Document toolboxDocument toolbox

3. Juridische context

Wet- en regelgeving is de basis van de toestemmingsvoorziening Mitz. Het Afsprakenstelsel is in lijn met alle toepasselijke wet- en regelgeving en met alle relevante normen.

De wet- en regelgeving die van toepassing is op gegevensuitwisseling in de zorg is voortdurend in beweging. Deze versie van het Afsprakenstelsel behandelt de wet- en regelgeving zoals die geldt op: Jun 1, 2023.

Wetgevend kader

Onderstaande tabel geeft een overzicht van de wet- en regelgeving die relevant is voor dit Afsprakenstelsel. Het wetgevend kader. Onder de tabel worden de wetten verder toegelicht, specifiek het kader dat van belang is voor Mitz.

Afkorting

Wet

Verwijzing

Afkorting

Wet

Verwijzing

WGBO

Wet op de geneeskundige behandelingsovereenkomst

https://wetten.overheid.nl/BWBR0005290/2021-07-01#Boek7_Titeldeel7_Afdeling5

Wet BIG

Wet beroepen individuele gezondheidszorg

https://wetten.overheid.nl/BWBR0006251/2021-07-01

Wkkgz

Wet kwaliteit, klachten en geschillen zorg

https://wetten.overheid.nl/BWBR0037173/2021-07-01

AVG

Algemene verordening gegevensbescherming

https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=celex%3A32016R0679  

UAVG

Uitvoeringswet Algemene verordening gegevensbescherming

https://wetten.overheid.nl/BWBR0040940/2020-01-01

Wabvpz

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

https://wetten.overheid.nl/BWBR0023864/2020-07-01

Begdz

Besluit elektronische gegevensverwerking door zorgaanbieders

https://wetten.overheid.nl/BWBR0023902/2021-12-18

https://wetten.overheid.nl/BWBR0023923/2018-04-20

Wegiz

Wetsvoorstel elektronische gegevensuitwisseling in de zorg

Gaat in per 1 juli 2023

Uitleg over de wet | Gegevensuitwisseling | Gegevensuitwisseling in de zorg

Wet elektronische gegevensuitwisseling in de zorg (35.824) - Eerste Kamer der Staten-Generaal

WGBO

De zorgverlener is op basis van deze wet gebonden aan het medische beroepsgeheim (zie ook Wet BIG). Uit het beroepsgeheim volgt onder andere dat aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de gegevens uit het dossier worden verstrekt dan met toestemming van de patiënt. Een uitzondering geldt voor degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de zorgverlener, tenminste voor zover noodzakelijk voor de door hen in dat kader te verrichten werkzaamheden.

De zorgverlener is verplicht de patiënt naar redelijkheid te informeren en toestemming voor een behandeling te vragen. De patiënt is verplicht de zorgverlener correct en zo volledig mogelijk te informeren.

Wet BIG

De Wet BIG heeft als doel om de kwaliteit van de beroepsuitoefening te bevorderen en te bewaken en de patiënt te beschermen tegen ondeskundig en onzorgvuldig handelen door beroepsbeoefenaren. De wet spitst zich toe op de individuele gezondheidszorg, dat wil zeggen zorg die rechtstreeks is gericht op een persoon.  

Beroepsbeoefenaren 

De Wet BIG bevat een systeem van titelbescherming voor een beperkt aantal beroepsgroepen. Voor elk van de genoemde beroepen stelt de Rijksoverheid registers in. Het gaat hier om een zogeheten constitutieve registratie: alleen geregistreerde personen mogen de beroepstitel voeren en vallen onder het tuchtrecht. Ook derden kunnen op verzoek informatie krijgen uit het register.

Beroepsgeheim

De beroepsbeoefenaren genoemd in de Wet BIG zijn op basis van deze wet gebonden aan het beroepsgeheim ten opzichte van alles wat hen bij de uitoefening van hun beroep wordt toevertrouwd of waarvan zij kennis krijgen en waarvan zij het vertrouwelijke karakter moeten begrijpen.  

Wkkgz

De Wkkgz legt vast wat goede zorg precies inhoudt. Op basis van deze wet is de zorgaanbieder gehouden om te zorgen voor ‘zodanige toedeling van verantwoordelijkheden, bevoegdheden alsmede afstemmings- en verantwoordingsplichten, dat een en ander redelijkerwijs moet leiden tot het verlenen van goede zorg.’ Een toestemming in Mitz richt zich op zorgaanbieders die onder het bereik van de Wkkgz vallen.

AVG

De AVG is een Europese verordening die rechtstreekse werking heeft in de hele Europese Unie. De AVG regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden binnen de EU.

Persoonsgegevens is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Deze wordt in de AVG de 'betrokkene' genoemd. Onder ‘verwerking van gegevens’ valt: verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.

Grondslag en doel

De AVG bepaalt dat het verwerken van persoonsgegevens slechts is toegestaan als sprake is van een rechtmatige grondslag. De AVG noemt zes grondslagen voor verwerking:

  1. toestemming van de betrokkene

  2. uitvoeren van een overeenkomst

  3. wettelijke verplichting

  4. vitaal belang van de betrokkene of een andere natuurlijke persoon

  5. uitvoeren van een publiekrechtelijke taak

  6. gerechtvaardigd belang van de verwerkingsverantwoordelijke of van een derde

De grondslag voor de verwerking kan verschillen per zorgtoepassing en per gegevensuitwisseling.

Bovendien mogen persoonsgegevens op basis van het proportionaliteitsbeginsel enkel worden verwerkt voor zover dat nodig is voor welbepaalde doeleinden.

Daarbij geldt een verbod om bijzondere categorieën van persoonsgegevens te verwerken, waaronder gegevens over gezondheid, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Op dit verbod zijn een beperkt aantal uitzonderingen van toepassing. Eén van die uitzonderingen is dat de verwerking noodzakelijk is voor het verstrekken van gezondheidszorg.

De verwerkingsverantwoordelijke is verplicht om betrokkenen goed te informeren over de verwerking van hun gegevens en over hun privacy-rechten op basis van de AVG, waaronder het recht op inzage, rectificatie, vergetelheid, beperking, dataportabiliteit en bezwaar. Uit deze rechten volgt dat de verwerkingsverantwoordelijke inzichtelijk moet hebben welke persoonsgegevens hij verwerkt, waar deze zich bevinden en hoe deze definitief verwijderd kunnen worden.

Wettelijke vereisten voor een uitdrukkelijke toestemming

Een uitdrukkelijke toestemming is rechtmatig als die voldoet aan de wettelijke eisen van de AVG. Een dergelijke toestemming is een 'vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee de betrokkene via een verklaring of een ondubbelzinnige actieve handeling de verwerking van zijn persoonsgegevens aanvaardt'. Deze toestemming moet bovendien aantoonbaar zijn en net zo makkelijk ingetrokken kunnen worden als dat deze gegeven is. 

Verwerkersovereenkomst

De AVG verplicht de verwerkingsverantwoordelijke een verwerkersovereenkomst te sluiten met iedere verwerker. De AVG bepaalt ook dat de verwerkersovereenkomst aan een aantal eisen moet voldoen. In die overeenkomst moet onder andere worden bepaald wat de aard en het doel is van de verwerking, de duur van de verwerking en het soort persoonsgegevens en de categorieën van betrokkenen. Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens, maar heeft wel een aantal afgeleide verplichtingen voor onder meer beveiliging en geheimhouding van de gegevens. De verwerkersovereenkomst moet er onder andere voor zorgen dat verwerker voldoende waarborgen biedt ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de verwerking van de aan hem ter beschikking gestelde persoonsgegevens. Op 4 juni 2021 heeft de Europese Commissie een standaard verwerkersovereenkomst gepubliceerd die voldoet aan de eisen die de AVG stelt. Dit model wordt gehanteerd binnen Mitz.

Data protection impact assessment (DPIA)

De AVG verplicht om een data protection impact assessment (DPIA) uit te voeren als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Zie voor actuele informatie: Data protection impact assessment (DPIA)

UAVG

De UAVG is implementatiewetgeving die de normen in de AVG voor Nederland nader invult. Daar waar de AVG ruimte laat voor nationale regelingen of soms opdraagt tot het treffen van een regeling, komt de UAVG in beeld.

De UAVG bepaalt dat de uitzondering op het verwerkingsverbod van gezondheidsgegevens voor het verstrekken van gezondheidszorg enkel geldt voor hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening en enkel voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk (artikel 30 lid 3 UAVG).  

De Uitvoeringswet AVG regelt dat het BSN alleen mag worden gebruikt bij de verwerking van persoonsgegevens ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald (art 46 UAVG).

In de UAVG is uitgewerkt dat minderjarigen vanaf 16 jaar zelfstandig beslissen over de verwerking van hun persoonsgegevens (artikel 5 UAVG).

De UAVG wijst de Autoriteit Persoonsgegevens aan als de toezichthouder voor de AVG die handhavend kan optreden.

Wabvpz

Het gebruik van BSN

De Wabvpz bevat verplichtingen over het gebruik van het BSN. Om patiënten in de zorg op een betrouwbare manier te kunnen identificeren, moeten zorgaanbieders, indicatieorganen en zorgverzekeraars het BSN verplicht gebruiken in hun administratie en bij de onderlinge communicatie over patiënten. Om geen twijfel te laten bestaan over de correctheid van het BSN worden er twee acties uitgevoerd: BSN-verificatie en BSN-validatie. 

Bij de BSN-verificatie verifieert de zorgaanbieder of bepaalde persoonskenmerken - waaronder naam, geslacht en geboortedatum - bij een BSN horen. Als persoonskenmerken en BSN bij elkaar horen, spreken we van een geverifieerd BSN. Voor de verificatie gebruikt de zorgaanbieder de interfaces van de SBV-Z (Sectorale Berichten Voorziening in de Zorg) die zorgen voor de ontsluiting van het BSN-register en de Registratie Niet-ingezetenen.

Zodra de nieuwe patiënt voor het eerst bij een zorgaanbieder komt, wordt aan de hand van een geldig wettig identiteitsdocument (WID: paspoort, rijbewijs, ID-kaart) gecontroleerd of de persoon voor de balie inderdaad degene is die is- of wordt ingeschreven in het XIS. Hierdoor is vanaf dat moment sprake van een gevalideerd BSN. Daarnaast dient het BSN, voordat het als persoonsgegeven verwerkt wordt, gecontroleerd te zijn in een wettelijk register (zoals de SBV-Z). 

Het kan voorkomen dat het BSN van een patiënt wel bekend is binnen een XIS, maar dat deze nog niet is gevalideerd. Bijvoorbeeld als een patiënt zich nog niet heeft geïdentificeerd met een identiteitsbewijs.

Voor gebruik van het BSN bij uitwisseling van gegevens tussen verschillende zorgaanbieders, moeten zorgaanbieders aan de volgende regels voldoen:

  • Voordat de zorgverlener/zorgaanbieder gegevens van een patiënt mag delen met een andere zorgaanbieder, moet de brondossierhouder een gevalideerd BSN van de patiënt hebben. Dat wil dus zeggen dat de patiënt fysiek in de zorginstelling is geweest en dat de identiteit van de patiënt is vastgesteld aan de hand van een wettig identiteitsdocument. Nota bene: Dit staat los van het feit dat de patiënt daarnaast toestemming moet hebben gegeven voor het delen van zijn gegevens.

  • Voor het raadplegen en overhalen van gedeelde patiëntgegevens van een andere zorgaanbieder, is het voldoende dat de patiënt in de eigen organisatie bekend is met een geverifieerd BSN. De patiënt hoeft hiervoor dus nog niet fysiek aanwezig geweest te zijn.

In sommige gevallen, zoals bij een spoedverwijzing of een intercollegiaal consult, kan het voorkomen dat de patiënt nog niet bekend is in de zorginstelling die een gegevensopvraging doet. Uitgangspunt is in deze gevallen dat men erop kan vertrouwen dat de zorginstelling die de medische gegevens heeft vastgelegd en aangemeld voor delen buiten de zorginstelling, het BSN heeft geverifieerd. 

Het proces van validatie van het BSN in de opvragende zorginstelling blijft bestaan. De eerste keer dat een patiënt daar fysiek aanwezig is, geldt de reguliere validatieprocedure.

Elektronisch uitwisselingssysteem

De Wabvpz regelt de voorwaarden voor het gebruik van een elektronisch uitwisselingssysteem. Dit is een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken.

De Wabvpz doet geen afbreuk aan de privacy-rechten van betrokken op basis van de AVG.

De belangrijkste plichten van een zorgaanbieder bij (elektronische) gegevensuitwisseling zijn:

  • de plicht de patiënt te informeren over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen, de werking van het elektronisch uitwisselingssysteem en welke zorgaanbieders zijn aangesloten op het systeem

  • de plicht om zijn patiënt uitdrukkelijke toestemming te vragen voor het beschikbaar stellen van de patiëntgegevens via een elektronisch uitwisselingssysteem

  • de patiënt te informeren als nieuwe categorieën zorgverleners aansluiten bij het elektronisch uitwisselingssysteem

Begdz

Het besluit elektronische gegevensverwerking door zorgaanbieders (Begdz) bepaalt onder andere dat een zorgaanbieder moet zorgen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en van het elektronisch uitwisselingssysteem waarop hij is aangesloten. Conform:

  • NEN 7510: informatiebeveiliging in de zorg (NEN 7510:2017)

  • NEN 7512: vertrouwensbasis voor gegevensuitwisseling (NEN 7512:2015)

  • NEN 7513: logging (NEN 7513:2018)

De Begdz verplicht de verantwoordelijke voor een elektronisch uitwisselingssysteem om te werken met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria. Een zorgserviceprovider is een netwerkleverancier van een beveiligde netwerkverbinding tussen een zorginformatiesysteem en een elektronisch uitwisselingssysteem.

Ook verplicht de Begdz de rechtspersoon die een elektronisch uitwisselingssysteem beheert en in stand houdt, om eens in de vijf jaar door middel van een audit te laten vaststellen dat het systeem voldoet aan NEN 7510 en NEN 7512 en daarnaast om te borgen dat de logging van het systeem voldoet aan NEN 7513.

De Regeling gebruik burgerservicenummer in de zorg verplicht dat bepaalde gegevensverwerkingen zonder een BSN of zonder een geverifieerd BSN moeten voldoen aan NEN 7510. 

Wegiz

De wet verplicht dat zorgaanbieders elektronisch patiëntgegevens met elkaar uitwisselen. De Wegiz beoogt niets te veranderen aan de bestaande grondslagen voor uitwisseling. De Wegiz is een kaderwet, waarbij in onderliggende AMvB’s zal worden vastgelegd aan welke eisen een specifieke gegevensuitwisseling moet worden voldaan. Het gaat primair om eisen ten aanzien van taal en techniek. Deze eisen worden in NEN-normen vastgelegd. De minister stelt een meerjarenagenda op voor de Wegiz met daarin een lijst met gegevensuitwisselingen die aangewezen kunnen worden.Â