Veranderingen in privacywetgeving: wat betekent dit voor de zorg?

sector:

Zorg

28 mei 2012

De wetgeving ter bescherming van persoonsgegevens is recent gewijzigd. Wat is er veranderd? Welke wijzigingen staan nog voor de deur? En wat betekent dit voor de privacy in de zorg?

Wet bescherming persoonsgegevens 

Op 9 februari 2012 is de Wet bescherming persoonsgegevens (Wbp) gewijzigd om de administratieve lasten en de kosten van naleving van de Wbp terug te dringen. Het betreft enkele algemene wijzigingen die nauwelijks betrekking hebben op de verwerking van persoonsgegevens in de gezondheidszorg.

Op 1 juli 2012 wijzigt ook een aantal uitvoeringsbesluiten. Ook deze wijzigingen staan in het teken van het verminderen van administratieve lasten. Zo wordt in het Besluit kostenvergoeding rechten betrokkene Wbp de maximale vergoeding die aan een patiënt in rekening gebracht mag worden voor een afschrift van diens persoonsgegevens, verder aangepast. Die vergoeding wordt € 0,23 per pagina tot een maximum van € 5,00. Voor afschriften van meer dan honderd pagina’s, van een moeilijk toegankelijke verwerking, of van één of meer röntgenfoto’s, mag een redelijke vergoeding in rekening worden gebracht tot een maximum van € 22,50. Het is onduidelijk of die maximale vergoeding ook geldt als een patiënt meer dan één röntgenfoto opvraagt.

Het Meldingsbesluit Wbp wordt aangepast zodat één ‘verantwoordelijke’ arts of zorginstelling namens een groep van verantwoordelijken (zoals een huisartsengroep of samenwerkingsverband) een patiëntenbestand kan aanmelden bij het CBP.

Het Vrijstellingsbesluit Wbp krijgt een forse uitbreiding. Zo hoeven ziekenhuizen en andere zorginstellingen hun informatiesystemen met patiëntgegevens niet langer aan te melden bij het CBP of bij hun Functionaris voor de Gegevensbescherming.

Ingrijpende veranderingen op komst

De privacywetgeving zal over twee of drie jaar ingrijpend veranderen als de EU een nieuwe Algemene Verordening Gegevensbescherming heeft aangenomen. Op 25 januari 2012 publiceerde de Europese Commissie een voorstel daarvoor. Deze Verordening vervangt de bestaande Richtlijn bescherming persoonsgegevens (95/46/EG) en heeft als doel de privacyrechten van burgers te versterken. De Europese Commissie vindt dat de huidige Richtlijn tot te zeer ‘gefragmenteerde’ privacywetgeving in de EU heeft geleid. Een Verordening moet leiden tot een ‘krachtiger en coherenter’ stelsel voor gegevensbescherming in Europa.  

Als persoonsgegevens worden verwerkt op grond van toestemming van de burger, moet die toestemming expliciet zijn gegeven. De verantwoordelijke organisatie moet dat kunnen aantonen. Verder krijgen burgers (dus ook patiënten) een nieuw “recht om vergeten te worden”. Wat dat inhoudt is onduidelijk. Zo blijkt uit de verschillende uitleg die de EU-commissarissen Kroes en Reding aan dit recht geven [1]. Volgens Kroes gaat het om een recht op anonimisering van persoonsgegevens. Volgens Reding gaat het vooral om een recht om de toestemming in te trekken. Terwijl de Europese toezichthouder voor privacy (EDPS) het vooral beschouwt als een plicht voor de verantwoordelijke om op eigen initiatief persoonsgegevens te vernietigen. De komende jaren zal hierover meer duidelijkheid ontstaan  tijdens de behandeling van deze concept Verordening.

Bedrijven en organisaties, waaronder hulpverleners en zorginstellingen, moeten straks kunnen aantonen dat zij persoonsgegevens adequaat beschermen. Incidenten waarbij medische dossiers van 300.000 werknemers ‘op straat’ terecht komen, moeten dan tot het verleden behoren [2]. Bedrijven en organisaties worden verplicht om een ‘datalek’ zo spoedig mogelijk te melden bij de nationale privacytoezichthouder (het CBP).

Tot slot krijgt het CBP als privacywaakhond een aantal ‘scherpere tanden’, waaronder meer bevoegdheden om boetes op te leggen. 

Noten

1. H. Nys, Editorial. Towards a Human Right ‘to Be Forgotten Online’? European Journal of Health Law, 18 (2011) 469-475
2.Andreas Udo de Haes, ‘Verzuimsoftware lekt duizenden medische dossiers’. Webwereld, 20 april 2012

Bron: www.knmg.nl