De Wabvpz richt zich, anders dan de Wgbo en AVG, uitsluitend op elektronische gegevensverwerking. De wet introduceert de term ‘elektronisch uitwisselingssysteem’ en legt verplichtingen op aan zorgaanbieders ten aanzien van elektronische verwerking van die gegevens. Ook regelt de Wabvpz enkele specifieke rechten van betrokkenen bij elektronische verwerking van gegevens. Andere onderwerpen waar de Wabvpz en het daarop gebaseerde Besluit elektronische gegevensuitwisseling op zien zijn o.a. het gebruik van het burgerservicenummer van cliënten in de communicatie tussen zorgaanbieders en met indicatieorganen of zorgverzekeraars, het UZI-register en de toepasselijk verklaring van veldnormen ten aanzien van informatiebeveiliging in de zorg (zie Hoofdstuk 7).
De Wabvpz definieert een elektronisch uitwisselingssysteem als een systeem waarmee zorgaanbieders op elektronische wijze (delen van) dossiers of gegevens daaruit voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier.
Art. 1 onderdeel j Wabvpz.
Het raadplegen van de gegevens die op deze wijze beschikbaar zijn gemaakt mag vervolgens alleen plaats vinden als (zorgverleners van) de zorgaanbieder een behandelingsovereenkomst met de cliënt heeft of rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst van de zorgaanbieder die de gegevens beschikbaar maakt en de raadpleging daarvoor nodig is.
Zie Hoofdstuk 3.
Een belangrijk kenmerk van een elektronisch uitwisselingssysteem in de zin van de Wabvpz is dat cliëntgegevens door een zorgaanbieder beschikbaar worden gesteld voor latere raadpleging door andere zorgaanbieders. De zorgaanbieder stelt de cliëntgegevens beschikbaar voor nog ongericht, later gebruik: het is op dat moment niet bekend welke zorgaanbieder op welk moment die gegevens zal raadplegen. Dit wordt ook wel aangeduid als ‘pull-verkeer’. Voorbeelden van elektronische uitwisselingssystemen zijn het Landelijk Schakelpunt (LSP) voor uitwisseling van cliëntgegevens tussen aangesloten zorgaanbieders (met name medicatiegegevens tussen apothekers, huisartsen en ziekenhuizen) of uitwisseling van radiologiebeelden via afspraken binnen een regionale samenwerkingsorganisatie (RSO) voor ICT in de zorg.
Onder een elektronisch uitwisselingssysteem wordt dus niet begrepen:
Een intern dossiersysteem binnen een zorgaanbieder (zoals een elektronisch cliëntendossier (ECD);
Een andere wijze van elektronisch uitwisselen dan door middel van het op voorhand elektronisch beschikbaar stellen van gegevens (zoals e-mailen).
Overigens hebben enkele bepalingen van de Wabvpz wel betrekking op beide voorgaande punten, zoals hieronder nog aan de orde zal komen.
Voorbeeld
Een ziekenhuis heeft een intern systeem voor elektronische cliëntendossiers. In het ziekenhuisgebouw zijn ook een gezondheidscentrum en een openbare apotheek gevestigd. Beide willen graag toegang tot het systeem van ECD’s om dossiers te kunnen raadplegen voor de vervolgbehandeling van cliënten, controle van recepten en actuele medicatieoverzichten.
Een intern dossiersysteem zoals een ECD kan het karakter krijgen van een elektronisch uitwisselingssysteem als er – vaak onder het dak van één zorgaanbieder – meerdere zorgaanbieders gebruik van maken, er geen strikte onderlinge scheiding is gemaakt binnen dat dossiersysteem en als dossiers van de ene zorgaanbieder in een intern dossiersysteem op structurele basis raadpleegbaar zijn voor de andere zorgaanbieder. Dan zal het aan de vereisten van die wet moeten voldoen. Op dit punt komen we nog terug in 4.5.1.
Elektronische gegevensuitwisseling kan ook plaatsvinden door het gericht sturen en ontvangen van gegevens tussen zorgaanbieders. Dit gebeurt veelal bij verwijzing van de cliënt van de ene zorgaanbieder naar de andere: de verwijzende zorgaanbieder stuurt de gegevens gericht naar de zorgaanbieder die de behandeling gaat vervolgen en in dat kader de gegevens nodig heeft. Dit gerichte gegevensverkeer wordt ‘push-verkeer’ genoemd. Dit push-verkeer valt niet onder de definitie van een elektronisch uitwisselingssysteem in de Wabvpz, maar vindt plaats op basis van (veronderstelde) toestemming op grond van de Wgbo. Een duidelijk voorbeeld van push-verkeer is het versturen van cliëntgegevens via beveiligde mail.
Op het e-mailverkeer is de Nederlandse Technische Afspraak NTA7516 “Eisen voor veilige e-mail en chatapplicaties” van toepassing. Zie hiervoor ook 7.4.1.
Ook bij digitale verwijzing van cliënten door de huisarts naar het ziekenhuis of overdracht van cliënten van het ziekenhuis naar de VVT-sector via een digitaal systeem is sprake van push-verkeer. Een elektronisch uitwisselingssysteem betreft dus altijd elektronische gegevensuitwisseling. Elektronische gegevensuitwisseling vindt echter niet altijd plaats via een elektronisch uitwisselingssysteem.
Of er sprake is van een elektronisch uitwisselingssysteem en dus van pull-verkeer in plaats van push-verkeer, hangt af van de concrete inrichting ervan. Het volgende voorbeeld uit de memorie van antwoord illustreert dit goed:
Indien ziekenhuizen en huisartsen gaan werken met pull-verkeer voor het ophalen van laboratoriumuitslagen en specialistenbrieven, zal daarvoor op grond van de opt-in uitdrukkelijke toestemming moeten worden gegeven. Dit is mijns inziens echter alleen maar zo als die labuitslagen en brieven daarmee voor alle op het elektronisch uitwisselingssysteem aangesloten zorgaanbieders beschikbaar worden. Indien er sprake is van een portal waarmee door middel van bijvoorbeeld een inlogcode alleen de eigen huisarts die gegevens kan ophalen, dan is er feitelijk eenzelfde situatie als bij push-verkeer en mag worden uitgegaan van veronderstelde toestemming op grond van de Wgbo.
MvA, Kamerstukken I, 2014/15, 33 509, nr. C, p. 22.
Hoewel de huisarts de informatie zelf ophaalt en het daarmee technisch gezien pull-verkeer is, wordt het juridisch als push-verkeer gekwalificeerd. Bij een dergelijke portal worden de gegevens immers niet raadpleegbaar gemaakt voor andere zorgaanbieders; de uitslag en brieven zijn alleen beschikbaar voor de betreffende huisarts. Deze huisarts heeft op dat moment al een behandelingsovereenkomst met de cliënt en kan ook alleen kennis nemen van gegevens waar hij op grond van de Wgbo kennis mag nemen. Meer hierover in 3.3.4.
De vraag of sprake is van een elektronisch uitwisselingssysteem is van belang omdat aan gegevensverstrekking via een elektronisch uitwisselingssysteem, dus pull-verkeer, specifieke verplichtingen verbonden zijn door de Wabvpz:
Het vragen van uitdrukkelijke toestemming aan de cliënt voor het beschikbaar stellen van diens cliëntgegevens via een elektronisch uitwisselingssysteem;
Het verstrekken van informatie aan cliënten over de werking van het elektronisch uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt, over substantiële wijziging van het elektronisch uitwisselingssysteem en daarbij de mogelijkheid om de gegeven toestemming te wijzigen of in te trekken (art. 15c, eerste lid);
Inzage in de verwijsindex en logging van het uitwisselingssysteem (art. 15e);
Een verbodsbepaling voor zorgverzekeraars, keurings- en andere beoordelend artsen ten aanzien van toegang tot een elektronisch uitwisselingssysteem.
Andere bepalingen van de Wabpvz gelden voor elektronische gegevensverwerking in brede zin – dus los van de vraag of er gegevens worden uitgewisseld en ongeacht de wijze waarop dat gebeurt (push of pull). Deze bepalingen vormen een aanvulling op hetgeen in de Wgbo is bepaald en een concretisering van normen uit de AVG en UAVG.
Bijvoorbeeld het nemen van technische en organisatorische maatregelen om de verwerking van persoonsgegevens te beschermen uit artikel 32 van de AVG.
Ze betreffen:
De elektronische inzage in en het afschrift van het dossier van een cliënt (art. 15d);
Informatie over de logging (art. 15e, onder b);
Technische, functionele en organisatorische vereisten voor gegevensverwerking;
Een strafrechtelijk beroepsverbod bij schending van het beroepsgeheim (art. 15i).
De verplichtingen van de Wabvpz richten zich vooral tot de zorgaanbieder die (gezondheids)gegevens van zijn cliënten beschikbaar stelt of gaat stellen via een elektronisch uitwisselingssysteem. De vereisten die voor de verwerkingsverantwoordelijke van het elektronisch uitwisselingssysteem gelden, gaan vooral over de naleving van de zogeheten NEN-normen (zie Hoofdstuk 7). Overigens kan de zorgaanbieder tevens de verwerkingsverantwoordelijke van het elektronisch uitwisselingssysteem zijn; ook mogelijk is dat de aangesloten zorgaanbieders gezamenlijk verwerkingsverantwoordelijken zijn of daarvoor een aparte rechtspersoon hebben opgericht (zoals de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ)).
De algemene beginselen bij verwerking van persoonsgegevens zijn in 2.1.3 besproken. De informatiebeveiligingsvereisten komen aan bod in Hoofdstuk 7. Hieronder wordt nader ingegaan op twee deelaspecten bij gegevensuitwisseling in brede zin (dus pull- en push-verkeer): toestemming en informatie, en rechten van cliënten.
