Ron Roozendaal

Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

De Wegiz, dat sluit toch niet aan op toestemming van patiënten?
Vaak wordt gedacht dat voor alle gegevensuitwisseling tussen zorgprofessionals apart toestemming nodig is. Dat is niet zo, er zijn veel meer grondslagen dan toestemming. De Wegiz biedt ook geen nieuwe grondslag voor gegevensuitwisseling tussen zorgaanbieders. Als er mag worden uitgewisseld, dan moet dat straks vanwege de wet stapsgewijs ook tenminste elektronisch. Als je een recept per fax naar de apotheek stuurt, dan moet je straks ook tenminste elektronisch het recept aan de apotheek doorgeven. De wet regelt daarvoor niet de grondslag, die moet er al zijn. Als die er niet is, dan hoeft er dus ook niet (digitaal) te worden uitgewisseld. De Wegiz dwingt zorgprofessionals niet hun beroepsgeheim te doorbreken maar geldt alleen als er al een grondslag is voor gegevensuitwisseling. De Wegiz dwingt ook niet om gegevens uit te wisselen die je niet wil uitwisselen. Als je nu gegevens niet op een doorverwijzing zet, bijvoorbeeld, hoeft dat onder de Wegiz ook niet. De zorgprofessional bepaalt wat nodig is om te melden. Maar als je iets uitwisselt, dan moet dat straks tenminste ook digitaal en zo dat de ontvanger het ook kan inlezen. De wet verandert niets aan de grondslagen voor uitwisseling en dus ook niet aan toestemming.

Ik schreef al eerder dat er veel verwarring is over toestemming voor gegevensuitwisseling. Veel gegevensuitwisseling is nu technisch zo ingericht dat gegevens al worden klaargezet voor nog onbekend later gebruik. Dan is inderdaad toestemming nodig. Terwijl in het zorgproces zelf die aanvullende toestemming heel vaak niet nodig is. Want toestemming is maar één van de grondslagen voor gegevensuitwisseling. En je komt pas bij toestemming, als die andere grondslagen er niet zijn. Als je een andere dokter consulteert, bijvoorbeeld, is extra toestemming om dan ook de gegevens uit te wisselen niet nodig. Dat geldt bijvoorbeeld ook bij doorverwijzing. Als een patiënt heeft ingestemd met de doorverwijzing, hoort daar ook de uitwisseling van de benodigde gegevens al bij. De Wegiz verandert daar niets aan. Maar wat wel waar is: er is veel onduidelijkheid over grondslagen voor gegevensuitwisseling. Of die nu op papier is, of digitaal.

Misverstanden over toestemming
Die onduidelijkheid komt als eerste, ik noemde het al, omdat veel gegevensuitwisseling nu zo is ingericht dat per definitie extra toestemming nodig is. Als je gegevens alvast elektronisch klaarzet, zonder te weten wie het gaat ophalen, dan is extra toestemming nodig. Want als je het zo doet, dan doorbreek je als zorgprofessional je beroepsgeheim. Toestemming is daarvoor de enige grondslag die er is (want je weet niet wie de gegevens ophaalt). Omdat veel gegevensuitwisseling zo werkt op dit moment, zijn veel mensen gaan denken dat altijd toestemming nodig is. Dat is niet zo. De Wegiz zegt daarom ook niets over toestemming, want gaat uit van een grondslag voor uitwisseling. Als je mag uitwisselen, dan moet het digitaal. Dat is de kern van de wet.

We zijn dus gaan denken dat toestemming altijd nodig is, terwijl dat niet zo is. Dat vergt vooral aandacht in opleiding, en veel communicatie en voorlichting. Niet over toestemming, maar over grondslagen voor gegevensuitwisseling. Waar toestemming er één van is, maar zeker niet de belangrijkste. Daarom gebruik ik zelf vaker het begrip "grondslag" dan het begrip "toestemming".

Beroepsgeheim strikt geregeld
Elke zorgprofessional heeft beroepsgeheim en voert een eigen dossier. Zodat mensen erop kunnen vertrouwen dat wat besproken wordt binnenskamers blijft. Als je als dokter gegevens uitwisselt, doorbreek je dat beroepsgeheim. Vaak mag dat (ik noemde al doorverwijzen of consulteren, maar medebehandeling is ook zo’n reden). En dat is ook logisch. Het zou toch gek zijn als de nachtverpleging je in het ziekenhuis wakker zou moeten maken om toestemming te vragen om je medicatie in te zien.

Op andere momenten mag dat niet. Zo mag de oncoloog niet zomaar jouw gegevens bij de cardioloog opvragen, die je voor een andere aandoening behandelt. Dat mag alleen met jouw toestemming. Dat is niet overal zo geregeld. Er zijn landen waarin dokters elkaar mogen inlichten als dat nodig is voor een behandeling. Maar in Nederland is daarvoor geen andere grondslag dan toestemming.

Er zijn ook momenten waarop goede zorg en beroepsgeheim in elkaars weg lijken te staan. Dat geldt bijvoorbeeld als een arts medicatie voorschrijft. Dan moet, volgens de richtlijnen die bepalen wat goede zorg is, eerst een medicatieoverzicht worden opgesteld. Dat is een overzicht waarin al jouw actuele medicatie is opgenomen. Daarvoor heb je de gegevens nodig van iedereen die jou op dat moment behandelt. Maar die mogen dat niet zonder jouw eigen toestemming doorgeven. Want door de voorgeschreven medicatie te melden aan iemand die je voor iets anders behandelt, doorbreken ze hun beroepsgeheim zonder dat ze daarvoor een andere grondslag dan jouw toestemming hebben.

De Wegiz brengt geen nieuwe grondslag aan voor gegevensuitwisseling. Daarvoor zou aanpassing nodig zijn van ons denken over beroepsgeheim en over de bijbehorende grondslagen voor gegevensuitwisseling.

Binnen zorgaanbieders gaat het anders
Ik schreef hiervoor al: het zou niet werken als de nachtverpleging je wakker zou moeten maken voor toestemming. Dat is ook niet zo. Binnen een zorgaanbieder is sprake van “high trust, high penalty”. Zorgaanbieders moeten loggen wie dossiers raadpleegt, en ingrijpen als mensen zonder reden gegevens inkijken. Er zijn veel voorbeelden van dat ingrijpen. Meerdere keren per jaar worden mensen die onbevoegd dossiers hebben ingezien berispt, of zelfs ontslagen. En ook zorgaanbieders die het te makkelijk maken om in dossiers te kijken worden aangesproken. Maar de hoofdbehandelaar, onder wiens verantwoordelijkheid het dossier wordt gevoerd, die is in dit geval niet verantwoordelijk.

Anders is het tussen zorgaanbieders. Als een zorgprofessional iets elektronisch klaar zet voor een collega bij een andere zorgaanbieder, zonder dat duidelijk is wie het gaat ophalen, dan mag dat alleen met toestemming. Binnen zorgaanbieders mag het wel, omdat er wordt gewerkt met één dossier waar iedereen toegang toe kan hebben. Tussen zorgaanbieders mag dat niet. Waar binnen de zorgaanbieder wordt gekeken naar de persoon die zich zonder reden toegang verschaft, ligt de verantwoordelijkheid tussen zorgaanbieders bij de zorgprofessional die de gegevens beschikbaar stelt.

De Wegiz verandert daar niets aan. Daarvoor zou aanpassing nodig zijn van ons denken over beroepsgeheim en grondslagen voor gegevensuitwisseling.

Toestemming geven is ingewikkeld
Als toestemming alsnog nodig is, dan is dat ingewikkeld geven. Dat is al zo in de papieren praktijk. Als een oncoloog iets nodig heeft van een cardioloog, het voorbeeld van hierboven, dan is dat soms veel gedoe. Jouw toestemming moet duidelijk zijn (een handtekening op een papier bijvoorbeeld), de arts die de gegevens verstrekt moet zich ervan vergewissen dat die toestemming echt van jou is, dat de oncoloog echt een dokter is, en moet het dan ook nog bij de oncoloog zien te krijgen. Er is geen simpele manier om dat elektronisch te doen. Er zijn landen die daarin iets verder zijn. In Oostenrijk, bijvoorbeeld, worden de elektronische toestemming van de patiënt en de vraag van de oncoloog gecombineerd tot één verzoek aan de cardioloog. Die kan dan, geautomatiseerd, de gegevens verstrekken omdat zeker is dat je toestemming hebt gegeven en dat het echt een dokter is aan wie de gegevens worden verzonden. In het huidige Internettijdperk zou je denken aan een pop-up bericht op je telefoon waarna je toestemming geeft en de informatie kan worden opgehaald. Maar zover zijn we nog niet.

De Wegiz verandert niets aan hoe we toestemming regelen. Maar het zou wel veel schelen als dat makkelijker werd.

In mijn vorige blog over toestemming beschreef ik de verschillende vormen van toestemming en de situatie is ontstaan nu gespecificeerde toestemming niet werkbaar is gebleken. Ik deed op sociale media ook een oproep tot voorstellen voor een oplossingsrichting. Op LinkedIn ontstond een levendige discussie. Mooi dat er wordt meegedacht! Onder andere Andries Hamster en Mark de Lange reageerden. Hun voorstellen zijn ruwweg hetzelfde: maak het mogelijk om in de behandelrelatie voor een specifieke vraag digitaal informatie op te vragen met digitaal bewijs van zowel identiteit van de arts als van toestemming van de patiënt. Dat volgt de WGBO en lijkt op de oplossing die Whitebox gebruikt. Het lijkt ook op hoe het in Oostenrijk is opgelost, waar informatie pas beschikbaar is als zowel de arts als de patiënt hun digitale pas hebben aangeboden.

Hierbij mijn, persoonlijke, twee centen als bijdrage aan die discussie.

Gespecificeerde toestemming ging niet over toestemming in de behandeling, maar over een specifieke vorm van infrastructurele oplossingen

De voorstellen van Andries en Mark zijn passend bij het opvragen van gegevens uit vorige behandelingen ten behoeve van een huidige behandeling. De analyse die in de reactie van Andries gemaakt wordt klopt niet helemaal. Zo is gespecificeerde toestemming niet alleen voor zorgverleners onwerkbaar volgens de adviezen, maar ook voor patiënten. Echte regie bij patiënten zou leiden tot 160 vragen en dat zijn er onbegrijpelijk veel, zo werd onder meer geoordeeld door de stuurgroep Gespecificeerde Toestemming Structureel en het Parlement. De daarna opgestelde 28 vragen zijn er te weinig voor echte regie, maar nog steeds onwerkbaar, zo oordeelde daarna het Adviescollege Toetsing Regeldruk.

Daarnaast is gespecificeerde toestemming alleen voorzien en geldig voor een specifieke inrichting van de infrastructuur, namelijk die inrichtingen die werken met brede beschikbaarstelling vooraf, zonder dat de arts die de gegevens heeft klaargezet controle heeft over wie het ophaalt (zoals gedefinieerd in de “Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg”). Dat gaat overigens niet over een specifieke standaard, maar over de wijze waarop die wordt toegepast. In Oostenrijk wordt gewerkt met technieken waarin informatie van te voren beschikbaar wordt gesteld. Maar die informatie is alleen leesbaar met digitaal vastgestelde toestemming van de patiënt. In technische termen: een "pull" oplossing die als "push" is ingericht. Die inrichting past in de Nederlandse context bij de WGBO en zou geen gespecificeerde toestemming vereisen. Want de toestemming wordt, passend bij de WGBO, in de behandeling gegeven door de patiënt.

De voorstellen die Andries en Mark doen gaan niet over de infrastructurele inrichting die gespecificeerde toestemming vereist, maar over de toestemming die de WGBO vereist bij het ophalen van gegevens uit vorige behandelingen. Daar is gespecificeerde toestemming niet op van toepassing. Dat misverstand is overigens wijdverbreid. Er wordt vaak gedacht dat gespecificeerde toestemming zou gaan over alle gegevensuitwisseling in de zorg. Dat is dus niet het geval! Gespecificeerde toestemming heeft niets te maken met de toestemming die nodig is volgens de WGBO, maar wel met een specifieke technische vorm van uitwisseling.

#Hoedanwel

Het is goed om te zien dat er zoveel wordt meegedacht. Dat is ook nodig voor de herijking van gespecificeerde toestemming die de komende maanden zal plaatsvinden. Ik vind het ook zelf een ingewikkeld vraagstuk. Daarom hoop ik op veel voorstellen en goede discussies. Om daar zelf ook iets aan toe te voegen hierbij een paar overwegingen voor oplossingen op de wat langere termijn.

Uitwisseling in de behandelrelatie: infrastructuren die geen extra toestemming vereisen

Zoals in mijn vorige blog over toestemming beschreven moet voor uitwisseling in de behandelrelatie die mag met veronderstelde toestemming uiteindelijk een vorm van uitwisseling worden gevonden waar geen extra toestemming voor nodig is. Want om een gegevensuitwisseling verplicht digitaal te laten verlopen mag er geen extra toestemming nodig zijn (omdat je die niet kunt afdwingen).

Een dergelijke extra toestemming is nodig als gegevens vooraf beschikbaar worden gesteld en de inhoudsopgave die verwijst naar die gegevens voor iedereen leesbaar is. Want in dat geval doorbreekt de beschikbaar stellende arts het beroepsgeheim. Nu zou je kunnen beargumenteren dat de WGBO hierop zou kunnen worden aangepast, zodat alle artsen altijd mogen uitwisselen. Dat is inderdaad een denkrichting. Maar daarmee zou de hele aanpak van beroepsgeheim (er is zwijgplicht die alleen in specifieke situaties bij wet beschreven situaties verbroken mag) op de kop gaan.

Artsen betrokken bij de behandeling mogen dus met elkaar gegevens uitwisselen over die behandeling. De vraag is hoe artsen weten dat ze betrokken zijn bij de behandeling. Vaak ontstaat dat vanzelf, door verwijzing bijvoorbeeld. Dan kennen ze elkaar en mogen ze waar nodig elektronisch uitwisselen.

Maar ook de patiënt zelf weet wie er in zijn zorgnetwerk zitten. Een denkrichting zou kunnen zijn dat alle zorgaanbieders die “iets weten over mij” dat verplicht moeten melden aan mij (in een persoonlijke gezondheidsomgeving of register, bijvoorbeeld). En dat ik mijn eigen zorgnetwerk kan autoriseren om met elkaar uit te wisselen als dat voor mijn behandeling nodig is (natuurlijk ook dan met goede logging en signalering naar mij van elke uitwisseling). Zo’n verplichte melding aan mij van het hebben van gegevens over mij past ook goed bij de AVG en bij de eigen regie op gegevens.

Ophalen van gegevens uit vorige behandelrelaties

Stel je voor een radiologisch beeld uit het verleden is handig voor een actuele behandeling. Dat beeld ophalen mag alleen met toestemming van de patiënt, omdat de zendende radioloog het beroepsgeheim doorbreekt. Soms is het extra vreemd dat voor het ophalen van dergelijke gegevens uitdrukkelijke toestemming nodig is. In het medicatieproces, bijvoorbeeld, is het vereist om een actueel medicatie overzicht te maken. Bijvoorbeeld voorafgaand aan een ingreep. Om dat overzicht samen te stellen moet medicatie worden gekend uit allerlei behandelrelaties. Voorschrijvers of verstrekkers die dergelijke gegevens doorgeven doorbreken hun beroepsgeheim. Dat is vreemd: dat voor iets dat we beschrijven als goede zorg het beroepsgeheim doorbroken moet worden. Als we dat zouden willen veranderen zijn meer denkrichtingen zijn mogelijk. De WGBO aanpassen, bijvoorbeeld, zodat informatie die volgens een kwaliteitsnorm nodig is voor goede zorg mag worden uitgewisseld. Of een bepaalde zorgverlener aanwijzen, zeg bijvoorbeeld de huisarts, die altijd een signaal krijgt van medicatiebeslissingen, zodat daar een actueel overzicht bestaat. Welke oplossingen zien jullie?

In alle situaties waarin gegevens nodig zijn uit vorige behandelrelaties mag van de WGBO alleen met toestemming van de patiënt informatie worden opgehaald. De voorstellen van Mark en Andries gaan over deze situatie. Zij doen het voorstel, kort gezegd, om met digitaal bewijs van de identiteit van de arts en toestemming van de patiënt gegevens uit het verleden op te halen. Dan is wel de vraag hoe je weet waar die gegevens zijn. In Oostenrijk is daarvoor bijvoorbeeld een index gemaakt, die verwijsgegevens bevat en alleen te raadplegen is als er digitale toestemming van de patiënt is. Dat is een mogelijke oplossingsrichting. Een andere oplossing die ik zie is de hierboven genoemde, waarin de patiënt een eigen zorgnetwerk beheert en vooraf aan die zorgverleners of naar eigen keuze juist per geval toestemming kan geven om gegevens op te halen. Ik kan me ook voorstellen dat er mensen zijn die het fijn vinden dat hun huisarts dat voor hen beheert. Als het gaat om mijzelf zie ik bijvoorbeeld een signaal op mijn mobiele telefoon voor me, waarbij ik de toestemming direct kan geven als ik dat wil.

Spoed

Het oplossen van gegevensuitwisseling bij spoed is een bijzonder geval van het ophalen van gegevens uit vorige behandelrelaties. Spoedsituaties zijn nooit te voorspellen, dus vergen per definitie het vooraf klaarzetten van gegevens voor onbekend later gebruik door een onbekende latere zorgverlener. De artsen die informatie voor spoed klaarzetten doorbreken hun beroepsgeheim, en ook voor deze situatie kent de WGBO alleen de grondslag toestemming van de patiënt. In die landen waar enkel en alleen voor spoed een aparte toestemming wordt gevraagd (Schotland bijvoorbeeld) is het opt-in percentage heel hoog. Want het besef dat bij spoed actuele gegevens cruciaal zijn om levens te redden is voor verreweg de meeste mensen reden om die toestemming te geven. Sommige landen hebben in plaats van voor opt-in gekozen voor een opt-out regeling. Maar de percentages toestemming zijn vaak ongeveer het zelfde.

Bij spoed moeten de gegevens echt kloppen. De medicatielijst, bijvoorbeeld, moet actueel en correct zijn. Er is nu nog niet één authentieke bron voor die gegevens. Een oplossingsrichting voor spoed waarin die bron wel ontstaat, met natuurlijk ook inzicht voor mijzelf als patiënt en de mogelijkheid om te corrigeren en aan te vullen, heeft meer voordelen. Want dan kan ik, als patiënt, ook zelf kiezen om die gegevens te delen met andere zorgverleners. Zo hebben die ook automatisch de beschikking over de laatste stand van mijn “patiëntsamenvatting”. Twee vliegen in één klap?

Kom maar op

Deze blog is bedoeld als een kleine bijdrage aan het gesprek over toestemming bij elektronische gegevensuitwisseling. Ik ben nieuwsgierig naar jullie inbreng!

De laatste tijd wordt er weer veel gesproken over toestemming voor gegevensuitwisseling. Onder meer omdat het moeilijk blijkt om gespecificeerde toestemming voor uitwisseling in de praktijk werkend te krijgen. In de gesprekken worden twee redenen voor toestemming vaak door elkaar gehaald. De toestemming die de WGBO vereist als er geen andere grondslag is voor uitwisseling van gegevens en de toestemming die sommige infrastructuren daar aanvullend op vereisen. Tijd voor verduidelijking dus.

Toestemming in het zorgproces

Waar wel en niet expliciete toestemming van de patiënt voor nodig is wordt geregeld in de WGBO, de Wet op de geneeskundige behandelingsovereenkomst. Die wet regelt bijvoorbeeld dat zorgprofessionals in allerlei gevallen informatie mogen uitwisselen zonder expliciete toestemming. Veronderstelde toestemming heet dat. Bijvoorbeeld mag dat als iemand verwezen wordt naar een andere zorgverlener, als iemand bij de behandeling betrokken is of voor consultatie. In heel veel gevallen hoeft in de zorg dus niet telkens om expliciete toestemming gevraagd te worden. Pas als er niet een dergelijke grondslag is, vereist de WGBO uitdrukkelijke toestemming.

Dat is bijvoorbeeld het geval als een zorgprofessional informatie nodig heeft uit het verleden, uit een andere behandeling. Ook dat gebeurt best vaak. Als bijvoorbeeld radiologische beelden uit het verleden kunnen helpen een diagnose te stellen. In dat geval is wel toestemming nodig. Omdat de zendende radioloog zijn beroepsgeheim doorbreekt zonder andere grondslag dan toestemming. Het voor een huidige behandeling delen van oude gegevens kan namelijk volgens de WGBO niet met een andere grondslag dan toestemming van de patiënt zelf. Dat is in sommige andere Europese landen niet zo. Vandaar dat er in Europa verschillen bestaan (je zou kunnen denken dat het de AVG is die dit bepaalt en er dus in Europa geen verschil zou moeten bestaan. Omdat het de WGBO is bestaan die verschillen wel).

Het beschikbaar hebben van gegevens bij spoed is zo’n situatie waarin gegevens al vooraf beschikbaar moeten zijn zonder dat ze op dat moment bij een specifieke behandelaar nodig zijn. Ook dit kan volgens de WGBO alleen met toestemming, omdat de artsen die die informatie raadpleegbaar maken zonder dat er op dat moment al sprake is van een spoedsituatie hun beroepsgeheim doorbreken.

Toestemming vanwege de infrastructuur

Het lastige is dat er niet alleen toestemming is in de behandeling. Er bestaan ook infrastructuren die zo werken dat er aanvullende toestemming nodig is. Die infrastructuren werken namelijk zo, dat er informatie raadpleegbaar is voordat duidelijk is wie die ophaalt in het kader van behandeling. De artsen die dergelijke informatie beschikbaar stellen, doorbreken hun beroepsgeheim zonder andere (WGBO) grondslag dan toestemming van de patiënt. Dergelijke infrastructuren werken met een inhoudsopgave waarin staat welke zorgaanbieder iets van iemand weet. Als een dergelijke inhoudsopgave of “index” raadpleegbaar is voor iedereen, dan is er al sprake van doorbreken van beroepsgeheim. Want ook het hebben van gegevens over mij bij een verslavingskliniek, bijvoorbeeld, is een medisch gegeven.

Niet die inhoudsopgave is bepalend overigens voor het doorbreken van beroepsgeheim, maar of deze leesbaar is zonder dat er sprake is van een behandelrelatie of toestemming van de patiënt. Daarvoor worden soms de woorden “push” (uitwisseling in de behandelrelatie zelf) of “pull” (uitwisseling van vooraf raadpleegbaar gemaakte gegevens) gebruik. Ik gebruik die woorden bij voorkeur niet. Want soms is het technisch ophalen van gegevens (“pull” zou je denken) eigenlijk “push”. Namelijk als alleen de betrokken behandelaar bij de inhoudsopgave kan en mijn gegevens kan ophalen. Die woorden compliceren dus alleen maar.

Sommige infrastructuren werken met raadpleegbaarheid en kennen geen beperking in wie de inhoudsopgave kan raadplegen. Verwarrend is dat die in de Wet aanvullende bepalingen verwerking persoonsgegevens in zorg worden betiteld als "uitwisselingssystemen". Alsof dat geldt voor alle gegevensuitwisseling in de zorg, maar dat is dus niet zo. Alleen voor dergelijke vormen van uitwisseling is gespecificeerde toestemming ontstaan, door een motie die in de Tweede Kamer is ingediend. De gedachte was dat mensen vooraf zouden kunnen aangeven wie welke informatie met wie mocht delen. Dat geldt dus, nogmaals, alleen voor een bepaald soort infrastructuur en niet voor alle gegevensuitwisseling in de zorg. Gespecificeerde toestemming blijkt moeilijk werkbaar. Hoe het wel moet, daar wordt nu door velen over nagedacht.

Wettelijke verplichting

Extra complicerend daarbij is dat elektronische gegevensuitwisseling stapsgewijs wettelijk gaat worden verplicht. En dat kan alleen als de infrastructuur geen aanvullende toestemming vereist. Want een dergelijke toestemming mag, vanwege de AVG, niet worden afgedwongen. Als we echt alle recepten per fax en beelden per DVD die in een behandelrelatie worden uitgewisseld willen vervangen door elektronische gegevensuitwisseling, dan kan dat alleen als de infrastructuur geen aanvullende toestemming vereist.

Ophalen uit vorige behandelrelaties

Daarmee is er nog geen oplossing voor het ophalen uit vorige behandelrelaties (waaronder ook voor spoed). Zoals voor het krijgen van relevant beeldmateriaal uit het verleden, of het maken van een medicatie-overzicht van alle door wie dan ook voorgeschreven medicatie. Dat mag, op dit moment, van de WGBO alleen met toestemming van de patiënt. Dat is in andere landen niet altijd zo. Daar mogen dokters betrokken bij een behandeling gegevens uitwisselen met dokters uit vorige behandelrelaties zonder uitdrukkelijke toestemming van de patiënt. Vaak gaat dat vertrouwen in dokters gelijk op met goed inzicht bij mensen wie wat over hen heeft uitgewisseld. Want vertrouwen is goed, maar daar hoort ook controle bij. Hoe het uitwisselen van gegevens uit vorige behandelrelaties op te lossen, ook daar wordt nu over nagedacht. Gespecificeerde toestemming is moeilijk werkbaar, zo is gebleken. Daarom wordt nu onderzocht of er gebruiksvriendelijke, juridisch houdbare manieren zijn om betrokken zorgverleners toestemming te verlenen in de context van de actuele behandelrelatie.

Alle voorstellen welkom

De komende tijd is ieders denkkracht nodig om te komen tot gegevensuitwisseling die patiënten, dokters en andere professionals echt helpt, die niet leidt tot administratieve lasten en die past bij de eisen die de WGBO stelt. Iedereen die mee wil denken is welkom! Wie schrijft de eerste blog over hoe het wel kan?

“Het verwerken van medische informatie is in beginsel verboden”. Deze zin is opgenomen in de tweede brief over elektronische gegevensuitwisseling in de zorg die recent aan de Tweede Kamer gezonden is. Patiënt en zorgverlener moeten uit kunnen gaan van vertrouwelijkheid. Tegelijkertijd: zonder de juiste informatie kan een medebehandelaar niet de juiste zorg leveren. Daarom zijn er ook uitzonderingen op de regel dat gegevens niet mogen uitgewisseld met anderen. Expliciete toestemming van de betrokken patiënt is de meest voor de hand liggende.

Maar er zijn ook situaties dat die toestemming mag worden aangenomen en niet expliciet hoeft te worden gevraagd. Zo is expliciete toestemming niet nodig voor acute zorg aan iemand die niet in staat is om toestemming te geven (iemand die buiten bewustzijn is, bijvoorbeeld). Ook het verstrekken van benodigde informatie aan medebehandelaars en aan vervangers van behandelaars is zo’n uitzondering. Dat is ook wel zo prettig. Want wie in een ziekenhuis wordt opgenomen, bijvoorbeeld, heeft te maken met tientallen verpleegkundigen (in ploegendienst) en meerdere artsen. Die mogen allemaal de informatie kennen die ze nodig hebben om de goede zorg te kunnen bieden, zonder dat je ’s nachts wakker gemaakt hoeft te worden om die toestemming te geven aan een nieuwe verpleegkundige.

Om zeker te stellen dat informatie niet wordt ingezien door mensen die niet bij de behandeling betrokken zijn moet toegang worden gelogd. Die logbestanden worden bekeken en bij misbruik worden maatregelen genomen. Zorgprofessionals weten dat en gaan er in de regel precies mee om. Het is immers, ook, het zonder grond doorbreken van beroepsgeheim.

Voor elektronische uitwisseling tussen instellingen is een extra toestemming nodig. Die toestemming is ontstaan in 2011, toen de betrokkenheid van de overheid bij elektronische gegevensuitwisseling tussen instellingen werd gestopt. De tweede toestemming is nodig voor “het beschikbaar stellen van gegevens voor derden”. Dat betekent dat, bijvoorbeeld, een ziekenhuis van een patiënt toestemming moet hebben voordat informatie beschikbaar mag zijn voor ophalen door andere instellingen. Ook als die andere instelling er vanwege betrokkenheid bij de behandeling over mag beschikken.

Stel dat je wordt verwezen voor chemotherapie naar een ander ziekenhuis. Dan mag de verzendende dokter wel de gegevens elektronisch verzenden. Maar de gegevens elektronisch ophalen door het tweede ziekenhuis, dat mag alleen met expliciete toestemming. Want alleen dan is die informatie beschikbaar.

Die tweede toestemming is om meerdere redenen geïntroduceerd. Het is een extra barrière voor het zonder toestemming gegevens inzien. En er is ook een technische reden. In veel gevallen wordt namelijk om te weten welke instelling over gegevens van iemand beschikt een aparte “index” bijgehouden. Dat een instelling iets van je weet is ook al gevoelige informatie, zeker als die index buiten de instelling zelf wordt bijgehouden. Voor opname in zo’n index buiten de instelling zelf is toestemming nodig (ook op grond van vroeger de WBP en nu AVG). Het zou overigens, om veel redenen, wat mij betreft goed zijn als er zo weinig mogelijk van dergelijke indexen buiten instellingen zelf zouden zijn.

Die tweede toestemming maakt dat als we in de zorg overgaan van papier naar digitaal, er minder informatie beschikbaar is. Er zijn dan in feite twee toestemmingen. De eerste toestemming voor het doorbreken van beroepsgeheim, waarop uitzonderingen zijn zoals betrokkenheid bij de behandeling en acute zorg. En de tweede toestemming voor elektronische gegevensuitwisseling waarop geen enkele uitzondering is.

Die tweede toestemming wordt tegen het licht gehouden, zo staat in de genoemde brief. Een aantal mensen reageerde naar mij met de zorg dat privacy te grabbel wordt gegooid. Ik begrijp die zorg. Maar als de tweede toestemming niet zou bestaan, is de eerste er nog wel. En die is voor zorgverleners heel precies. Wie zonder grond beroepsgeheim doorbreekt kan rekenen op maatregelen. Tuchtrechtelijk, maar bijvoorbeeld ook in sommige gevallen ontslag. Daarom gaan – de meeste – zorgprofessionals zo precies om met gegevensdeling.

Het zou wel goed zijn als die gegevensdeling transparant zou zijn. Daarom is in de normen voor logging van toegang tot medische gegevens opgenomen dat deze inzichtelijk moeten zijn voor patiënten. Ik zou dat wel tof vinden: een signaal in mijn MedMij-gecertificeerde Persoonlijke Gezondheidsomgeving dat iemand toegang heeft gehad tot mijn gegevens. Die balans, tussen toegang indien nodig voor behandeling en tegelijkertijd inzicht in logging voor patiënten, vind ik persoonlijk de moeite waard om te onderzoeken.

Met nog steeds bescherming van de privacy voorop. Want privacy en gegevensdeling kunnen - en moeten wat mij betreft - samen gaan.