Gedragscode EGiZ

Privacy in de zorgVan wet naar praktijk

Wim Hodes4 okt 2012

Presentatie over Gedragscode EGiZRegionale Bijeenkomst Noord-Holland NoordElektronische Uitwisseling Patiëntengegevens

Gedragscode EGiZ

Wat is het probleem?■ Neem een gewone zorgverlener, zeg een huisarts:

■ Aangesloten op ‘OZIS-wdh’ (huisartsendossier opvraagbaar bij dokterspost)■ Aangesloten op ‘OZIS-mg’ (want apotheekhoudend)■ Werkend met ‘Edifact’ (berichten van en naar andere zorgverleners)■ Werkend met Beter Verwijzen (verwijsberichten naar ziekenhuizen)■ Met toegang tot ziekenhuisportaal (ziekenhuisgegevens van ‘zijn’ patiënten)■ Aangesloten op een ‘KIS’ (deelt gegevens met ketenzorggroep)■ Specialisten in ziekenhuis hebben toegang tot ‘zijn’ labgegevens (via cyberlab)■ Ook aangesloten op LSP

■ Hoe kan deze huisarts zich netjes aan de (privacy)wet houden?

■ En zou de patiënt het nog begrijpen, als die iedere keer toestemming moet geven?

Gedragscode EGiZ

Wat was het probleem in 2009?■ CBP: “regionale EPD’s in strijd met de wet”

■ Geen eenduidige praktische regels, schuivende inzichten, verschillende regimes voor verschillende projecten/systemen

■ Ontwikkeling landelijk EPD met apart regime

■ Verschillende interpretaties bij verschillende zorgverleners

■ Goede initiatieven om patiëntgegevens uit te wisselen lopen vast op angst en/of discussies!

Gedragscode EGiZ

Wat wij dus wilden …■ Heldere en toepasbare set aan (gedrags)regels (en bijbehorende normen

voor voorzieningen) voor gegevensuitwisseling tussen zorgverleners.

■ Toepasbaar voor belangrijkste deel van bestaande en in nabije toekomst denkbare oplossingen.

■ Acceptabel voor wetgever en toetsende instanties.

■ Optimale balans tussen:■ Privacybescherming patiënt en zorgverlener

■ Adequate informatievoorziening voor zorgverlener en patiënt

■ Werkbaarheid in de praktijk

■ Beheersbaarheid (landelijk en in de regio)

■ Een set waaraan wij ons allen kunnen en willen conformeren.

■ Een set waardoor in de praktijk geen belemmerende onderlinge meningsverschillen meer bestaan.

Gedragscode EGiZ

Wie is “wij”?

■ Taskforce Veldnormen Privacybescherming (TVP):■ Samenwerking van RSO’s (zie logo’s)■ O.v.v. W. Hodes (dir. GERRIT)■ Met ondersteuning van het NICTIZ (faciliteiten en juridische kennis)■ Opsteller van het eerste concept van de gedragscode

■ Taakgroep gedragscode koepels:■ Samenwerking van LHV, NHG, KNMP, VHN en vz. TVP■ Met juridische ondersteuning vanuit NICTIZ en KNMG■ Opsteller huidige versie, die naar het CBP gaat

Gedragscode EGiZ

Kansen na april 2011

■ EPD-wet van de baan■ Zienswijze CBP over LSP / pullsystemen: opt-in (bijna)

overal noodzakelijk■ Gedragscode zou ook van toepassing kunnen zijn op

LSP-doorstart

■ Streven naar één regime voor alles!

Gedragscode EGiZ

Wat hebben we gedaan?■ Bij elkaar gezeten en de (regionale) praktijk van alledag besproken: 12

verschillende uitwisselingsvormen!■ Bekeken hoe de hele privacyproblematiek, in al die situaties …

■ begrijpelijk voor patiënten, zorgverleners en ondersteuners,■ eenvoudig voor zorgverleners en■ beheersbaar voor ondersteuners

… kon worden opgelost.■ Concepten met vele partijen besproken en besproken en …■ Het resultaat is een compromis:

■ Het zoekt soms de grenzen op van het toelaatbare.■ Het stelt soms juist hogere eisen dan de wet (bijv. OZIS voor dienstwaarneming)■ Het laat een heleboel mogelijkheden/varianten van toestemming in specifieke situaties

onbenut.■ Wat we eenvoudig wilden opschrijven is toch weer juridisch verwoord.

Gedragscode EGiZ

Inhoud deel 1

ALGEMENE BEPALINGEN

1. Begrippen

2. Toepasselijkheid en inwerkingtreding■ Het gaat over alle uitwisseling tussen zorgpartijen■ Deel 2 ‘per direct’■ Delen 3 en 4 per 1-1-2015 (voorstel)

3. Algemene voorwaarden voor ‘rechtmatige verwerking’

4. Patiëntrechten:■ Informatie krijgen■ Toestemming geven / bezwaar maken

Gedragscode EGiZ

Inhoud deel 2INFORMATIE EN TOESTEMMING

5. Pull-systemen■ Brondossierhouder informeert en vraagt toestemming voor

raadpleegbaar maken (opt-in). ■ Informatie één keer persoonlijk, daarna via openbare kanalen.■ Raadpleging vereist behandelrelatie

6. Push-systemen■ Informatie via openbare kanalen is voldoende■ Uitdrukkelijke toestemming is niet nodig, wel bezwaarmogelijkheid

Gedragscode EGiZ

Inhoud deel 3AUTORISATIE

7. Autorisatie■ Minimaal noodzakelijk beleid, vast te stellen door verantwoordelijke voor

uitwisselingssysteem■ Zeggenschap patiëntenvertegenwoordiging■ Informatie/publicatie

8. Vastlegging en toetsing behandelrelatie■ Check op behandelrelatie kent voorkeurshiërarchie:

1. Vooraf toetsen o.b.v. registratie door betrokkene zelf

2. Afleiden o.b.v. registratie zorgverlener zelf, in combinatie met checken achteraf

3. Afleiden o.b.v. situatie, in combinatie met checken achteraf

Gedragscode EGiZ

Inhoud deel 4BEVEILIGING

9. Beveiligingsmaatregelen■ Passende technische maatregelen t.b.v. toegang en verificatie identiteit■ Authenticatie zorgverleners via UZI-pas of vergelijkbaar■ Bij gegevensuitwisseling wordt BSN van betrokkene gebruikt ■ Authenticatie betrokkenen via 2-factor authenticatie met face-to-face

uitgifte sleutel

10. Logging■ Vastlegging bewerkingsactie, datum/tijd, identiteit betrokkene,

zorgverlener (persoon) en zorgaanbieder (praktijk/instelling)■ Verantwoordelijke voor uitwisselingssysteem zorgt voor opvolging

Gedragscode EGiZ

Status sept 2012■ Onderschreven door NHG, LHV, KNMP, VHN, LVG en KNMG (met

federatiepartners).■ In behandeling bij NVZ, NFU,GGZ-NL en KNGF■ Informele toets bij CBP gehad■ Per 1 oktober formele indiening, en dan:

■ Uiterlijk 1 jan 2013 concept besluit en publicatie door CBP■ Formele bezwaartermijnen

■ VZVZ en LSP houden zich al aan de code (zorgverleners die alléén op het LSP zijn aangesloten dus ook.)

Gedragscode EGiZ

Aan de slag: Wie moet nu wat doen?■ Verantwoordelijke (meestal samenwerkingsverband):

■ Autorisatiebeleid (let op patiëntvertegenwoordiging)■ Technische en organisatorische waarborgen in de keten■ Publieksinformatie en (desgewenst) klantloket

■ Brondossierhouder (zorgaanbieder die gegevens heeft):■ Ga alle pullsystemen na: wie is de verantwoordelijke en heeft deze de zaken voor elkaar?■ Ga na: voldoet mijn systeem en organisatie aan de eisen (bijv. GBZ)?■ Informeer de patiënt, vraag toestemming (in één keer goed) en registreer deze

toestemming.

■ Dossierraadpleger (zorgverlener die gegevens opvraagt):■ Ga na: voldoet mijn systeem en organisatie aan de eisen?■ Bied patiënt mogelijkheid van bezwaar tegen raadpleging.

■ ICT-leverancier■ Bouw en implementeer systemen conform de eisen

■ Patiënt■ Geef toestemming en blijf geïnformeerd

Gedragscode EGiZ

■ Ik houd medische gegevens van u bij in een geautomatiseerd systeem.

■ Mijn systeem is gekoppeld aan het LSP, waarmee andere zorgverleners ook bij deze (dus uw) gegevens kunnen. Dat is in het belang van goede zorgverlening aan u.

■ U kunt ervan op aan dat uw gegevens slechts op te vragen zijn door huisartsen, apothekers en ziekenhuizen, en voor zover dat voor uw behandeling nodig is. Hiervoor zijn gezamenlijk de nodige waarborgen gecreëerd. U kunt hierover nalezen op VZVZ.nl

■ Vindt u dit goed? Mag ik ook uw gegevens opvraagbaar maken?

Communicatie in het kader van het LSP

Gedragscode EGiZ

■ Ik houd medische gegevens van u bij in een geautomatiseerd systeem…

■ Mijn systeem is gekoppeld aan voorzieningen / uitwisselingssystemen waarmee andere zorgverleners ook bij deze (dus uw) gegevens kunnen. Dat is in het belang van goede zorgverlening aan u.

■ U kunt ervan op aan dat uw gegevens slechts op te vragen zijn door zorgverleners die met u een behandelrelatie hebben, en voor zover dat voor uw behandeling nodig is. Hiervoor zijn gezamenlijk de nodige waarborgen gecreëerd. U kunt hierover nalezen op <website(s)>.

■ Vindt u dit goed? Mag ik ook uw gegevens opvraagbaar maken?

(maar regel dan wel de waarborgen!)

Communicatie in één keer goed ...