RGD magazine 2022-2023 #2

Page 1

V E R E N I G I N G S B L A D R O T T E R D A M S G E Z O N D H E I D S R E C H T D I S P U U T ARTIKEL HOLLA “Actualiteiten privacy in de gezondheidszorg”- een drieluik | 16 REISVERSLAG LISSABON In vogelvlucht door de waanzinnige studiereis naar Lissabon | 12 ARTIKEL AGEETH KLAASSEN Gezond eten en leven was nog nooit zo eenvoudig | 08 N R . 22 0 2 3 J A A R G A N G 1 0
Privacy in de zorg

Inhoudsopgave

Voorwoord redactie

Terugblik activiteiten

Ageeth Klaasen: het belang van cyberbewustzijn voor bestuurders

Reisverslag studiereis

Anna de nijs en Ruben Krul: “Actualiteiten privacy in de gezondheidszorg”- een drieluik

Bine Schoenmaker en Anamika Wilbrink: (titel artikel Ploum)

Agenda

Vacatures

Colofon

Het RGD magazine is een uitgave van het Rotterdams Gezondheidsrecht Dispuut en verschijnt circa drie keer per collegejaar

Jaargang 10

Nummer 2

Mei 2023

Redactie

Ayeesha Bottse

Bezoek RGDISPUUT NL

Om eerdere uitgaves van het magazine te lezen

04 06 08 12 16 20 24 26

Voorwoord redactie

Lieve medestudenten,

Het is alweer mei wat betekent dat blok 5 is begonnen en het collegejaar bijna tot zijn einde gaat komen. Menig student heeft de afgelopen maanden ervaren als zwaar met elk blok twee vakken tegelijk en daar ook nog eens de eerste scriptie bijeenkomsten naast Gelukkig was er nog (net) voldoende tijd voor enkele activiteiten buiten de collegebanken Zo vond er een bezoek plaats aan het Regionaal Tuchtcollege in Amsterdam, was er wederom een borrel in cafe de Smitse en niet te vergeten de studiereis naar Lissabon

Het thema van dit magazine is Privacy in de zorg In het magazine vinden jullie onder andere een artikel over het belang van cyberbewustzijn door bestuurders, een artikel van Ploum als voorproefje van het symposium en een reisverslag van de waanzinnige studiereis naar Lissabon.

Voor nu wens ik jullie veel leesplezier en succes met de laatste loodjes toe!

Activiteiten afgelopen periode

Zoals al naar voren kwam in het voorwoord hebben we de afgelopen maanden niet stilgezeten. In februari was het tijd voor het eerste door het RGD georganiseerde bezoek. Een aantal studenten zijn afgereisd naar Amsterdam om daar een bezoek te brengen aan het Regionaal Tuchtcollege (hierna: RTC). Hierbij waren ook studenten van het GRSA aanwezig Bij het RTC zijn twee tuchtzaken bezocht Een hiervan ging over een plastisch chirurg en de ander over een arts die een MRI-scan heeft gemaakt, maar hierbij niet nauwkeurig genoeg gewerkt zou hebben

Maart was nog drukker We begonnen blok 4 goed met een borrel in café de Smitse ter voorbereiding op de studiereis naar Lissabon. Het was leuk om het grotendeel van de mensen die meegingen naar Lissabon al eens te spreken onder het genot van een drankje. Er werd een globale planning besproken en zelfs al gespeculeerd over een bezoek aan de karaokebar. Al met al een zeer positief vooruitzicht op de studiereis.

Voordat we ook daadwerkelijk met z'n allen zijn afgereisd naar het zonnige Lissabon was er nog tijd voor een bezoek aan het advocatenkantoor Holla legal & tax in Den Bosch Wederom reisden we af met zowel studenten van het RGD als het GRSA Het bezoek bestond onder andere uit informatie over Holla zelf en het gezondheidsrecht Er werden voorbeelden gegeven aan de hand van zaken uit hun dagelijkse praktijk

Toen was het toch eindelijk zover; met 15 man reisden we af naar het zuiden om het congres waar André den Exter voorzitter was te bezoeken. Het waren waanzinnige dagen waar we ontzettend uit waren met z'n allen. Naast het bezoek aan de universiteit van Lissabon voor het congres is er volop genoten van het lekkere weer en eten, de vele bezienswaardigheden en van elkaar Kijk snel op pagina ?? voor een uitgebreid reisverslag!

HET BELANG VAN

CYBERBEWUST ZIJN VOOR BESTUURDERS

Ageeth Klaassen is universitair hoofddocent ondernemings- en gezondheidsrecht aan de Erasmus School of Law. Zij is lid van een raad van toezicht in de gehandicaptenzorg

Inleiding

In de zorg verlopen steeds meer processen digitaal en draaien meer systemen in de cloud Bijna elke zorgaanbieder heeft een elektronisch patiëntendossier en ook de uitwisseling van medische gegevens tussen zorgaanbieders gebeurt vaak digitaal Door de groeiende digitalisering is de zorgsector vatbaarder voor (ICT-)verstoringen(1) en datalekken(2) Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens, moet zorgvuldig worden omgegaan(3). Dit betekent niet dat altijd alles goed gaat. De privacy kan dan in het geding zijn(4) Willekeurige voorbeelden zijn de privacyproblemen bij de GGD(5), de diefstal van twee schijven uit de kluis bij het Donorregister(6), het verschaffen van toegang van onbevoegden tot het computernetwerk bij WLGroep(7) en het stelen van gegevens bij Joris Zorg(8) Uit het Cybersecurity Dreigingsbeeld voor de zorg blijkt dat de zorgsector kwetsbaar is voor ransomware-incidenten(9) Het dreigingsniveau voor datalekken in de zorg veroorzaakt door hacking wordt ingeschat als hoog Cybercriminelen dreigen met het lekken van gevoelige data als er niet wordt betaald(10) Privacy en cybersecurity zijn in dit geval onlosmakelijk met elkaar verbonden. De vraag is, wat wordt van bestuurders en leden van de raad van toezicht (RvT) van zorgorganisaties verwacht als het gaat om cybersecurity.

(1)Ziebijv deict-storingenencyberaanvallenopMaastrichtUMCenUMCGroningen,AanhangselII2022/23,nr 1880 ZieookIGJ,ICT-storingeninziekenhuizen:lessenvoor bestuurdersenICT-managers,september2022

(2)Ziebijv demisluktedataoverzettingbijhetAlbertSchweitzerziekenhuis,ziehetberichtvan21maart2022opdewebsitevanhetziekenhuis,< wwwasznl/nieuws/nieuwsberichten/2022/3/30416/>(Vragenenantwoordenovertevroegverwijderdeoudepatiëntdocumenten)

(3)Wanneerditnietgebeurt kanditleidentotbredemaatschappelijkeonrustenwoede zekerwanneererookslachtoffersvallenénomdatermogelijkgevoelige gezondheidsinformatieopstraatkomtteliggen Veelmensenzijnzichnietbewustvandehoeveelheiddatadieinditsoortsystemenisopgeslagen Ditleidttotnegatieve beeldvormingenverliesvanvertrouweninzorgsectordoorschendingvanprivacy,zieAnalistennetwerkNationaleVeiligheid(ANV),Themarapportagecyberdreigingen,2022,p 62 DezethemarapportageisonderdeelvandeRijksbredeRisicoanalyseNationaleVeiligheid

(4)Zievoorrelevantewetten:deAVG,deUitvoeringswetAVG(hierna:UAVG)endeWetaanvullendebepalingenverwerkingpersoonsgegevensindezorg(Wabvpz)

(5)Ziebijv KamerstukkenII2020/21,27529,nr 234 ZieookSkiprRedactie,GGDGHORnadagvaarding:privacystaathooginhetvaandel,28maart2023enSkiprRedactie, StaatvoorrechteromschadevergoedingnaroofprivédatabijGGD 28maart2023

(6)Ziebijv KamerstukkenII2019/20 32761 nr 162

(7)Ziebijv SkiprRedactie,SystemenvanNoord-Hollandsezorginstellinggehackt,10maart2023

(8)SkiprRedactie,GegevensgestolenbijBrabantsezorginstellingnacyberaanval,20april2023

(9)Z-Cert,CybersecurityDreigingsbeeldZorg2022,p 7

(10)Z-Cert,CybersecurityDreigingsbeeldZorg2022,p 28

A G E E T H K L A A S S E N

Ontwikkelingenindezorgsector

Deontwikkelingenophetgebieddigitaliseringindezorgsectorgaansteedssneller.Passendezorg, arbeidsbesparing,betaalbaarheid,duurzametoegankelijkheidenverduurzamingvandezorgsectorvragenom eenversnellingindigitalisering.Actieisnodigomde(ICT-)basisopordetebrengen,aldushetIntegraal ZorgAkkoord(IZA)(11) HetActieplanZorg-ICT-marktmoetbijdragenaandeeffectieveenefficiënteICTsystemendienodigzijnvoordeverbeteringvanelektronischegegevensuitwisselingen(optermijn) databeschikbaarheidindezorg(12)

Omdewerkdrukvanzorgverlenersteverlichteniselektronischegegevensuitwisselingeenbelangrijke randvoorwaarde.PartijenwerkeninhetIntegraalZorgAkkoord-onderregievanVWS-aanhetwegnemen vanknelpuntenomervoortezorgendatelektronischegegevensuitwisselingdestandaardwordt Hierbij wordenhetbelangvanprivacyengegevensbeschermingaltijdmeegewogen(13)

HetwetsvoorstelElektronischegegevensuitwisselingindezorg(Wegiz)(14)isop18april2023doorde EersteKameraangenomen(15).Dewetverplichtniettothetuitwisselenvangegevens,deverplichtingziet alleenophethoevandeuitwisseling,namelijkopelektronischewijze(16).Demanierwaaropditgebeurt, dienttevoldoenaandegesteldeeisenaanbeveiligingenprivacy.Debedoelingisdatdezewetper1juli 2023inwerkingtreedt(17)

DeNationalevisieenstrategieophetgezondheidstelselneemtdetoekomstvanzorg,gezondheiden informatievoorzieninginsamenhang UitdezevisieblijktdathetvoldoenaanNEN7510(18)endeNIB2richtlijn(19)randvoorwaardenzijnvooreenduurzaamzorginformatiestelsel(20).NEN7510isaleengangbare norm(21)indezorgendeNIB2-richtlijnzaldeeisenvoornetwerk-eninformatiebeveiligingaanscherpen. Doelishetgemeenschappelijkeniveauvancybersecurityteverhogen.

Bestuur

Hetbestuurisverantwoordelijkvoorrisicobeheersing(22) Cyberrisico'svormeninmiddelseenkritiek, potentieelmaterieelbedrijfsrisico(23).Ditgeldtzekervoordezorg.Ditbetekentdatcybersecurityinmiddels eenbestuurstaakis.Voorbeursgenoteerdevennootschappenisdezetaakvanhetbestuurindeliteratuural meermaalsbenadrukt(24),maarhetisdevraagofallebestuurdersvanzorgorganisatiesdezetaakook voldoendeophetnetvlieshebbenstaan HelaaswordtindeGovernancecodeZorgcybersecuritynietapart benoemd(25) Ditlijktmijeenbelangrijktoevoeging,gezienhetbelangvandezetaak

(11)IntegraalZorgakkoord,Samenwerkenaangezondezorg,2022,p 92

(12)DitActieplangaatverderdanhethuidigestaandebeleidvanVWSdatzich,watbetrefthetverbeterenvandevoorwaardenvoorzorg-ICT,vooralrichtopgezamenlijkeafspraken (standaardisatieennormering)endeimplementatieennalevingervan,zoalsonderdeWetelektronischegegevensuitwisselingindezorg(Wegiz)

(13)IntegraalZorgakkoord,Samenwerkenaangezondezorg,2022,p 15

(14)ZieKamerstukkenII2022/23,35824,nr A

(15)VanuitdeEuropeseCommissieiserooknogdeEuropeanHealthDataSpace(EHDS)

(16)KamerstukkenII2020/21 35824 nr 3 p 5

(17)<wwwgegevensuitwisselingindezorgnl> Zieberichtvan18april(EersteKamerstemtvoorwetsvoorstelelektronischegegevensuitwisselingindezorg)

(18)OmdeinformatiebeveiligingverderteverbeterenneemtVWShetinitiatiefomvoor2025zorgaanbiedersteondersteunenbijdenalevingvanNEN7510doorimplementatietools beschikbaartemaken zieIntegraalZorgakkoord Samenwerkenaangezondezorg 2022 p 95 InhetkadervanpreventieendetectiezalZ-CERToefen-entestactiviteitenorganiseren samenmetaangeslotenzorginstellingenenbestpracticesontwikkeleninrelatietotdevigerende,zorgsectorspecifieke,informatiebeveiligingsnormNEN7510,zieActieplanNederlandse Cybersecuritystrategie2022-2028,p 17

(19)Richtlijn(EU)2022/2555vanhetEuropeesParlementendeRaadvan14december2022betreffendemaatregelenvooreenhooggezamenlijkniveauvancyberbeveiligingindeUnie, totwijzigingvanVerordening(EU)nr 910/2014enRichtlijn(EU)2018/1972entotintrekkingvanRichtlijn(EU)2016/1148 DezerichtlijnwordtookweldeNIS2-Richtlijngenoemd De NIS1-Richtlijnisin2018geïmplementeerdindeWetbeveiligingsnetwerk-eninformatiesystemenen(Wbni) OpditmomentloopteenwetgevingstrajectomdeNIS2-Richtlijnin Nederlandsewetgevingteimplementeren Delidstatenmoetenderichtlijnuiterlijkop17oktober2024hebbengeïmplementeerd DeMinistervanJustitieenVeiligheidzaldeTweede Kamerhieroverinformereninhetvoorjaar(van2023),zieAanhangselII2022/23,nr 1882,p 3 DesectorgezondheidszorgiswelEuropeesNIB-vitaal(opgrondvanNIS1-Richtlijn),maar isinhetkadervandeWbnitotophedennietvitaalverklaardenerzijnookgeenAED’s(AanbiedervaneenEssentiëleDienst)indezorgaangewezen HetministerievanVWSgaat opnieuwbeoordelenwatervandezorgofdelenvandezorgvitaalverklaardzalworden HetisnunognietduidelijkwelkeconsequentiesdatgaathebbenvoorhettoezichtvandeIGJen datvananderenalsbepaaldedelenvandezorgvitaalwordenverklaard zieInspectieJustitieenVeiligheid Samenhangendinspectiebeleidcybersecurityvitaleprocessen2021-2022 p

31 noot18

(20)Ziebijlage1bijMinisterievanVWS Nationalevisieenstrategieophetgezondheidstelsel maart2023

(21)NaastISO27001 ISO27002 ISO27701 NEN7512 NEN7513enNTA7516 zieJ Hof&P Oden Inbreukenopdataprotectionbydesignindezorgsector Leidthandhavingtot verbeteringvaneHealth? NJB2023 p 770ev

(22)Bepaling541GCZ2022

(23)F Dezeure,L Moerel,G Weber,Cyberrisico’srapporterenaanradenvanbestuur,Bestuursuitgave2022,p 2

(24)ZiebijvoorbeeldCDJ Bulten,BPF Jacobs&CJH Jansen,‘Cybersecurity:Chefsache!’,Ondernemingsrecht2021/79,p 475ev;MJC vanFalier&AJF Lafarre, ‘Risicomanagementineendata-gedrevenwereld:derolenexpertisevanbestuurdersencommissarissennaderbeschouwd’,TvOB2020/4,p 122-123

(25)Bijbepaling121vandeNederlandseCorporateGovernancecode2022wordtcybersecurityindetoelichtinggenoemd

A G E E T H K L A A S S E N

IndeNIB2-richtlijnkomtdeverantwoordelijkheidvanhetbestuuropditpuntnogsterkernaarvoren, aangezienexplicietisopgenomendatbestuurdersaansprakelijkkunnenwordengehoudenbijnoncompliance.Erkanzelfseentijdelijkbestuursverbodwordenopgelegd.HiermeeverschuiftdeNIB2-richtlijn deverantwoordelijkheidvoorcybersecurityduidelijkomhoogrichtingdeboardroom,volgensBrouwer&Van Mil(26),voorzoverdatalniethetgevalwas Bestuurderszijneenbelangrijkeschakelindedigitaliseringvan dezorgenondersteuning Zijvolgendeontwikkelingenenvertalendienaardigitalestrategieënvoorhun eigenorganisatie,zoblijktuitdeNationalevisieenstrategieophetgezondheidstelsel(27) Bestuurders dienenleiderschaptetonenbijhetformuleren,implementerenenhandhavenvanhetcybersecuritybeleid. HetiseencontinuprocesdatbestuurlijkeaandachtnodigheeftvolgensdeHandreikingvoordebestuurder vandeCyberSecurityRaad(28) Devraagisofhetonderwerpdewegnaardebestuursagendaalvoldoende (structureel)heeftgevonden Bestuurderskunnenoverwegeneencyberverzekeringaftesluiten(29),evenals aansluitingvandezorgorganisatiebijhetexpertisecentrumvoorcybersecurityZ-Cert(30) Omde informatiebeveiligingverderteverbeterenneemtVWShetinitiatiefomvoor2025hetveld,waaronder huisartsen,apotheken,tandartsen,deambulancezorg,deVVT-sectorendegehandicaptensector(31)te stimulerenzichaantesluitenbijZ-CERTenVWSverleentdaarbij(financiële)ondersteuning(32). Binnenhetbestuur,wanneerermeerderebestuurderszijn,kaneenportefeuillehouderworden aangewezen(33) Ditkandebestuurderzijnmetdeportefeuillebedrijfsvoering Voorbestuurdersishetvan belangdatzijvoldoendekennishebben Bijallebestuurdersdientdekennisvancybersecurityophet gewenstebasisniveautezijn,aldusdeHandreikingvoordebestuurdervandeCyberSecurityRaad(34).De NIB2-richtlijnschrijftzelfsvoordatbestuurderszichmoetenscholen.Zijmoetenduseen cybersecurityopleiding(gaan)volgen(35).Digitaalleiderschapisnietbeperkttothetbestuurlijkniveau.Het kanwenselijkzijndateenChiefInformationSecurityOfficer(CISO)wordtaangesteld(36) DezeCISOheeft eenadviserenderolrichtinghetbestuurenisbelastmethetformulerenenbewakenvanhetdigitale,en somseendeelvanhetfysieke,informatiebeveiligingsbeleid(37) DeChiefPrivacyOfficerendeChiefMedical InformationOfficer(CMIO)(38)hebbenalhunintredeindezorggemaakt(39).

Raadvantoezicht

Watbetekentditvoorderadenvantoezicht?DeRvTheefteentoezichthoudendeenadviserendetaak Indit kaderbespreektenverantwoordthetbestuurregelmatigderisicoanalysesendewerkingvande risicobeheersingssystemenmetdeRvT,ditmedeinhetlichtvandestrategieendeeffectenvandie beheersingopderegeldichtheidindeorganisatie(40).Hetiszijntaaktoezichttehoudenopdestrategieen daarmeededigitaleveiligheid.NietiedereRvTishiervoorvoldoendegeëquipeerd(41).

(26)N Brouwer&J vanMil CybersecurityinEuropa DeherzieneNetwerk-enInformatiebeveiligingsrichtlijn(NIS2) NJB2023/674 p 756 Zieart 20lid1NIS2 zieookart 32lid6NIS

2 DetijdzalmoetenlerendoorwieenwaarvoorbestuurdersopgrondvanNIS2aansprakelijkkunnenzijnenomwatvoorsoortaansprakelijkheidhetdangaat(p 755)

(27)MinisterievanVWS,Nationalevisieenstrategieophetgezondheidstelsel,maart2023,p 42

(28)CyberSecurityRaad(CSR),Handreikingcybersecurityvoordebestuurder,p 6

(29)ZiehieroverN vanderVoort&WM Warnaars,Cybersecurityanno2020,TBS&H2020,p 257ev enoverdevoor-ennadelenvaneendergelijkeverzekering

(30)DemissievanZ-Certishetversterkenvandedigitaleveiligheidvandezorgsector

(31)AlleNederlandseziekenhuizendielidzijnvandeNederlandseFederatievanUniversitairMedischeCentra(NFU)ofdeNederlandseVerenigingvanZiekenhuizen(NVZ)zijn aangeslotenbijZ-CERT HetzelfdegeldtvoordeNederlandseGGZinstellingen,zieAanhangselII2022/23,nr 1880,p 3

(32)IntegraalZorgakkoord,Samenwerkenaangezondezorg,2022,p 95

(33)CyberSecurityRaad(CSR),Handreikingcybersecurityvoordebestuurder,p 6 Overigenszijndaarmeedeoverigebestuurdersnietontslagenvanhunverantwoordelijkheden (34)CyberSecurityRaad(CSR),Handreikingcybersecurityvoordebestuurder,p 6,zodatdebestuurderselkaar,deCISOenandereexpertsscherpkunnenhouden (35)Art 20lid2NIS2

(36)VolgensBrouwer&VanMil2023p 757iseenopvallenddetaildat andersdanbijvoorbeelddeAVG deNIS2-richtlijnnietnadrukkelijkverplichttothetaanstellenvaneen onafhankelijke internetoezichthouder zoalsdeFunctionarisGegevensbescherming(FG)onderdeAVG DeFGhoudtbinnendeorganisatietoezichtopdetoepassingennalevingvande AVG DeFGwordtookwelChiefPrivacyOfficer(CPO)genoemd MogelijkbiedtvolgenshendegovernancebepalingindeNIS2-richtlijnaanknopingspuntenvoorbestuurdersomeen CISOaantestellen

(37)ZieF Dezeureea,Cyberrisico’srapportenaanRadenvanBestuur,CISO-uitgaveapril2022 DefunctievanFunctionarisGegevensbeschermingkannietzomaarworden samengevoegdmetdeCISO-functie,zieL Mensink,FG,DPO,CISO,PO:wieiswie?,tevindenop<www wwwictrechtnl/blog/fg-dpo-ciso-po-wie-is-wie>

(38)Evt naastdechiefinformationofficer(CIO),dechiefmedicaldataofficer(CMDO)enCNIO(ChiefMedical/NursingInformationOfficer)

(39)Ziehierover<www nictiznl/nieuws/chief-medical-officer-cmio-essentieel-voor-digitalisering-zorg-in-het-ziekenhuis/>

(40)Bepaling542GCZ2022

(41)Zieookinbrederezin,A Klaassen,D Klaassen,O Toebosch,H Rijken,Welkerisico’svormtdecommissariszelf?Cybersecurity-auditbijrvc-enrvb-ledenthuislijktnogeenbrugte ver,Commissarissenbenchmarkonderzoek2021-2022

A G E E T H K L A A S S E N

Ditkomtdooreentekortaankennisvandetoepasselijkeregelgevingenvandedigitalestandvanzakenvan dezorgorganisatie(42).DaaromdientookdeRvTzijnkennisbijtespijkeren(43),omzohetonderwerp cybersecuritytotophethoogsteniveauindeorganisatiete(kunnen)beleggen(44).DeRvTmoetzijnbestuur kunnenbevragenophetdigitaleveiligheidsbeleidvandezorgorganisatie(45).Gelukkigwordtsteedsmeer gevraagdnaarRvT-ledenmetalsprofieldigitaliseringenICT

DeCyberSecurityRaadsteltvoordatdeauditcommissievandeRvTdetaakkrijgtdiezietopdetoepassing vaninformatieencommunicatietechnologie,inhetbijzonderdebeheersingvanrisico'sophetgebiedvan cybersecurity(46).Devraagisofdeauditcommissiedaarvoorgeschiktisofdatereennieuwe technologiecommissiemoetkomen(47).Dekeuzevoordeauditcommissieligtindezorgsectornuhetmeest voordehand(48) Bijkomendeontwikkelingenkunnenleidentoteenheroverweging

Totslot

Deontwikkelingenindezorgsectorstaanduidelijknietstil.Bovendienwordtveelvanbestuurdersenleden vandeRvTgevraagdenverwacht.Staatbijvoorbeeldnieuwewet-enregelgeving,zoalsdeNIB2-richtlijn,al opdeagenda?Isdezorgorganisatievoldoendevoorbereidopeencyberincident(49)?Hetisnietdevraagof dezorgorganisatiegehacktwordt,maarwanneer(50) Cyberbewustzijnisvangrootbelang

(42)C Bulten&C Jansen,Detaakvandecommissarisineendigitalewereld:denoodzaakvanawarenessvancybersecurity,Ondernemingsrecht2016/74,p 358

(43)N vanTent&S Vlaar,VersterkingdigitaalDNAinradenvantoezichtgaattelangzaam,Zorgvisie22maart2022

(44)CyberSecurityRaad(CSR) Handreikingcybersecurityvoordebestuurder p 6

(45)DeNVTZkentdecursusToezichtopICTineendagendeverdiependeleergangtoezichtopICTendigitalisering

(46)<wwwcybersecurityraadnl/documenten/adviezen/2016/03/31/csr-advies-herziening-corporate-governance-code---csr-advies-2016>

(47)L Moerel ReflectiesoverdeimpactvandedigitalerevolutieopcorporategovernancevanNederlandsebeursgenoteerdeondernemingen in:Onderneming digitaliseringendata Over corporategovernanceenhandhavinginhetdigitaletijdperk preadviesvandeVereenigingHandelsrecht Zutphen:Paris2019 p 35

(48)ZieverderE Boerrigterea,ToezichtopdigitaliseringenICTindezorg,september2021<mxinl/uploads/files/publication/toezicht-op-digitalisering-en-ict-in-de-zorgpdf>endevier aanbevelingen

(49)Isereenprotocol,waarinstaathoetehandelenenbijwiedeverantwoordelijkheidberust?

(50)DeelsontleendaandeondertitelbijhetartikelvanVanderVoort&Warnaars,2020,p 253

A G E E T H K L A A S S E N

STUDIEREIS NAAR LISSABON

Dag 1: vertrek

Op woensdag 22 maart was het dan eindelijk zo ver, met 15 man reisden we af naar Lissabon. De dag begon met een ellendig lange rij bij de security op Eindhoven Airport, maar gelukkig zaten we uiteindelijk allemaal alsnog op tijd in het vliegtuig Eenmaal aangekomen op het vliegveld vertrokken we met de Bolt naar het appartement. Bolt bleek uiteindelijk onze beste vriend deze reis

Nadat we ons allemaal even hadden opgefrist was het tijd om wat te gaan eten. Reisleider Sjoerd bracht ons naar een klein restaurantje met overheerlijk eten. Na het eten was het tijd om het nachtleven van Lissabon te ontdekken We begonnen in een bar met Bizzey en Lil kleine waarmee luidkeels werd meegezongen. Vervolgens

zijn we een aantal barretjes langs gegaan die ons gratis shots aanboden, om zodra ze op waren bijna meteen weer te vertrekken. Hierna zijn we beland in een Irish Pub waar ook karaoke werd gezongen

afbeelding meiden irish pub

De avond is tot een einde gekomen op een terrasje onder het genot van een cocktail

Dag 2: sightseeing

Ondanks de gezelligheid van de avond ervoor zaten we donderdagochtend fris en fruitig aan het ontbijt. In een leuk ingericht tentje in het centrum genoten we van heerlijke ontbijtgerechten Daarna was het tijd om de stad te gaan verkennen We hebben kerken bezocht, souvernirtjes gekocht, het centrale plein bezocht waar ook het gerechtshof staat en een kasteel met een gigantische tuin en vele pauwen.

M A A R T 2 0 2 3

Tussendoor hebben we geluncht bij een straatrestaurantje met live muziek waar regelmatig een tram langs reed, terwijl we de laatste zonnestraaltjes opvingen. Vervolgens moesten we onszelf weer even opladen in het appartement, waarna we zijn vertrokken naar een terrasje om nog wat te drinken met z'n allen. Dit keer niet tot te laat, want de volgende dag stond het hoogtepunt van de reis op vakantie: het congres

Dag 3: het congres

We moesten deze dag al vroeg uit de veren waardoor het niet haalbaar was om weer uitgebreid in een tentje te ontbijten Dus hebben we de avond van te voren boodschappen ingeslagen en mochten we deze dag genieten van een heerlijk zelfgemaakt ontbijt in de toch wel sfeervolle binnenplaats van het appartement.

Nadat we waren uitgegeten vertrokken we naar de universiteit van Lissabon voor het congres. Voordat het congres begon was er nog tijd voor een kopje koffie in de prachtige tuin die aan de kantine van het de Universiteit ligt Het congres begon met proffesor Len Fleck van de Michigan State University die sprak over 'Precision Medicine and Distributive Justice' waar hij stilstond bij "wicked" problems. Hierna volgden nog vele net zo interessante sprekers en onderwerpen Zo werd er gesproken over Health data, personalised drugs en informed consent.

Na het congres vertrokken we weer richting het appartement om ons even op te laden Een aantal gingen door naar het terras om nog even van de zon te genieten onder het genot van een drankje en een potje Qwixx Voor het eten zijn we weer met z'n allen bij elkaar gekomen en hebben we wederom heerlijk gegeten Hierna vervolgede ons pad zich naar een rooftop bar waar we uitzicht hadden over de hele stad.

Dag 4: laatste echte dag

Aangezien we zondag al vroeg in de ochtend terug zouden vliegen was zaterdag de laatste echte dag. We begonnen de dag bij het ontbijtzaakje van dag 2 omdat het zo goed was bevallen Na het ontbijt vertrokken een groepje naar het strand om van het heerlijke weer te genieten. De rest begon bij een verlaten restaurant waar nu mooie street art te zien is met een uitzicht over de hele stad Na hier wat tijd gespendeerd te hebben begaven we ons naar de haven van Lissabon Hier hebben we een kathedraal bekeken (van buiten) en zijn we een monument beklommen. Aan het water zat een terras met vele verschillende foodtrucks waar je allerlei hapjes en cocktails kon halen. Hier hebben we dan ook de rest van de middag gespendeerd

Af en toe werd er nog een stukje gestept en een aantal zijn het kasteel op het water nog gaan bezoeken, maar al met al was het een relaxte middag aan het water Na ons in het appartement te hebben opgefrist zijn we voor een laatste keer met z'n allen gaan eten. Dit zijn we gaan doen in een soort markthal met tientallen verschillende kraampjes waar je lekkers kon halen. Het was een rijkelijk assortiment met onder andere zeevruchten, kroketten, streetfood, stukken vlees sushi, en een ijssalon. Laat is het niet geworden deze avond want het was zondag om 04:00 uur al tijd om te vertrekken naar het vliegveld

Dag 5: terug naar huis

Vroeg in de ochtend vertrokken we (met de bolt uiteraard) naar het vliegveld. Gezien het tijdstip hebben velen tijdens de vlucht hun ogen gesloten Op Eindhoven Airport was het toch echt tijd om na een waanzinnig leuke reis afscheid van elkaar te nemen. Namens het RGD bestuur hartelijk voor jullie aanwezigheid en enthousiasme tijdens de reis, we zijn ontzettend uit geweest met zijn allen.

– EEN DRIELUIK

Anna de Nijs is advocaat Gezondheidsrecht en Ruben

Krul is advocaat Privacy & ICT Beiden zijn zij werkzaam bij Holla legal & tax.

Inleiding

Hetprivacyrechtspeelteenbelangrijkerolinde gezondheidszorg Indegezondheidszorgwordtimmers veelgewerktmetpersonenenhun(medische)informatie Gezondheidsgegevenszijnzeergevoelige persoonsgegevensenhetisdanookvangrootbelangdat daarzorgvuldigmeewordtomgegaan.Hetismetname nietdebedoelingdatdezegegevensterechtkomenbij partijendienietsmetdebehandelingvandepersoonte makenhebbenendatdezegegevenstelangindossiers blijvenzitten Debeschermingvanverschillende aspectenvanprivacyisdanookverankerdinde nationalegezondheidswetgeving,waarmeeeenvrij (1)GerechtshofDenHaag3februari2023,ECLI:NL:GHDHA:2023:306

strikte set aan regels van toepassing zijn op het gebruik van persoonsgegevens in de gezondheidszorg.

Vanwege de gevoeligheid van de persoonsgegevens en de strikte regelgeving daaromtrent, is de omgang met persoonsgegevens in de gezondheidszorg een bron voor conflict en dus rechtspraak In deze bijdrage schetsen we, aan de hand van een drietal recente uitspraken, op welke manieren het privacyrecht een rol speelt in de gezondheidszorg

Verwijdering persoonsgegevens

Zo staat allereerst in een uitspraak van het Gerechtshof Den Haag van 3 februari 2023(1) de vraag centraal of een man recht heeft op verwijdering van zijn persoonsgegevens die door Veilig Thuis worden verwerkt De man vordert verwijdering van zijn persoonsgegevens op grond van artikel 17 van de Algemene Verordening Gegevensbescherming (‘AVG’) en de Wet maatschappelijke ondersteuning 2015 (‘Wmo 2015’)

Veilig Thuis bezit twee dossiers waarin persoonsgegevens van de man staan Die vordert vernietiging van het eerste dossier en verwijdering van bepaalde gegevens uit het tweede dossier. De genoemde dossiers bevatten gegevens over de aangifte van huiselijk geweld die de ex-partner van de man tegen hem heeft gedaan De man stelt dat Veilig thuis onjuiste gegevens heeft vastgesteld in de twee dossiers, zoals de vermeende onjuiste vermelding dat hem een woningverbod zou zijn opgelegd Daarnaast is de man van mening dat de noodzaak tot

“ACTUALITEITEN PRIVACY IN DE GEZONDHEIDSZORG”
A N N A D E N I J S R U B E N K R U L

verwerkingvandegegevensiskomentevervallen,omdatVeiligThuisheeftbeslotengeen(verder) onderzoektedoennaardegemeldefeiten

Derechtbankwijstdeverzoekenvandemanineersteinstantietoe Hethofishetdaarechternietmeeeens envernietigtdeuitspraakvanderechtbank Hethofoordeeltdatdemanniet-ontvankelijkisindie verzoeken,omdatdezenietkunnenwordenbehandeldzonderdeex-partnerindegelegenheidtestellen haarzienswijzenaarvorentebrengen.Tenovervloede–eninteressanter(!)–lichthethofooknogtoedat ominhoudelijkeredenendeverwijderingsverzoekenniettoewijsbaarzijn

Degenoemdedossiersbevattengegevensoverdeaangiftevanhuiselijkgewelddiedeex-partnervande manheeftgedaan Dezegegevensmoetenwordenaangemerktalsgegevensbetreffendestrafbarefeitenin dezinvanartikel10AVG DeverwerkingvandiegegevensdoorVeiligThuisistoegestaaninartikel516lid 2Wmo2015,datbepaaltdatVeiligThuisbevoegdispersoonsgegevens,waarondergegevensoverhuiselijk geweldofkindermishandeling,teverwerkenvanpersonendiebetrokkenzijnbijhuiselijkgeweldof kindermishandeling,indieni)uiteenmeldingredelijkerwijseenvermoedenvanhuiselijkgeweldof kindermishandelingkanwordenafgeleid,enii)deverwerkingnoodzakelijkisvoordeuitoefeningvande takenvanVeiligThuisbedoeldinartikel411lid2Wmo2015 Hethofoordeeltindezekwestiedataan beidevereistenisvoldaan

Denoodzaaktotverwerkingvandegegevensisandersdandemanstelde,nietkomentevervallenophet momentdatVeiligThuisheeftbeslotengeen(verder)onderzoektedoennaardegemeldefeiten.De verwerkingvandiegegevensisnamelijknietalleennoodzakelijkvoorhetdoenvanonderzoeknaarde meldingenhetnemenvanstappenopbasisvandiemelding,zoalshetbiedenvanprofessionelehulp Gegevensovereenzorgmeldingkunnenookrelevantzijnvoordebeoordelingvanlateremeldingen,omdat eenopeenstapelingvanmeldingenaanleidingkangeventotmeeronderzoekofverdergaandestappen De wettelijketaakvanVeiligThuisomtedienenalsmeldpuntvoorgevallenofvermoedensvanhuiselijkgeweld ofkindermishandelingbrengtdaaromvolgenshethofmeedathetnoodzakelijkisdatVeiligThuisde gegevensovereenmelding,inbeginsel,bewaart Ooknasluitingvanhetdossier

HetbetoogvandemandatVeiligThuisonjuistegegevensheeftvastgelegd,zoalsdeonjuistevermeldingdat hemeen‘woningverbod’zouzijnopgelegd,maakthetoordeelvanhethofnietanders Indiensprakeisvan onjuistegegevens,biedtdatslechtsgrondvoorcorrectievandegegevensalsbedoeldinartikel16AVGen niettotvernietiging.Datisechternietdoordemangevorderd.

EenberoepophetcorrectierechtopgrondvandeAVGkanookslechtswordengedaan,voorzoverhetom correctievanfeitelijkegegevensgaat Datiemandzichnietkanverenigenmetgedeeltenvanrapportages,is dusopzichzelfgeengrondvoorhetoordeeldatdiegedeeltenopgrondvandeAVGmoetenworden gecorrigeerd(2) Indieniemandgeenrechtheeftoprectificatie,kanhijwelvrageneenschriftelijkemening aanzijndossiertoetevoegen Eendergelijkeregelingkanmen(ook)vindeninartikel7:454vanhetBurgerlijk Wetboek(‘BW’),ofteweldeWetopdegeneeskundigebehandelingsovereenkomst(‘WGBO’).De hulpverlenerisverplichtomaaneendergelijkverzoekvandecliënttevoldoen.Betwijfeltdecliënt vervolgensofdeaanvullendeverklaringinhetdossierisopgenomen,dankanhijominzagevragen Vaneen behandelingsovereenkomstindezinvandeWGBOisechter,indezekwestie,geensprake

HethofconcludeertuiteindelijkdatdeverwerkingvandegegevensvandemandoorVeiligThuisrechtmatig VeiligThuisisnietverplichtpersoonlijkegegevensvandemantewissenomtevoldoenaanartikel17AVG, omdaterdwingendegerechtvaardigdegrondenzijnvoordeverwerkingvandepersoonsgegevensvande man.

(2)Zieoa
A N N A D E N I J S R U B E N K R U L
Rb DenHaag25februari2022,ECLI:NL:RBDHA:2022:2432;RvS25juli2017,ECLI:NL:RVS:2018:2503

Beveiligingvanmedischegegevens

Eenspraakmakendezaakbinnenhetprivacyrechtindegezondheidszorg,isdezaakbetreffendeeen‘soapwaardige’casusinhetBravisziekenhuisteRoosendaal(3) Bijhetziekenhuisheefteenmedewerkerjarenlang dossiersvaneenvrouw,eiseresindezaak,zondergoederedenbekeken.Eisereskrijgthierluchtvanbijde verschijningvaneenboekoverdeechtscheidingvaneiseresenhaarex-partner.Hetboek,geschrevendoor deex-partner,beschrijftallerleimedischegegevensvaneiseres.Naeeninzageverzoekindelogginggegevensblijktdateenziekenhuismedewerker,die(aldanniet)toevalligdenieuwevriendinvandeexpartnerblijkttezijn,hetdossiervaneiseresmeermaalsheeftingezien.Daaropbesluiteisereshetziekenhuis aansprakelijktestellen.

Eiseresvordertschadevergoeding,omdathetziekenhuisjegenshaaronrechtmatigzouhebbengehandeld Hetziekenhuiszou,onderandere,onvoldoendebeschermingsmaatregelenhebbengetroffenomhaar medischegegevenstebeschermen

Opgrondvanartikel32AVGmoetenorganisatieservoorzorgendatzijpersoonsgegevensvoldoende beveiligen,zodatvoorkomenwordtdatpersoonsgegevenszomaarverwijderdworden,kwijtrakenen aangepastwordenenomervoortezorgendatalleenbevoegdepersonentoeganghebbentotde persoonsgegevens.Wanneerbeveiliging‘voldoende’is,isafhankelijkvandeomstandigheden.DeAVGzelf vultenkeleomstandighedenin,zoalsdestandvandetechniek,deuitvoeringskosten,deaard,omvangen contextvandeverwerkingsdoeleindenendewaarschijnlijkenernstvandemogelijkerisico’svoorderechten envrijhedenvanpersonen.Ditbrengtbijvoorbeeldmeedateenziekenhuis,waaropgroteschaalergveel gevoeligepersoonsgegevensverwerktworden,meerbeveiligingsmaatregelenmoettreffendan‘debakkerop dehoek’.

Debeveiligingsplichtvanartikel32AVGwordtvoorziekenhuizeningevulddoordeNEN7510 DeNEN 7510iseeninternationalestandaardvoorinformatiebeveiliging,specifiekgerichtopdezorg DeNEN-norm bevateenlijstaanregelsenproceduresdieeenzorginstellingmoetvolgen Kaneenzorginstellingaantonen datzeaandezeregelsenproceduresvoldoen,dankrijgenzeeencertificaatenvoldoenzeinbeginselaande beveiligingsplicht

DerechtertoetstindezaakbijhetBravisziekenhuisookaandeNEN7510 Allereerstoordeeltderechter datdebetrokkenmedewerkervanuithaarrolweltoegangmaghebbentotdepersoonsgegevens.Zijwerkt immersalssecretaresseopdespoedeisendehulpendaaromheeftzijvolledigeenongelimiteerdetoegangtot patiëntendossiers.Daarmeeisvoldaanaanhet‘needtoknow’-beginsel.Waarhetechterindezezaakfout gaatbijhetziekenhuis,ishetcontrolebeleid.DeNEN7510steltimmersdatlogging-gegevens(gegevensdie tonenwelkemedewerkerwanneerineendossierheeftgekeken)regelmatigdienentewordengecontroleerd. Ermoetdansprakezijnvansystematischeenconsequentecontrole.BijhetBravisziekenhuisisdatechter nietgebeurd Derechteroordeeltdatgeensprakeisvaneen(vastgesteld)controlebeleid,logging-gegevens vanpatiëntendossiersdiedoormedewerkersmetonbegrensdetoegangzijningezien,zijninhetgeheelniet gecontroleerd,enmaandelijkszijnslechtstweepatiëntendossierssteekproefsgewijsgecontroleerd Daarmee isvolgensderechterevidentgeensprakevaneensystematischeenrisicogerichtecontroleenbovendienis decontroleookinomvangonvoldoende

DaarmeeconcludeertderechterdatsprakeisvaneenonrechtmatigedaadenveroordeelthetBravis ziekenhuistotbetalingvaneenschadevergoedingaandevrouwterhoogtevan€2.000,-.

Gebruikfactuurmetzorgspecificatie:schendingAVG?

Delaatsteuitspraak(4)indezebijdragegaatoverdevraagofhetgebruikvaneenfactuurmetdaaropeen summierespecificatievandeverleendezorgeenschendingvandeAVGofdegeheimhoudingsplicht oplevert.

Derekeningvandetandartskomtdoorgaansbijdepatiëntbinnenviaeene-mailofbriefvanInfomedics Dit iseenpartijdiederekeningenvanzorgaanbiedersint Eendergelijkepartijwordteenmedicalfactoringbedrijf genoemd EendergelijkberichtvanInfomedicsaaneenpatiënte,isindezekwestieonderwerpvangeschil Depatiënteindezezaakheefteenmedischebehandelingbijeenmedischcentrumondergaan Daarvoor heeftzijeenfactuurterhoogtevan€320,-ontvangen Depatiënteheeftdezefactuurnietbetaald Infomedicsheeftvervolgensaandepatiënteeenbetalingsherinneringgestuurd Daaropstaatals omschrijvingvandeverrichtediensten:“0998990601of2polikliniekbezoeken/consultatiesopafstandbij hartfalenofanderehartaandoening”.Hetmedischcentrumheeftdevorderingvervolgensovergedragenaan Infomedics(‘gecedeerd’).

BijderechtbankvordertInfomedicsdatdepatiëntezouwordenveroordeeldtotbetalingvandefactuur. DaartegenovervordertpatiëntedatInfomedicsveroordeeldwordttotbetalingvaneenschadevergoeding wegenseeninbreukophaarprivacy,totvernietigingvanhaarmedischdossierentotvergoedingvanhaar werkelijkeproceskosten ZijsteltdatInfomedicsinhaarhoedanigheidvanverwerkerinstrijdheeftgehandeld metdeAVGendegeheimhoudingplicht Ditdoorkennistenemenvanhetmedischedossiereninde (incasso)proceduregebruiktemakenvandefactuurenbetalingsherinnering,metdaaropvermelddeaardvan demedischebehandeling

DerechtbankwijstdevorderingenvanInfomedicstoeenveroordeeltdepatiëntetotbetalingvan€320 De rechtbankwijstdevorderingvandepatiënteaf Zijlaatheterhierechternietbijzittenengaatinhoger beroep Zesteltdatderechtbanktenonrechteheeftgeoordeelddatdeverwerkingvanhaar persoonsgegevens(hetvermeldenopenindeprocedurebrengenvandefactuurmetdaaropdeaardvande medischebehandeling)doorInfomedicsrechtmatigisgeweest,omdatInfomedicsnietalszorgaanbieder kwalificeertenbijhetgebruikvandegegevensookgeenvoldoendebelangheeft.Hetoverleggenvandeze

(3)Rb Zeeland-WestBrabant21september2022,ECLI:NL:RBZWB:2022:5457

(4)GerechtshofAmsterdam10januari2023,ECLI:NL:GHAMS:2023:48

A N N A D E N I J S R U B E N K R U L

deze informatie in een gerechtelijke procedure is volgens de patiënte op grond van de wet ook niet vereist Het bewaren van het medisch dossier door Infomedics is ook niet gerechtvaardigd.

Het hof overweegt dat Infomedics kwalificeert als zorgaanbieder in de zin van de Wet marktordening gezondheidszorg (‘Wmg’). Op grond van de Wmg is ook de (rechts)persoon die tarieven in rekening brengt namens, ten behoeve van of in verband met het verlenen van zorg door een zorgaanbieder, aan te merken als ‘zorgaanbieder’ Op grond van artikel 38 lid 2 Wmg dienen zorgaanbieders een tarief in rekening te brengen onder vermelding van de daarbij behorende prestatieomschrijving Volgens het hof is de op de factuur omschreven prestatieomschrijving vastgesteld door de Nederlandse Zorgautoriteit (‘NZa’) Naar het oordeel van het hof heeft Infomedics deze (wettelijke) verplichting dan ook op juiste en gerechtvaardigde wijze uitgevoerd, met een (zeer) beknopte vermelding van de verrichte zorgprestatie op de factuur en de betalingsherinnering Daarmee is dan ook geen sprake van een schending van de geheimhoudingsplicht die op een zorgaanbieder rust, aldus het hof.

Daarnaast is het gebruik van de gegevens in de procedure rechtmatig gelet op het bepaalde in artikel 9 lid 2 sub f en g AVG, nu dit gebruik noodzakelijk is voor de instelling, uitoefening en onderbouwing van een rechtsvordering en voorts proportioneel Daarmee is ook het verwerkingsverbod zoals dat is neergelegd in artikel 9 lid 1 AVG niet op Infomedics van toepassing Het hof voegt hier nog aan toe dat de op zichzelf begrijpelijke bezwaren die de patiënte heeft tegen de openbaring van gegevens over haar behandeling (die inderdaad zeer persoonlijk zijn), onvoldoende zwaarwegend zijn om af te wijken van de afweging die de wetgever heeft gemaakt De vordering tot een schadevergoeding wordt dan ook afgewezen

Het hof wijst ook de vordering tot vernietiging van het medisch dossier af. Infomedics heeft voldoende gemotiveerd betwist dat zij zou beschikken over het medisch dossier van patiënte. Bovendien heeft patiënte onvoldoende aannemelijk gemaakt dat Infomedics méér informatie heeft ontvangen dan de omschrijving van de verrichte behandeling.

Deze uitspraak laat zien dat een zorgaanbieder, waaronder ook een factoringbedrijf zoals Infomedics, voor het in rekening brengen van kosten voor verleende zorg kan en zelfs moet volstaan met de productomschrijving zoals vastgesteld door de NZa Het factoringbedrijf kan die informatie dus ook gebruiken voor het instellen van een rechtsvordering, bijvoorbeeld om ervoor te zorgen dat de factuur wordt voldaan Daarmee is geen sprake van een schending van de AVG of de geheimhoudingsplicht

Afsluiting

In deze hebben we, aan de hand van een drietal recente uitspraken, geschetst op welke manieren het privacyrecht een rol speelt in de (gezondheids)zorg. De omgang met persoonsgegevens in de zorg is een bron voor rechtspraak. Niet alleen spelen geschillen in de directe relatie tussen de zorgverlener en de patiënt. Veel vaker spelen ook andere personen, organisaties en belangen een rol bij de verwerking van persoonsgegevens in de zorg Zo kan het voor een patiënt soms verwarrend zijn wie welke rechten heeft en zijn of haar persoonsgegevens mag gebruiken Dit zien we onder andere terug in de Veilig Thuis-zaak en de kwestie betreffende het medical factoringbedrijf Een heldere privacyverklaring kan al veel onduidelijkheid bij patiënten wegnemen Daarnaast leren we uit de Bravis-zaak (opnieuw) dat het belangrijk is voor zorginstellingen om de beveiliging van persoonsgegevens goed te borgen en meer in het bijzonder het autorisatie- en loggingbeleid op orde te hebben. Zorginstellingen ontkomen niet aan aansprakelijkheid indien zij hier te gemakzuchtig mee omgaan.

A N N A D E N I J S R U B E N K R U L

VERANDEREN VOOR ZORGVERLENERS?

Bine Schoenmaker en Anamika

Wilbrink zijn beide werkzaam

bij Ploum Rotterdam Law Firm

Op18april2023ishetWetsvoorstelElektronische GegevensuitwisselingindeZorg(Wegiz)aangenomen doordeEersteKamer Aanleidingvoorhetwetsvoorstel isdatdoorzorgverlenersgebruikwordtgemaaktvan verschillendemanierenompatiëntgegevensmetelkaar uittewisselen.Ditwetsvoorstelmoetervoorzorgendat debetreffendegegevens,doorgebruikvan‘eenduidige eisenaantaalentechniek’,elektronischenopeen eenduidigemaniertijdigwordenuitgewisseld

VoorwiegaatdeWegizgelden?

DeWegizzalgeldenvoor‘zorgaanbieders’.Hiermee wordenzorgaanbiedersbedoeldindezinvandeWet kwaliteit,klachtenengeschillenzorg(Wkkgz) Zowel solistischwerkendezorgverlenersalszorginstellingen

Wat zal de Wegiz betekenen voor zorgverleners?

De Wegiz is een zogenaamde ‘kaderwet’. Dit betekent dat de Wegiz het mogelijk maakt om via nadere regelgeving voor aangewezen gegevensuitwisselingen te bepalen hoe gegevens moeten worden uitgewisseld. Bij een ‘aangewezen gegevensuitwisseling’ kan bijvoorbeeld worden gedacht aan de uitwisseling van beelden tussen instellingen voor Medisch Specialistische Zorg. Verder worden onder andere de verpleegkundige overdracht, medicatie- en toedieningsgegevens en laboratoriumgegevens voor medicatie, genoemd als ‘aangewezen gegevensuitwisseling’.

De Wegiz verplicht zorgaanbieders erop toe te zien dat bij een aangewezen gegevensuitwisseling door een onder hem ressorterende zorgverlener ten minste gebruik wordt gemaakt van een elektronische infrastructuur Zorgaanbieders moeten hier dus op zijn voorbereid wanneer de Wegiz in werking treedt (hieronder daarover meer). Het niet meer uitwisselen van patiëntgegevens tussen zorgverleners via bijvoorbeeld een USB of DVD, zal voor zorgverleners de belangrijkste wijziging zijn die met het intreden van de Wegiz zal plaatsvinden.

B I N E S C H O E N M A K E R A N A M I K A W I L B R I N K ortezorg, r aan de y g

Spoor 1 en spoor 2

De Wegiz wordt nader ingevuld door ‘spoor 1’ en ‘spoor 2’ Spoor 1 houdt in dat bepaalde gegevens verplicht elektronisch worden uitgewisseld. Spoor 2 houdt in dat aangewezen gegevensuitwisselingen worden uitgewisseld volgens een voor die uitwisseling aangewezen (NEN-)norm. In deze norm worden eisen gesteld met betrekking tot ‘taal en techniek’, zodat verschillende systemen die worden gebruikt elkaar kunnen begrijpen. Dit betekent dat de verplichtingen die uit de Wegiz volgen op twee manieren kunnen worden opgelegd: alleen de verplichting om gegevens elektronisch uit te wisselen op te leggen (alleen spoor 1) of de verplichting om gegevens elektronisch uit te wisselen op basis van NEN-normen (spoor 2)

Welke gegevensuitwisselingen verlopen via welk spoor?

In de Meerjarenagenda Wegiz van het Ministerie van Volksgezondheid, Welzijn en Sport zijn op dit moment vijf gegevensuitwisselingen geprioriteerd:

-Basisgegevensset Zorg (BgZ)

-Beeldbeschikbaarheid

-Verpleegkundige overdracht

-Medicatieoverdracht

-Acute zorg

Voor de uitwisseling van de Basisgegevensset Zorg (BgZ) tussen medisch specialistische instellingen is de voorbereidingsfase afgerond. Momenteel wordt de NEN-norm voor deze uitwisseling ontwikkeld. Het idee van deze uitwisseling is dat per 2025 de BgZ bij iedere verwijzing van een patiënt naar een andere zorgverlener wordt meegestuurd binnen de medisch specialistische zorg.

De uitwisseling Beeldbeschikbaarheid is gericht op de situatie dat bij een verwijzing binnen de medisch specialistische zorg of het bevolkingsonderzoek beelden elektronisch worden verzonden. De elektronische uitwisseling van Beeldbeschikbaarheid moet ervoor zorgen dat medische beelden sneller en effectiever bij een andere zorgverlener terecht komen Dit kan bijvoorbeeld handig zijn voor een multidisciplinair overleg tussen specialisten van verschillende zorginstellingen De NEN-normen en de bijbehorende AMvB voor deze uitwisseling zullen in 2023 in consultatie gaan.

De uitwisseling Verpleegkundige overdracht (eOverdracht) is bedoeld voor de situatie dat een patiënt naar een andere zorgverlener wordt overgedragen. Het idee van deze uitwisseling is dat de elektronische zorgdossiers beter op elkaar aansluiten De informatiestandaard is al gepubliceerd en de kwaliteitsstandaard is wel al gereed, maar wacht nog op publicatie door Zorginstituut De NEN-normen en de bijbehorende AMvB zijn nog in voorbereiding.

De gegevensuitwisseling Medicatieoverdracht bestaat uit vier verschillende gegevensuitwisselingen: i) digitaal voorschrijven/ter hand stellen, ii) medicatiegegevens, iii) laboratoriumgegevens voor medicatie en iv) contra-indicaties en overgevoeligheden. Voor de uitwisseling digitaal voorschrijven/ter hand stellen is de benodigde NEN-norm (NEN-7503) gereed voor de toekomstige spoor 2 aanwijzing Het doel is om te zorgen voor een actueel en compleet medicatieoverzicht van patiënten. De verwachting is dat deze AMvB in 2024 in werking treedt.

Voor de uitwisseling Acute zorg is momenteel nog niet bekend op welk spoor deze uitwisseling komt.

Certificaat voor IT-producten of IT-diensten

Voor IT-producten of IT-diensten die worden gebruikt voor het uitwisselen van medische gegevens zal als gevolg van de Wegiz een certificaat nodig zijn. Dit product of deze dienst moet dan aan bepaalde (nog vast te

B I N E S C H O E N M A K E R A N A M I K A W I L B R I N K

stellen) eisen voldoen die worden gesteld (bijv. die volgen uit een nieuwe NEN-norm). Uit het certificaat volgt dat het product of de dienst aan die eisen voldoet Het is al duidelijk dat voor ieder type gegevensuitwisseling een apart certificaat nodig zal zijn, omdat per uitwisseling een norm wordt opgesteld. Het is daarom belangrijk dat zorgaanbieders en softwareleveranciers zich hiervan bewust zijn.

Hoe verhoudt de Wegiz zich tot de European Health Data Space? Het voorstel voor de European Health Data Space (EHDS) is op 3 mei 2022 door de Europese Commissie gepubliceerd De EHDS bouwt voort op de AVG en andere recente Europese (concept) regelgeving met betrekking tot het gebruik van data Naast dat de EHDS handvatten kan bieden voor burgers om hun gezondheidsdata in te zien en het delen van gezondheidsgegevens over landsgrenzen heen, biedt de EHDS onder meer een raamwerk om niet-identificeerbare gezondheidsdata te kunnen gebruiken voor onderzoek en innovatie Op dit moment wordt er nog onderhandeld over de EHDS Het is nog onbekend wanneer de tekst van de verordening vast komt te staan en wanneer deze in werking treedt.

De EHDS sluit in huidige vorm grotendeels aan op de Wegiz Om die reden is de verwachting dat veel afspraken, die onder de Wegiz tot stand zijn gekomen, als basis worden gebruikt voor afspraken die onder de EHDS tot stand zullen komen

De EHDS gaat echter minder ver dan de Wegiz. Op basis van alleen de EHDS blijft uitwisseling op papier of met de fax nog wel mogelijk, terwijl de Wegiz juist bepaalt dat de uitwisseling van gegevens nadrukkelijk elektronisch moet worden gedaan De Wegiz gaat dus een stap verder om elektronische uitwisseling te bevorderen. Daarnaast hanteren de EHDS en de Wegiz verschillende stelsels van certificering. Onder de Wegiz wordt certificering immers verplicht, terwijl de EHDS uit gaat van zelf-certificering.

Wanneer gaat de Wegiz gelden?

Op 18 april 2023 is de Wegiz aangenomen door de eerste kamer. Het streven is dat de Wegiz per 1 juli 2023 wordt ingevoerd Het verschilt uiteindelijk per gegevensuitwisseling wanneer deze verplicht zal worden In de Meerjarenagenda Wegiz is door het Informatieberaad Zorg opgenomen wanneer de vijf geprioriteerde gegevensuitwisselingen in werking zullen treden. De AMvB’s voor de BgZ en de Beeldbeschikbaarheid zullen naar verwachting in 2025 in werking treden en de AMvB’s van de Verpleegkundige overdracht en de overige gegevensuitwisselingen voor Medicatieoverdracht pas in 2028 De planning voor de Acute zorg is nog niet bekend en zal naar verwachting gepubliceerd worden in het vierde kwartaal van 2023.

Meer weten?

Dinsdag 23 mei aanstaande organiseert Ploum in samenwerking met het RGD een symposium over de Wegiz. Tijdens dit interactieve symposium zal door sprekers van het Ministerie van Volksgezondheid, Welzijn en Sport, Nictiz en EPD & ECD Consultancy meer worden verteld over de totstandkoming van de Wegiz en de praktische implicaties hiervan. Het symposium is zowel digitaal als fysiek bij te wonen. Aanmelden kan via: https://ploum.nl/agenda/zorgsymposium.

B I N E S C H O E N M A K E R A N A M I K A W I L B R I N K
Bine schoenmaker Anamika Wilbrink

Zorgsymposium

Op dinsdag 23 mei aanstaande organiseren wij samen met Ploum het jaarlijkse zorgsymposium, met dit jaar als onderwerp:

Elektronische gegevensuitwisseling tussen zorginstellingen: hoe uw instelling zich kan voorbereiden op de komst van de Wegiz.

Het symposium zal plaatsvinden op het kantoor van Ploum aan de blaak 28 in Rotterdam en duurt van 15:00-17:00 uur. Het is ook mogelijk om online aan te sluiten. Voor meer informatie, het programma en de mogelijkheid om je aan te melden kan je naar https://ploum nl/agenda/zorgsymposium

Bezoek aan het ministerie van Volksgezondheid, Welzijn en Sport

Op donderdag 25 mei zullen wij samen met het GRSA een bezoek brengen aan het ministerie van Volksgezondheid, Welzijn en Sport. Het adres is Parnassusplein 5, 2511 VX Den Haag. Meer informatie volgt nog!

Borrel

Last but not least zal er dit jaar nog een borrel worden georganiseerd. Een datum en locatie volgen nog, maar kom vooral nog een drankje met ons drinken!

Agenda

Vacatures

Bestuur RGD

Zoals eerder genoemd in deze editie van het magazine komt het collegejaar al bijna tot zijn einde. Dit betekent ook dat het bestuursjaar van het huidige bestuur bijna voorbij is en er langzaam een nieuw bestuurd gevormd gaat worden! Lijkt het jou nou leuk om een jaar lang met 3 of 4 anderen op een laagdrempelige manier studiegerelateerde en niet-studiegerelateerde activiteiten te organiseren? Spreek ons dan vooral eens aan tijdens college of stuur ons een berichtje! Als huidig bestuur kunnen wij het alleen maar enorm aanraden Naast dat je heel veel nieuwe dingen leert tijdens een bestuursjaar en waardevolle connecties opdoet, bouw je ook een hechte band op met je mede-bestuursleden.

Redactiecommissie

Ben jij na het lezen van deze tweede editie enthousiast en lijkt het je leuk om bij te dragen aan de volgende editie? Neem dan snel contact op met Ayeesha en wordt onderdeel van de redactiecommissie! Als lid van de redactiecommissie help je bij het bedenken van een thema, benader je advocatenkantoren en docenten met de vraag of zij een artikel willen schrijven of open staan voor een interview en maak je van alle verzamelde stukken een mooi geheel. Ook bij twijfels of voor meer informatie kan je bij Ayeesha terecht.

Kantoren

Bij de partners van het RGD staan momenteel geen specifieke vacatures open Heb je interesse in een stage of baan bij een van onze partners? Vaak is een open sollicitatie ook mogelijk, dus neem vooral contact op met een kantoor voor de mogelijkheden

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.