De inzet van e-health, informatie en communicatietechnologie (ICT), biedt veel kansen om de zorg te kunnen ondersteunen, verbeteren of efficiënter te verlenen, maar brengt ook risico’s met zich mee. Deze risico’s ontstaan wanneer regelgeving, waaronder regelgeving die gericht is op bescherming van de privacy van de patiënt, niet goed wordt toegepast.
Als deze regelgeving niet goed wordt toegepast, loopt de zorgverlener het risico dat hij geconfronteerd wordt met een tuchtklacht en dat de zorgorganisatie aansprakelijk wordt gesteld, een boete krijgt opgelegd van de Autoriteit Persoonsgegevens (AP) en/of door de Inspectie Gezondheidszorg en Jeugd (IGJ) op de vingers wordt getikt. Om nog maar niet te spreken over de imagoschade als een schending van de (al dan niet privacy)regels in de media wordt geventileerd.
Meer dan inkoop
Veel zorgaanbieders vertrouwen erop dat ICT-leveranciers e-health-toepassingen aanbieden die voldoen aan de regelgeving op het gebied van informatiebeveiliging en gegevensbescherming en menen dat zij het, na implementatie daarvan, goed hebben geregeld. Dat dit niet afdoende is, blijkt wel uit de praktijk. Zo heeft de AP al een aantal keer een hoge boete aan een zorgorganisatie opgelegd omdat niet was voldaan aan het vereiste van de tweefactor authenticatie om te mogen inloggen in een digitaal patiëntendossier en de logging van de medewerkers (wordt er zonder noodzaak door medewerkers in een medisch dossier gekeken?) onvoldoende systematisch en frequent werd gecontroleerd. Hiermee voldeed het ziekenhuis niet aan de AVG en de Nederlandse normen voor informatiebeveiliging in de zorg (NEN). Het kan dus zijn dat een digitaal systeem op zich veilig is, maar dat daarnaast maatregelen moeten worden genomen om aan toepasselijke (al dan niet wettelijke) normen te voldoen.
Aanschaf en implementatie
Maar daarvoor al, in de fase van aanschaf, is het van belang om vast te stellen of de functionaliteiten van een e-health-toepassing voldoende zijn. Als bijvoorbeeld een patiënt van 14 jaar in een ziekenhuis zowel bij een oncoloog als bij een psycholoog onder behandeling is en hij zijn ouders elektronische inzage wil geven in het oncologische deel van het elektronisch patiëntendossier, maar niet in het psychologische deel, dan is het wenselijk om die mogelijkheid te kunnen bieden. De patiënt heeft immers het recht om dit onderscheid te maken en dat recht moet kunnen worden geëffectueerd.
In de implementatiefase van bijvoorbeeld een app waarmee e-consulten kunnen worden gedaan, is het belangrijk om medewerkers goed te informeren over het gebruik daarvan. Zo mag (buiten de covid-situatie) een patiënt – op grond van de Geneesmiddelenwet – niet via een e-consult medicatie worden voorgeschreven voordat de zorgverlener de patiënt een keer fysiek heeft gezien.
Extra regels
Vanzelfsprekend is alle regelgeving die geldt bij zorgverlening zonder de inzet van e-health ook van toepassing op situaties waarin wel e-health wordt toegepast. Bij e-health moet wel rekening worden gehouden met extra regels. Bij de in acht te nemen normen moet ook rekening worden gehouden met de richtlijnen die de diverse beroepsorganisaties in het kader van e-health hebben opgesteld. Zo staan in de KNMG-richtlijn ‘Omgaan met medische gegevens’ allerlei voorwaarden waaraan moet worden voldaan om een e-consult te mogen doen. Een van die voorwaarden is dat de identiteit van de patiënt moet worden vastgesteld. Het is derhalve aan te bevelen om de patiënt voor een (eerste) e-consult een document toe te zenden waarin alle relevante zaken, waaronder het bij de hand hebben van een identiteitsbewijs bij een videoconsult, worden opgenomen.
Juridisch perspectief
Om te voorkomen dat risico’s zich verwezenlijken, is het van belang om in het hele proces van ontwikkeling, aanschaf, implementatie en evaluatie van een e-health-toepassing de juridische aspecten daarvan te kennen en te incorporeren. Dit komt overigens ook tot uitdrukking in het Toetsingskader ‘Inzet van e-health door zorgaanbieders’ dat door IGJ wordt gehanteerd en waarin het bestuur eindverantwoordelijk wordt gehouden voor de inzet van e-health in alle genoemde fases. Mijns inziens zou veel meer dan tot nu toe gebeurt juridische expertise betrokken moeten worden bij e-health. De nadruk ligt nu nog vooral op de gezondheids- en digitale aspecten van e-health. In het kader van risicobeheersing is het verwaarlozen van de juridische kant een gemiste kans die zorgverleners en -instanties duur kan komen te staan.
Mr. drs. Shirin Slabbers,
Senior jurist gezondheidsrecht bij VvAA
.png)
Delen:
Is je huid gezond? Check het zelf!
Hoe kunnen wearables de zorg transformeren?
