dat geldt uiteraard niet als depatiënt vooraf aangeeft geen gebruik te maken van het blokkeringsrecht en ermee instemt dat de arts de uitslag directdoorgeeft aan de opdrachtgever. Het blokkeringsrecht geldt bij onderzoeken of keuringen vanwege een nieuwefunctie, een nieuwe verzekeringsovereenkomst of een opleiding. Wel zal gebruikmaking van het blokkeringsrecht(doorgaans negatieve) consequenties kunnen hebben voor het verkrijgen van de functie, opleiding of verzekering.

D 7 BewaartermijnHoofdregel is dat patiëntgegevens niet langer mogen worden bewaard dan noodzakelijk is om de doelen te realiserenwaarvoor de gegevens worden verwerkt. De arts kan gegevens langer dan tien jaar na beëindiging van debehandelingsovereenkomst bewaren, als dat voortvloeit ‘uit de zorg van een goed hulpverlener’, bijvoorbeeld omdatde arts alleen goede zorg kan bieden als de gegevens bewaard blijven.In bepaalde gevallen schrijft een specifieke wet een andere bewaartermijn voor. Zo geldt voor meldingen vaninfectieziekten aan de medisch directeur of aan de arts van de GGD een bewaartermijn van maximaal vijf jaaringevolge de Infectieziektenwet. Binnen de Jeugdgezondheidszorg is het usance gegevens te bewaren tot tien jaar naafloop van de zorgperiode, dus tot het 29e jaar. Arbodiensten bewaren de gegevens veelal tot tien jaar na beëindigingvan het dienstverband van de patiënt/werknemer, of langer als specifieke omstandigheden (zoals de bevindingen uiteen risico-inventarisatie) dat nodig maken. Bij een aanstellingskeuring kan de bewaartermijn (veel) korter zijn dantien jaar. Omdat keurlingen een week de tijd hebben om een herkeuring aan te vragen, is een bewaartermijn vanminstens een week vereist. Als de keurling wordt afgewezen, ligt het voor de hand de gegevens te vernietigen. Wordtde keurling aangenomen, dan kan de tijdens de keuring verkregen informatie van wezenlijk belang zijn voor deverdere begeleiding van de werknemer door de bedrijfsarts of arbeidsdeskundige. Dit kan reden zijn een langerebewaartermijn aan te houden en dit (eventueel tijdelijk) te laten prevaleren boven het vernietigingsrecht van depatiënt/werknemer. Ook voor het opsporen en evalueren van beroepsziekten kan het nodig zijn gegevens langere tijdte bewaren. De patiënt dient hiervan wel op de hoogte te zijn.

D 8 Checklist

Bent u als arts de ‘verantwoordelijke’, gebruik dan de checklist bij B 7; is de instelling de ‘(eind)verantwoordelijke’,gebruik dan de checklist bij C 6.


19


Bijlage 1 - Modellen voor informatiefolders voor patiëntengegevens

Bijlage 1 bevat drie modellen van informatiefolders voor patiënten, te weten:a. een folder voor patiënten van artsen die in een zelfstandige praktijk werkenb. een folder voor patiënten van artsen die in een instelling werkenc. een folder voor patiënten/cliënten van artsen die ‘in opdracht’ van een derde werken

a. Informatiefolder voor patiënten van artsen die in een zelfstandige praktijk werkenGeachte mevrouw, geachte heer,Voor een goede behandeling is het noodzakelijk dat uw arts een dossier aanlegt. Het dossier bevat aantekeningen overuw gezondheidstoestand en gegevens over de uitgevoerde onderzoeken en behandelingen. Ook worden in het dossierde voor uw behandeling noodzakelijke gegevens opgenomen die uw arts elders, bijvoorbeeld bij een medisch specialistin het ziekenhuis of bij de bedrijfsarts met uw toestemming heeft opgevraagd. Omgekeerd kunnen gegevens uit uwdossier wordt verstrekt aan andere hulpverleners. Zo kunnen bij een verwijzing bijvoorbeeld gegevens aan eenmedisch specialist, een laboratorium of een fysiotherapeut worden verstrekt, tenzij u daar uitdrukkelijk bezwaar tegenmaakt. Ook kunnen gegevens worden gebruikt voor waarneming of voor intercollegiale toetsing binnen bijvoorbeeldde huisartsengroep.Een beperkt aantal gegevens uit uw dossier wordt gebruikt voor de financiële administratie. Ook worden gegevens uituw dossier aan anderen verstrekt als dat wettelijk is voorgeschreven. Een voorbeeld: bij een overlijden moet debehandelend arts een verklaring van overlijden afgegeven aan de ambtenaar van de burgerlijke stand.Als uw arts uw gegevens wil gebruiken voor een ander doel11 dan hierboven is aangegeven, dan moet u daarovergeïnformeerd worden en is uw toestemming nodig. Uw toestemming is bijvoorbeeld nodig als uw gegevens wordengebruikt voor wetenschappelijk onderzoek of statistiek. Uw toestemming is niet nodig als gegevens worden gebruiktdie niet tot uw persoon herleidbaar zijn.

Beveiliging van uw gegevensUw arts draagt er zorg voor dat uw gegevens veilig worden opgeborgen, dat deze niet verloren raken en niet inonbevoegde handen komen. Rechtstreeks bij uw behandeling betrokken hulpverleners hebben ook toegang tot uwgegevens. Voorbeelden zijn de (praktijk)assistent(e), waarnemer en geconsulteerde andere hulpverleners. Zij hebbenalleen toegang tot die gegevens in het dossier die noodzakelijk zijn voor hun taak. Deze hulpverleners zijn ookverplicht tot geheimhouding.12

BewaartermijnUw gegevens worden in principe niet langer bewaard dan nodig is voor het doel of de doelen zoals hierbovenaangegeven. De algemene bewaartermijn is tien jaar maar de termijn kan ook langer zijn. Gegevens mogen in iedergeval tot 1 mei 2005 worden bewaard, ongeacht wanneer ze zijn vastgelegd. Dat kan van belang zijn voor bijvoorbeeldmedisch-wetenschappelijk onderzoek. Als een beroep wordt gedaan op het vernietigingsrecht (zie hieronder) kan debewaartermijn korter zijn.Het kan voorkomen dat uw arts de gegevens langer dan tien jaar moet bewaren, bijvoorbeeld omdat hij alleen goedezorg kan bieden als de gegevens bewaard blijven. U kunt hierbij denken aan langlopende of terugkerendebehandelingen bij chronische ziekten of erfelijke aandoeningen. Binnen de huisartsenpraktijk is het gewoonte deverschillende patiëntgegevens met het oog op de continuïteit van zorg integraal op een kaart of in een bestand vast teleggen en langere tijd te bewaren. Het initiatief tot langer bewaren kan ook van u uitgaan. Daarover kunt u met uwarts afspraken maken.

Recht op inzage en afschriftU heeft er recht op uw gegevens in te zien en u kunt om een afschrift van uw gegevens verzoeken.Uw arts moet datverzoek binnen vier weken honoreren, tenzij dit in strijd is met het privacybelang van een ander. Voor het verstrekkenvan afschriften mag hij een vergoeding vragen.


20


Voor een afschriftverzoek per pagina maximaal e 0,23 met een maximum van e 4,50 per verzoek; voor afschriften opeen andere gegevensdrager dan op papier (zoals op diskette of via pc of op röntgenfoto 13) maximaal e 4,50. Voorafschriften van meer dan 100 blz. kan maximaal e 22,50 gevraagd worden. Voor afschriften van gegevens uit eenmoeilijk toegangelijke registratie (bijvoorbeeld een microfilm) is de vergoeding maximaal e 22,50.

Recht op aanvulling, correctie en afschermingAls u van mening bent dat de gegevens in uw dossier inhoudelijk onjuist zijn, kunt u de arts vragen deze te corrigeren.U kunt hem ook vragen een door u afgegeven (aanvullende) verklaring over de gegevens aan het dossier toe te voegen.U kunt, indien u toch prijs stelt op bewaring van de gegevens, uw arts verzoeken (bepaalde) gegevens voor anderen afte schermen als u vindt dat deze minder relevant of niet geheel juist zijn. U krijgt binnen vier weken te horen of, en zoja, in hoeverre aan uw verzoek wordt voldaan.

Recht op verwijdering en vernietigingU kunt uw arts vragen (een deel van)uw gegevens te vernietigen.Uw arts moet dit verzoek binnen drie maandenuitvoeren, tenzij hij aannemelijk maakt dat het bewaren van de gegevens van aanmerkelijk belang is voor iemandanders dan uzelf, of omdat een wettelijke bepaling vernietiging verbiedt.

Tip: Als er al een andere folder is uitgegeven, vergelijkt u dan de tekst. De informatieplicht geldt zowel voor nieuwepatiënten als voor patiënten die al in behandeling zijn.

b. Informatiefolder voor patiënten van artsen die in een instelling werkenGeachte mevrouw, geachte heer,Voor een goede behandeling is het noodzakelijk dat uw behandelend arts een dossier aanlegt. Het dossier bevataantekeningen over uw gezondheidstoestand en gegevens over de uitgevoerde onderzoeken en behandelingen. Ookworden in het dossier de voor uw behandeling noodzakelijke gegevens opgenomen die uw arts elders, bijvoorbeeld bijuw huisarts of bij een medisch specialist in een ander ziekenhuis met uw toestemming heeft opgevraagd. Omgekeerdkunnen gegevens uit uw dossier worden verstrekt aan andere hulpverleners binnen of buiten de instelling. Zo kunnenin geval van verwijzing bijvoorbeeld gegevens aan de radioloog of de klinisch chemicus worden verstrekt of, naontslag uit het ziekenhuis, aan uw huisarts, tenzij u daar uitdrukkelijk bezwaar tegen maakt. Ook kunnen gegevensworden gebruikt voor waarneming of voor intercollegiale toetsing binnen het ziekenhuis.Een beperkt aantal gegevens uit uw dossier wordt gebruikt voor de financiële administratie. Ook worden gegevens uituw dossier aan anderen verstrekt als dat wettelijk is voorgeschreven. Een voorbeeld: de behandelend arts moet eeninfectieziekte melden aan de directeur van de GGD. Bij een overlijden moet de behandelend arts een verklaring vanoverlijden afgeven aan de ambtenaar van de burgerlijke stand.Indien u in het ziekenhuis wordt opgenomen, wordt bovendien een verpleegkundig dossier gemaakt. Na uw ontslagwordt dit doorgaans bij het dossier van uw arts gevoegd. Als uw arts uw gegevens wil gebruiken voor een ander doel14

dan hierboven is aangegeven, dan moet u daarover geïnformeerd worden en is uw toestemming nodig. Uwtoestemming is bijvoorbeeld nodig als uw gegevens worden gebruikt voor wetenschappelijk onderzoek of statistiek.Uw toestemming is niet nodig als gegevens worden gebruikt die niet tot uw persoon herleidbaar zijn. Als hetziekenhuis of de instelling15 werkt met centrale medische dossiers wordt aanbevolen in de folder op te nemen:In het ziekenhuis of de instelling wordt gewerkt met een centraal patiëntendossier. Dat is gedaan met het oog op decontinuïteit van zorg. Het betekent dat met uitzondering van de gegevens die de klinisch psycholoog of psychiatervastlegt en die afzonderlijk worden bewaard16, uw gegevens integraal in één dossier door de verschillendehulpverleners worden genoteerd, tenzij u hier bezwaar tegen maakt.

Beveiliging van uw gegevensUw arts en de verantwoordelijke binnen de instelling 17 dragen er zorg voor dat uw dossier veilig wordt opgeborgen,dat de gegevens niet verloren raken en niet in onbevoegde handen komen. Rechtstreeks bij uw behandeling ofonderzoek betrokken hulpverleners hebben ook toegang tot uw gegevens. Voorbeelden zijn de (praktijk)assistent(e),waarnemer, verpleegkundige, geconsulteerde andere hulpverleners en ondersteunende medewerkers zoals


21


doktersassistenten en secretaresses. Zij hebben alleen toegang tot die gegevens in het dossier die noodzakelijk zijnvoor hun taak. Deze hulpverleners hebben een zelfstandig beroepsgeheim of een van uw arts afgeleidegeheimhoudingsplicht. 18

BewaartermijnUw gegevens worden in principe niet langer bewaard dan nodig is voor het doel of de doelen waarvoor ze wordenverwerkt. De algemene bewaartermijn is tien jaar maar de termijn kan ook langer zijn. Gegevens mogen in ieder gevaltot 1 mei 2005 worden bewaard, ongeacht wanneer ze zijn vastgelegd. Dat kan van belang zijn voor bijvoorbeeldmedisch-wetenschappelijk onderzoek. Als een beroep wordt gedaan op het vernietigingsrecht (zie hieronder) kan debewaartermijn korter zijn.Het kan voorkomen dat uw arts de gegevens langer dan tien jaar moet bewaren, bijvoorbeeld omdat hij alleen goedezorg kan bieden als de gegevens bewaard blijven.U kunt hierbij denken aan langlopende of terugkerendebehandelingen, zoals bij chronische ziekten of erfelijke aandoeningen. Het initiatief tot langer bewaren kan ook van uuitgaan. Daarover kunt u met uw arts afspraken maken.De Wet Bijzondere Opnemingen in Psychiatrische Ziekenhuizen (BPOZ) heeft een aparte regeling voor het bewarenvan dossiers die tijdens een BOPZ-opname zijn vervaardigd.Tot vijf jaar na het einde van deze opname mag hetdossier niet worden vernietigd. Daarna mag dat wel, al wordt (ook door de Stichting Patiënten Vertrouwenspersonen)geadviseerd deze gegevens minstens tien jaar te bewaren.Afschriften van rechterlijke beslissingen, beschikkingen van de burgemeester tot dwangopname (IBS) en debijbehorende geneeskundige verklaringen moeten echter vijf jaar na dagtekening worden vernietigd. Voor dezegegevens geldt derhalve een échte maximumbewaartermijn. Academische ziekenhuizen mogen sommige gegevens,zoals de ontslagbrief, 115 jaar bewaren.

Recht op inzage en afschriftU heeft er recht op uw gegevens in te zien en u kunt om een afschrift van uw gegevens verzoeken.Uw arts moet datverzoek binnen vier weken honoreren, tenzij dit in strijd is met het privacybelang van een ander. Voor het verstrekkenvan afschriften mag hij een vergoeding vragen.Voor een afschriftverzoek per pagina maximaal e 0,23 met een maximum van e 4,50 per verzoek; voor afschriften opeen andere gegevensdrager dan op papier (zoals op diskette of via pc of op röntgenfoto19) maximaal e 4,50. Voorafschriften van meer dan 100 blz. kan maximaal e 22,50 gevraagd worden. Voor afschriften van gegevens uit eenmoeilijk toegangelijke registratie (bijvoorbeeld een microfilm) is de vergoeding maximaal e 22,50.

Recht op aanvulling, correctie en afschermingAls u vindt dat de gegevens in uw dossier inhoudelijk onjuist zijn, kunt u de arts vragen deze te corrigeren. U kunthem ook vragen een door u afgegeven (aanvullende) verklaring over de gegevens aan het dossier toe te voegen. Ukunt, indien u prijs stelt op bewaring van de gegevens, uw arts of de verantwoordelijke20 verzoeken (bepaalde)gegevens voor anderen af te schermen als u vindt dat deze feitelijk onjuist of niet relevant zijn. U hoort binnen vierweken of, en zo ja, in hoeverre aan uw verzoek wordt voldaan.

Recht op verwijdering en vernietigingU kunt uw arts of de verantwoordelijke21 vragen (een deel van) uw gegevens te vernietigen. Uw arts moet dit verzoekbinnen drie maanden uitvoeren, tenzij hij aannemelijk maakt dat het bewaren van de gegevens van aanmerkelijkbelang is voor iemand anders dan uzelf, of omdat een wettelijke bepaling vernietiging verbiedt.

Tip: Als de instelling al een folder heeft uitgegeven, vergelijkt u dan de tekst.De informatieplicht geldt zowel voornieuwe patiënten als voor patiënten die al in behandeling zijn.

c. Informatiefolder voor patiënten van artsen die ‘in opdracht’ van een derde werken(Zoals keuringsartsen, verzekeringsgeneeskundigen, bedrijfsartsen, GGD-artsen, adviserend artsen etc.)Geachte mevrouw, geachte heer,


22


Voor uw behandeling/begeleiding/onderzoek/controle/advies/keuring21 is het noodzakelijk dat de arts een dossieraanlegt. Het dossier bevat aantekeningen over uw gezondheidstoestand (of die van uw kind). Als dat nodig is, kunnener ook gegevens in worden opgenomen die de arts of zijn waarnemer elders, bijvoorbeeld bij uw huisarts of specialistin het ziekenhuis met uw toestemming heeft opgevraagd.Omgekeerd kunnen gegevens uit uw dossier met uw toestemming worden verstrekt aan anderen, zoals eenbedrijfsmaatschappelijk werker, een arbeidsdeskundige, een medisch specialist die een expertise moet maken, of uwhuisarts. Als een derde, bijvoorbeeld uw werkgever of uw verzekeringsmaatschappij om het onderzoek, de controle ofde keuring heeft verzocht, dan mag de arts (uitsluitend) het resultaat daarvan aan de opdrachtgever doorgeven,zonder daarbij gegevens over uw gezondheid te vermelden. Dat geldt uiteraard niet als u gebruik maakt van hetblokkeringsrecht (zie hieronder).Een beperkt aantal gegevens uit uw dossier wordt gebruikt voor de financiële administratie. Ook worden gegevens uituw dossier aan anderen verstrekt als dat wettelijk is voorgeschreven. Een voorbeeld: de bedrijfsarts moet eenaangetoonde beroepsziekte melden aan het Nederlands Centrum voor Beroepsziekten.Als derden aan de arts vragen om voor een ander doel22 gegevens te verstrekken dan hierboven is aangegeven, danmoet u daarover geïnformeerd worden en is uw toestemming nodig. Uw toestemming is bijvoorbeeld nodig als uwgegevens worden gebruikt voor wetenschappelijk onderzoek of statistiek. Uw toestemming is niet nodig als gegevensworden gebruikt die niet tot uw persoon herleidbaar zijn.

Beveiliging van uw gegevensUw arts en de verantwoordelijke binnen de instelling23 dragen er zorg voor dat uw gegevens veilig wordenopgeborgen, dat de gegevens niet verloren raken en niet in onbevoegde handen komen. Rechtstreeks bij debehandeling/begeleiding/onderzoek/controle/advies/keuring24 betrokken hulpverleners hebben eveneens toegang totuw gegevens. Voorbeelden zijn de (praktijk)assistent(e), verpleegkundige, waarnemer, geconsulteerde anderehulpverleners en ondersteunende medewerkers, zoals doktersassistenten en secretaresses. Zij hebben alleen toegangtot die gegevens in het dossier die noodzakelijk zijn voor hun taak. Deze hulpverleners zijn ook verplicht totgeheimhouding.25

BewaartermijnUw gegevens worden in principe niet langer bewaard dan nodig is voor het doel of de doelen waarvoor ze wordenverwerkt.26 De algemene bewaartermijn is tien jaar maar de termijn kan ook langer zijn. Gegevens mogen in iedergeval tot 1 mei 2005 worden bewaard, ongeacht wanneer ze zijn vastgelegd. Dat kan van belang zijn voor bijvoorbeeldmedisch-wetenschappelijk onderzoek. Als u een beroep doet op het vernietigingsrecht (zie hieronder), kan debewaartermijn korter zijn.

Recht op inzage en afschriftU heeft er recht op uw gegevens in te zien en u kunt om een afschrift van uw gegevens verzoeken. Uw arts moet datverzoek binnen vier weken honoreren, tenzij dit in strijd is met het privacybelang van een ander. Voor het verstrekkenvan afschriften mag hij een vergoeding vragen.Voor een afschriftverzoek per pagina maximaal e 0,23 met een maximum van e 4,50 per verzoek; voor afschriften opeen andere gegevensdrager dan op papier (zoals op diskette27 of via pc of op röntgenfoto27) maximaal e 4,50. Voorafschriften van meer dan 100 blz. kan maximaal e 22,50 gevraagd worden. Voor afschriften van gegevens uit een‘moeilijk toegangelijke’ registratie (bijvoorbeeld een microfilm) is de vergoeding maximaal e 22,50.

Recht op aanvulling, correctie en afschermingAls u vindt dat de gegevens in uw dossier inhoudelijk onjuist zijn, kunt u de arts vragen deze te corrigeren. U kunthem ook vragen een door u afgegeven (aanvullende) verklaring over de gegevens aan het dossier toe te voegen. Ukunt, indien u prijs stelt op bewaring van de gegevens, uw arts of de verantwoordelijke28 verzoeken (bepaalde)gegevens voor anderen af te schermen als u vindt dat deze minder relevant of niet geheel juist zijn. U hoort binnenvier weken of, en zo ja, in hoeverre aan uw verzoek wordt voldaan.

Recht op verwijdering en vernietigingU kunt uw arts of de verantwoordelijke28 vragen (een deel van) uw gegevens te vernietigen. De arts of deverantwoordelijke moet dit verzoek binnen drie maanden uitvoeren, tenzij hij aannemelijk maakt dat het bewaren van


23


de gegevens van aanmerkelijk belang is voor iemand anders dan uzelf, of omdat een wettelijke bepaling vernietigingverbiedt.

BlokkeringsrechtIn bepaalde gevallen heeft u als cliënt of keurling het recht om het doorgeven van gegevens, bijvoorbeeld de uitslagvan een onderzoek of keuring, te blokkeren. Om dit recht uit te oefenen moet u als cliënt als eerste in kennis wordengesteld van de uitslag en de daaraan te verbinden conclusies. Dat geldt uiteraard niet als u vooraf aangeeft dat u geengebruik maakt van dit recht en ermee instemt dat uw arts de uitslag direct doorgeeft aan de opdrachtgever. Hetblokkeringsrecht geldt bij onderzoeken of keuringen voor een beoogde functie (dus niet uw huidige functie), eenbeoogde verzekeringsovereenkomst of een opleiding.

Tip: Als de afdeling, dienst of organisatie al een folder heeft uitgegeven, is het verstandig de teksten van beidefolders op elkaar af te stemmen. De informatieplicht geldt zowel voor nieuwe patiënten als voor patiënten die al inbehandeling zijn.


24


Bijlage 2 - De WBP en medewerkers in een artsenpraktijk

De informatie in deze bijlage heeft betrekking op onder meer praktijkassistenten, (praktijk)verpleegkundigen,administratieve medewerkers, artsen in opleiding en co-assistenten.In de arbeidsovereenkomst van medewerkers kunt u een bepaling opnemen die hen verplicht tot geheimhouding overalle patiëntengegevens die ze uit hoofde van die functie vernemen. Deze verplichting tot geheimhouding blijft ook vantoepassing nadat de arbeidsovereenkomst is beëindigd.Als er geen sprake is van een arbeidsovereenkomst kan de geheimhoudingsplicht in een afzonderlijke overeenkomst ofin een protocol worden opgenomen.

Medewerkers die door hun functie kennisnemen van patiëntgegevens, moeten zich op grond van hungeheimhoudingsplicht aan de volgende regels houden:1. De medewerker neemt uitsluitend kennis van patiëntgegevens voorzover die voor de uitvoering van zijn taak

noodzakelijk zijn.2. De medewerker is niet gerechtigd om zonder overleg of afstemming met de behandelend arts patiëntgegevens

ter inzage te geven of afschriften aan derden te verstrekken. De medewerker draagt er persoonlijk zorg voor,dat gegevens niet in onbevoegde handen komen, verloren raken en/of uit onachtzaamheid openbaar worden;hij stelt zich op de hoogte van door de arts of de leiding opgestelde regels voor de beveiliging van en deomgang met gegevens.

3. De medewerker brengt zonder overleg of afstemming met de behandelend arts geen inhoudelijke wijzigingenaan en/of verwijdert geen gegevens, tenzij het onmiskenbaar foutieve administratieve gegevens betreft. In datgeval vermeldt hij bij de correctie de datum en zijn initialen/code.


25


Bijlage 3 - Toegangsbevoegdheden van functionarissen of personen

Dit overzicht is bedoeld als voorbeeld voor de toegang tot patiëntgegevens; het dient aan een specifieke situatie teworden aangepast.

Functionaris of naam Aard van de gegevensNAW Medisch Financieel

Behandelend arts/specialist + + +Mede-behandelend arts/specialist + + +Waarnemer van behandelend arts/specialist + a aAssistenten in opleiding + a aAssistenten ter ondersteuning + a aMedisch secretarieel/administratief personeel + a +Financiële administratie van instelling + o +Directie of Raad van Bestuur + o +ICT systeembeheerder i i iICT onderhoudsdienst/softwareleverancier i i iBewerker b b b

legenda:+ toegang onbeperkta toegang uitsluitend voorzover noodzakelijk voor de actuele behandelingb toegang uitsluitend voorzover noodzakelijk voor een goede taakuitoefening van de bewerkeri toegang uitsluitend voorzover noodzakelijk voor onderhoud en opsporing van fouteno geen toegang


26


Bijlage 4 - Aandachtspunten voor een contract met een bewerker

Een bewerker is iemand buiten de organisatie van de verantwoordelijke, die niet in een hiërarchische verhouding totde verantwoordelijke staat. Als een bewerker persoonsgegevens gaat verwerken, moet de verantwoordelijke debewerker duidelijk maken hoe hij met de persoonsgegevens moet omgaan. De verplichtingen van deverantwoordelijke en de bewerker moeten duidelijk in een schriftelijke overeenkomst worden vastgelegd. Deverantwoordelijke moet toezien op de naleving van de uit de overeenkomst voortvloeiende verplichtingen.In de overeenkomst moet ten minste worden vastgelegd dat:� persoonsgegevens uitsluitend worden verwerkt in opdracht van de verantwoordelijke;� de bewerker en alle medewerkers, handelend onder zijn gezag, uitsluitend toegang hebben tot gegevens

voorzover noodzakelijk voor de vervulling van hun taak;� de bewerker en alle medewerkers, handelend onder zijn gezag, verplicht zijn de gegevens waarvan zij kennis

nemen, geheim te houden;� de bewerker voldoende technische en organisatorische waarborgen biedt ter beveiliging tegen verlies of

onrechtmatige verwerking van gegevens;� eventueel kan worden opgenomen, dat de bewerker ervoor zorgdraagt dat bij verandering van hard- of

software wordt gecheckt of de gegevens op de oude gegevensdrager nog kunnen worden ontsloten; zo niet danmoet bijvoorbeeld voorafgaand aan de verandering een uitdraai van de gegevens worden gemaakt.


27


Bijlage 5 - Besluit over prijzen van afschriften

In de Wet geneeskundige behandelingsovereenkomst (WGBO) is het recht op afschrift opgenomen. Op grond van ditrecht kan een patiënt (of met machtiging diens vertegenwoordiger, bijvoorbeeld een advocaat) verzoeken om eenafschrift van (een gedeelte van) het medisch dossier dat over hem of haar door een hulpverlener is aangelegd (ziehoofdstuk 6 van de KNMG-richtlijnen inzake het omgaan met medische gegevens). Als een patiënt om een afschriftverzoekt, moet dit door de hulpverlener in beginsel altijd worden verstrekt. Daarop bestaat echter een uitzonderingals de verstrekking van een afschrift de privacy van een ander in gevaar zou brengen. Voor het verstrekken van eenafschrift kan (dit hoeft niet) een hulpverlener op grond van de WGBO een redelijke kostenvergoeding vragen.Aangezien de meeste medische dossiers systematisch toegankelijk zijn - voor zover ze al niet in geautomatiseerde vormworden bijgehouden - is ook de Wet Bescherming Persoonsgegevens (WBP) van toepassing. Ingevolge het ‘Besluitkostenvergoeding rechten betrokkene WBP’29, zijn de volgende tarieven vastgelegd voor het verstrekken van één ofmeer afschriften.

� Voor het verstrekken van afschriften van dossiergegevens kan per pagina maximaal e 0,23 in rekening wordengebracht, met een maximum van e 4,50 per verzoek.

� Voor het verstrekken van een afschrift op een andere gegevensdrager dan op papier mag een redelijkevergoeding worden gevraagd. Deze bedraagt maximaal e 4,50. Hierbij kan worden gedacht aan elektronischeverstrekking, bijvoorbeeld op diskette of via een directe verbinding tussen personal computers, of deverstrekking van een afdruk van een (röntgen)foto. In het Besluit wordt er daarbij van uitgegaan dat geenonderscheid wordt gemaakt tussen de diverse gegevensdragers die gebruikt worden.

� Gaat het om een afschriftverzoek van meer dan 100 pagina’s, dan kan maximaal e 22,50 in rekening wordengebracht.

� De vergoeding voor een afschrift van een, vanwege de aard van de vaststelling, moeilijk toegankelijkeregistratie bedraagt ten hoogste e 22,50. Het gaat hier om ‘moeilijke toegankelijkheid in technische zin’. Eenvoorbeeld: gegevens die worden vastgelegd op microfilm kunnen pas verstrekt worden nadat enige bewerkingis verricht: opzoeken, vergroten en vervolgens afdrukken.Het feit dat een dossier niet door deverantwoordelijke zelf wordt bewaard, maar bij een derde, is geen ‘moeilijke toegankelijkheid’ in technischezin en rechtvaardigt geen vergoeding op basis van deze bepaling in het Besluit. Het zal dus moeten gaan ombijzondere gevallen.

Indien voor het verstrekken van een afschrift verschillende criteria voor het berekenen van de vergoeding vantoepassing zijn, worden deze niet bij elkaar opgeteld maar wordt alleen de hoogste vergoeding in rekening gebracht.


28


Bijlage 6 - Mogelijke doelen voor het verwerken van patiëntgegevens

(achter het doel staat het corresponderende deel in deze brochure)� Goede zorg en hulpverlening aan de patiënt.30 (B, C en D)� Het verrichten van een keuring of een onderzoek en het op basis daarvan adviseren van de opdrachtgever. (D)� Sociaal-medische begeleiding en reïntegratie in het kader van de sociale-zekerheidswetgeving. (D)� Het houden van een arbeidsomstandighedenspreekuur. (D)� Financiële administratie, waaronder het in handen van derden stellen van vorderingen en het laten uitvoeren

van accountantscontrole. (B, C, D)� Behandeling van klachten van patiënten. (B, C, D)� Wetenschappelijk onderzoek, statistiek en medisch onderwijs. (B, C, D)� Beleid en management. (B, C, D)� Kwaliteitsbewaking van de zorg. (B, C, D)� Incidentenregistratie (FONA of MIP). (C)� Intercollegiale toetsing. (B, C, D)� Speciale begeleiding van leerlingen binnen het bijzonder onderwijs. (D)� Uitvoering van een verzekeringsovereenkomst en risicobeoordeling. (D)� Uitvoering van wettelijke taken opgelegd aan de reclassering (bijvoorbeeld de Raad voor de

Kinderbescherming; specificeren door de betreffende ‘verantwoordelijke’). (D)� Tenuitvoerlegging van vrijheidsstraffen, beperkende maatregelen of vreemdelingenbewaring. (D)


29


Bijlage 7 - Invullen van het WBP meldingsprogramma of van hetmeldingsformulier

Als arts zult u zich in de meeste gevallen niet hoeven te melden bij het College Bescherming Persoonsgegevens in DenHaag. Hetzij omdat u als individuele hulpverlener (bijvoorbeeld als vrijgevestigde huisarts) bent vrijgesteld vanmelding, hetzij omdat de instelling waar u werkzaam bent voor de melding zorgdraagt (zie A 4). Als u wel eenMeldingsprogramma van het CBP moet invullen, dan vindt u in deze bijlage enkele suggesties.Op de website van het College Bescherming Persoonsgegevens kunt u zien hoe u het WBP Meldingsprogramma of hetMeldingsformulier verwerking persoonsgegevens kunt verkrijgen: www.cbpweb.nl. Het Meldingsprogramma kunt udownloaden via deze site, het Meldingsformulier kunt u bestellen via tel. 070-381 2240 of 381 2243. Voor nadereinformatie kunt u tijdens het telefonisch spreekuur van 9-12.30 uur terecht op tel. 070-381 1300.Hieronder vindt u de belangrijkste onderwerpen die in het Meldingsprogramma aan de orde komen. Daarbij zijnsteeds één of meer suggesties voor invulling genoemd.

1. Naam en adres van de verantwoordelijkeAls u degene bent die vaststelt met welk doel en welke middelen patiëntgegevens worden verwerkt, moet u hier uwnaam en (praktijk)adres invullen. Indien u samen met anderen deze verantwoordelijkheid draagt, dan vermeldt u uwgezamenlijke naam (of de naam van degene die de eindverantwoordelijkheid op zich neemt) en vult u het adres inwaar patiënten terechtkunnen met vragen of klachten. Zie ook A 2.

2. Doelen van de verwerkingZie A 5 en bijlage 6.

3. Categorieën van betrokkenenPatiënten en/of cliënten.

4. Categorieën van gegevensHet gaat hier om alle gegevens die noodzakelijk zijn voor het doel van de verwerking. Vul hier het doel in dat u bijpunt 2 hebt ingevuld. Bijvoorbeeld: noodzakelijk voor de goede zorg en hulpverlening aan de patiënt.

5. Categorieën van ontvangersHet antwoord is afhankelijk van uw situatie. U kunt denken aan: ziekenhuizen, andere hulpverleners, landelijke ofregionale registraties (bij naam noemen), zorgverzekeraars.

6. Voorgenomen doorgifte van gegevens naar landen buiten de EUHet kan gaan om ieder land in de wereld als de doorgifte van gegevens noodzakelijk is om debehandelingsovereenkomst met de patiënt uit te voeren, als de doorgifte met toestemming van de patiënt plaatsvindt,of als het om een noodgeval gaat en de doorgifte in het belang is van de patiënt. Zie ook A 8.

7. Algemene beschrijving van de beveiligingsmaatregelenU beantwoordt hier algemene vragen zoals:* Heeft u de autorisatie van de toegangsbevoegden (zie bijlage 3) geregeld?* Maakt u gebruik van login-namen en/of wachtwoorden?* Staan uw patiëntgegevens in verbinding met de elektronische snelweg?* Maakt u gebruik van versleuteling?* Past u zogenaamde privacybevorderende technologieën toe?Hiermee kan het CBP een inschatting maken van uw beveiligingsniveau. Zie A 4 en bijlage 8.


30


Bijlage 8 - Beveiliging van patiëntgegevens door artsen

Voorschriften van het College Bescherming Persoonsgegevens (CBP)

Op grond van artikel 13 van de WBP zijn artsen verplicht om de noodzakelijke technische en organisatorischemaatregelen te treffen om patiëntgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatigeverwerking. Deze maatregelen moeten er mede op gericht zijn om onnodige verzameling en verdere verwerking vanpatiëntgegevens te voorkomen. De interpretatie van artikel 13 WBP is in handen van het CBP.

In de Achtergrondstudie en verkenning nr. 23: ‘Beveiliging van persoonsgegevens’ (Beveiliging van persoonsgegevenstegen verlies en tegen enige vorm van onrechtmatige verwerking) zijn de beveiligingseisen opgenomen zoals die, nainwerkingtreding van de WBP, door het CBP worden gehanteerd.

De door de arts te treffen beveiligingsmaatregelen zijn afhankelijk van de aard en de omvang van de persoonsgegevensen van de wijze van verwerking van die persoonsgegevens. Er zijn vier ‘risicoklassen’. De verwerking vanpatiëntgegevens door artsen valt in risicoklasse 2 (verhoogd risico). Onder verhoogd risico wordt verstaan dat er extranegatieve gevolgen bestaan voor de patiënt bij verlies, of bij onbehoorlijke of onzorgvuldige verwerking van depersoonsgegevens vanwege het feit dat de arts gegevens over de gezondheid verwerkt. De WBP beschouwtgezondheidsgegevens als bijzondere (gevoelige) gegevens.De ‘Achtergrondstudie en verkenningen’ nummer 23 geeft gedetailleerd weer welke beveiligingseisen bij risicoklasse 2gelden. Voor elektronische gegevensverwerking door artsen betekent dit bijvoorbeeld dat:� de gegevensverwerking geheel geëncrypteerd (versleuteld) moet zijn. Dus zowel het afzonderlijk opgeslagen

elektronische medische dossier van de arts, als het (eventuele) elektronisch uitwisselen van gegevens metanderen (zoals andere zorgverleners);

� identificatie en verificatie adequaat geregeld zijn;� er sprake is van een strikte autorisatie, dus alleen degenen die daartoe bevoegd zijn, hebben toegang tot de

patiëntgegevens.Voor meer informatie: zie ‘Achtergrondstudie en verkenning’, nummer 23 van de Registratiekamer (CollegeBescherming Persoonsgegevens) te Den Haag, website: www.cbpweb.nl.


31


Literatuur, Noten en Afkortingen

Literatuur� Advies inzake overdracht medisch dossier bij verandering van huisarts. KNMG/LHV, Utrecht, 1994.� Arts en patiëntenrechten. KNMG-Consult, Vademecum V.02� Doppegieter, RMS. Wet bescherming persoonsgegevens (WBP), stand van zaken. Medisch Contact, nr. 42, 20

oktober 2000, blz. 1497.� Doppegieter, RMS. De nieuwe privacywet, consequenties voor de gezondheidszorg. Medisch Contact, nr. 35,

28 augustus 1998, blz. 1102-4.� Handleiding voor verwerkers van persoonsgegevens, Wet Bescherming Persoonsgegevens, uitgave van het

Ministerie van Justitie, januari 2001, www.minjust.nl. e-mail: [email protected].� Hooghiemstra TFM. De WBP en de gezondheidszorg. Tijdschrift voor gezondheidsrecht 1999, nr. 1, blz.

17-27.� Inzage na overlijden. Medisch Contact, nr. 29/30, 28 juli 2000, blz. 1076-7.� Richtlijnen inzake het omgaan met medische gegevens, Vademecum II.03� Samenwerking bij arbeidsverzuim KNMG-Code. Medisch Contact, nr. 9, 5 maart 1999, blz. 326-328� WGBO en bedrijfsarts, Advies aan de besturen van de Vereniging voor Gezondheidsrecht en de Nederlandse

Vereniging voor Arbeids- en Bedrijfsgeneeskunde, augustus 2000.

Noten1. Enige tijd terug is op initiatief van het St. Antonius ziekenhuis in Nieuwegein een pilot gestart rond de

implicaties van de WBP voor dit ziekenhuis. Bij het samenstellen van deze brochure is mede gebruikgemaaktvan de resultaten van deze pilot

2. Zie ook het uitvoerigere advies ‘WGBO en bedrijfsarts’, dat in augustus 2000 is uitgebracht aan de besturenvan de Vereniging voor Gezondheidsrecht en de Nederlandse Vereniging voor Arbeids- enBedrijfsgeneeskunde.

3. Als uitgangspunt voor het doorbreken van het beroepsgeheim kunnen de volgende zes cumulatieve criteria(ontleend aan prof. dr. H.J.J. Leenen) worden gebruikt:� alles is in het werk gesteld om de toestemming van betrokkene te verkrijgen;� zwijgen levert ernstige schade voor een ander op;� de zwijgplicht brengt de hulpverlener in gewetensnood;� er is geen andere weg dan het geheim te doorbreken;� het doorbreken van de zwijgplicht voorkomt of beperkt de schade aan een ander;� het geheim wordt zo min mogelijk geschonden.

4. Bij gebrek aan een afzonderlijke regeling voor medisch onderwijs gaan we uit van een regeling analoog aan deregeling voor wetenschappelijk onderzoek.

5. Met ‘onderzoek’ bedoelen we steeds ook ‘statistiek en onderwijs’.6. Zie ook de publicatie ‘Inzage na overlijden’, zie Literatuur.7. Als uitgangspunt voor de doorbreking van het beroepsgeheim kunnen de volgende zes cumulatieve criteria,

ontleend aan prof. dr. H.J.J. Leenen, worden gebruikt:� alles is in het werk gesteld om toestemming van de betrokkene te verkrijgen;� zwijgen levert voor een ander ernstige schade op;� de zwijgplicht brengt de hulpverlener in gewetensnood;� er is geen andere weg dan het geheim te doorbreken;� het doorbreken van de zwijgplicht voorkomt of beperkt de schade aan een ander;� het geheim wordt zo min mogelijk geschonden

8. Namens de patiënt kan ook diens wettelijk vertegenwoordiger, bijvoorbeeld de ouders, voogd, mentor ofcurator, of de door de patiënt gemachtigde, een beroep doen op de patiëntenrechten, tenzij nakomingtegenover deze personen strijdig is met de zorg van een goed hulpverlener.


32

mailto:[email protected]


9. Besluit van 9 maart 1994, waarbij de lijst voor vernietiging in aanmerking komende archiefbestanden van deacademische ziekenhuizen van openbare universiteiten wordt aangevuld met een categorie betreffendemedische patiëntendossiers (Staatscourant 1994, 78).

10. Voor huisartsen werkzaam in een gezondheidscentrum zijn de specifiek voor huisartsen beschrevenaanbevelingen genoemd in B 5, B 6 en B 9 eveneens van toepassing.

11. Alle doelen waarvoor u patiëntgegevens verwerkt, moet u hier vermelden. Zie ook bijlage 6 van deze brochure.12. Tip: U kunt eventueel het overzicht van toegangsbevoegdheden uit bijlage 3 aan de patiëntenfolder toevoegen.13. Zie bijlage 5 van deze brochure.14. Alle doelen waarvoor binnen de instelling patiëntgegevens worden verwerkt, moeten hier worden vermeld. Zie

ook bijlage 6 van deze brochure.15. Vul in wat van toepassing is.16. Vul in wat in uw situatie van toepassing is.17. Vul in wie de verantwoordelijke is.18. Tip: U kunt eventueel het overzicht van toegangsbevoegdheden uit bijlage 3 aan de patiëntenfolder toevoegen.19. Zie bijlage 5 van deze brochure.20. Vul in wie de verantwoordelijke is.21. Vul in wie de verantwoordelijke is.22. Alle doelen waarvoor u gegevens verwerkt, moeten hier worden vermeld. Zie ook bijlage 6 van deze brochure.23. Vul in wie de verantwoordelijke is.24. Vul in wat in uw situatie van toepassing is.25. Tip: U kunt eventueel het overzicht van toegangsbevoegdheden uit bijlage 3 aan de patiëntenfolder toevoegen.26. De bewaartermijn moet hier, afhankelijk van de situatie, nader worden aangegeven. Enkele voorbeelden: in

geval van een keuring kan deze termijn veel korter zijn. In verband met de opsporing en evaluatie vanberoepsziekten kan het noodzakelijk zijn de gegevens (veel) langer dan tien jaar te bewaren. Binnen deJeugdgezondheidszorg is het usance de gegevens te bewaren tot tien jaar na afloop van de zorgperiode, die van0 tot 19 jaar loopt. Zie ook D 7.

27. Zie bijlage 5 van deze brochure.28. Vul in wie de verantwoordelijke is.29. Besluit van 13 juni 2001 tot vaststelling van de vergoeding van de kosten als bedoeld in de artikelen 39 en 40

van de Wet bescherming persoonsgegevens (Staatsblad 2001, 305).30. Deze algemene doelstelling moet nader worden gespecificeerd, bijvoorbeeld binnen gezondheidscentra,

verslavingsklinieken, psychiatrische instellingen, jeugdgezondheidszorg, GGD-en, militaire geneeskunde etc.

Afkortingen

BOPZ Wet Bijzondere Opnemingen in Psychiatrische ZiekenhuizenWBP Wet Bescherming PersoonsgegevensBIG Wet op de Beroepen in de Individuele GezondheidszorgWGBO Wet op de Geneeskundige BehandelingsovereenkomstWPR Wet PersoonsregistratiesCBP College Bescherming Persoonsgegevens (voorheen: Registratiekamer)


33

privacywetgeving en omgaan met patiëntengegevens

Documents