Advocaten privacy in de zorg

De vele privacyregels binnen de zorg vragen om specialistische kennis van het gezondheidsrecht. Onze advocaten kennen de zorgpraktijk, de wettelijke kaders en de toezichthouders. Wij adviseren zorginstellingen over de toepassing van privacywetgeving, begeleiden bij toezichtonderzoeken en ondersteunen bij het opstellen van beleid en verwerkersovereenkomsten. Onze aanpak is persoonlijk en multidisciplinair. Door het combineren van onze expertises als privacyrecht, gezondheidsrecht en arbeidsrecht, kunnen wij vraagstukken vanuit verschillende invalshoeken benaderen en gericht adviseren. Ook bij vragen over AI-toepassingen, elektronische gegevensuitwisseling of het aanstellen van een functionaris gegevensbescherming (FG) denken wij graag mee.

Wet- en regelgeving rondom privacy in de zorg

Zorginstellingen moeten bij de verwerking van persoonsgegevens steeds meer voldoen aan strenge wettelijke vereisten. De basis hiervan ligt in de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Daarnaast geldt er zorg specifieke wet- en regelgeving die bepalend is voor de wijze waarop patiëntgegevens mogen worden verzameld, opgeslagen, gedeeld en beveiligd.

Belangrijke wetten en regelingen die van toepassing zijn op de verwerking van persoonsgegevens in de zorg zijn:

• Wet op de geneeskundige behandelingsovereenkomst (Wgbo): met onder meer regels over het medisch beroepsgeheim en de voorwaarden waaronder gegevens met derden mogen worden gedeeld;
• Wet algemene bepalingen burgerservicenummer (Wabb): over het gebruik van het BSN in de zorg;
• Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz): inclusief specifieke vereisten voor elektronische gegevensverwerking;
• Besluit elektronische gegevensverwerking door zorgaanbieders (Begz): dat nadere regels geeft bij de Wabvpz;
• Wet elektronische gegevensuitwisseling in de zorg (Wegiz): die verplichtingen bevat voor digitale gegevensuitwisseling tussen zorgaanbieders.

Naast deze wetgeving kunnen ook systemen waarmee persoonsgegevens worden verwerkt onderworpen zijn aan aanvullende wet- en regelgeving. Denk aan de Medical Device Regulation (MDR) en de AI-verordening. Deze regelgeving raakt steeds vaker de dagelijkse praktijk van zorginstellingen en vraagt om voortdurende aandacht voor juridische en technologische ontwikkelingen. Wij ondersteunen zorginstellingen bij het interpreteren en toepassen van deze complexe wet- en regelgeving, en adviseren over de juridische kaders bij de inzet van nieuwe technologieën en gegevensverwerking.

Extern toezicht op privacy

Binnen de zorg zijn meerdere instanties belast met het toezicht op de naleving van privacyregels. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de AVG en UAVG. Een van de focusgebieden van de AP is het gebruik van artificiële intelligentie en algoritmes, mede vanwege de verwerking van persoonsgegevens die daarbij plaatsvindt. Deze technologieën worden binnen de zorg steeds vaker toegepast, bijvoorbeeld om artsen te ondersteunen bij het stellen van diagnoses of het doen van behandelvoorstellen. Dit brengt nieuwe privacyrisico’s met zich mee, die zorgvuldig beheerd moeten worden.

De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet toe op het leveren van verantwoorde zorg op grond van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Onder ‘goede zorg’ valt ook het respecteren van patiëntenrechten, zoals het recht op inzage in en vernietiging van het medisch dossier en het recht op geheimhouding van medische gegevens, zoals vastgelegd in de Wgbo. Daarnaast vloeit uit de Wkkgz een vergewisplicht voort, evenals een (indirecte) verplichting tot identiteitscontrole van nieuwe medewerkers of zzp’ers.

Wij begeleiden zorgorganisaties bij vragen en procedures rondom toezicht, handhaving en communicatie met toezichthouders zoals de AP en IGJ, en helpen bij het opstellen van beleid dat voldoet aan de eisen van deze instanties.

Intern toezicht en naleving

Een goed ingericht intern toezichtkader is essentieel voor het waarborgen van privacy binnen de zorg. Zonder duidelijke beleidslijnen en controle op de naleving daarvan bestaat het risico dat medewerkers bewust of onbewust in strijd met wet- en regelgeving handelen. Daarom hebben veel zorgorganisaties een compliance officer of een kwaliteits- en veiligheidsfunctionaris in dienst die toezicht houdt op naleving van de privacywetgeving. Voor organisaties die op grote schaal bijzondere categorieën van persoonsgegevens verwerken, zoals gezondheidsgegevens, geldt bovendien een verplichting om een functionaris voor gegevensbescherming (FG) aan te stellen.

Volgens de Autoriteit Persoonsgegevens geldt deze verplichting in elk geval voor ziekenhuizen, apotheken, huisartsenposten en zorggroepen. Voor huisartsenpraktijken en instellingen voor medisch-specialistische zorg geldt de verplichting alleen als zij meer dan 10.000 patiënten hebben en deze gegevens in één informatiesysteem verwerken. Wij adviseren bij het opzetten en verbeteren van interne privacystructuren, ondersteunen bij het opstellen van beleid en protocollen, en bieden juridische begeleiding aan functionarissen voor gegevensbescherming en compliance officers.

Meer weten? Kom in contact

Heeft u vragen over privacy binnen de zorg? Onze specialisten adviseren u graag.

U vindt hier het privacy statement van Nysingh.