Mr. Shirin Slabbers (VvAA) over e-health in de mondzorg: ‘Regel de juridische kant goed, voorkom claims en boetes’

Wat is uw invalshoek bij het onderwerp e-health?

‘Ik ben een voorstander van e-health. Ik denk echt dat het de zorgverlening kan vergemakkelijken en efficiënter kan maken, maar regel de juridische kant wel goed om klachten, claims en boetes te vermijden. Zorgverleners hebben vaak de neiging om alleen de praktische kant te regelen: wanneer zet ik het in en wanneer niet? En welke software koop ik daarvoor in?’

‘Ik geef in de workshop een overzicht van de regelgeving en dan zoom ik met name in op de Algemene verordening gegevensbescherming (AVG), de Medical Devices Regulations (MDR) en de regels van de Inspectie Gezondheidszorg en Jeugd (IGJ). Verder bespreek ik ook regelgeving vanuit de medische sector. Bijvoorbeeld bij e-consulten voor de geneeskunde heeft de KNMG een richtlijn opgesteld. Die bevat heel goede en praktische regels die tandartsen ook voor de eigen beroepsgroep kunnen toepassen.’

Mr. Shirin Slabbers (VvAA) over haar workshop tijdens Mondzorgpraktijk Anno Nu
 

Zijn er nieuwe wetten die van belang zijn om e-health goed te regelen?

‘Er zijn niet zozeer nieuwe wetten. Het vervelende is dat je allerlei wetten hebt, waar je mee te maken krijgt als je een e-health-toepassing invoert. Zo is alle gezondheidsrechtelijke regelgeving van toepassing en heb je speciale aandachtspunten: werk je met iets in het kader van e-health wat onder de Medical Devices Regulations valt, dan moet je daaraan voldoen. De AVG en IGJ-richtlijnen zijn ook belangrijk. Het vervelende is dat je uit een heleboel bestaande regelgeving stukjes moet plukken die je moet toepassen.’

‘Besef ook dat emailuitwisseling onder e-health valt. Als een zorgverlener communiceert per mail, dan moet hij ook als de praktijk dicht is, een automatische reply hebben waarin het telefoonnummer voor spoedgevallen staat. Vroeger had je alleen de telefoon en een antwoordapparaat en daar stond het noodnummer op. Wat ik vooral van belang vind, is dat de zorgverlener zich realiseert dat de AVG-voorschriften ook moeten worden toegepast bij e-health. Denk bijvoorbeeld aan het aanpassen van de privacyverklaring zodra je een e-healthtoepassing gaat gebruiken.’

Heeft de inspectie naast de wetgeving ook nog eigen richtlijnen?

‘Ja. Dat wordt vaak vergeten. De inspectie heeft een soort stappenplan voordat je een e-health-toepassing mag gaan gebruiken en wat je moet doen tijdens het gebruik. Het is vooral geschreven voor (grotere) zorgorganisaties, maar het is ook goed om het document als kleinere praktijk te bestuderen.’

‘Daarnaast is er algemene regelgeving van toepassing, bijvoorbeeld het Burgerlijk Wetboek. Als je bijvoorbeeld e-consulten doet, dan geeft het Burgerlijk Wetboek bepaalde regels over de te verstrekken informatie op een algemeen medium zoals de website van de praktijk. Een recente ontwikkeling is natuurlijk of patiënten het recht moeten krijgen op een digitaal consult.’

U benadrukt het belang van de privacyverklaring bij een praktijk. Wat staat er in die verklaring?

‘De AVG stelt die privacyverklaring verplicht. De kern is dat je als verantwoordelijke voor de verwerking van persoonsgegevens omschrijft wat er gebeurt met de persoonsgegevens van de patiënten. Wie verwerkt de gegevens, wie heeft daar toegang toe, aan wie worden ze verstrekt, hoe lang worden ze bewaard etc. Op de site van de Autoriteit Persoonsgegevens staat precies wat er in een privacyverklaring moet staan. Een jurist kan de praktijk ook helpen bij het opstellen.’

‘Stel dat je als tandarts e-consulten gaat invoeren, dan moet je omschrijven of die bewaard worden en opgeslagen, en zo ja voor hoe lang. Wordt er een aantekening gemaakt in het medisch dossier of niet? Als het goed is, heeft de mondzorgpraktijk al een privacyverklaring, maar die moet dan worden aangevuld. Dat geldt voor e-consulten, maar als je het hebt over een app van de praktijk, dan moet je op die app zelf een privacyverklaring zetten.’

‘Een website waarmee de patiënten online afspraken kunnen maken, valt ook onder e-health. Ook dat moet de praktijk verwerken in de privacyverklaring: worden de gegevens bewaard en zo ja, hoe lang? Je moet daar ook in beschrijven wie toegang heeft tot welke gegevens. Dat hoeft niet met naam, maar met een duiding van de functie. Dus zo’n privacyverklaring is één element van de AVG. Maar je bent bijvoorbeeld ook verplicht als zorgverlener om het register van verwerkingsactiviteiten bij te houden. Dat kan bij wijze van spreken op een A4’tje, maar daarin moet je ook omschrijven wat er gebeurt met de persoonsgegevens. Ook dit register moet worden bijgewerkt als een praktijk met een e-health toepassing gaat werken.

Wanneer zijn de patiëntgegevens voldoende beveiligd conform de AVG?

‘De Autoriteit Persoonsgegevens past de Nen-normen toe. Dat zijn de normen waaraan praktijken getoetst worden. Ik kan vijf criteria noemen die voor een mondzorgpraktijk van belang zijn. De eerste is dat je in de zorg altijd een dubbele authenticatie moet hebben. De tweede is dat je als zorgaanbieder c.q. praktijk moet autoriseren, dus intern moet bepalen wie wanneer toegang heeft tot welke patiëntgegevens.’

‘Verder moet je de toegang tot de patiëntgegevens loggen. Dat betekent dat je een softwaresysteem dient te hebben waarbij automatisch wordt opgeslagen wie in het dossier kijkt en wat er wanneer gewijzigd wordt. De vierde is dat je als praktijk regelmatig de loggegevens moet controleren; je moet controleren of niet-bevoegden toegang hebben gehad tot patiëntendossiers. Tenslotte moet je je medewerkers bewust maken van de privacyregels. Je moet kunnen laten zien wat je daaraan hebt gedaan, als de Autoriteit Persoonsgegevens op je deur klopt.’

Meer weten over de juridische kant van e-health?

Neem deel aan Mondzorgpraktijk Anno Nu: op 5 februari online! Naar aanleiding van de coronamaatregelen is het congres verschoven van 12 december 2021 naar 5 februari 2022. Shirin Slabbers verzorgt dan een sessie over Uh, E-health!? Kijk voor alle sessies op: Mondzorgpraktijk Anno Nu. En meld u aan!