Hoe zit het met de privacy bij e-health toepassingen?

Het is bekend dat de blik van de Autoriteit Persoonsgegevens (AP) is gericht op de zorg. Het is dan ook logisch dat partijen die in de zorg actief zijn zich druk maken over de vraag wat wel en niet mag met persoonsgegevens. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) hebben wij te meer gezien dat men wat angstig is, ook wat betreft het gebruik van zogenaamde ‘e-health’ toepassingen in de zorg. Dat is zonde, omdat hierin tegelijkertijd juist steeds meer interesse in is en er worden volop e-health toepassingen ontwikkeld. Kunnen wij u ‘ontzorgen’?

E-health

Wat is e-health? Door de Inspectie Gezondheidszorg en Jeugd (IGJ), toezichthouder op de kwaliteit van zorgverlening (IGJ), wordt dit gedefinieerd als “De inzet van hedendaagse informatie- en communicatietechnologie (ICT) in de zorg om de zorg te ondersteunen en/of te verbeteren”. Hierbij kan bijvoorbeeld worden gedacht aan digitale consulten, medische apps en patiëntenportalen. Uiteraard moet in dit kader overeenkomstig allerhande wet- en regelgeving zorgvuldig worden omgegaan met patiëntgegevens. Als wij kijken naar het afgelopen jaar, valt op dat de IGJ ook intensief aandacht besteedt aan e-health. In haar onlangs gepubliceerde beleid zien we diverse overeenkomsten met hetgeen de AVG vereist, wat betreft de omgang met persoonsgegevens.

Toetsingskader e-health (IGJ)

De IGJ past bij de uitoefening van haar toezichthoudende taak sinds september 2018 het “Toetsingskader IGJ “Inzet van e-Health door zorgaanbieders” toe (Toetsingskader (PDF)). Hiermee maakt de IGJ inzichtelijk waar zij bij haar toezicht op het gebruik van e-health op toetst. Dit biedt de praktijk nodige handvatten. De IGJ stelt voorop  dat de inzet van e-health een positieve ontwikkeling is, mits toegepast onder de juiste randvoorwaarden, zodat de kwaliteit en veiligheid van de zorg niet in het geding komen. De IGJ toetst op vijf thema’s, namelijk:

1. Goed bestuur en verantwoord innoveren;
2. Invoering en gebruik van e-health-producten en -diensten;
3. Patiëntparticipatie;
4. Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens; en
5. Informatiebeveiliging en continuïteit.

Vanuit privacy-oogpunt zien wij op diverse punten overlap tussen enerzijds de uitwerking van deze thema’s in de door de IGJ gestelde normen en anderzijds de vereisten op grond van de AVG, met het oog op privacy van de betrokken patiënten. Waar de omgang met persoonsgegevens raakt aan de kwaliteit van de zorg, houdt de IGJ ook hierop toezicht. Onder meer dient er (vooraf!) een risicoanalyse te worden gemaakt, waarvoor waar nodig deskundig advies moet worden ingewonnen (zoals juridisch advies). Er dienen passende beveiligingsmaatregelen te worden getroffen, een patiënt moet toestemming verlenen voor de uitwisseling van zijn of haar gegevens en de nodige overeenkomsten moeten worden gesloten in geval van gegevensuitwisseling. Voorts wordt er gelet op het goed informeren van de betrokken patiënten.

AVG

De AP houdt toezicht op de verwerking van persoonsgegevens, ook in de zorg. De AP en IGJ hebben een samenwerkingsovereenkomst op dat gebied. De AVG wordt nog vaak gezien als belemmering van (o.a.) e-health toepassingen. Bij de verwerking van gezondheidsgegevens gelden veelal strenge vereisten uit hoofde van de AVG. Deze ‘bijzondere persoonsgegevens’ mogen alleen in uitzonderingsgevallen worden verwerkt. Voorts geldt onder meer dat patiënten goed moeten worden geïnformeerd over wat er met hun persoonsgegevens gebeurt en dat er niet meer (en niet langer) gegevens worden verwerkt dan noodzakelijk. Zorg bijvoorbeeld voor een duidelijk en volledig privacy statement. Deze verordening is echter niet bedoeld om innovatieve toepassingen, zoals e-health, tegen te houden. Er is best veel mogelijk. Het is echter wel van belang – zoals ook in het toetsingskader van de IGJ is terug te zien – dat goed wordt onderzocht wat de potentiële impact is op en risico’s zijn voor de persoonlijke levenssfeer van de betrokken patiënten bij de inzet van e-health. Vervolgens zullen de nodige waarborgen moeten worden getroffen om de – meestal gevoelige – persoonsgegevens te beschermen. “Privacy by design” en “privacy by default” wordt dat in ‘privacy-land’ genoemd. Vervolgens moet dat ook allemaal goed worden gedocumenteerd.

Andere wetgeving

Naast de AVG en het toetsingskader van de IGJ zijn er natuurlijk nog meer wetten, regels en normen die een rol spelen in het kader van e-health. Om (slechts) een voorbeeld te noemen: een medische app kan ook worden gekwalificeerd als ‘medisch hulpmiddel’ en dan zijn er nog meer vereisten voor de toepassing daarvan. Bovendien zijn deze wetten, regels en normen, alsook de interpretatie ervan, voortdurend in beweging. Bij Ploum houden wij deze ontwikkelingen in de gaten en wij vinden het prettig om (voortdurend) uw partner te zijn bij het ‘compliant’ zijn en blijven.

Advies

Bij het inzetten van e-health toepassingen is het belangrijk om reeds in het proces van implementatie – en dan het liefst helemaal aan het begin – te onderzoeken wat de impact op en risico’s voor de privacy van betrokken patiënten zal zijn. Het is belangrijk een schets te maken van datastromen, doeleinden, verantwoordelijkheden, beveiliging en mogelijke toekomstige wensen omtrent het gebruik van verzamelde data (ook voor onderzoeksdoeleinden!). U kunt beginnen met een Data Privacy Impact Assessment (DPIA) en aan de hand daarvan beslissen welke maatregelen u zal moeten treffen. Ploum schetst graag mee en stuurt bij waar nodig. Daarna is het monitoren van het gebruik van persoonsgegevens onder geldende wet- en regelgeving van belang. Compliant zijn is een continue proces. Het is onze missie om samen met u tot verbetering van de zorg te komen met gebruikmaking van innovatieve technologieën – en dat dan binnen de geldende kaders om de veiligheid van de zorg ook nog eens zo goed mogelijk te waarborgen.