Juridsche kaders

Version	Date	Comment
Current Version (v. 2)	Oct 02, 2023 15:26	Marcel Schrauwen: Versie 1 teruggezet
v. 1	Sept 21, 2023 10:29	Marcel Schrauwen v1.0.0 - Pagina onder versiebeheer gebracht

1 Algemene Verordening Gegevensbescherming (AVG)
2 Uitvoeringswet AVG
3 Wet op de geneeskundige behandelingsovereenkomst (WGBO)
4 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)
5 Besluit elektronische gegevensverwerking door zorgaanbieders
6 NEN 8028 - Kwaliteitseisen telemedicine
7 Wet op medische hulpmiddelen (Wmh) en Besluit medische hulpmiddelen (Bmh).
8 Wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz)
9 Verdrag inzake de rechten van personen met een handicap, New York, 13-12-2006

Wetgeving

Toelichting

Toepassing op Koppeltaal

Algemene Verordening Gegevensbescherming (AVG)

In de AVG zijn de waarborgen geregeld voor een aantoonbare en controleerbare rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens. Een belangrijk onderdeel hiervan zijn de rechten van betrokkenen, zoals het recht op informatie en inzage.

Een aantoonbare en controleerbare verwerking van persoonsgegevens houdt in dat iedere organisatie die persoonsgegevens verwerkt actief en controleerbaar moet kunnen aantonen dat zij zich aan de beginselen van een rechtmatig, behoorlijke en transparante verwerking van persoonsgegevens houdt. Door aan deze beginselen te voldoen, wordt gewaarborgd dat de betrokkene zicht heeft op wie voor welke doeleinde(n) welke persoonsgegevens van hem/haar verwerkt en kan hij/zij ook controle uitoefenen over de verwerking van zijn persoonsgegevens.

De belangrijkste rechten van betrokkenen (in de GGZ 'cliënten') onder de AVG zijn:

Het recht op dataportabiliteit, ook wel gegevensoverdraagbaarheid genoemd. Dit houdt in dat de betrokkene zijn persoonsgegevens eenvoudig moet kunnen (laten) overzetten van de ene naar een andere organisatie (zorgaanbieder).

Het recht op vergetelheid. Het recht om ‘vergeten’ te worden. Dit houdt in dat de betrokkene het recht heeft om (een deel van) zijn persoonsgegevens te (laten) verwijderen. Dit recht betekent dat organisaties altijd duidelijk inzichtelijk moeten hebben welke persoonsgegevens zij verwerken, waar deze zich bevinden en hoe deze definitief verwijderd kunnen worden.
Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die een zorgorganisatie van hen verwerkt, in te zien.
Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens zoals die zijn verwerkt te wijzigen.
Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
Het recht op geen geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke toets bij besluiten.
Het recht om bezwaar te maken tegen de gegevensverwerking.
Het recht op duidelijke informatie over wat er met de persoonsgegevens gebeurt en hoe deze verwerkt worden. Toezicht op naleving van de AVG en eventuele sancties, vallen onder de Autoriteit Persoonsgegevens.

Twee essentiële begrippen uit de AVG zijn: ‘verwerker’ en ‘verwerkingsverantwoordelijke’.

De verwerkingsverantwoordelijke heeft zeggenschap over de verwerking van persoonsgegevens en stelt het doel of de middelen voor de verwerking van persoonsgegevens vast.

De verwerker verwerkt de persoonsgegevens in opdracht van en volgens schriftelijke instructie van de verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke:

Binnen Koppeltaal is de zorgaanbieder (GGZ-instelling) de verwerkingsverantwoordelijke voor de gegevensuitwisseling tussen verschillende applicaties en bij het verwerken van gegevens die de zorgaanbieder ontvangt van de cliënt.

Verwerker:

De softwareleverancier is in opdracht van de verwerkingsverantwoordelijke de verwerker.

Sub-verwerker:

Stichting Koppeltaal draagt zorg voor gegevensuitwisseling tussen de e-health-applicaties en het elektronisch patiëntendossier van de GGZ-instelling en is daarom sub-verwerker. In de koppeltaalserver vindt de subverwerking plaats.

Welke documenten nodig:

Verwerkersovereenkomst tussen zorgaanbieder en leverancier (verwerker).
Overeenkomst van opdracht waarin de verwerkingsverantwoordelijke een opdracht tot verwerking verstrekt aan de verwerker.
Sub-verwerkersovereenkomst tussen de softwareleverancier en Stichting Koppeltaal.

Deze constructie is specifiek afgesproken voor de GGZ omdat de ICT leveranciers een andersoortige positie inneem binnen deze sector ten opzichte van andere sectoren binnen de zorg.

Rechten betrokkenen:

De Koppeltaal voorziening moet zodanig zijn ingericht dat de zorgaanbieder aan de rechten van een betrokkene kan voldoen. Stel een cliënt heeft verzocht om retificatie van gegevens (bijvoorbeeld omdat de zorgaanbieder de geboortedatum van de cliënt verkeerd heeft opgenomen) dan moet dit ook in de Koppeltaal voorziening aangepast kunnen worden.

Uitvoeringswet AVG

De Uitvoeringswet AVG regelt een uitzondering op het verwerkingsverbod van gezondheidsgegevens voor hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening. Deze uitzondering geldt alleen voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk (artikel 30 lid 3 UAVG).

De Uitvoeringswet AVG regelt dat het BSN alleen mag worden gebruikt bij de verwerking van persoonsgegevens ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald (art 46 UAVG).

In de UAVG is uitgewerkt dat minderjarigen vanaf 16 jaar zelfstandig beslissen over de verwerking van hun persoonsgegevens (artikel 5 UAVG).

Deze wet geeft GGZ-instellingen een grondslag om gezondheidsgegevens te mogen verwerken, wat ook van toepassing kan zijn als er in de Koppeltaal voorziening gezondheidsgegevens worden verwerkt. Dat mag als verlengde arm als de zorgaanbieder daar aan Koppeltaal opdracht voor geeft (zie de hiervoor genoemde overeenkomstenstructuur).

Wet op de geneeskundige behandelingsovereenkomst (WGBO)

De WGBO beschrijft de rechten en plichten van cliënten in de zorg.

Er is sprake van een geneeskundige behandelingsovereenkomst wanneer een zorgverlener een cliënt onderzoekt of behandelt. De wet is bedoeld om de positie van cliënten te versterken die medische zorg nodig hebben.

De WGBO regelt onder andere het recht op informatie over de medische situatie, inzage in het medisch dossier, recht op privacy en geheimhouding van medische gegevens (beroepsgeheim).

Zorgaanbieders moeten de wettelijke bepalingen volgen voor dossiervorming en een medisch dossier over de behandeling van de cliënt bijhouden.

De WGBO is van toepassing op gegevens die terecht komen in het elektronisch patiëntendossier (EPD) via de koppeltaalserver.

De bij de behandeling betrokkenen mogen de gegevens in het medisch dossier raadplegen. Het is belangrijk dat de rechten die een behandelaar heeft met betrekking tot het EPD ook gelden voor de koppeltaalserver. Wat een behandelaar in het EPD niet mag, mag hij bij de koppeltaalserver ook niet. Bevoegdheden binnen het EPD voor de behandelaren, moeten rechtstreeks gekoppeld zijn aan de bevoegdheden van de koppeltaalserver. De koppeltaalserver mag geen verandering brengen in de bevoegdheden. Er mag niet één grote bak met gegevens ontstaan op de koppeltaalserver waar iedereen bij kan.

De medische gegevens die in het kader van de behandeling worden gedeeld via de koppeltaalserver, blijven binnen dezelfde juridische entiteit (bijvoorbeeld de GGZ-instelling).

Als de koppeltaalserver op enig moment wordt gebruikt om gegevens tussen instellingen of andere juridische entiteiten uit te wisselen, wordt het voorgaande anders. Die optie is niet meegenomen in dit juridisch kader.

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

Deze wet verplicht zorgaanbieders het Burgerservicenummer (BSN) van

hun patiënten vast te leggen in hun administratie. Met het BSN kan de identiteit van de patiënt zeker worden gesteld. Ook bij het verstrekken van persoonsgegevens met betrekking tot de verlening van, indicatiestelling voor of verzekering van zorg aan andere zorgaanbieders, een indicatieorgaan of aan zorgverzekeraars moet de zorgaanbieder het BSN gebruiken.

Gebruik van het BSN is vastgelegd in een gesloten stelsel. Alleen als er wettelijke gronden zijn voor de verwerking van het BSN, is het gebruik van het BSN toegestaan.

Verwerkingsverantwoordelijken bij de overheid en de zorg, inclusief zorgaanbieders, mogen – onder voorwaarden – het BSN verwerken. Er is een uitzondering voor verwerkers die optreden namens verwerkingsverantwoordelijken (AVG). Verwerkers mogen, in het kader van hun verwerkersrol, gegevens verwerken ten behoeve van de eerder genoemde verwerkingsverantwoordelijken, waaronder het BSN.

Ook biedt deze wet een recht op elektronische inzage.

De zorgaanbieder is gevoegd het BSN van de patiënt te verwerken. De koppeltaalserver mag als verlengde arm het BSN gebruiken.

De Wabvpz is niet van toepassing op Koppeltaal omdat koppeltaal geen elektronisch uitwisselingssysteem is in de zin van deze wet. De wet is niet van toepassing op het gericht sturen en ontvangen van gegevens tussen de zorgverlener en de cliënt.

Dit wordt anders indien de koppeltaalserver wordt gebruikt om gegevens uit te wisselen tussen verschillende instellingen. Dat is niet meegenomen in dit juridisch kader.

Besluit elektronische gegevensverwerking door zorgaanbieders

Op grond van het besluit elektronische gegevensverwerking door zorgaanbieder moet een zorgaanbieder voldoen aan de volgende NEN normen: NEN 7510, 7512 en NEN 7513

Overeenkomstig het bepaalde in NEN 7510 en NEN 7512, draagt een zorgaanbieder zorg voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem

Tussen Stichting Koppeltaal en de ICT leveranciers wordt een overeenkomst gesloten. De ICT leveranciers hebben op hun beurt een overeenkomst met de GGZ-instellingen.

De GGZ-instellingen moeten voldoen aan de NEN normen. Die verplichtingen worden via de overeenkomstenstructuur doorgegeven aan Stichting Koppeltaal. Om die reden moet Stichting Koppeltaal (lees: VZVZ Servicecentrum) voldoen aan de NEN normen.

NEN 8028 - Kwaliteitseisen telemedicine

De kwaliteitseisen uit NEN 8028 beschrijven aan welke criteria een aanbieder van telemedicinediensten of -toepassingen moet voldoen om te zorgen dat deze dienst van voldoende kwaliteit is. Het doel van deze kwaliteitseisen is om de risico’s die het leveren van zorg op afstand met zich meebrengt te reduceren.

Onder telemedicine wordt verstaan: het zorgproces of het geheel van zorgprocessen waarbij afstand wordt overbrugd door gebruik te maken van informatietechnologie en telecommunicatie. Minstens twee actoren zijn hierbij betrokken, waarvan minimaal één een zorgverlener is of handelt onder verantwoordelijkheid van een zorgverlener.

De kwaliteitseisen beschreven in NEN 8028 richten zich op drie aspecten:

Het kwaliteitsmanagement van de zorginstelling.
De zorgprocessen rond de patiënt.
De processen ten aanzien van de fabricage en levering van middelen voor telemedicine.

Rond de fabricage- en leveringsprocessen worden kwaliteitseisen gesteld op het gebied van doeltreffendheid, veiligheid en gebruiksvriendelijkheid. Een voorbeeld van een eis isdat de fabrikant aantoonbaar heeft vastgesteld dat de middelen die gebruikt worden veiligen doeltreffend zijn.

Koppeltaal moet voldoen aan deze norm als de ggz-instelling eraan moet voldoen.

Wet op medische hulpmiddelen (Wmh) en Besluit medische hulpmiddelen (Bmh).

Volgens de wet is software mogelijk een medisch hulpmiddel. Dat staat in de Wet op de medische hulpmiddelen (Wmh) en Besluit medische hulpmiddelen (Bmh).

Wat wordt verstaan onder een medisch hulpmiddel is in de Wmh gedefinieerd. Hieronder wordt o.a. verstaan elke software die alleen of in combinatie wordt gebruikt, inclusief de software die voor de goede werking ervan benodigd is, voor diagnostische of therapeutische doeleinden, en door de fabrikant is bestemd om bij de mens te worden aangewend voor bijvoorbeeld diagnose, preventie, bewaking, behandeling of verlichting van ziekten.

Sommige medische apps kunnen dus kwalificeren als medisch hulpmiddel en daarop zijn deze wettelijke bepalingen van toepassing. Het is goed om te weten van het bestaan van deze regelgeving met betrekking tot de apps die mogelijk door de zorgaanbieders worden ingezet.

Wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz)

De wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz) is ook van toepassing op digitale goederen en diensten. Dit houdt in dat aanbieders van goederen en diensten gehouden zijn om doeltreffende aanpassingen te verrichten (art. 2) en geleidelijk toe te werken naar algemene toegankelijkheid (art. 2a), mits dit geen onevenredige belasting vormt.

Het Besluit Toegankelijkheid licht toe dat sectoren werk kunnen maken van de stap naar algemene toegankelijkheid via actieplannen.

Deze wet kan belangrijk zijn voor het portaal dat door de cliënt wordt gebruikt en/of hoe de cliënt gegevens via de koppeltaalserver kan doorgeven aan de behandelaar. Op basis van deze wet is het goed om mee te nemen dat dit alles ook toegankelijk moet zijn voor mensen met een handicap en chronische ziekte.

Verdrag inzake de rechten van personen met een handicap, New York, 13-12-2006

De digitale informatie-uitwisseling tussen patiënt en professional moet ook toegankelijk zijn voor mensen met een beperking (artikel 9).

Dit verdrag kan belangrijk zijn voor het portaal dat door de cliënt wordt gebruikt en/of hoe de cliënt gegevens via de koppeltaalserver kan doorgeven aan de behandelaar. Op basis van dit verdrag moet de digitale informatie-uitwisseling via de koppeltaalserver ook toegankelijk zijn voor mensen met een beperking.