rivacy wetgeving en het omgaan met patiëntgegevens · PDF fileDe consequenties van de WBP...

wetgeving enhet omgaan metpatiëntgegevens

KNMG Handleidingvoor artsen

Utrecht, mei 2001

Privacy-

1/KNMG Handleiding voor artsen

INHOUD

INLEIDING 3

A VOOR ALLE ARTSEN 5A 1 Wanneer is de WBP van toepassing? 5A 2 Wie zijn de 'verantwoordelijke' en de 'bewerker'? 5A 3 Genetische gegevens 5A 4 Verplichtingen van de 'verantwoordelijke' 6A 5 Doelen van de gegevensverwerking 7A 5.1 Goede zorg en hulpverlening 7A 5.2 Medisch advies in opdracht van een ander 8A 5.3 Secundaire doelen 8A 6 Gegevens verstrekken zonder toestemming van de patiënt 8A 7 Gegevens van een overleden patiënt verstrekken 9A 8 Gegevensverkeer met het buitenland 10A 9 Rechten van de patiënt 10A 9.1 Recht op inzage en afschrift 10A 9.2 Recht op aanvulling, correctie en afscherming 11A 9.3 Recht op verwijdering en vernietiging 11A 10 Vanaf wanneer is de WBP van kracht? 12A 11 Sancties 12

B VOOR ARTSEN DIE IN EEN ZELFSTANDIGE PRAKTIJKBUITEN EEN INSTELLING WERKEN 13

B 1 Doelen van de gegevensverwerking 13B 2 Toegang tot de gegevensverwerking 13B 3 Opvolging en verwijzing 13B 4 Rechten van de patiënt 14B 5 Meldingsplicht 14B 6 Bewaartermijn 14B 7 Checklist 15

C VOOR ARTSEN DIE IN EEN INSTELLING WERKEN 16C 1 Doelen van de gegevensverwerking 16C 2 Toegang tot de gegevensverwerking 16C 3 Opvolging en verwijzing 17C 4 Rechten van de patiënten 17C 5 Bewaartermijn 17C 6 Checklist 18

D VOOR ARTSEN DIE 'IN OPDRACHT' VAN EEN DERDE WERKEN 19D 1 Andere relevante wetgeving 19D 2 Doelen van de gegevensverwerking 19D 3 Toegang tot de gegevensverwerking 19D 4 Nadere invulling van de geheimhoudingsplicht 20D 5 Rechten van de patiënt 20D 6 Blokkeringsrecht 21D 7 Bewaartermijn 21D 8 Checklist 21


BIJLAGEN1 a. Informatiefolder voor patiënten van artsen die in een zelfstandige

praktijk werken 221 b. Informatiefolder voor patiënten van artsen die in een instelling werken 241 c. Informatiefolder voor patiënten van artsen die 'in opdracht' van

een derde werken 262 De WBP en medewerkers in een artsenpraktijk 283 Toegangsbevoegdheden van functionarissen of personen 294 Aandachtspunten voor een contract met een bewerker 305 Besluit over prijzen van afschriften 316 Mogelijke doelen voor het verwerken van patiëntgegevens 327 Invullen van het meldingsprogramma van het CBP 338 Beveiliging van patiëntgegevens door artsen 34

LITERATUUR 35

COLOFON 36

AFKORTINGENBOPZ Wet Bijzondere Opneming in Psychiatrische ZiekenhuizenWBP Wet Bescherming PersoonsgegevensBIG Wet op de Beroepen in de Individuele GezondheidszorgWGBO Wet op de Geneeskundige BehandelingsovereenkomstWPR Wet PersoonsregistratiesCBP College Bescherming Persoonsgegevens (voorheen: Registratiekamer)


INLEIDING

Deze brochure beschrijft de consequenties voor artsen van de nieuwe pricacywet: de Wet BeschermingPersoonsgegevens (WBP). De WBP, die per 1 september 2001 wordt ingevoerd, vervangt de WetPersoonsregistraties (WPR).

De betekenis van de WBPDe consequenties van de WBP zijn voor de gezondheidszorg beperkt. Er bestaan immers al wetten die hetvastleggen en verstrekken van gegevens van patiënten behandelen. Voorbeelden hiervan zijn de Wet opde Geneeskundige Behandelinsgovereenkomst (WGBO), de Wet Bijzondere Opneming in PsychiatrischeZiekenhuizen (BOPZ), de Wet op de Medische Keuringen (WMK) en de Infectieziektenwet.De belangrijkste gevolgen van de nieuwe privacywet zijn aanvullende eisen aan artsen of instellingen. Zois er de plicht om de gegevensverwerking te melden en de informatieplicht van de arts of de instelling overde doelen van de gegevensverwerking en de beveiligingseisen.Deze brochure1 behandelt de nieuwe privacy-eisen in samenhang met de bestaande wetgeving inzake hetomgaan met persoonsgegevens. Voor de beroepsgroep geeft dat een overzichtelijker beeld. Overigensgeeft deze brochure geen uitputtende beschrijving van alle mogelijke situaties die betrekking hebben ophet omgaan met patiëntgegevens. Alleen de meest voorkomende zaken worden op hoofdlijnenbeschreven.

LeeswijzerHet algemene deel (A) bevat informatie over privacy-eisen en het omgaan met patiëntgegevens. Dit deelgeldt voor alle artsen.De WBP koppelt privacy-eisen aan de persoon of personen die verantwoordelijk is c.q. zijn voor degegevensverwerking. De WBP betitelt hen als 'verantwoordelijke'. In deze brochure worden deconsequenties van de nieuwe wet voor drie groepen artsen uiteengezet.Voor een huisarts of bijvoorbeeld voor een keuringsarts met een zelfstandige praktijk (zie deel B) brengtde WBP méér activiteiten met zich mee dan voor bijvoorbeeld een specialist in een ziekenhuis (zie deel C)waar de directie of de Raad van Bestuur doorgaans de '(eind)verantwoordelijke' is.Een derde doelgroep bestaat uit artsen die in opdracht van een ander dan de patiënt geneeskundigehandelingen verrichten, zoals keuringsartsen, medisch adviseurs of bedrijfsartsen. Het gaat hierbij om 'inopdracht' handelingen (waarbij niet twee maar drie partijen betrokken zijn: de arts, de patiënt en deopdrachtgever), zoals het adviseren van de werkgever in het kader van verzuimbegeleiding van depatiënt/werknemer. Voor deze 'buiten het contract met de patiënt gelegen relaties' geldt een aantalandere regels, die met name samenhangen met de reikwijdte van het beroepsgeheim (het verstrekken vaninformatie aan de opdrachtgever) en de invulling van een aantal patiëntenrechten. Deel D gaat daaropnader in.De delen B, C en D behandelen specifieke informatie voor verschillende groepen artsen. U hoeft dus nietde gehele brochure te lezen. Aan het begin van B, C en D vindt u voorbeelden van artsen die onder diedoelgroep vallen. B, C en D besluiten met checklisten van activiteiten die op grond van de WBP verplichtzijn. Deze checklisten moeten door de 'verantwoordelijke' worden uitgevoerd.In de bijlagen vindt u onder meer een patiënteninformatiefolder, WBP-eisen voor medewerkers, eenoverzicht van de eventueel in rekening te brengen kosten voor afschriften van gegevens, naderevoorschriften voor beveiligingseisen. Deze bijlagen kunt u zo nodig aanpassen en gebruiken voor hetinformeren van bijvoorbeeld uw patiënten en medewerkers.

1 Enige tijd terug is op initiatief van het St. Antonius ziekenhuis in Nieuwegein een pilot gestart rond de implicaties van de WBP voor ditziekenhuis. Bij het samenstellen van deze brochure is mede gebruikgemaakt van de resultaten van deze pilot


Samengevat:voor alle artsen: het algemene deel Avoor artsen met een eigen praktijk buiten een instelling: deel B en bijlage 1a, 2, 3, 4, 6, 7 en 8voor artsen werkzaam binnen een instelling: deel C, bijlage 1b, 2 (ter informatie: bijlage 3 en 5)voor artsen die 'in opdracht' van een derde werken: deel D, bijlage 1c, 2 (ter informatie: bijlage 3 en 5)

Omwille van de leesbaarheid zijn steeds mannelijke aanduidingen gebruikt.

Nadere informatieAls u na het lezen van deze brochure nog vragen heeft, kunt u zich wenden tot de KNMG Artseninfolijn,tel. (030) 28 23 322, fax (030) 28 23 397 of e-mail: [email protected]. U wordt dandoorverbonden met medewerkers die u verder kunnen helpen.In 2001 gaat een helpdesk van start die ondersteuning zal bieden aan individuele leden van debrancheorganisaties Zorg (GGZ Nederland, Arcares, VGN, NVZ Vereniging van Ziekenhuizen). Als deinstelling waarbinnen u werkzaam bent, hierbij is aangesloten, kunt u ook via deze helpdesk informatiekrijgen. Voorlopig is nadere informatie over de bereikbaarheid van de helpdesk te verkrijgen via deArtseninfolijn.Ook kunt u terecht bij het College Bescherming Persoongegevens (CBP; voorheen Registratiekamer) inDen Haag. Het CBP is een onafhankelijk college dat toezicht houdt op de naleving van de WBP-eisen. Ukunt het CBP bereiken vanaf 1 september 2001 via www.cbpweb.nl. (tot 1 september 2001:www.registratiekamer.nl) en per telefoon (070) 38 11 300.


A VOOR ALLE ARTSEN

A 1 Wanneer is de WBP van toepassing?De WBP is van toepassing als er sprake is van het 'verwerken van persoonsgegevens'. Persoonsgegevenszijn gegevens die informatie bevatten over een persoon die identificeerbaar is. In het algemeen vallen'patiëntgegevens' onder deze definitie, althans als ze zijn te herleiden tot de betreffende patiënt.Geanonimiseerde gegevens, waarmee wordt bedoeld dat met deze gegevens een persoon niet kan wordengeïdentificeerd, zijn geen persoonsgegevens. Niet alleen (gecombineerde) gegevens als naam, adres,woonplaats en geboortedatum maar ook foto's, geluidsbanden, chipcards, vingerafdrukken en DNA-profielen zijn persoonsgegevens.Gemakshalve spreken we verder over 'patiëntgegevens'; de WBP spreekt over 'gezondheidsgegevens' (zieook bijlage 8).Het 'verwerken' van patiëntgegevens behelst alle handelingen met patiëntgegevens vanaf het moment datdeze worden verzameld totdat ze worden vernietigd. Dus: ordenen, bijwerken, raadplegen, gebruiken,verstrekken, koppelen etc. Als u een of meer van deze handelingen verricht, 'verwerkt' u patiëntgegevens.Naast artsen en andere hulpverleners is het verwerken van patiëntgegevens - voor een beperkt aantaldoelen - toegestaan aan onder meer verzekeraars, instellingen voor maatschappelijke dienstverlening enspeciale scholen.In de gezondheidszorgpraktijk is de WBP van toepassing op vrijwel alle gegevensverzamelingen die zijn teherleiden tot patiënten of cliënten. Dat geldt zowel voor elektronische als voor handmatigeverwerkingen. Uitgezonderd zijn handmatige verwerkingen die niet in een systematisch toegankelijkdossier of systeem worden opgeslagen. Dat is doorgaans echter niet het geval omdat goedetoegankelijkheid één van de vereisten is die aan patiëntendossiers wordt gesteld.

A 2 Wie zijn de 'verantwoordelijke' en de 'bewerker'?De 'verantwoordelijke' is degene die bepaalt wat er met de gegevens gebeurt. Vaak zullen ermedeverantwoordelijken en eindverantwoordelijken zijn. Zo is binnen een instelling de directie of deRaad van Bestuur doorgaans eindverantwoordelijk voor het beheer en het instandhouden van hetinformatienetwerk en de gegevensbestanden. De artsen die binnen de instelling werkzaam zijn, zijnmedeverantwoordelijk voor het verwerken van de patiëntgegevens. Binnen een zelfstandige (huisartsen-of andere) praktijk zal de arts of zullen de artsen gezamenlijk 'verantwoordelijke' zijn. De WBP legt aande '(eind)verantwoordelijke' een aantal plichten op. Zie A 5.De 'bewerker' is een persoon of organisatie buiten de praktijk of instelling aan wie de 'verantwoordelijke'(een deel van) de gegevenswerking heeft uitbesteed. De 'bewerker' bewerkt volgens instructies en onderuitdrukkelijke verantwoordelijkheid van de verantwoordelijke. Voorbeelden van bewerkers zijn: eenexterne netwerkbeheerder, een servicebureau of een administratiekantoor. Wanneer er een hiërarchischerelatie bestaat tussen verantwoordelijke en bewerker is er sprake van (intern) beheer en niet van eenbewerker. De bewerker is, naast de verantwoordelijke, aansprakelijk voor eventuele nadelen die iemandondervindt omdat de privacy-eisen niet zijn nagekomen. De bewerker en zijn medewerkers hebben eengeheimhoudingsplicht. Zie ook bijlage 4 en A 4 onder 'bewerkerscontract'.

A 3 Genetische gegevensDe WBP onderwerpt het verwerken van genetische gegevens aan strengere eisen dan het verwerken vanandere patiëntgegevens. Genetische gegevens mogen uitsluitend voor de patiënt zelf worden verwerkt enbijvoorbeeld niet voor een familielid. Deze restrictie heeft consequenties voor verzekeraars. Eenverzekeraar die van iemand erfelijkheidsgegevens ontvangt in verband met het afsluiten van een (levens-of arbeidsongeschiktheids)verzekering, mag deze gegevens alleen voor dat doel gebruiken en niet vooreventuele te verzekeren of al verzekerde familieleden.De WBP maakt een uitzondering voor artsen die genetische gegevens nodig hebben voor de behandelingvan een patiënt of voor wetenschappelijk onderzoek, onderwijs of statistiek. Zij mogen deze gegevens -


voor wetenschappelijk onderzoek, onderwijs of statistiek onder voorwaarden (zie A 6) - dus wel voor diedoelen gebruiken.

A 4 Verplichtingen van de 'verantwoordelijke'MeldingsplichtDe (eind)verantwoordelijke is verplicht om elektronische gegevensbestanden bij het College BeschermingPersoonsgegevens te melden. Papieren bestanden hoeven slechts te worden aangemeld als er een'bijzonder risico voor privacyschending' aanwezig is, bijvoorbeeld als gegevens worden vastgelegd zonderdat de persoon op wie de gegevens betrekking hebben, daarvan op de hoogte is. Dit laatste zal zich niet zosnel voordoen, omdat de WGBO de instemming ('informed consent') van een patiënt vereist. Concreet:in de gezondheidszorg zullen in de regel alleen elektronische verwerkingen van patiëntgegevens hoeven teworden gemeld.Gegevensbestanden die in een kleine (huisartsen- of andere zelfstandige) praktijk alleen door de arts enzijn waarnemer worden gebruikt, voor bijvoorbeeld behandeling, begeleiding, eigen wetenschappelijkonderzoek en financiële administratie zijn vrijgesteld van de meldingsplicht. Wordt samen metbijvoorbeeld apothekers of ziekenhuizen een bestand gevormd, of is het bestand toegankelijk voorgebruikers binnen een groter samenwerkingsverband, bijvoorbeeld een gezondheidscentrum, dan kandoorgaans niet meer worden gesproken van 'voldoende transparantie' van de gegevensverwerking voorde patiënt. Dan geldt derhalve wél de meldingsplicht.

Tip: Als u twijfelt, kunt u het beste melden. Bijlage 7 geeft adviezen bij het melden.Ook wijzigingen moet u melden. Denk aan wijzigingen in het doel van de gegevensverwerking, in de vasteontvangers van gegevens, in de beveiligingsmaatregelen of als de naam of het adres van de'verantwoordelijke' verandert. De eerstgenoemde wijzigingen moet u binnen een jaar bij het CPBmelden; wijzigingen in de naam of het adres van de 'verantwoordelijke' moet u binnen een week melden.

InformatieplichtIn de WBP is de informatieplicht van de 'verantwoordelijke' belangrijker (of dwingender) geworden. Depersoon van wie gegevens worden verwerkt ('de betrokkene') moet worden ingelicht over: wie de'verantwoordelijke' is, het doel of de doelen van de gegevensverwerking, de wijze waarop de verwerkingplaatsvindt en eventuele medegebruikers of ontvangers van de gegevens. De 'verantwoordelijke' isaanspreekpunt voor de patiënt bij vragen over de gegevensverwerking. Ook moet de patiënt wordengewezen op de rechten waarop hij zich kan beroepen. Deze rechten vindt u in A 9.U kunt patiënten informeren door middel van een informatiefolder. Overhandig deze folder bij voorkeuraan de patiënt bij zijn eerste contact met de arts. Bijlage 1 bevat voorbeelden van zo'n folder.Informatie over de gegevensverwerking van wilsonbekwame patiënten (bijvoorbeeld jongeren onder dezestien) moet worden verstrekt aan de (wettelijk) vertegenwoordiger, zoals de ouders, voogd, curator,mentor. Heeft de patiënt toen hij nog wel wilsbekwaam was, een ander schriftelijk gemachtigd namenshem op te treden, dan moet de informatie aan die persoon worden gegeven. Als de wettelijkvertegenwoordigers of de gemachtigden ontbreken of niet wensen namens de patiënt op te treden, danwordt de patiënt vertegenwoordigd door de echtgenoot of partner, kind, broer of zus.

BeveiligingsmaatregelenDe verantwoordelijke moet voor 'passende organisatorische beveiligingsmaatregelen' zorgen. Datbetekent onder meer dat hij duidelijk moet maken - bijvoorbeeld via een overzicht - welke personentoegang hebben tot welke gegevens (zie bijlage 3).Er zijn ook vereisten aan de technische beveiliging. Toegang tot elektronische gegevens moet alleenmogelijk zijn via een uniek wachtwoord. Patiëntgegevens die elektronisch worden verzonden via een ookvoor (onbevoegde) derden toegankelijk 'medium', moeten eerst worden geëncrypteerd. Voorbeeld:vóórdat patiëntgegevens of afspraken voor een consult per e-mail worden verstuurd, moet het bericht


eerst worden gecodeerd zodat de gegevens niet meer tot de patiënt zijn te herleiden. Immers, de kansbestaat dat onbevoegde derden, bijvoorbeeld een familielid, toegang hebben tot de gegevens. Dat kan alhet geval zijn als het adres verkeerd wordt getypt. Handmatig bijgehouden dossiers (maar ook laptops)moeten in goed afsluitbare kasten en ruimten worden bewaard. Bijlage 8 gaat in opbeveiligingsmaatregelen.

BewerkerscontractAls gegevens extern worden bewerkt, moet de verantwoordelijke een bewerkerscontract opstellen. Zie A 2en bijlage 4.

Vervallen privacyreglementIn de WPR was de (eind)verantwoordelijke van het gegevensbestand verplicht een privacyreglement op testellen voor patiënten en medewerkers. Die plicht komt in de WBP te vervallen.

Tip: Het is raadzaam dat de 'verantwoordelijke' aan de gebruikers van het gegevensbestand uiteenzetwelke eisen worden gesteld aan het omgaan met patiëntgegevens. De 'verantwoordelijke' is immers ookaanspreekbaar op 'onrechtmatig' gebruik door personen binnen de instelling of organisatie.In bijlage 2 vindt u relevante informatie over de WBP voor uw medewerkers en in bijlage 3 vindt usuggesties voor het verlenen van toegang tot gegevensbestanden aan verschillende functionarissen.Uiteraard kunt u ook het privacyreglement dat de WPR verplicht stelde, aanpassen, maar mogelijk vergtdat meer inspanning dan de eerdere suggestie.

A 5 Doelen van de gegevensverwerkingDe 'verantwoordelijke' moet aangeven voor welk(e) doel(en) persoonsgegevens worden verzameld,nagaan of die doelen 'gerechtvaardigd' zijn en of niet meer gegevens worden verwerkt dan voor het doelnoodzakelijk is. Worden er gegevens voor andere doelen verwerkt, dan moet zijn voldaan aan extravoorwaarden, zoals uitdrukkelijke toestemming van de betrokkene. Voorts moet de verantwoordelijkeervoor zorgen, dat de gegevens juist en zo objectief mogelijk zijn. Dat geldt ook voor gegevens die aananderen worden verstrekt. Van derden ontvangen gegevens moeten rechtmatig zijn verkregen, dat wilzeggen met kennis en (veronderstelde) toestemming van de patiënt. Een arts moet er dus op toezien datalle patiëntgegevens die hij 'verwerkt', aan deze eisen voldoen. Immers, deze eisen sluiten grotendeels aanbij de plicht van een arts om een zorgvuldig dossier bij te houden (zie A 5.1).Wordt aan alle eisen voldaan, dan is de gegevensverwerking 'rechtmatig'. In instellingen zullen de doelenvan de gegevensverwerking doorgaans in samenspraak tussen 'verantwoordelijke' en (eenvertegenwoordiging namens) artsen en andere hulpverleners worden gedefinieerd.Hieronder geven we voor artsen uit de drie doelgroepen B, C en D de (hoofd)doelen van degegevensverwerking aan. Er kunnen ook nog andere doelen zijn waarvoor artsen gegevens verwerken.

Tip: Bijlage 6 bevat een overzicht van de meest voorkomende doelen van gegevensverwerking.

A 5.1 Goede zorg en hulpverleningBinnen een geneeskundige behandelingsovereenkomst is het aanleggen en bijhouden van een medischdossier door de behandelend arts noodzakelijk om de patiënt goede hulp en zorg te kunnen bieden. DeWGBO noemt dit de 'dossierplicht'. Ook de vervanger, de waarnemer en andere personen dierechtstreeks bij de behandeling van de patiënt zijn betrokken, zoals een mede-behandelaar,verpleegkundige of fysiotherapeut, hebben een dossierplicht. In het dossier mogen ook 'bijzondere'persoonsgegevens, zoals de WBP ze noemt, worden opgenomen, mits deze relevant zijn voor een goedehulpverlening. Voorbeelden daarvan zijn gegevens over iemands ras, levensovertuiging of seksuele leven.Het verwerken van iemands patiëntgegevens met het oog op een goede behandeling, verzorging ofbegeleiding is dus rechtmatig. Ook het verwerken van (uitsluitend de noodzakelijke) gegevens voor de


financiële afhandeling van de behandeling vormt een onderdeel van dit (primaire) doel. Deze gegevensmoeten aan de zorgverzekeraar worden verstrekt.

A 5.2 Medisch advies in opdracht van een anderPatiëntgegevens kunnen ook worden verwerkt in verband met een advies aan een derde, bijvoorbeeld eenadvies van een bedrijfsarts aan de werkgever, een conclusie van een medisch adviseur aan het RegionaalIndicatie Orgaan of een uitslag van een keuringsonderzoek door de keuringsarts aan een sportclub.Alleen de voor dat doel noodzakelijke gegevens mogen worden 'verwerkt'. Op deze situaties is de WGBOvan toepassing. De gedachte hierachter is dat de rechten van een patiënt niet alleen in behandelsituaties(tussen arts en patiënt) moeten worden beschermd, maar ook in andersoortige situaties waarin eenpatiënt aan een geneeskundig onderzoek of behandeling wordt onderworpen. Omdat op deze situatiesook andere wetten van toepassing zijn, zoals de sociale-zekerheidswetgeving en de Wet op de MedischeKeuringen, kunnen er conflicterende eisen aan de arts-patiëntrelatie worden gesteld. Daardoor is nietaltijd duidelijk of, en zo ja, in hoeverre de WGBO- en de WBP-bepalingen kunnen worden toegepast. Ziedeel D2.

A 5.3 Secundaire doelenOnder aanvullende voorwaarden mogen de gegevens ook worden gebruikt voor secundaire doelen, zoalsbeleid en management van de praktijk of de instelling, kwaliteitsbewaking van de zorg, registratie vancomplicaties, intercollegiale toetsing, medisch onderwijs, wetenschappelijk onderzoek en statistiek.Hoofdregel is dat voor toegang tot herleidbare patiëntgegevens expliciete toestemming nodig is van depatiënt, zijn vertegenwoordiger of een gemachtigde.Er zijn echter enkele nuanceringen. Bij intercollegiale toetsing binnen een praktijk of instelling kunnenmet 'veronderstelde toestemming' van de patiënt diens gegevens worden gebruikt en verstrekt.Voorwaarde is dat de patiënt daarvan tevoren (bijvoorbeeld via de informatiefolder) op de hoogte isgebracht én hij niet heeft aangegeven daartegen bezwaar te hebben. Is het doel het toetsen van hetkwaliteitsbeleid van een instelling dan moet eerst worden nagegaan of niet kan worden volstaan metgeaggregeerde gegevens. Is dat onmogelijk dan kan de medisch directeur met 'verondersteldetoestemming' van de patiënt gebruikmaken van uitsluitend de noodzakelijke gegevens. Ook hier geldt devoorwaarde dat de patiënt vooraf moet zijn geïnformeerd en geen bezwaar heeft aangetekend. In A 6 enA 7 wordt ingegaan op een aantal bijzondere situaties.

A 6 Gegevens verstrekken zonder toestemming van de patiëntHoofdregel is dat gegevens alleen aan 'anderen' mogen worden verstrekt als de patiënt daarvooruitdrukkelijk toestemming heeft gegeven.Met 'anderen' bedoelt de WGBO niet de hulpverleners die rechtstreeks bij de behandeling of begeleidingvan de patiënt zijn betrokken, zoals een medebehandelaar, praktijkassistente, arts-assistent,verpleegkundige, fysiotherapeut, een vervanger of waarnemer. Met 'anderen' worden evenmin bedoeldde (wettelijk) vertegenwoordiger van de patiënt, zoals ouders, voogd, curator, mentor, kind, broer ofzus, of de door de patiënt (schriftelijk) gemachtigde. Voor informatieverstrekking aan deze personenhoeft de arts dus niet eerst toestemming aan de patiënt te vragen. Wél voor verstrekking aan personen diehierboven niet zijn aangegeven.

Tip: In de hoofdstukken 5 en 7 van het KNMG-consult 'Arts en patiëntenrechten' vindt u hierover meerinformatie (zie Literatuur).

In enkele bijzondere situaties is een arts verplicht gegevens te verstrekken. Voorbeelden zijn de plicht omeen infectieziekte te melden of de plicht om een verklaring van overlijden af te geven. Ook in een situatie

2 Zie ook het uitvoerigere advies 'WGBO en bedrijfsarts', dat in augustus 2000 is uitgebracht aan de besturen van de Vereniging voorGezondheidsrecht en de Nederlandse Vereniging voor Arbeids- en Bedrijfsgeneeskunde.


dat zich een 'conflict van plichten' voordoet, moeten relevante gegevens door een arts verstrekt wordenzonder dat daarvoor toestemming aan de patiënt is gevraagd (bijvoorbeeld in geval vankindermishandeling of incest)3

De WGBO biedt een mogelijkheid om patiëntgegevens voor wetenschappelijk onderzoek, statistiek enmedisch onderwijs4 te verwerken. Hoofdregel is dat toestemming (liefst schriftelijk) van de patiënt nodigis. Een uitzondering daarop is echter mogelijk als aan alle van de volgende vier voorwaarden is voldaan:het onderzoek5 dient een algemeen belang;het onderzoek kan zonder de gevraagde gegevens niet worden verricht;de patiënt heeft geen uitdrukkelijk bezwaar gemaakt tegen de gegevensverwerking;er doet zich één van de twee volgende situaties voor:a. toestemming vragen is redelijkerwijs niet mogelijk op gronden, gelegen in de persoon wiens

gegevens het betreft (bijvoorbeeld: de persoon is overleden, onbereikbaar door verhuizing, of deconfrontatie met het onderzoek zou voor hem onnodig bezwarend zijn). Onder dezeomstandigheden heeft de onderzoeker de plicht het onderzoek zo uit te voeren dat de privacy vande patiënt zo min mogelijk wordt geschaad;

b. toestemming vragen kan in redelijkheid niet worden verlangd vanwege de aard van hetonderzoek (bijvoorbeeld onderzoek waarbij zeer veel patiënten zijn betrokken of onderzoekwaarbij een reële kans op selectieve respons bestaat). In deze gevallen moet de arts de gegevenszodanig coderen, dat de onderzoeker de gegevens niet kan herleiden tot de patiënt.

A 7 Gegevens van een overleden patiënt verstrekkenDe hoofdregel bij het verstrekken van informatie uit het dossier van een overledene is dat de privacy vaneen patiënt ook na diens dood wordt gerespecteerd en dat anderen dus geen inzage in zijn gegevenskrijgen. Strikte navolging van deze hoofdregel regel zou ertoe leiden, dat geen enkele informatie over eenoverledene aan wie dan ook mag worden verstrekt. Er zijn echter uitzonderingen.- Er is een wettelijke bepaling die verplicht om inzage te geven, bijvoorbeeld (ingevolge de BOPZ)

aan de Inspecteur voor de Gezondheidszorg.- In geval van 'veronderstelde toestemming' van de overleden patiënt: als de arts tot de overtuiging

komt, na 'reconstructie van de wil van de overledene', dat in een concreet geval de overledenetoestemming tot inzage zou hebben gegeven. Zo kunnen kinderen bijvoorbeeld inzage in hetdossier van een overleden ouder krijgen vanwege een erfelijke ziekte of met het oog op een klacht,tenzij voor de arts duidelijk is dat de ouder dat niet zou hebben gewild6.

- Als er sprake is van een 'conflict van plichten' en als is voldaan aan de desbetreffende criteria7 kande arts tot gegevensverstrekking overgaan. Het moet daarbij altijd gaan om zeer zwaarwegende

3 Als uitgangspunt voor het doorbreken van het beroepsgeheim kunnen de volgende zes cumulatieve criteria (ontleend aan prof. dr. H.J.J.Leenen) worden gebruikt:alles is in het werk gesteld om de toestemming van betrokkene te verkrijgen;zwijgen levert ernstige schade voor een ander op;de zwijgplicht brengt de hulpverlener in gewetensnood;er is geen andere weg dan het geheim te doorbreken;het doorbreken van de zwijgplicht voorkomt of beperkt de schade aan een ander;het geheim wordt zo min mogelijk geschonden.4 Bij gebrek aan een afzonderlijke regeling voor medisch onderwijs gaan we uit van een regeling analoog aan de regeling voorwetenschappelijk onderzoek.5 Met 'onderzoek' bedoelen we steeds ook 'statistiek en onderwijs'.6 Zie ook de publicatie 'Inzage na overlijden', zie Literatuur.7 Als uitgangspunt voor de doorbreking van het beroepsgeheim kunnen de volgende zes cumulatieve criteria, ontleend aan prof. dr. H.J.J.Leenen, worden gebruikt:• alles is in het werk gesteld om toestemming van de betrokkene te verkrijgen;


belangen van derden. Het verdient aanbeveling dat de arts in zijn dossier aantekening maakt vanzijn belangenafweging en zijn motieven daarbij.

A 8 Gegevensverkeer met het buitenlandVoor het verstrekken van patiëntgegevens aan landen binnen de Europese Unie stelt de WBP geenspecifieke eisen. Dat komt doordat alle Lidstaten in 1995 de Europese Privacy Richtlijn hebbenondertekend, die de Lidstaten ertoe verplicht een aantal basisnormen over te nemen in hunprivacywetten.Voor gegevensverkeer met landen buiten de Europese Unie geldt dat gegevens alleen mogen wordendoorgegeven als dat land een 'passend niveau van privacybescherming' waarborgt. Dat is op afstand vaakmoeilijk te bepalen. Toch hoeft dit voor de gezondheidszorg geen problemen op te leveren omdat metuitdrukkelijke toestemming van de patiënt (of zijn vertegenwoordiger) de gegevens altijd mogen wordenverstrekt of eventueel meegegeven. Een andere mogelijkheid is het verstrekken van patiëntgegevens in hetkader van een (behandel)contract tussen arts en patiënt. Dit geldt bijvoorbeeld bij verwijzing naar hetbuitenland voor een specifieke behandeling.

A 9 Rechten van de patiëntDe WGBO geeft de patiënt een aantal rechten8 zoals het recht op inzage, afschrift, aanvulling envernietiging. De WBP biedt de betrokkene (de persoon op wie een gegeven betrekking heeft) het recht vankennisneming, correctie, aanvulling, afscherming en verwijdering.

A 9.1 Recht op inzage en afschriftDe patiënt heeft recht op inzage en afschrift van zijn gegevens. De WGBO maakt hierop één uitzondering:inzage of afschrift mag niet worden gegeven als daardoor de privacy van een ander wordt geschonden.Het kan bijvoorbeeld gaan om gegevens die door een partner of familielid zijn verstrekt in hetvertrouwen dat de patiënt daarvan niet op de hoogte wordt gebracht. De gegevens kunnen betrekkinghebben op henzelf of op de patiënt. De arts zal die informatie uiteraard alleen vastleggen als dit voor debehandeling van de patiënt relevant is. Om een beroep te doen op de uitzondering moet de arts aantonendat het privacybelang van de ander wordt geschaad door inzage te geven én dat dit belang zwaarderweegt dan het belang van de patiënt. De arts moet dus een belangenafweging maken. Daarom is ook vanbelang dat de diverse gegevens in het dossier goed en eenvoudig zijn te scheiden. Het gebruik onderhuisartsen om per gezinslid een afzonderlijke patiëntenkaart te gebruiken voorziet daarin.Aan een verzoek tot inzage of afschrift moet de arts of de ziekenhuisdirectie zo spoedig mogelijk, maar inelk geval binnen vier weken voldoen. Als het ziekenhuis het inzage- of afschriftverzoek afhandelt, is hetvan belang dat het verzoek wordt afgestemd met de betrokken hulpverlener en dat conform een daartoebinnen de instelling opgestelde procedure wordt gehandeld. De betrokken hulpverlener moet beoordelenof alle gegevens kunnen worden ingezien of opgevraagd.De patiënt heeft in beginsel geen recht op afgifte van de originele patiëntgegevens. De originelen komenalleen toe aan degene die ze heeft opgesteld of degene die ze bewaart en beheert. Binnen eenhuisartsenpraktijk is het wel gebruikelijk dat bij overdracht naar een andere huisarts de originelegegevens aan de patiënt worden meegegeven voor de opvolger (zie B 6). Voor het maken van afschriften(niet voor het geven van inzage) mag de arts of de instelling een redelijke vergoeding aan de patiëntvragen. Zie bijlage 5 voor de bedragen die in rekening mogen worden gebracht.

• zwijgen levert voor een ander ernstige schade op;• de zwijgplicht brengt de hulpverlener in gewetensnood;• er is geen andere weg dan het geheim te doorbreken;• het doorbreken van de zwijgplicht voorkomt of beperkt de schade aan een ander;• het geheim wordt zo min mogelijk geschonden8 Namens de patiënt kan ook diens wettelijk vertegenwoordiger, bijvoorbeeld de ouders, voogd, mentor of curator, of de door de patiëntgemachtigde, een beroep doen op de patiëntenrechten, tenzij nakoming tegenover deze personen strijdig is met de zorg van een goedhulpverlener.


A 9.2 Recht op aanvulling, correctie en afschermingDe patiënt heeft het recht om het dossier aan te vullen. Hiermee kan de patiënt bereiken dat - naar zijnmening - een vollediger of juister beeld van zijn persoon of zijn gezondheidstoestand wordt geschetst. Hetgaat dan om afwijkende of aanvullende zienswijzen van de patiënt zelf óf - op verzoek van de patiënt - vaneen andere arts bijvoorbeeld in het kader van een second opinion. Ook als de arts het met de inhoud vande verklaring niet eens is, moet hij de verklaring in het dossier opnemen.De patiënt mag de arts ook verzoeken om feitelijke onjuistheden in de gegevens te corrigeren,bijvoorbeeld verkeerde adresgegevens.De patiënt mag de arts ook verzoeken zijn gegevens voor anderen af te schermen als hij van mening is datdeze feitelijk onjuist zijn of niet ter zake doen. Dat zal hij alleen vragen als hij het bewaren van dezegegevens van belang vindt; anders zal hij wel om correctie of vernietiging vragen. Binnen vier weken moetde arts of instelling laten weten of, en zo ja, in hoeverre aan deze verzoeken kan worden voldaan.In enkele specifieke situaties heeft de patiënt het recht om het doorgeven van zijn gegevens aan deopdrachtgever te blokkeren, bijvoorbeeld de uitslag van een onderzoek of keuring. Zie hierover D 6.

A 9.3 Recht op verwijdering en vernietigingDe patiënt heeft het recht om informatie die niet relevant is voor de behandeling, te laten verwijderen.Bijvoorbeeld gegevens over geloofsovertuiging of ras. Ook kan de patiënt verzoeken (een deel van) zijndossier te laten vernietigen. De verantwoordelijke moet binnen vier weken op een vernietigingsverzoekreageren en het binnen drie maanden uitvoeren. Een eventuele weigering moet goed wordengemotiveerd. Op het recht op verwijderen of vernietigen van gegevens bestaan namelijk tweeuitzonderingen:a. een voorschrift of een andere wet bepaalt dat de gegevens moeten worden bewaard;b. vanwege een 'aanmerkelijke belang' van een ander dan de patiënt, moeten (bepaalde) gegevens

worden bewaard.

ad a.Een voorbeeld van de eerste uitzondering is de bepaling in het Besluit patiëntendossier BijzondereOpneming in Psychiatrische Ziekenhuizen (BOPZ) dat een verzoek tot vernietiging van gegevens door de(gedwongen opgenomen) patiënt pas vijf jaar ná beëindiging van de BOPZ-behandeling kan wordeningediend. Een ander voorbeeld is de 'lijst van te vernietigen archiefbescheiden van de academischeziekenhuizen'9. Hierin staat dat bepaalde documenten tot 115 jaar na de geboorte(datum) van de patiëntmoeten worden bewaard, vanwege het (bewijs)belang van de overheid. Het gaat daarbij om deontslagbrief, het operatieverslag, het anesthesie- en PA-verslag en het verslag van de eerste hulp.Gegevens over calamiteiten moeten ook tot 115 jaar na het incident worden bewaard. Gegevens dierelevante informatie bevatten voor gerechtelijke procedures, moeten worden bewaard totdat deprocedure definitief is afgerond. Voor overige patiëntgegevens moet de bewaartermijn van de WGBO(van minimaal tien jaar) worden aangehouden.

Tip: Ook bij procedures tegen artsen of instellingen buiten de 'setting' van een academisch ziekenhuis ishet raadzaam de gegevens te bewaren totdat de juridische procedure definitief is afgerond.

ad b.De tweede uitzondering op het recht van een patiënt om gegevens uit zijn dossier te verwijderen, heeftbetrekking op een 'aanmerkelijk belang van een ander dan de patiënt'. De arts moet dit (liefst schriftelijk)aannemelijk maken. Het kan bijvoorbeeld gaan om een situatie waarin de patiënt een procedure tegen de

9 Besluit van 9 maart 1994, waarbij de lijst voor vernietiging in aanmerking komende archiefbestanden van de academische ziekenhuizenvan openbare universiteiten wordt aangevuld met een categorie betreffende medische patiëntendossiers (Staatscourant 1994, 78).


arts wil aanspannen of dit inmiddels heeft gedaan. De arts heeft er dan een 'aanmerkelijk' belang bij dathij de gegevens voor zijn verweer kan gebruiken. Dat er slechts een 'puur theoretische' kans bestaat datzo'n procedure in de toekomst nog eens zal worden gestart, is onvoldoende grond om eenvernietigingsverzoek van de patiënt af te wijzen.Een andere situatie waarop deze tweede uitzondering betrekking kan hebben, is dat een familielid van depatiënt met het oog op een erfelijke ziekte binnen de familie, goede redenen heeft om aan te dringen opbewaring van de gegevens. De arts moet beoordelen of er sprake is van 'een aanmerkelijk belang van eenander'. Een eventuele weigering van het vernietigingsverzoek moet goed worden onderbouwd. Is depatiënt het niet eens met het oordeel van de arts, dan kan hij dit laten toetsen door een collega-arts. Is dearts van mening dat, gezien de medische voorgeschiedenis van de patiënt, hij deze niet meer verantwoordkan behandelen omdat de te vernietigen gegevens essentieel zijn voor behandeling in de toekomst, dan zalhij dit eerst met de patiënt moeten bespreken. Daarbij kan ook het beëindigen van debehandelingsovereenkomst aan de orde komen; maar dit zal in de regel beperkt blijven tot uitzonderlijkesituaties.

Tip: Met het oog op eventuele latere misverstanden of een procedure is het raadzaam om hetvernietigingsverzoek schriftelijk te laten indienen en dit als correspondentie te bewaren.Het bewaren van gegevens in geanonimiseerde vorm is overigens wel altijd mogelijk. Dit kanbijvoorbeeld van belang zijn voor wetenschappelijke of statistische doelen.

A 10 Vanaf wanneer is de WBP van kracht?In de WBP is een overgangstermijn van een jaar opgenomen. Dat betekent dat voor gegevensbestandendie op 1 september 2001 al zijn vastgelegd, de verplichtingen uit de WBP (zoals de meldingsplicht, debeveiligingsplicht en de informatieplicht) vanaf 1 september 2002 moeten worden nageleefd. Voornieuwe gegevensbestanden, die op of na 1 september 2001 worden voorbereid of aangelegd, gelden deWBP-eisen direct, dus per 1 september 2001.

A 11 SanctiesAls naar het oordeel van de toezichthouder, het College Bescherming Persoonsgegevens, in strijd met deWBP-verplichtingen is gehandeld, kan het college een sanctie opleggen. Het college kan bestuursdwangtoepassen, bijvoorbeeld door de 'onrechtmatigheid' op kosten van de overtreder ongedaan te maken.Bestuursdwang kan ook bestaan uit het geven van een bevel, in combinatie met een geldboete alsdwangmiddel om aan het bevel te voldoen. Voorts kan het college een bestuurlijke boete opleggen(maximaal f 10.000,- of E 4.538) als het gegevensbestand niet (correct) is aangemeld of als wijzigingenniet zijn doorgegeven.Als een patiënt vindt dat zijn privacybelang is geschonden, kan hij zich tot het tuchtcollege of de rechterwenden.


B VOOR ARTSEN DIE IN EEN ZELFSTANDIGE PRAKTIJK WERKEN

Dit hoofdstuk is een aanvulling op deel A en is bedoeld voor huisartsen en andere artsen die werkzaamzijn in een zelfstandige praktijk buiten een instelling (zoals sommige psychiaters en oogartsen).Doorgaans zullen één of meer artsen binnen een praktijk of hagro als '(eerst)verantwoordelijke' optredenen het aanspreekpunt zijn voor vragen over de gegevensverwerking, over de uitvoering ervan en voor hetcontract met een eventuele bewerker. De 'verantwoordelijke' is echter niet alleen, maar samen met deandere artsen verantwoordelijk voor de gegevensverwerking binnen de praktijk, en wel ieder voor degegevens die hij verwerkt en in het bestand inbrengt. In een solopraktijk is uiteraard de arts de (enige)'verantwoordelijke'.

B 1 Doelen van de gegevensverwerkingDe informatiefolder voor patiënten (zie bijlage 1a) moet de doelen van de verwerking vermelden. Voorhet verwerken van gegevens voor andere doelen is de uitdrukkelijke toestemming van de patiënt nodig.Bijlage 6 geeft voorbeelden van veel voorkomende doelen.

B 2 Toegang tot de gegevensverwerkingBij elektronische opslag van patiëntgegevens moeten alle gegevens toegankelijk en beschikbaar zijn. Bijverandering van hard- of software moet worden nagegaan of de gegevens op de oude gegevensdrager ookin de toekomst nog kunnen worden ontsloten. Is dat niet het geval, dan moet een uitdraai van de oudegegevens worden gemaakt.

Tip: Het is raadzaam om dit ook als aandachtspunt in het contract met de bewerker op te nemen (ziebijlage 4).

Een arts die gegevens overdraagt aan een opvolger, is er verantwoordelijk voor dat de gegevensdaadwerkelijk beschikbaar zijn. In de informatiefolder voor patiënten kunt u aangeven welkemedewerkers (per naam) of functionarissen (per functie) toegang hebben tot de patiëntgegevens. Deartsen binnen de praktijk dienen dit gezamenlijk op te stellen.

Tip: Bijlage 3 kan hierbij behulpzaam zijn.

Een waarnemer of vervanger moet uiteraard de patiëntgegevens kunnen inzien, echter uitsluitend voorzover dat noodzakelijk is voor de actuele hulpvraag van de betreffende patiënt.Een arts in de waarneemgroep van de behandelend arts, of een andere collega die gevraagd wordt eenkeuring te doen bij één van de patiënten van de behandelend arts, heeft voor dat doel geen toegang tot depatiëntgegevens, tenzij de patiënt daarvoor toestemming heeft gegeven. Artsen doen er verstandig aanniet op te treden als keuringsarts van patiënten die hen via de waarneming al bekend zijn.Bij de behandeling betrokken medewerkers, zoals (dokters)assistenten, (praktijk)verpleegkundigen,assistenten en administratieve medewerkers, hebben uitsluitend toegang tot die gegevens, die voor huntaak nodig zijn. Het is raadzaam deze medewerkers niet alleen mondeling maar ook in hunarbeidsovereenkomst of via een protocol op hun geheimhoudingsplicht te wijzen (zie bijlage 2). Dit geldtook voor een eventuele bewerker (zie bijlage 4).

B 3 Opvolging en verwijzingBinnen de huisartsenpraktijk is het usance dat bij beëindiging van de behandelingsovereenkomst (omdatde arts vertrekt uit de praktijk of omdat de patiënt voor een andere arts kiest), na toestemming van depatiënt, het dossier volledig aan een opvolger wordt overgedragen of aan de patiënt wordt meegegeven.Gezinsdossiers kunnen om privacyredenen beter per (aangetekende) post worden verzonden.


Gaat de patiënt niet akkoord met het overdragen van zijn dossier, dan moet de oude huisarts het dossierbewaren totdat de bewaartermijn is verstreken (tenzij de patiënt eerder om vernietiging verzoekt).Onbetaalde nota's mogen overdracht niet in de weg staan. Bij overdracht mogen zonder toestemmingvan de patiënt geen gegevens of kopieën door de arts worden bewaard, tenzij de gegevens nodig zijn terverdediging van de arts in een reeds aangespannen juridische procedure of bij reële dreiging daarvan(zoals een tuchtprocedure of claim).In geval van verwijzing naar een collega wordt een verwijsbrief en een kopie van eventuele relevanteinformatie uit het dossier (doorgaans kosteloos) meegegeven of opgestuurd tenzij de patient daartegenbezwaar maakt.

B 4 Rechten van de patiëntAls een patiënt een beroep doet op zijn rechten, moet de arts daarop in beginsel binnen vier wekenreageren. A 9 bevat een overzicht van patiëntenrechten.

B 5 MeldingsplichtIn aanvulling op A 4, waar is aangegeven wanneer de meldingsplicht wel geldt en wanneer er eenvrijstelling is, is er een diskette van het College Bescherming Persoonsgegevens (CBP). Met deze diskettekan een arts (als 'verantwoordelijke') nagaan of de verwerking al dan niet moet worden gemeld. Zoalsopgemerkt in A 4 vallen papieren bestanden in beginsel buiten de meldingsplicht. Vrijstelling van demeldingsplicht laat onverlet dat de overige eisen in deze brochure van toepassing zijn.

B 6 BewaartermijnDe wettelijk bewaartermijn is (minimaal) tien jaar. Om praktische redenen rekent men gewoonlijk vanafhet moment dat het laatste consult of de laatste behandeling werd beëindigd. Als deze termijn isverlopen, moet de arts nagaan of langer bewaren noodzakelijk is (uiteraard tenzij een eerdervernietigingsverzoek is gehonoreerd, zie A 9.2). De gegevens moeten langer dan tien jaar wordenbewaard als dat 'redelijkerwijs uit de zorg van een goed hulpverlener' voortvloeit, bijvoorbeeld omdat dearts alleen goede zorg kan bieden als de gegevens langer worden bewaard. Te denken valt aanlanglopende of terugkerende behandelingen bij chronische ziekten of erfelijke aandoeningen. Ook methet oog op wetenschappelijk onderzoek kan het van belang zijn gegevens langer te bewaren.Binnen de huisartsenpraktijk is het gewoonte de verschillende patiëntgegevens met het oog op decontinuïteit van zorg integraal op één kaart of in een bestand vast te leggen en langere tijd te bewaren.Het initiatief tot langer bewaren kan ook van de patiënt uitgaan. Daarover kunnen arts en patiënt samenafspraken maken.

De WGBO maakt het bewaren van gegevens die op het moment van inwerkingtreding van de WGBO (1april 1995) al zijn geregistreerd, nog tien jaar (tot 1 mei 2005) mogelijk. Gelet op het belang vanbewaring voor onder meer medisch-wetenschappelijk onderzoek adviseren we terughoudend te zijn methet vernietigen van medische dossiers en vernietiging bij voorkeur tot 1 mei 2005 uit te stellen, ook alwordt daarmee de bewaartermijn van tien jaar (ruim) overschreden. Dit is uiteraard niet van toepassingals de patiënt een beroep doet op vernietiging.


B 7 Checklist- Een '(eerst)verantwoordelijke' benoemen.- In overleg met collegae en eventueel medewerkers de doelen van de gegevensverwerking

definiëren (zie bijlage 6).- De gegevensverwerking melden (zie bijlage 7), tenzij er een vrijstelling is (zie B 5).- Een patiënteninformatiefolder opstellen of uitbrengen (zie A 4 en bijlage 1a).- Medewerkers informeren over hun geheimhoudingsplicht (zie bijlage 2).- Een overzicht opstellen van toegangsbevoegde medewerkers en een geheimhoudingsbepaling

opnemen in het arbeidscontract (zie B 2 en bijlage 3).- Checken of wordt voldaan aan de voorschriften om gegevens te beschermen tegen verlies,

diefstal of onrechtmatige verwerking (zie A 4 en bijlage 8).- Als er een bewerker is benoemd, een contract opstellen en daarin afspraken opnemen over

vertrouwelijke omgang met patiëntgegevens (zie bijlage 4).


C VOOR ARTSEN DIE IN EEN INSTELLING WERKEN

Dit hoofdstuk is een aanvulling op deel A en is bedoeld voor artsen die in een instelling voorgezondheidszorg werken. Met 'instelling voor gezondheidszorg' bedoelen we ziekenhuizen,verpleeghuizen, instellingen voor gehandicaptenzorg, psychiatrische instellingen, verslavingsklinieken,consultatiebureaus, gezondheidscentra10 etc. Of de artsen (in opleiding) al dan niet in dienstverbandwerkzaam zijn, is irrelevant.Doorgaans is in een instelling de directie of de Raad van Bestuur eindverantwoordelijk voor het beherenen instandhouden van het informatienetwerk en de gegevensbestanden. De binnen de instelling werkzameartsen (in opleiding) zijn (mede)verantwoordelijk voor de patiëntgegevens die zij verwerken. De'eindverantwoordelijke' heeft de in A 5 genoemde plichten, waaronder die van melding.

C 1 Doelen van de gegevensverwerkingDe 'eindverantwoordelijke' definieert in samenspraak met de artsen de doelen van de verwerking vanpatiëntgegevens.In de informatiefolder voor patiënten (zie bijlage 1b) moeten de doelen van de verwerking wordenaangegeven. Gegevens mogen alleen voor andere doelen worden verwerkt als de patiënt daarin toestemt.Bijlage 6 geeft voorbeelden van veel voorkomende doelen.

C 2 Toegang tot de gegevensverwerkingDe eindverantwoordelijke moet in samenspraak met de artsen zorgen voor een informatiefolder voorpatiënten.

Tip: Bijlage 1b kan hierbij behulpzaam zijn.

Net als bij papieren dossiers moeten ook bij elektronische patiëntenbestanden alle gegevens toegankelijken beschikbaar zijn. Bij een verandering van hard- of software moet worden nagegaan of de gegevens opde oude gegevensdrager in de toekomst nog kunnen worden ontsloten. Is dat niet het geval dan moet eenuitdraai van de oude gegevens worden gemaakt.

Tip: Het is raadzaam om dit als aandachtspunt in het contract met de bewerker op te nemen(zie bijlage 4).

In de informatiefolder voor patiënten kunt u aangeven welke medewerkers (per naam) of functionarissen(per functie) toegang hebben tot de patiëntgegevens. De eindverantwoordelijke dient hiervan insamenspraak met de artsen een overzicht op te stellen.

Tip: Bijlage 3 kan hierbij behulpzaam zijn.

Als er binnen de instelling wordt gewerkt met één integraal patiëntendossier, waarin ook alle gegevensvan andere hulpverleners (zoals medisch specialisten, verpleegkundigen, fysiotherapeuten,maatschappelijk werkers) worden opgenomen, moet de patiënt hierover worden geïnformeerd. Zie devoorbeeldtekst in bijlage 1b.Een waarnemer of vervanger moet uiteraard de patiëntgegevens kunnen inzien, echter uitsluitend voorzover dat noodzakelijk is voor de actuele hulpvraag van de betreffende patiënt.Een collega van de behandelend arts die wordt gevraagd een keuring te doen bij één van de patiënten vande behandelend arts, heeft voor dat doel geen toegang tot de patiëntgegevens, tenzij de patiënt daarvoor

10 Voor huisartsen werkzaam in een gezondheidscentrum zijn de specifiek voor huisartsen beschreven aanbevelingen genoemd in B 5, B 6en B 9 eveneens van toepassing.


toestemming geeft. Artsen doen er verstandig aan niet op te treden als keuringsarts van patiënten die henvia de waarneming al bekend zijn.Bij de behandeling betrokken medewerkers, zoals assistenten, verpleegkundigen, secretaresses enadministratieve medewerkers hebben uitsluitend toegang tot die gegevens, die op dat moment voor huntaak nodig zijn. De werkgever (dat kan de directie of Raad van Bestuur zijn maar ook een maatschap ofeen arts) doet er verstandig aan deze medewerkers niet alleen mondeling maar ook in hunarbeidsovereenkomst of via een protocol op hun geheimhoudingsplicht te wijzen (zie ook bijlage 2). Ditgeldt ook voor een eventuele bewerker (zie bijlage 4).

C 3 Opvolging en verwijzingBij opvolging door een andere arts binnen de instelling heeft de 'nieuwe' arts toegang tot het volledigedossier. Doorgaans worden de patiënten ruime tijd voor vertrek van de 'oude' arts geïnformeerd over deopvolging. De patiënt kan dan eventueel bezwaar maken tegen de opvolging en de overdracht van hetdossier aan de 'nieuwe' arts. Kiest de patiënt voor een arts in een andere instelling, dan kan (tegenbetaling, zie bijlage 5) een kopie van het dossier aan de patiënt worden verstrekt. Het originele dossierwordt binnen de instelling bewaard, tenzij een verzoek van de patiënt tot vernietiging wordtgehonoreerd(zie A 9.2).Onbetaalde nota's mogen overdracht niet in de weg staan. Bij verwijzing naar een collega wordt eenverwijsbrief en eventueel een kopie van relevante informatie uit het dossier meegegeven of opgestuurd,tenzij de patient daartegen bezwaar maakt. Voor deze intercollegiale informatie-uitwisseling wordendoorgaans geen kosten in rekening gebracht.

C 4 Rechten van de patiëntPatiënten hebben een aantal wettelijke rechten, zie A 9 voor een overzicht. Om een beroep op een recht tedoen kunnen patiënten een verzoek richten tot de '(eind)verantwoordelijke' of de behandelend arts. Inalle gevallen zal de behandelend arts het verzoek beoordelen, omdat alleen hij kan motiveren of hetpatiëntenrecht al dan niet kan worden gehonoreerd. Als een patiënt een beroep doet op zijn rechten, danmoet de '(eind)verantwoordelijke' of de behandelend arts daarop in beginsel binnen vier weken reageren.

C 5 BewaartermijnDe wettelijk bewaartermijn is (minimaal) tien jaar. Om praktische redenen rekent men gewoonlijk vanafhet moment dat het laatste consult of de laatste behandeling werd beëindigd Als de termijn is verlopen,moet de arts nagaan of langer bewaren noodzakelijk is (uiteraard tenzij een eerder vernietigingsverzoek isgehonoreerd, zie A 9.2). De gegevens moeten langer dan tien jaar worden bewaard als dat 'redelijkerwijsuit de zorg van een goed hulpverlener' voortvloeit, bijvoorbeeld omdat de arts alleen goede zorg kanbieden als de gegevens langer worden bewaard. Te denken valt aan langlopende of terugkerendebehandelingen bij chronische ziekten of erfelijke aandoeningen. Ook met het oog op wetenschappelijkonderzoek kan het van belang zijn gegevens langer te bewaren.Het initiatief tot langer bewaren kan ook van de patiënt uitgaan. Daarover kunnen arts en patiënt samenafspraken maken.De BOPZ kent een aparte regeling voor het bewaren van dossiers die tijdens een BOPZ-opname zijnvervaardigd. Tot vijf jaar na afloop van deze opname mogen de gegevens niet worden vernietigd (zie A9.2a). Daarna mag dat wel, al wordt (ook door de Stichting Patiënten Vertrouwenspersonen)geadviseerd deze gegevens minstens tien jaar te bewaren. Afschriften van rechterlijke beslissingen,beschikkingen van de burgemeester tot dwangopname (IBS) en de bijbehorende geneeskundigeverklaringen moeten echter vijf jaar na dagtekening worden vernietigd. Voor deze gegevens geldt dus eenéchte maximum bewaartermijn.In een speciale regeling voor academische ziekenhuizen is bepaald dat sommige gegevens 115 jaar moetenworden bewaard (zie A 9.2a).


De WGBO maakt het bewaren van gegevens die op het moment van inwerkingtreding van de WGBO (1april 1995) al zijn geregistreerd, nog tien jaar (tot 1 mei 2005) mogelijk. Gelet op het belang vanbewaring voor onder meer medisch-wetenschappelijk onderzoek adviseren we terughoudend te zijn methet vernietigen van medische dossiers en de vernietiging bij voorkeur tot 1 mei 2005 uit te stellen, ook alwordt daarmee de bewaartermijn van tien jaar (ruim) overschreden. Dit is uiteraard niet van toepassingals de patiënt een beroep doet op vernietiging.

C 6 ChecklistIn samenspraak met de '(eind)verantwoordelijke':

- De doelen van het verwerken van patiëntgegevens definiëren (zie bijlage 6).- De verschillende gegevensverwerkingen binnen de instelling inventariseren.- Een informatiefolder voor patiënten opstellen (zie bijlage 1b).- Een overzicht van toegangsbevoegde functionarissen opstellen (zie bijlage 3).- Een eenvoudige procedure opstellen voor verzoeken van patiënten tot uitvoering van hun

rechten.- Voor zover een arts of maatschap werkgever is: een clausule in het arbeidscontract of in het

protocol van medewerkers opnemen over de geheimhoudingsplicht bij het omgaan metpatiëntgegevens (zie bijlage 2).


D VOOR ARTSEN DIE 'IN OPDRACHT' VAN EEN DERDE WERKEN

Dit hoofdstuk is een aanvulling op deel A en is bedoeld voor artsen die in opdracht van een derde (eenander dan de patiënt) geneeskundige handelingen verrichten, zoals het op basis van een wettelijkeregeling afgeven van een advies over de patiënt, een aanstellingskeuring, handelingen bijverzuimbegeleiding e.d. Artsen die onder deze doelgroep vallen zijn keuringsartsen,verzekeringsgeneeskundigen, GGD-artsen, artsen die een advies geven aan een Regionaal IndicatieOrgaan, bedrijfsartsen etc. Het kan ook gaan om huisartsen of medisch specialisten die, naast hun'curatieve' werk, keuringen doen en/of adviezen aan een opdrachtgever geven. Binnen één functie kanzowel sprake zijn van 'handelingen in opdracht' als van 'vrijwillige handelingen'. Bijvoorbeeld eenbedrijfsarts die naast aanstellingskeuringen, verplichte keuringen tijdens dienstverband en handelingenin het kader van de verzuimbegeleiding ook 'vrijwillige handelingen' verricht zoals het houden van eenarbeidsomstandighedenspreekuur en het doen van curatieve handelingen.Als bovengenoemde activiteiten worden uitgevoerd door een arts in een zelfstandige praktijk, zal hij als'verantwoordelijke' moeten zorgdragen voor uitvoering van de privacy-eisen zoals vermeld in A 5 en is dechecklist in B 7 van toepassing. Is de arts werkzaam in een instelling zoals bedoeld in deel C, dan isdoorgaans zijn werkgever 'eindverantwoordelijke' en is de checklist in C 6 van toepassing.Als we spreken van 'patiënt' bedoelen we ook 'keurling' of 'cliënt'.

D 1 Andere relevante wetgevingVoor deze doelgroep is behalve de WGBO ook specifieke wetgeving van toepassing. De WGBO, die derelatie arts-patiënt regelt, is ofwel rechtstreeks van toepassing (voor de 'vrijwillige handelingen') ofwelvan overeenkomstige toepassing (voor de 'handelingen in opdracht'). Voor 'handelingen in opdracht' isniet altijd duidelijk in welke mate de WGBO van toepassing is, met name als ook andere wettelijke regelsvan toepassing zijn, die van de WGBO afwijken. Dit kan zich doen gelden bij de reikwijdte van hetberoepsgeheim (bij verplichte adviezen aan de opdrachtgever), de invulling van patiëntenrechten, debewaartermijn van gegevens etc.Daarvan geven we hieronder een aantal voorbeelden.

D 2 Doelen van de gegevensverwerkingDe 'verantwoordelijke' moet de doelen van de gegevensverwerking definiëren. Is de directie van deinstelling of de dienst de 'verantwoordelijke', dan zal dit in samenspraak met de artsen gebeuren.

Tip: Bijlage 6 geeft voorbeelden van veel voorkomende doelen. De verschillende doelen vangegevensverwerking moeten ook in de informatiefolder voor patiënten worden aangegeven(zie bijlage 1c).

Om gegevens voor andere doelen te verwerken is uitdrukkelijke toestemming van de patiënt nodig.

D 3 Toegang tot de gegevensverwerkingBent u als arts de 'verantwoordelijke', lees dan B 3; is de instelling de '(eind)verantwoordelijke', lees danC 3.Bijlage 1c geeft een voorbeeld van een informatiefolder voor patiënten waarin onder meer wordtaangegeven welke personen of medewerkers toegang hebben tot welke patiëntgegevens (zie D 4).Een vervanger of waarnemer moet patiëntgegevens kunnen inzien, echter uitsluitend voor zover datnoodzakelijk is voor een goede vervulling van zijn taak. Hij mag bijvoorbeeld geen patiëntgegevensgebruiken voor doelen die de patiënt niet bekend zijn. Daarvoor moet de patiënt eerst toestemminggeven.


Bij overgang naar een andere (arbo)dienst, organisatie of instelling mogen gegevens alleen wordenovergedragen als de patiënt daartegen geen bezwaar heeft. Verwerkt de 'nieuwe' dienst de gegevens voorandere doelen, dan is eerst toestemming van de patiënt nodig.

D 4 Nadere invulling van de geheimhoudingsplichtVoor enkele veel voorkomende 'handelingen in opdracht' geven we in het kort aan wanneer en onderwelke voorwaarden gegevens aan de 'opdrachtgever' mogen worden verstrekt.

(aanstellings- of verzekerings)keuringDe WMK bepaalt dat de keurend arts en de geneeskundig adviseur niet méér aan de opdrachtgevermogen meedelen dan voor het doel van de keuring noodzakelijk is. Voor het doorgeven van dekeuringsuitslag is geen toestemming van de keurling nodig. Wel kan de keurling in bepaalde situatiesgebruikmaken van het recht om het doorgeven van gegevens te blokkeren (zie D 6).

verplichte keuring tijdens dienstverbandDe bedrijfsarts mag zonder toestemming van de keurling de werkgever in kennis stellen van de uitslag ende eventuele consequenties van een verplichte keuring tijdens dienstverband.

verzuimbegeleidingBij verzuimbegeleiding zijn de werkgever, de uitvoeringsinstelling, de curatieve sector en soms ook departiculiere verzekeraar betrokken. De bedrijfsarts kan zijn conclusies over de mogelijkheden tot hetverrichten van arbeid zonder toestemming van de patiënt aan de werkgever meedelen. Hij mag echteralleen informatie verstrekken over de werkzaamheden waartoe de werknemer nog wel of niet meer instaat is en over de inspanningen of voorzieningen ten behoeve van de werkhervatting of reïntegratie, diede werkgever zou kunnen treffen. Eventueel kan de bedrijfsarts een (onderbouwde) uitspraak over degeschatte duur van de arbeidsongeschiktheid doen. Als een verzuimende werknemer zich niet houdt aanwettelijke verplichtingen, zoals het meewerken aan de genezing, mag de bedrijfsarts dit aan de werkgevermelden. Het verdient aanbeveling de patiënt altijd te informeren over hetgeen aan de werkgever wordtgemeld. Gegevens over de gezondheid van de patiënt mogen alleen met toestemming van de patiënt aananderen worden verstrekt. Dat geldt ook voor gegevens over de gezondheid van de patiënt die wordenuitgewisseld tussen de bedrijfsarts en de deelnemers aan het sociaal-medisch overleg of team(personeelsfunctionaris, bedrijfsmaatschappelijk werkende, bedrijfspsycholoog, arbeidsdeskundige).

het verstrekken van medische gegevens aan een uitvoeringsinstellingDe OSV verplicht de bedrijfsarts alle informatie aan de uitvoeringsinstellingen te verstrekken die nodig isvoor de uitvoering van de sociale-zekerheidswetgeving. Die informatieplicht gaat heel ver. Met het oogop het beroepsgeheim hebben verschillende partijen, waaronder de KNMG, daar dan ook kritiek opgeleverd. In het algemeen wordt aangenomen dat zonder toestemming van de patiënt informatie magworden verstrekt over de werkzaamheden waartoe deze nog wel of niet meer in staat is, en overinspanningen of voorzieningen die de werkgever met het oog op werkhervatting of reïntegratie zoukunnen treffen. Bij het verstrekken van meer informatie moet in beginsel op basis van informed consentvan de patiënt worden gehandeld. Als minimumeis geldt dat de patiënt de mogelijkheid moet hebbenhiertegen bezwaar te maken.Meer informatie over de reikwijdte van de geheimhoudingsplicht van de arts is te vinden in het advies'WGBO en Bedrijfsarts' en in de KNMG-Code 'Samenwerking bij arbeidsverzuim' (zie Literatuur).

D 5 Rechten van de patiëntPatiënten hebben recht op inzage in en afschrift van hun gegevens. Voorts hebben zij recht op aanvulling,correctie, afscherming en vernietiging van gegevens. Als een patiënt gebruik wenst te maken van een ofmeer rechten, is de behandelend arts verplicht op dat verzoek te reageren.


Bij 'handelingen in opdracht' kan een beroep van een patiënt op een patiëntenrecht in strijd zijn met'(redelijke) belangen van derden'. Voorbeeld: een verzoek om gegevens te vernietigen kan op gespannenvoet staan met goede bedrijfsgezondheidszorg. Zo kunnen de werkgever en de hulpverleners binnen dearbodienst belang hebben bij het bewaren van informatie die bij (verplichte) keuringen tijdensdienstverband is verkregen, en die relevant is voor een goede verdere begeleiding. 'Advies WGBO enbedrijfsarts' (zie Literatuur) gaat hierop nader in.

D 6 BlokkeringsrechtIn enkele gevallen heeft de patiënt het recht om het doorgeven van bepaalde gegevens aan deopdrachtgever, zoals de uitslag van een onderzoek of keuring, te blokkeren. Om dit recht te kunnenuitoefenen moet de patiënt als eerste in kennis worden gesteld van de uitslag en de daaraan te verbindengevolgtrekkingen. Dat geldt uiteraard niet als de patiënt vooraf aangeeft geen gebruik te maken van hetblokkeringsrecht en ermee instemt dat de arts de uitslag direct doorgeeft aan de opdrachtgever. Hetblokkeringsrecht geldt bij onderzoeken of keuringen vanwege een nieuwe functie, een nieuweverzekeringsovereenkomst of een opleiding. Wel zal gebruikmaking van het blokkeringsrecht (doorgaansnegatieve) consequenties kunnen hebben voor het verkrijgen van de functie, opleiding of verzekering.

D 7 BewaartermijnHoofdregel is dat patiëntgegevens niet langer mogen worden bewaard dan noodzakelijk is om de doelente realiseren waarvoor de gegevens worden verwerkt. De arts kan gegevens langer dan tien jaar nabeëindiging van de behandelingsovereenkomst bewaren, als dat voortvloeit 'uit de zorg van een goedhulpverlener', bijvoorbeeld omdat de arts alleen goede zorg kan bieden als de gegevens bewaard blijven.In bepaalde gevallen schrijft een specifieke wet een andere bewaartermijn voor. Zo geldt voor meldingenvan infectieziekten aan de medisch directeur of aan de arts van de GGD een bewaartermijn van maximaalvijf jaar ingevolge de Infectieziektenwet. Binnen de Jeugdgezondheidszorg is het usance gegevens tebewaren tot tien jaar na afloop van de zorgperiode, dus tot het 29e jaar. Arbodiensten bewaren degegevens veelal tot tien jaar na beëindiging van het dienstverband van de patiënt/werknemer, of langerals specifieke omstandigheden (zoals de bevindingen uit een risico-inventarisatie) dat nodig maken. Bijeen aanstellingskeuring kan de bewaartermijn (veel) korter zijn dan tien jaar. Omdat keurlingen eenweek de tijd hebben om een herkeuring aan te vragen, is een bewaartermijn van minstens een weekvereist. Als de keurling wordt afgewezen, ligt het voor de hand de gegevens te vernietigen. Wordt dekeurling aangenomen, dan kan de tijdens de keuring verkregen informatie van wezenlijk belang zijn voorde verdere begeleiding van de werknemer door de bedrijfsarts of arbeidsdeskundige. Dit kan reden zijneen langere bewaartermijn aan te houden en dit (eventueel tijdelijk) te laten prevaleren boven hetvernietigingsrecht van de patiënt/werknemer. Ook voor het opsporen en evalueren van beroepsziektenkan het nodig zijn gegevens langere tijd te bewaren. De patiënt dient hiervan wel op de hoogte te zijn.

D 8 ChecklistBent u als arts de 'verantwoordelijke', gebruik dan de checklist bij B 7; is de instelling de'(eind)verantwoordelijke', gebruik dan de checklist bij C 6.


BIJLAGE 1

Bijlage 1 bevat drie modellen van informatiefolders voor patiënten, te weten:a een folder voor patiënten van artsen die in een zelfstandige praktijk werkenb een folder voor patiënten van artsen die in een instelling werkenc een folder voor patiënten / cliënten van artsen die 'in opdracht' van een derde werken

a. INFORMATIEFOLDER VOOR PATIENTEN VAN ARTSEN DIE IN EEN ZELFSTANDIGEPRAKTIJK WERKEN

Geachte mevrouw, geachte heer,

Voor een goede behandeling is het noodzakelijk dat uw arts een dossier aanlegt. Het dossier bevataantekeningen over uw gezondheidstoestand en gegevens over de uitgevoerde onderzoeken enbehandelingen. Ook worden in het dossier de voor uw behandeling noodzakelijke gegevens opgenomendie uw arts elders, bijvoorbeeld bij een medisch specialist in het ziekenhuis of bij de bedrijfsarts met uwtoestemming heeft opgevraagd. Omgekeerd kunnen gegevens uit uw dossier wordt verstrekt aan anderehulpverleners. Zo kunnen bij een verwijzing bijvoorbeeld gegevens aan een medisch specialist, eenlaboratorium of een fysiotherapeut worden verstrekt, tenzij u daar uitdrukkelijk bezwaar tegen maakt.Ook kunnen gegevens worden gebruikt voor waarneming of voor intercollegiale toetsing binnenbijvoorbeeld de huisartsengroep.Een beperkt aantal gegevens uit uw dossier wordt gebruikt voor de financiële administratie. Ook wordengegevens uit uw dossier aan anderen verstrekt als dat wettelijk is voorgeschreven. Een voorbeeld: bij eenoverlijden moet de behandelend arts een verklaring van overlijden afgegeven aan de ambtenaar van deburgerlijke stand.Als uw arts uw gegevens wil gebruiken voor een ander doel11 dan hierboven is aangegeven, dan moet udaarover geïnformeerd worden en is uw toestemming nodig. Uw toestemming is bijvoorbeeld nodig alsuw gegevens worden gebruikt voor wetenschappelijk onderzoek of statistiek. Uw toestemming is nietnodig als gegevens worden gebruikt die niet tot uw persoon herleidbaar zijn.

Beveiliging van uw gegevensUw arts draagt er zorg voor dat uw gegevens veilig worden opgeborgen, dat deze niet verloren raken enniet in onbevoegde handen komen. Rechtstreeks bij uw behandeling betrokken hulpverleners hebben ooktoegang tot uw gegevens. Voorbeelden zijn de (praktijk)assistent(e), waarnemer en geconsulteerdeandere hulpverleners. Zij hebben alleen toegang tot die gegevens in het dossier die noodzakelijk zijn voorhun taak. Deze hulpverleners zijn ook verplicht tot geheimhouding12.

BewaartermijnUw gegevens worden in principe niet langer bewaard dan nodig is voor het doel of de doelen zoalshierboven aangegeven. De algemene bewaartermijn is tien jaar maar de termijn kan ook langer zijn.Gegevens mogen in ieder geval tot 1 mei 2005 worden bewaard, ongeacht wanneer ze zijn vastgelegd. Datkan van belang zijn voor bijvoorbeeld medisch-wetenschappelijk onderzoek. Als een beroep wordtgedaan op het vernietigingsrecht (zie hieronder) kan de bewaartermijn korter zijn.

11 Alle doelen waarvoor u patiëntgegevens verwerkt, moet u hier vermelden. Zie ook bijlage 6 van deze brochure.12 » Tip: U kunt eventueel het overzicht van toegangsbevoegdheden uit bijlage 3 aan de patiëntenfolder toevoegen.


Het kan voorkomen dat uw arts de gegevens langer dan tien jaar moet bewaren, bijvoorbeeld omdat hijalleen goede zorg kan bieden als de gegevens bewaard blijven. U kunt hierbij denken aan langlopende ofterugkerende behandelingen bij chronische ziekten of erfelijke aandoeningen. Binnen dehuisartsenpraktijk is het gewoonte de verschillende patiëntgegevens met het oog op de continuïteit vanzorg integraal op een kaart of in een bestand vast te leggen en langere tijd te bewaren.Het initiatief tot langer bewaren kan ook van u uitgaan. Daarover kunt u met uw arts afspraken maken.

Recht op inzage en afschriftU heeft er recht op uw gegevens in te zien en u kunt om een afschrift van uw gegevens verzoeken. Uw artsmoet dat verzoek binnen vier weken honoreren, tenzij dit in strijd is met het privacybelang van eenander. Voor het verstrekken van afschriften mag hij een vergoeding vragen.Voor afschriften van maximaal 50 blz.: f 10,- (E 4,54); voor afschriften van maximaal 100 blz.: f 50,-(E 22,69) en voor afschriften van meer dan 100 blz.: f 75,- (E 34,03). Voor andere afschriften(bijvoorbeeld röntgenfoto's of diskettes13) is de vergoeding ten hoogste f 100,- (E 45,38).

Recht op aanvulling, correctie en afschermingAls u van mening bent dat de gegevens in uw dossier inhoudelijk onjuist zijn, kunt u de arts vragen deze tecorrigeren. U kunt hem ook vragen een door u afgegeven (aanvullende) verklaring over de gegevens aanhet dossier toe te voegen.U kunt, indien u toch prijs stelt op bewaring van de gegevens, uw arts verzoeken (bepaalde) gegevensvoor anderen af te schermen als u vindt dat deze minder relevant of niet geheel juist zijn.U krijgt binnen vier weken te horen of, en zo ja, in hoeverre aan uw verzoek wordt voldaan.

Recht op verwijdering en vernietigingU kunt uw arts vragen (een deel van) uw gegevens te vernietigen. Uw arts moet dit verzoek binnen driemaanden uitvoeren, tenzij hij aannemelijk maakt dat het bewaren van de gegevens van aanmerkelijkbelang is voor iemand anders dan uzelf, of omdat een wettelijke bepaling vernietiging verbiedt.

Tip: Als er al een andere folder is uitgegeven, vergelijkt u dan de tekst. De informatieplicht geldt zowelvoor nieuwe patiënten als voor patiënten die al in behandeling zijn.

13 Zie bijlage 5 van deze brochure.


b. INFORMATIEFOLDER VOOR PATIENTEN VAN ARTSEN DIE IN EEN INSTELLINGWERKEN


Voor een goede behandeling is het noodzakelijk dat uw behandelend arts een dossier aanlegt. Het dossierbevat aantekeningen over uw gezondheidstoestand en gegevens over de uitgevoerde onderzoeken enbehandelingen. Ook worden in het dossier de voor uw behandeling noodzakelijke gegevens opgenomendie uw arts elders, bijvoorbeeld bij uw huisarts of bij een medisch specialist in een ander ziekenhuis metuw toestemming heeft opgevraagd. Omgekeerd kunnen gegevens uit uw dossier worden verstrekt aanandere hulpverleners binnen of buiten de instelling. Zo kunnen in geval van verwijzing bijvoorbeeldgegevens aan de radioloog of de klinisch chemicus worden verstrekt of, na ontslag uit het ziekenhuis, aanuw huisarts, tenzij u daar uitdrukkelijk bezwaar tegen maakt. Ook kunnen gegevens worden gebruiktvoor waarneming of voor intercollegiale toetsing binnen het ziekenhuis.Een beperkt aantal gegevens uit uw dossier wordt gebruikt voor de financiële administratie. Ook wordengegevens uit uw dossier aan anderen verstrekt als dat wettelijk is voorgeschreven. Een voorbeeld: debehandelend arts moet een infectieziekte melden aan de directeur van de GGD. Bij een overlijden moet debehandelend arts een verklaring van overlijden afgeven aan de ambtenaar van de burgerlijke stand.Indien u in het ziekenhuis wordt opgenomen, wordt bovendien een verpleegkundig dossier gemaakt. Nauw ontslag wordt dit doorgaans bij het dossier van uw arts gevoegd. Als uw arts uw gegevens wilgebruiken voor een ander doel14 dan hierboven is aangegeven, dan moet u daarover geïnformeerdworden en is uw toestemming nodig. Uw toestemming is bijvoorbeeld nodig als uw gegevens wordengebruikt voor wetenschappelijk onderzoek of statistiek. Uw toestemming is niet nodig als gegevensworden gebruikt die niet tot uw persoon herleidbaar zijn.

Als het ziekenhuis of de instelling15 werkt met centrale medische dossiers wordt aanbevolen in de folder op tenemen:In het ziekenhuis of de instelling wordt gewerkt met een centraal patiëntendossier. Dat is gedaan met hetoog op de continuïteit van zorg. Het betekent dat met uitzondering van de gegevens die de klinischpsycholoog of psychiater vastlegt en die afzonderlijk worden bewaard16, uw gegevens integraal in ééndossier door de verschillende hulpverleners worden genoteerd, tenzij u hier bezwaar tegen maakt.

Beveiliging van uw gegevensUw arts en de verantwoordelijke binnen de instelling17 dragen er zorg voor dat uw dossier veilig wordtopgeborgen, dat de gegevens niet verloren raken en niet in onbevoegde handen komen. Rechtstreeks bijuw behandeling of onderzoek betrokken hulpverleners hebben ook toegang tot uw gegevens.Voorbeelden zijn de (praktijk)assistent(e), waarnemer, verpleegkundige, geconsulteerde anderehulpverleners en ondersteunende medewerkers zoals doktersassistenten en secretaresses. Zij hebben alleentoegang tot die gegevens in het dossier die noodzakelijk zijn voor hun taak. Deze hulpverleners hebbeneen zelfstandig beroepsgeheim of een van uw arts afgeleide geheimhoudingsplicht18. Zie 1.a.

BewaartermijnUw gegevens worden in principe niet langer bewaard dan nodig is voor het doel of de doelen waarvoor zeworden verwerkt. De algemene bewaartermijn is tien jaar maar de termijn kan ook langer zijn. Gegevensmogen in ieder geval tot 1 mei 2005 worden bewaard, ongeacht wanneer ze zijn vastgelegd. Dat kan van

14 Alle doelen waarvoor binnen de instelling patiëntgegevens worden verwerkt, moeten hier worden vermeld. Zie ook bijlage 6 van dezebrochure.15 Vul in wat van toepassing is.16 Vul in wat in uw situatie van toepassing is.17 Vul in wie de verantwoordelijke is.18

» Tip: U kunt eventueel het overzicht van toegangsbevoegdheden uit bijlage 3 aan de patiëntenfolder toevoegen.


belang zijn voor bijvoorbeeld medisch-wetenschappelijk onderzoek. Als een beroep wordt gedaan op hetvernietigingsrecht (zie hieronder) kan de bewaartermijn korter zijn.Het kan voorkomen dat uw arts de gegevens langer dan tien jaar moet bewaren, bijvoorbeeld omdat hijalleen goede zorg kan bieden als de gegevens bewaard blijven. U kunt hierbij denken aan langlopende ofterugkerende behandelingen, zoals bij chronische ziekten of erfelijke aandoeningen.Het initiatief tot langer bewaren kan ook van u uitgaan. Daarover kunt u met uw arts afspraken maken.De Wet Bijzondere Opneming in Psychiatrische Ziekenhuizen (BPOZ) heeft een aparte regeling voor hetbewaren van dossiers die tijdens een BOPZ-opname zijn vervaardigd. Tot vijf jaar na het einde van dezeopname mag het dossier niet worden vernietigd. Daarna mag dat wel, al wordt (ook door de StichtingPatiënten Vertrouwenspersonen) geadviseerd deze gegevens minstens tien jaar te bewaren.Afschriften van rechterlijke beslissingen, beschikkingen van de burgemeester tot dwangopname (IBS) ende bijbehorende geneeskundige verklaringen moeten echter vijf jaar na dagtekening worden vernietigd.Voor deze gegevens geldt derhalve een échte maximumbewaartermijn.Academische ziekenhuizen mogen sommige gegevens, zoals de ontslagbrief, 115 jaar bewaren.

Recht op inzage en afschriftU mag uw gegevens inzien en u kunt om een afschrift van uw gegevens verzoeken. Uw arts moet datverzoek binnen vier weken honoreren, tenzij dit in strijd is met het privacybelang van een ander. Voorhet verstrekken van afschriften mag hij een vergoeding vragen.Voor afschriften van maximaal 50 blz.: f 10,- (E 4,54); voor afschriften van maximaal 100 blz.: f 50,-(E 22,69) en voor afschriften van meer dan 100 blz.: f 75,- (E 34,03). Voor andere afschriften(bijvoorbeeld röntgenfoto's of diskettes19) is de vergoeding ten hoogste f 100,- (E 45,38).

Recht op aanvulling, correctie en afschermingAls u vindt dat de gegevens in uw dossier inhoudelijk onjuist zijn, kunt u de arts vragen deze tecorrigeren. U kunt hem ook vragen een door u afgegeven (aanvullende) verklaring over de gegevens aanhet dossier toe te voegen.U kunt, indien u prijs stelt op bewaring van de gegevens, uw arts of de verantwoordelijke20 verzoeken(bepaalde) gegevens voor anderen af te schermen als u vindt dat deze feitelijk onjuist of niet relevant zijn.U hoort binnen vier weken of, en zo ja, in hoeverre aan uw verzoek wordt voldaan.

Recht op verwijdering en vernietigingU kunt uw arts of de verantwoordelijke20 vragen (een deel van) uw gegevens te vernietigen. Uw arts moetdit verzoek binnen drie maanden uitvoeren, tenzij hij aannemelijk maakt dat het bewaren van degegevens van aanmerkelijk belang is voor iemand anders dan uzelf, of omdat een wettelijke bepalingvernietiging verbiedt.

Tip: Als de instelling al een folder heeft uitgegeven, vergelijkt u dan de tekst. De informatieplicht geldtzowel voor nieuwe patiënten als voor patiënten die al in behandeling zijn.

19 Zie bijlage 5 van deze brochure.20 Vul in wie de verantwoordelijke is.


c. INFORMATIEFOLDER VOOR PATIENTEN VAN ARTSEN DIE 'IN OPDRACHT' VAN EENDERDE WERKEN(Zoals keuringsartsen, verzekeringsgeneeskundigen, bedrijfsartsen, GGD-artsen, adviserendartsen etc.)


Voor uw behandeling/begeleiding/onderzoek/controle/advies/keuring21 is het noodzakelijk dat de artseen dossier aanlegt. Het dossier bevat aantekeningen over uw gezondheidstoestand (of die van uw kind).Als dat nodig is, kunnen er ook gegevens in worden opgenomen die de arts of zijn waarnemer elders,bijvoorbeeld bij uw huisarts of specialist in het ziekenhuis met uw toestemming heeft opgevraagd.Omgekeerd kunnen gegevens uit uw dossier met uw toestemming worden verstrekt aan anderen, zoalseen bedrijfsmaatschappelijk werker, een arbeidsdeskundige, een medisch specialist die een expertise moetmaken, of uw huisarts. Als een derde, bijvoorbeeld uw werkgever of uw verzekeringsmaatschappij om hetonderzoek, de controle of de keuring heeft verzocht, dan mag de arts (uitsluitend) het resultaat daarvanaan de opdrachtgever doorgeven, zonder daarbij gegevens over uw gezondheid te vermelden. Dat geldtuiteraard niet als u gebruik maakt van het blokkeringsrecht (zie hieronder).Een beperkt aantal gegevens uit uw dossier wordt gebruikt voor de financiële administratie. Ook wordengegevens uit uw dossier aan anderen verstrekt als dat wettelijk is voorgeschreven. Een voorbeeld: debedrijfsarts moet een aangetoonde beroepsziekte melden aan het Nederlands Centrum voorBeroepsziekten.Als derden aan de arts vragen om voor een ander doel22 gegevens te verstrekken dan hierboven isaangegeven, dan moet u daarover geïnformeerd worden en is uw toestemming nodig. Uw toestemming isbijvoorbeeld nodig als uw gegevens worden gebruikt voor wetenschappelijk onderzoek of statistiek. Uwtoestemming is niet nodig als gegevens worden gebruikt die niet tot uw persoon herleidbaar zijn.

Beveiliging van uw gegevensUw arts en de verantwoordelijke binnen de instelling23 dragen er zorg voor dat uw gegevens veilig wordenopgeborgen, dat de gegevens niet verloren raken en niet in onbevoegde handen komen. Rechtstreeks bijde behandeling/begeleiding/onderzoek/controle/advies/keuring24 betrokken hulpverleners hebbeneveneens toegang tot uw gegevens. Voorbeelden zijn de (praktijk)assistent(e), verpleegkundige,waarnemer, geconsulteerde andere hulpverleners en ondersteunende medewerkers, zoalsdoktersassistenten en secretaresses. Zij hebben alleen toegang tot die gegevens in het dossier dienoodzakelijk zijn voor hun taak. Deze hulpverleners zijn ook verplicht tot geheimhouding25.

BewaartermijnUw gegevens worden in principe niet langer bewaard dan nodig is voor het doel of de doelen waarvoor zeworden verwerkt26. De algemene bewaartermijn is tien jaar maar de termijn kan ook langer zijn.

21 Vul in wie de verantwoordelijke is.22 Alle doelen waarvoor u gegevens verwerkt, moeten hier worden vermeld. Zie ook bijlage 6 van deze brochure.23 Vul in wie de verantwoordelijke is.24 Vul in wat in uw situatie van toepassing is.25 » Tip: U kunt eventueel het overzicht van toegangsbevoegdheden uit bijlage 3 aan de patiëntenfolder toevoegen.26 De bewaartermijn moet hier, afhankelijk van de situatie, nader worden aangegeven. Enkele voorbeelden: in geval van een keuring kandeze termijn veel korter zijn. In verband met de opsporing en evaluatie van beroepsziekten kan het noodzakelijk zijn de gegevens (veel)


Gegevens mogen in ieder geval tot 1 mei 2005 worden bewaard, ongeacht wanneer ze zijn vastgelegd. Datkan van belang zijn voor bijvoorbeeld medisch-wetenschappelijk onderzoek. Als u een beroep doet ophet vernietigingsrecht (zie hieronder), kan de bewaartermijn korter zijn.

Recht op inzage en afschriftU mag uw gegevens inzien en u kunt om een afschrift van uw gegevens verzoeken. Uw arts moet datverzoek binnen vier weken honoreren, tenzij dit in strijd is met het privacybelang van een ander. Voorhet verstrekken van afschriften mag hij een vergoeding vragen.Voor afschriften van maximaal 50 blz.: f 10,- (E 4,54); voor afschriften van maximaal 100 blz.: f 50,-(E 22,69) en voor afschriften van meer dan 100 blz.: f 75,- (E 34,03). Voor andere afschriften(bijvoorbeeld röntgenfoto's of diskettes27) is de vergoeding ten hoogste f 100,- (E 45,38).

Recht op aanvulling, correctie en afschermingAls u vindt dat de gegevens in uw dossier inhoudelijk onjuist zijn, kunt u de arts vragen deze tecorrigeren. U kunt hem ook vragen een door u afgegeven (aanvullende) verklaring over de gegevens aanhet dossier toe te voegen.U kunt, indien u prijs stelt op bewaring van de gegevens, uw arts of de verantwoordelijke28 verzoeken(bepaalde) gegevens voor anderen af te schermen als u vindt dat deze minder relevant of niet geheel juistzijn.U hoort binnen vier weken of, en zo ja, in hoeverre aan uw verzoek wordt voldaan.

Recht op verwijdering en vernietigingU kunt uw arts of de verantwoordelijke28 vragen (een deel van) uw gegevens te vernietigen. De arts of deverantwoordelijke moet dit verzoek binnen drie maanden uitvoeren, tenzij hij aannemelijk maakt dat hetbewaren van de gegevens van aanmerkelijk belang is voor iemand anders dan uzelf, of omdat eenwettelijke bepaling vernietiging verbiedt.

BlokkeringsrechtIn bepaalde gevallen heeft u als cliënt of keurling het recht om het doorgeven van gegevens, bijvoorbeeldde uitslag van een onderzoek of keuring, te blokkeren. Om dit recht uit te oefenen moet u als cliënt alseerste in kennis worden gesteld van de uitslag en de daaraan te verbinden conclusies. Dat geldt uiteraardniet als u vooraf aangeeft dat u geen gebruik maakt van dit recht en ermee instemt dat uw arts de uitslagdirect doorgeeft aan de opdrachtgever. Het blokkeringsrecht geldt bij onderzoeken of keuringen vooreen beoogde functie (dus niet uw huidige functie), een beoogde verzekeringsovereenkomst of eenopleiding.

Tip: als de afdeling, dienst of organisatie al een folder heeft uitgegeven, is het verstandig de teksten vanbeide folders op elkaar af te stemmen. De informatieplicht geldt zowel voor nieuwe patiënten als voorpatiënten die al in behandeling zijn.

langer dan tien jaar te bewaren. Binnen de Jeugdgezondheidszorg is het usance de gegevens te bewaren tot tien jaar na afloop van dezorgperiode, die van 0 tot 19 jaar loopt. Zie ook D 7.27 Zie bijlage 5 van deze brochure.28 Vul in wie de verantwoordelijke is.


BIJLAGE 2

DE WBP EN MEDEWERKERS IN EEN ARTSENPRAKTIJK

De informatie in deze bijlage heeft betrekking op onder meer praktijkassistenten,(praktijk)verpleegkundigen, administratieve medewerkers, artsen in opleiding en co-assistenten.In de arbeidsovereenkomst van medewerkers kunt u een bepaling opnemen die hen verplicht totgeheimhouding over alle patiëntengegevens die ze uit hoofde van die functie vernemen. Deze verplichtingtot geheimhouding blijft ook van toepassing nadat de arbeidsovereenkomst is beëindigd.Als er geen sprake is van een arbeidsovereenkomst kan de geheimhoudingsplicht in een afzonderlijkeovereenkomst of in een protocol worden opgenomen.

Medewerkers die door hun functie kennisnemen van patiëntgegevens, moeten zich op grond van hungeheimhoudingsplicht aan de volgende regels houden:1. De medewerker neemt uitsluitend kennis van patiëntgegevens voor zover die voor de uitvoering

van zijn taak noodzakelijk zijn.2. De medewerker is niet gerechtigd om zonder overleg of afstemming met de behandelend arts

patiëntgegevens ter inzage te geven of afschriften aan derden te verstrekken. De medewerkerdraagt er persoonlijk zorg voor, dat gegevens niet in onbevoegde handen komen, verloren rakenen/of uit onachtzaamheid openbaar worden; hij stelt zich op de hoogte van door de arts of deleiding opgestelde regels voor de beveiliging van en de omgang met gegevens.

3. De medewerker brengt zonder overleg of afstemming met de behandelend arts geen inhoudelijkewijzigingen aan en/of verwijdert geen gegevens, tenzij het onmiskenbaar foutieve administratievegegevens betreft. In dat geval vermeldt hij bij de correctie de datum en zijn initialen/code.


BIJLAGE 3TOEGANGSBEVOEGDHEDEN VAN FUNCTIONARISSEN OF PERSONEN

Dit overzicht is bedoeld als voorbeeld voor de toegang tot patiëntgegevens; het dient aan een specifiekesituatie te worden aangepast.

Functionaris of naamAard van de gegevens

NAW Medisch FinancieelBehandelend arts/specialist + + +Mede-behandelend arts/specialist + + +Waarnemer van behandelendarts/specialist

+ a a

Assistenten in opleiding + a aAssistentes ter ondersteuning + a aMedisch secretarieel/administratiefpersoneel

+ a +

Financiële administratie van instelling + o +Directie of Raad van Bestuur + o +ICT systeembeheerder i i iICT onderhoudsdienst/softwareleverancier

i i i

Bewerker b b b

legenda:+ toegang onbeperkta toegang uitsluitend voor zover noodzakelijk voor de actuele behandelingb toegang uitsluitend voor zover noodzakelijk voor een goede taakuitoefening van de bewerkeri toegang uitsluitend voor zover noodzakelijk voor onderhoud en opsporing van fouteno geen toegang


BIJLAGE 4AANDACHTSPUNTEN VOOR EEN CONTRACT MET EEN BEWERKER

Een bewerker is iemand buiten de organisatie van de verantwoordelijke, die niet in een hiërarchischeverhouding tot de verantwoordelijke staat. Als een bewerker persoonsgegevens gaat verwerken, moet deverantwoordelijke de bewerker duidelijk maken hoe hij met de persoonsgegevens moet omgaan. Deverplichtingen van de verantwoordelijke en de bewerker moeten duidelijk in een schriftelijkeovereenkomst worden vastgelegd. De verantwoordelijke moet toezien op de naleving van de uit deovereenkomst voortvloeiende verplichtingen.In de overeenkomst moet tenminste worden vastgelegd dat:- persoonsgegevens uitsluitend worden verwerkt in opdracht van de verantwoordelijke;- de bewerker en alle medewerkers, handelend onder zijn gezag, uitsluitend toegang hebben tot

gegevens voor zover noodzakelijk voor de vervulling van hun taak;- de bewerker en alle medewerkers, handelend onder zijn gezag, verplicht zijn de gegevens waarvan

zij kennis nemen, geheim te houden;- de bewerker voldoende technische en organisatorische waarborgen biedt ter beveiliging tegen

verlies of onrechtmatige verwerking van gegevens;- eventueel kan worden opgenomen, dat de bewerker ervoor zorgdraagt dat bij verandering van

hard- of software wordt gecheckt of de gegevens op de oude gegevensdrager nog kunnen wordenontsloten; zo niet dan moet bijvoorbeeld voorafgaand aan de verandering een uitdraai van degegevens worden gemaakt.


BIJLAGE 5BESLUIT OVER PRIJZEN VAN AFSCHRIFTEN(overgenomen uit KNMG vademecum)

In de Wet geneeskundige behandelingsovereenkomst WGBO is het recht op afschrift opgenomen. Opgrond van dit recht kan een patiënt (of met machtiging diens vertegenwoordiger, bijvoorbeeld eenadvocaat) verzoeken om een afschrift van (een gedeelte van) het medisch dossier dat over hem of haardoor een hulpverlener is aangelegd (zie hoofdstuk 6 van de KNMG-richtlijnen inzake het omgaan metmedische gegevens). Als een patiënt om een afschrift verzoekt, moet dit door de hulpverlener in beginselaltijd worden verstrekt. Dat is alleen anders als de verstrekking van een afschrift de privacy van een anderin gevaar zou brengen.Voor het verstrekken van een afschrift kan (dit hoeft niet) een hulpverlener op grond van de WGBO eenredelijke kostenvergoeding vragen. Aangezien de meeste medische dossiers systematisch toegankelijk zijn- voor zover ze al niet in geautomatiseerde vorm worden bijgehouden - is ook de Wet BeschermingPersoonsgegevens van toepassing. Ingevolge het op dit moment vigerende Besluit29 zijn de volgendetarieven vastgelegd voor het verstrekken van één of meer afschriften.

1. Voor het verstrekken van afschriften van dossiergegevens kan maximaal f 10,- (E 4,54) inrekening worden gebracht, indien het afschrift bestaat uit ten hoogste 49 blz.

2. Voor het verstrekken van afschriften van dossiergegevens kan maximaal f 50,- (E 22,69) inrekening worden gebracht, indien het afschrift bestaat uit 50 - 100 blz.

3. Voor het verstrekken van afschriften van dossiergegevens kan maximaal f 75,- (E 34,03) inrekening worden gebracht, indien het afschrift bestaat uit meer dan 100 blz.

4. De vergoeding voor het afschrift, dat op een andere gegevensdrager wordt verstrekt dan papierbedraagt ten hoogste f 100,- (E 45,38).Hierbij kan worden gedacht aan elektronische verstrekking, bijvoorbeeld op diskette of via eendirecte verbinding tussen personal computers, of de verstrekking van een afdruk van een(röntgen)foto.

5. De vergoeding voor een afschrift van een, vanwege de aard van de vaststelling, moeilijktoegankelijke registratie bedraagt ten hoogste f 100,- (E 45,38). Het gaat hier omontoegankelijkheid in technische zin. Worden gegevens bijvoorbeeld vastgelegd op microfilm,dan is verstrekking pas na het verrichten van enige bewerking mogelijk: opzoeken, vergroten envervolgens afdrukken. Het feit dat een dossier niet bij de houder zelf wordt bewaard, maar bij eenderde is geen ontoegankelijkheid in technische zin en rechtvaardigt geen vergoeding op basis vandit artikel.Indien voor het verstrekken van een afschrift verschillende criteria voor het berekenen van devergoeding van toepassing zijn, wordt slechts de hoogste vergoeding in rekening gebracht.

29 Besluit van 8 oktober 1988, houdende vaststelling van de maximale vergoeding van kosten van een bericht als bedoeld in de artikelen 29en 32 Wet persoonsregistraties (Staatsblad 1998, 594).


BIJLAGE 6MOGELIJKE DOELEN VOOR HET VERWERKEN VAN PATIENTGEGEVENS(achter het doel staat het corresponderende deel in deze brochure)

- Goede zorg en hulpverlening aan de patiënt30. (B, C en D)- Het verrichten van een keuring of een onderzoek en het op basis daarvan adviseren van de

opdrachtgever. (D)- Sociaal-medische begeleiding en reïntegratie in het kader van de sociale-zekerheidswetgeving. (D)- Het houden van een arbeidsomstandighedenspreekuur. (D)- Financiële administratie, waaronder het in handen van derden stellen van vorderingen en het

laten uitvoeren van accountantscontrole. (B, C, D)- Behandeling van klachten van patiënten. (B, C, D)- Wetenschappelijk onderzoek, statistiek en medisch onderwijs. (B, C, D)- Beleid en management. (B, C, D)- Kwaliteitsbewaking van de zorg. (B, C, D)- Incidentenregistratie (FONA of MIP). (C)- Intercollegiale toetsing. (B, C, D)- Speciale begeleiding van leerlingen binnen het bijzonder onderwijs. (D)- Uitvoering van een verzekeringsovereenkomst en risicobeoordeling. (D)- Uitvoering van wettelijke taken opgelegd aan de reclassering (bijvoorbeeld de Raad voor de

Kinderbescherming; specificeren door de betreffende 'verantwoordelijke'). (D)- Tenuitvoerlegging van vrijheidsstraffen, beperkende maatregelen of vreemdelingenbewaring. (D)

30 Deze algemene doelstelling moet nader worden gespecificeerd, bijvoorbeeld binnen gezondheidscentra, verslavingsklinieken,psychiatrische instellingen, jeugdgezondheidszorg, GGD-en, militaire geneeskunde etc.


BIJLAGE 7INVULLEN VAN HET MELDINGSPROGRAMMA VAN HET CBPAls arts zult u zich in de meeste gevallen niet hoeven te melden bij het CBP. Hetzij omdat u als individuelehulpverlener (bijvoorbeeld als vrijgevestigde huisarts) bent vrijgesteld van melding, hetzij omdat deinstelling waar u werkzaam bent voor de melding zorgdraagt (zie A 4). Als u wel eenmeldingsprogramma van het CBP moet invullen, dan vindt u in deze bijlage enkele suggesties.

Bij het ter perse gaan van deze brochure was het meldingsprogramma van het CBP nog niet gereed.Zodra dit gereed is, zal aangegeven worden hoe het te verkrijgen is.Hieronder vindt u de onderwerpen die in ieder geval aan de orde komen. Daarbij zijn steeds één of meersuggesties genoemd.

1. Naam en adres van de verantwoordelijkeAls u degene bent die vaststelt met welk doel en welke middelen patiëntgegevens worden verwerkt, moet uhier uw naam en (praktijk)adres invullen. Indien u samen met anderen deze verantwoordelijkheiddraagt, dan vermeldt u uw gezamenlijke naam (of de naam van degene die de eindverantwoordelijkheidop zich neemt) en vult u het adres in waar patiënten terechtkunnen met vragen of klachten. Zie ook A 2.

2. Doelen van de verwerkingZie A 5 en bijlage 6.

3. Categorieën van betrokkenenPatiënten en/of cliënten.

4. Categorieën van gegevensHet gaat hier om alle gegevens die noodzakelijk zijn voor het doel van de verwerking. Vul hier het doel indat u bij punt 2 hebt ingevuld. Bijvoorbeeld: noodzakelijk voor de goede zorg en hulpverlening aan depatiënt.

5. Categorieën van ontvangersHet antwoord is afhankelijk van uw situatie. U kunt denken aan: ziekenhuizen, andere hulpverleners,landelijke of regionale registraties (bij naam noemen), zorgverzekeraars.

6. Voorgenomen doorgifte van gegevens naar landen buiten de EUHet kan gaan om ieder land in de wereld als de doorgifte van gegevens noodzakelijk is om debehandelingsovereenkomst met de patiënt uit te voeren, als de doorgifte met toestemming van de patiëntplaatsvindt, of als het om een noodgeval gaat en de doorgifte in het belang is van de patiënt. Zie ook A 8.

7. Algemene beschrijving van de beveiligingsmaatregelenU beantwoordt hier algemene vragen zoals:Heeft u de autorisatie van de toegangsbevoegden (zie bijlage 3) geregeld?Maakt u gebruik van login-namen en/of wachtwoorden?Staan uw patiëntgegevens in verbinding met de elektronische snelweg?Maakt u gebruik van versleuteling?Past u zogenaamde privacy bevorderende technologieën toe?Hiermee kan het CBP een inschatting maken van uw beveiligingsniveau. Zie A 4 en bijlage 8.


BIJLAGE 8BEVEILIGING VAN PATIENTGEGEVENS DOOR ARTSENVoorschriften van het college bescherming persoonsgegevens (CBP)

Op grond van artikel 13 van de WBP zijn artsen verplicht om de noodzakelijke technische enorganisatorische maatregelen te treffen om patiëntgegevens te beveiligen tegen verlies of tegen enige vormvan onrechtmatige verwerking. Deze maatregelen moeten er mede op gericht zijn om onnodigeverzameling en verdere verwerking van patiëntgegevens te voorkomen. De interpretatie van artikel 13WBP is in handen van het CBP.

In de Achtergrondstudie en verkenning nr. 23: 'Beveiliging van persoonsgegevens' (Beveiliging vanpersoonsgegevens tegen verlies en tegen enige vorm van onrechtmatige verwerking) zijn debeveiligingseisen opgenomen zoals die, na inwerkingtreding van de WBP, door het CBP wordengehanteerd.

De door de arts te treffen beveiligingsmaatregelen zijn afhankelijk van de aard en de omvang van depersoonsgegevens en van de wijze van verwerking van die persoonsgegevens. Er zijn vier 'risicoklassen'.De verwerking van patiëntgegevens door artsen valt in risicoklasse 2 (verhoogd risico). Onder verhoogdrisico wordt verstaan dat er extra negatieve gevolgen bestaan voor de patiënt bij verlies, of bijonbehoorlijke of onzorgvuldige verwerking van de persoonsgegevens vanwege het feit dat de artsgegevens over de gezondheid verwerkt. De WBP beschouwt gezondheidsgegevens als bijzondere(gevoelige) gegevens.

De 'Achtergrondstudie en verkenningen' nummer 23 geeft gedetailleerd weer welke beveiligingseisen bijrisicoklasse 2 gelden. Voor elektronische gegevensverwerking door artsen betekent dit bijvoorbeeld dat:- de gegevensverwerking geheel geëncrypteerd (versleuteld) moet zijn. Dus zowel het afzonderlijk

opgeslagen elektronische medische dossier van de arts, als het (eventuele) elektronisch uitwisselenvan gegevens met anderen (zoals andere zorgverleners);

- identificatie en verificatie adequaat geregeld zijn;- er sprake is van een strikte autorisatie, dus alleen degenen die daartoe bevoegd zijn, hebben

toegang tot de patiëntgegevens.

Voor meer informatie: zie 'Achtergrondstudie en verkenning', nummer 23 van de Registratiekamer(College Bescherming Persoonsgegevens) te Den Haag. Tot 1 september 2001: www.registratiekamer.nl,vanaf 1 september 2001: www.cbpweb.nl.


LITERATUUR

• Advies inzake overdracht medisch dossier bij verandering van huisarts. KNMG/LHV, Utrecht, 1994• Arts en patiëntenrechten. KNMG-Consult, vierde druk. Utrecht, maart 2000.• Doppegieter, RMS. Wet bescherming persoonsgegevens (WBP), stand van zaken. Medisch Contact,

nr. 42, 20 oktober 2000, blz. 1497.• Doppegieter, RMS De nieuwe privacywet, consequenties voor de gezondheidszorg. Medisch Contact,

nr. 35, 28 augustus 1998, blz. 1102-4.• Handleiding voor verwerkers van persoonsgegevens, Wet Bescherming Persoonsgegevens, uitgave

van het Ministerie van Justitie, januari 2001, www.minjust.nl. email: [email protected].

• Hooghiemstra TFM. De WBP en de gezondheidszorg. Tijdschrift voor gezondheidsrecht 1999, nr. 1,blz. 17-27.

• Inzage na overlijden. Medisch Contact, nr. 29/30, 28 juli 2000, blz. 1076-7.• Richtlijnen inzake het omgaan met medische gegevens. KNMG, Utrecht, november 1997 (op termijn

te herzien).• Samenwerking bij arbeidsverzuim KNMG-Code. Medisch Contact, nr. 9, 5 maart 1999, blz. 326-328• WGBO en bedrijfsarts, Advies aan de besturen van de Vereniging voor Gezondheidsrecht en de

Nederlandse Vereniging voor Arbeids- en Bedrijfsgeneeskunde, augustus 2000.


COLOFON

De 'Handleiding voor artsen inzake privacy en omgaan met patiëntgegevens' is een uitgave van deKNMG te Utrecht.

auteurs: mw. mr. R.M.S. Doppegieter, mr. drs. T.F.M. Hooghiemstra en mr.dr. C. Lameerredactie: C.J.G.M. Klaverproductie: KNMGbestelwijze: Leden van de KNMG kunnen de handleiding gratis downloaden via www.knmg.nl.

Niet-leden kunnen de handleiding tegen betaling van ƒ 25,00 (E 11,35) op papier ofdiskette bestellen via telefoonnummer: (030) 28 23 911, faxnummer: (030) 28 23 326 ofvia e-mail via [email protected].

KNMG, Utrecht, mei 2001

rivacy wetgeving en het omgaan met patiëntgegevens · PDF fileDe consequenties van de WBP...

Documents

Transcript of rivacy wetgeving en het omgaan met patiëntgegevens · PDF fileDe consequenties van de WBP...