Frankenslag 137, 2582 HH Den Haag
+31 (0) 70 392 22 09
info@duthler.nl

De patiënt als regisseur van eigen gegevens

Sinds 1 juli 2017 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvgz) van kracht. Deze wet bepaalt dat de patiënt toestemming moet geven wie welke van zijn medische gegevens verstrekt mag krijgen en zo nodig ook mag gebruiken. De zorgsector moet deze gespecificeerde toestemming als uitgangspunt gaan nemen. Dit betekent een andere manier van denken. De zorgsector zal ingrijpende veranderingen in de it-infrastructuur moeten doorvoeren.

In het interview met Jetse Biesheuvel en Gert Jan van den Bosch lag de nadruk op de positie van de patiënt/cliënt. In dit artikel beschrijft Duthler Associates de gevolgen van de privacywetgeving voor de zorgaanbieder en de zorgprofessional.

De gevolgen voor zorgaanbieders

Een zorgaanbieder heeft veelal een (groot) deel van de verwerkingen uitbesteed aan leveranciers van informatiediensten. Als deze leveranciers als verwerkers van persoonsgegevens worden gekwalificeerd, is de zorgaanbieder verantwoordelijk en aansprakelijk voor de effectieve werking van de getroffen beheersmaatregelen door die leveranciers. Er is sprake van een ketenaansprakelijkheid.

Een zorgaanbieder werkt veelal samen met andere zorgaanbieders en dienstverleners in regionale netwerken. De patiënt/cliënt wil actief participeren in de dienstverlening van deze netwerken. Het integratiepunt voor het verwerken van persoonsgegevens verschuift derhalve logischerwijs van de netwerken met ketens van verantwoordelijken en verwerkers naar het individu. Dit is alleen mogelijk als de zorgaanbieders in de netwerken standaarden afspreken over:

  • Definities, inclusief de kwaliteit, van persoons- en bedrijfsgegevens;
  • Juridische, operationele en technische afspraken over het verwerken van persoons- en bedrijfsgegevens. Hierbij hoort de dialoog (toestemming of overeenkomst voor het verwerken van persoonsgegevens) tussen zorgaanbieder en patiënt/cliënt;
  • Het afleggen van verantwoording aan het maatschappelijk verkeer alsmede het effectief nakomen van de gemaakte afspraken.

Het ligt voor de hand deze afspraken binnen de gebruikelijke governance & compliance structuur te plaatsen waar de leiding van zorgaanbieders zich verantwoordt over het gevoerde beleid (inclusief het aantoonbaar nakomen ervan) en waar de functionaris voor gegevensbescherming (FG) op het adequaat verwerken van persoonsgegevens toeziet.

Waar staan wij nu?

Het is geaccepteerd om de betrokkene in de rol van klant, patiënt, medewerker of burger te voorzien van bijvoorbeeld een MijnEPD, MijnOverheid, MijnBank of Facebook. Dit gebeurt echter nog altijd vanuit het perspectief van het bedrijf of de instelling, en niet vanuit het perspectief van de betrokkene. De regie en controle over de persoonsgegevens ligt feitelijk nog bij de verwerkingsverantwoordelijke. De betrokkene heeft geen regie over de eigen persoonsgegevens en wordt voorzien van een veelheid aan niet semantisch interoperabele dossiers. Het gevolg is dat op het moment dat de betrokkene zijn rechten gaat uitoefenen, de verwerkingsverantwoordelijke daaraan niet of in onvoldoende mate kan voldoen. In de sector lopen de zorgaanbieders aansprakelijkheids- en kostenrisico’s. Denk daarbij aan klachtenprocedures, vorderingen tot schadevergoeding, boetes.

Een oplossingsrichting

Als de leiding van zorgaanbieders bereid zijn de regie over persoonsgegevens terug te geven aan betrokkenen, dan is de belangrijkste noodzakelijke randvoorwaarde voor een radicale sociaal-culturele verandering vervuld. De vervolgstappen zijn dan slechts een uitwerking, die beginnen met het afspreken van een set van standaarden die van toepassing is in het netwerk en logisch past bij het gegevensverkeer tussen netwerken onderling. De set van standaarden voor een netwerk wordt samengesteld en uitgebouwd. Sector- en functioneel-specifieke normenkaders – zoals de NEN7510, NEN7512 en NEN7513 gericht op beschikbaarheid, integriteit en vertrouwelijkheid van verwerken van persoonsgegevens – hebben een plaats in de set van standaarden. Een volledige semantisch interoperabele set van standaarden tussen netwerken is nog niet voorhanden, maar zal in de loop van tijd organisch ontstaan. Het is verstandig dat in het netwerk een Trusted Third Party (TTP) modereert tussen de leden. Indien men niet kiest voor een TTP, ontstaat er sub-optimalisatie op bedrijfs-, sectoraal en landelijk niveau met als resultaat oplopende en omvangrijke kostenposten.

De geschetste oplossingsrichting ontstaat op het moment dat de betrokkenen de aan hen toegekende rechten gaan uitoefenen. Dus patiënten/cliënten gaan gecontroleerd, onder hun eigen regie, participeren in het maatschappelijk verkeer.

De rol van de TTP in relatie met de zorgaanbieder, gemeenten en het individu (betrokkene).

Rol van de Trusted Third Party

Op basis van de resultaten van de door Europese Commissie gefinancierde projecten (bijvoorbeeld ABC4Trust en TAS3) wordt aan een TTP gewerkt voor het faciliteren van netwerken. De TTP heeft de naam gekregen: MYOBI, Mind Your Own Business Information (https://www.myobi.eu/), en faciliteert voor een aantal bedrijven en instellingen het afleggen van verantwoording aan het maatschappelijk verkeer gericht op de effectieve werking van getroffen beheersmaatregelen. MYOBI voorziet in:

  • Een TTP-policy gericht op het voorspelbaar handelen van de deelnemers aan het netwerk. Op basis van de TTP-policy kan de TTP modereren tussen de leden van het netwerk;
  • Een traceerbare en actuele juridische en operationele uitleg door professionals van toepasselijke wet- en regelgeving op het vlak van beschermen van persoonsgegevens en informatieveiligheid. Relevante wet- en regelgeving wordt beheerd in legal policy frameworks en operationeel vertaald in baselines. Periodiek worden de policies en baselines aan de deelnemers voorgelegd. De baselines kennen volwassenheidsniveaus die de leiding van bedrijven en instellingen in staat stellen beleid te ontwikkelen en zich aan het maatschappelijk verkeer te verantwoorden;
  • Juridische, operationele en technische set van standaarden gericht op smart contracting waarmee betrokkenen en verwerkersverantwoordelijken binnen de kaders van het netwerk afspraken kunnen maken over het verwerken van persoonsgegevens;
  • Personal Data Store (PDS) waarmee een betrokkene zelf regie voert over persoons- en bedrijfsgegevens;
  • TTP-verantwoordingsarrangement gericht op verantwoorden aan deelnemers van het netwerk alsmede het maatschappelijk verkeer.

Het inherent voldoen aan wet- en regelgeving op het vlak van het beschermen van persoonsgegevens is het uitgangspunt voor de TTP. Met de bovenstaande uitwerking wordt ook voldaan aan de uitgangspunten van een perfecte markt. Met andere woorden: het organiseren van verwerkingen van (persoons)gegevens vanuit het perspectief van de betrokkene resulteert in een golf van standaardisaties in een netwerk en uiteindelijk sectoraal of zelfs op landelijke schaal. De betrokken zorgaanbieders zullen hiervan profiteren, omdat de operationele kosten als gevolg van de door de betrokkene afgedwongen standaardisatie substantieel lager zullen zijn.

Ten slotte

Met het in 2020 van kracht worden van de gespecificeerde toestemming voor verdere verwerking van medische gegevens zal de patiënt of cliënt aangemoedigd worden regie te nemen over de eigen persoonsgegevens. Wilt u weten wat dit voor u betekent? Neemt u dan contact met ons op. Wij gaan graag met u in gesprek.

Heeft u naar aanleiding van dit artikel vragen en opmerkingen dan staan wij u graag te woord. Duthler Associates organiseert OWNH-bijeenkomsten voor bestuurders, FG’s/DPO’s en CISO’s. Meld u hier aan voor een bijeenkomst.

Naar het artikel op de website van ICT/magazine