Vooral nieuwe ordners nodig voor huisartsen bij invoering AVG
Op 25 mei 2018 gaat de Algemene Verordening Gegevensverwerking(AVG), gebaseerd op Europese regelgeving in. In het Engels heet deze regelgeving de General Data Protection Regulation (GDPR). De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. De regeling die op zich nobele doelen nastreeft zoals o.a. transparantie, gegevens-, doel-, bewaar-beperking, juistheid, integriteit, vertrouwelijkheid en verantwoording voor de verzamelde data lijkt echter voor de geautomatiseerde huisarts eerder een slang die zich zelf in de staart bijt. Het lijkt zinnig voor huisartspraktijk in eerste instantie een aantal nieuwe ordners aan te schaffen om alle papierwinkel die vast zit aan de invoering van de AVG eerst eens op te slaan alvorens het uitvoeren ervan te overwegen.
Te abstract
Het moge duidelijk zijn uit mijn voorgaande publicaties dat ik bijzonder hecht aan de vertrouwelijkheid van datgene wat vastgelegd wordt in zorgsystemen over datgene wat tussen arts en patiënt gecommuniceerd wordt en wat aan onderzoeken plaatsvindt. Ik ben dan ook niet tegen regelgeving die deze zaken borgt. Het probleem met de AVG is echter dat deze zeer abstract, eigenlijk te abstract, is opgesteld, waardoor er sprake is van naast veel nieuwe verplichtingen ook onduidelijkheid is wat nu precies wel of niet moet worden geïmplementeerd in huisartspraktijken. En dat los van de vraag hoe. De Landelijke HuisartsenVereniging(LHV) heeft op haar website zeer recent een manmoedige poging gedaan om duidelijkheid te scheppen, maar stort daarmee een hoeveelheid informatie over het werkveld die de gemiddelde huisarts niet bepaald gelukkig maakt.
Onderdelen
De LHV bouwt de voorlichting op met een drietal webpagina’s: Wat moet u weten? , Wat moet u doen? en Producten. De eerste beschrijft vijf onderdelen:
- Het sluiten van verwerkersovereenkomsten
- Het bijhouden van een verwerkingsregister
- Het uitvoeren van een Data Protection Impact Assessment (DPIA)
- Het instellen van een Functionaris Gegevensbescherming
- Het publiceren van een privacyverklaring
De tweede webpagina werkt al deze punten uit en op de derde webpagina worden negen “producten” benoemd. Daarvan zijn alleen de KNMG-richtlijn “Omgaan met medische gegevens”, het voorbeeld verwerkersovereenkomst en de Handreiking datalekken beschikbaar. De zes andere producten moeten nog een keer gepubliceerd worden. De producten die nog moeten verschijnen zijn de handreiking “AVG in de huisartspraktijk”, de checklist verwerkersovereenkomst, het model verwerkingenregister, hoe datalekken documenteren, het functieprofiel Functionaris Gegevensbescherming(FG) en de preferred suppliers van de LHV en overzicht van aanbieders FG.
Verwerkersovereenkomst
De reeds beschikbare bestanden bevatten zeer veel pagina’s tekst en zijn eigenlijk net als de nog te publiceren bestanden vooral raamwerken die per praktijk een andere invulling zouden behoeven. Daarbij is het zo dat aparte juridische kennis nodig is om de modelteksten geschikt te maken voor gebruik in specifieke praktijksituaties. Nog los van het feit of een praktijk grip heeft op de definitieve inhoud van te tekenen stukken. Een voorbeeld daarvan is de verwerkersovereenkomst. Een verwerker kan een HuisartsInformatiesSysteem(HIS)-leverancier zijn, een IT-leverancier of salarisadministratie , maar ook een zorggroep zijn. Met iedereen die geen medewerker of ingehuurd personeel is en die toegang heeft tot de persoonsgegeven moeten verwerkersovereenkomsten worden afgesloten die conform de AVG zijn. Deze specifieke afspraken kunnen in een aparte overeenkomst, een zogenoemde verwerkers-overeenkomst, of in een bestaande overeenkomst worden opgenomen. Het is een illusie om te denken dat op praktijkniveau de huisartsen invloed op de inhoud van dergelijke overeenkomsten zullen hebben. De wederpartij zal over het algemeen de inhoud van deze overeenkomsten dicteren.
DPIA
Onderdeel van de invoering van de AVG is ook de Data Protection Impact Assessment(DPIA) in “goed Nederlands” ook wel de gegevensbeschermingseffectbeoordeling genoemd. Met een DPIA worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht, bijvoorbeeld het opnemen van medische dossiers in een informatiesysteem. Bij het aanschaffen van een nieuw HIS is een dergelijke DPIA nodig. Hoe die er precies moet uitzien en of voor de uitvoering daarvan een vast format gebruikt mag worden is nog steeds onduidelijk. Ook raadt de Autoriteit Persoonsgegevens aan bij bestande systemen, lees: HIS-sen, eens per drie jaar zoiets te doen. Er zijn al allerlei consultancybedrijven die op de DPIA-markt actief zijn. Het moge duidelijk zijn een DPIA een tijd en geld verslindende operatie is, waarbij men allerlei op papier mogelijke gevaren in kaart brengt maar er geen garantie is of dat in de praktijk ook werkt. De meeste datalekken ontstaan namelijk door menselijke fouten bij bijvoorbeeld de verzending van data of door opslag op mobiele datadragers tegen protocollen en afspraken in.
Functionaris gegevensbescherming
Zoals uit het voorgaande blijkt, denkt de LHV dat in huisartspraktijken ook een functionaris gegevensbescherming(FG) dient te worden aangesteld, dan wel dat één van de praktijkmedewerkers die taak op zich neemt. Ook zou het volgens de regelgeving mogelijk zijn dat een FG voor meerdere bedrijven of instellingen zou mogen werken. De vraag is dan weer hoe groot die collectiviteit mag zijn. Het is echter nog volledig onduidelijk of in huisartspraktijken überhaupt een FG moet worden aangesteld. Het juridische consultancy-bureau Dirkzwager publiceerde op 27 december 2017 op de eigen website een oproep aan de overheid om meer duidelijkheid te verschaffen over regels voor het wel of niet aanstellen van een FG.
Papieren exercitie
Uit het voorgaan moge blijken dat nog veel onduidelijk is over de implementatie van de AVG bij huisartspraktijken. Vooralsnog lijkt het heel verstandig om de bestaande en toekomstige documentatie op dit vlak te downloaden van de website van de beroepsorganisaties en deze na uitprinten op te bergen in een aantal verse lege ordners. Het bewijs dat men er kennis van heeft genomen is dan aanwezig. Voor de dagelijkse praktijk blijft het omgaan met (medische) data vooral een kwestie van gezond verstand en een forse portie kritiek op het eigen handelen.
Het hele gedoe rond de invoering van de AVG doet sterk denken aan de invoering van de ARBO-wet in 1994. Toen kregen alle praktijken opeens het bericht dat ze RI&E-plichtig geworden waren. Dat bleek een Risico Inventarisatie en Evaluatie te zijn. Daarbij moest volgens de documentatie zelfs een plan van aanpak voor een plan van aanpak gemaakt worden. Na heel veel angstig gepraat en gedoe bleek het een papieren tijger te zijn die opgelost werd met een soort collectief format.
L’histoire se repète.
W.J. Jongejan
Met kennis van zaken is het veel eenvoudiger op te lossen binnen de zorgpraktijken. Het is jammer om de indruk te wekken dat het allemaal ‘nog niet duidelijk is’ of ‘helemaal op de specifieke praktijk moet worden afgestemd’. De wetgeving is voor alle bedrijven (ook zorg) gelijk. Moet onze insteek niet zijn het allemaal eenvoudiger te maken, en niet moeilijker? Daartoe hebben we een initiatief genomen.
hartelijke groet,
mr. Benedikt Marijnen