Zorg staat (weer) op de agenda van de Autoriteit Persoonsgegevens dit jaar. Vorig jaar was AP al bezig met gezondheidsgegevens in commerciële context. Dit jaar spreekt de AP in het toezichtskader[1] over risicogericht toezicht op zorginstellingen. Speciale aandacht gaat zoals vanouds uit naar de beveiliging van medische gegevens. Ook focust de AP zich extra op de juiste grondslag met name bij uitwisselingen van medische gegevens. Tot zover geen spannende ontwikkelingen waar organisaties niet reeds waakzaam voor zijn in praktijk. Er zijn meer enerverende uitdagingen waar in deze blog een achtergrond voor wordt geschetst: eHealth. 

Een algemeen gedragen definitie van eHealth is: ‘het gebruik van ICT, en met name internettechnologie, om gezondheid en gezondheidszorg te ondersteunen of te verbeteren’. Onder zo’n brede omschrijving kun je verschillende toepassingen rekenen, bijvoorbeeld:

  • Online inzage van testuitslagen en dossiers via elektronische patiëntportalen
  • Zelfmanagement en online behandeling waarbij personen zelf gezondheidswaarden meten
  • Zelfstandig wonen met behulp van sensoren, digitale sleutelkastjes, GPS-tracking, beeldbeltoepassingen
  • Apps en online coaches voor een gezondere levensstijl

Er wordt al jaren geschreven over de ontwikkeling van eHealth. Vaak staat centraal hoe het de kwaliteit van zorg en leven van patiënten kan verbeteren. Daarnaast heeft het voordelen voor effectiviteit en continuïteit van zorg. Bijvoorbeeld door meer (gedetailleerde) informatie, benodigde nadenktijd tijdens e-consults, voorkomen van medische fouten, het bevorderen van therapietrouw en niet te vergeten het gemak en soepelere communicatie.

Aarzelingen in eHealth

Ondanks de voordelen heerst er ook twijfel bij de inzet van eHealth. Dat is niets nieuws. We kijken graag de kat uit de boom. Bij nieuwe technologie is angst vaak een standaardreactie.  Maar hier speelt ook dat, waar we kwaliteit van zorg als een voordeel van eHealth zien, er juist wantrouwen is voor de kwaliteit en veiligheid van zorg bij gebruik van eHealth. Concrete vrees gaat dan over onjuiste of vertroebelde gegevens die patiënten zelf genereren, een lager niveau van persoonlijke aandacht, apps die niet goed aansluiten bij de cultuur, opleidingsniveau of digitale vaardigheden van de patiënt. Wat blijkt uit de jaarlijkse eHealth-monitor van Nictiz[1], is dat we minder bang zijn als we ervaring hebben met de toepassingen.

Wellicht is de vrees rond eHealth dus onterecht. Het is wel zeker dat om de voordelen te behalen die eHealth voor de zorg kan verwezenlijken, het een kwestie van doen is. Doen onder de voorwaarde dat er voldoende aandacht voor privacy en gegevensbescherming. Die aandacht is niet iets voor achteraf, maar dient te worden ingebakken in het proces rond eHealth (privacy by design). Alvast nadenken over de risico’s die het met zich mee kan brengen, en direct daarvoor bedenken hoe je de risico’s kunt mitigeren. Op die manier kunnen zorgaanbieders persoonsgegevens gebruiken op nieuwe manieren met behoud van de veiligheid voor patiënten.

Wet op behoud van privacy

Nu de zintuigen op scherp zijn gezet met de AVG, lijken we soms zelfs over-alert: niks mag meer, alles is risicovol of een te vergaande inbreuk op privacy. Het is zonde, onnodig én verkeerd om de AVG te gebruiken als ‘innovation-killer’. Met de spelregels van de AVG dien je wel voorafgaand aan een eHealth toepassing goed te bestuderen wat de impact is op de patiënt. Peter Hustinx, oud-voorzitter van de Autoriteit Persoonsgegevens (die toen nog de Registratiekamer en College Bescherming Persoonsgegevens heette), had daar zijn eigen term voor: de wet op behoud van privacy. Gegevensbescherming is geen rem op het gebruik van nieuwe technologieën, maar de AVG schetst wel spelregels waar organisaties zich aan moeten houden.

Juridisch kader

Hoewel AVG op dit moment ‘on top of mind’ is, gelden er bij sommige eHealth toepassingen ook andere wetten en regels. Het juridisch kader van gegevensbescherming is vrijwel nooit alléén de AVG. Naast de verordening betreffende medische hulpmiddelen, hebben zorgaanbieders te maken met de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en bijbehorend Uitvoeringsbesluit Wkkgz. Belangrijkste hieruit is de verplichting voor veilige toepassing van medische technologie. Daarnaast dienen zorgaanbieders rekening te houden met de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvp). De laatstgenoemde is de nieuwe versie van de Wet gebruik BSN in de zorg.

Voor producenten van apps of producten die kwalificeren als medisch hulpmiddel gelden specifieke Europese regels. Een medisch hulpmiddel heeft als definitie: alle producten die bedoelt zijn om te gebruiken in de zorg bij het voorkomen, de diagnose, de behandeling en ondersteuning van een ziekte of beperking. Bij disfunctioneren van een dergelijke app of systeem kan dit vergaande consequenties hebben voor de gezondheid. Zo kwam laatst nog in het nieuws hoe een ICT-fout ervoor zorgde dat er 450.000 vrouwen cruciale screening misten.[2] Daarom zijn er al enige tijd richtlijnen en inmiddels ook verordeningen die net zoals de AVG directe werking hebben. Partijen die aan de slag zijn met eHealth en een ‘digitaal’ medisch hulpmiddel faciliteren hebben rekening te houden met de Verordening betreffende medische hulpmiddelen (EU 2017/745). Deze verordening is op 25 mei 2017 in werking getreden en heeft een implementatietermijn van 3 jaar. Per 25 mei 2020 moeten fabrikanten van dergelijke hulpmiddelen dus voldoen aan deze regelgeving.

Toezicht

De Inspectie voor Gezondheidszorg en Jeugd (IGJ) is de toezichthouder voor de specifieke medische wetgeving die voor eHealth geldt. Dat ontslaat de AP niet van de toezichthoudende rol op het gebied van de AVG. De AP en IGJ hebben een samenwerkingsovereenkomst met elkaar, waarin is afgesproken dat ze elkaar op de hoogte brengen van hiaten op het gebied van gegevensbescherming of kwaliteit van zorg. De IGJ heeft aangegeven ook specifiek te focussen op eHealth. Kortgeleden zijn de resultaten gepubliceerd het verkennend toezicht op eHealth bij een tiental zorgaanbieders die zich daarmee bezighouden.

Aandachtspunten voor zorgaanbieders

De IGJ toetste aan de hand van vijf kernpunten:

  • de rol van het bestuur (visie, plannen en organisatie)
  • de aanschaf van eHealth producten of diensten
  • de betrokkenheid van patiënten
  • gegevensuitwisseling
  • informatiebeveiliging en continuïteit

Op het laatste onderwerp bleken slechts twee van de tien zorgaanbieders volledig te voldoen aan de wettelijk verplichte NEN7510. Anderen hadden wel stappen gezet, maar onvoldoende ingezet op continuïteit en evaluatie. Iets wat net zo goed voor de AP een onderwerp van zorg kan zijn. De verantwoordingsplicht in artikel 24 AVG geeft aan: “Die maatregelen worden geëvalueerd en indien nodig geactualiseerd”. Gelet op de eigen toezichtagenda van de AP waar informatiebeveiliging expliciet is genoemd, ligt daar een belangrijk focuspunt.

Rond de aanschaf van eHealth producten of diensten komt een andere zorg naar voren. De IGJ constateerde dat vaak een overkoepelende aanpak voor het invoeren van nieuwe eHealth-toepassingen ontbrak. Het is essentieel om een eigen criteria te stellen en deze te toetsen voorafgaand aan de start van een innovatief project. Vanuit het perspectief van privacy en gegevensbescherming komt daar altijd de risicoanalyse weer om de hoek.

Door: Karen Siemers

Bronnen

[1] Hyperlink: https://www.nictiz.nl/programmas/e-health-monitor/

[2] Hyperlink: https://www.zorgvisie.nl/57567-2/


Terug naar het overzicht