AVG in de gezondheidszorg

Auteur
Team Zorg Enablers
Gepubliceerd op
20-11-2019
Categorie
Implementaties | Controle & Monitoring

In 2016 trad de Algemene verordening gegevensbescherming (AVG) in werking, maar sinds mei 2018 is de wet ook echt van toepassing en wordt er gehandhaafd [1]. De AVG heeft tot doel Europese regelgeving op het gebied van data privacy te harmoniseren en datalekken te voorkomen [2]. Op het niet voldoen aan de eisen van de AVG staan voor organisaties fikse financiële boetes. De invoer van de AVG heeft in veel organisaties geleid tot veranderingen. Zo ook in de gezondheidszorg, waar het merendeel van de medewerkers werkt met patiëntgegevens. Met name onderzoeksafdelingen binnen zorginstellingen hebben hun procedures moeten aanpassen [3,4]. Een van de belangrijkste consequenties van de AVG is dat voor het opslaan en verwerken van alle data van personen binnen de EU, expliciete toestemming moet worden gevraagd [5]. Tevens is in de wet het recht op vergetelheid opgenomen. Dit houdt in dat de betrokkene die daarom verzoekt, recht heeft op het wissen van de hem betreffende persoonsgegevens. Zorgprofessionals vrezen dat dit problemen op kan leveren omdat diagnostische informatie kan verdwijnen, hetgeen zorg in de toekomst bemoeilijkt [6,7].

Nu de AVG ruim driekwart jaar wordt gehandhaafd, zijn de eerste effecten voor de gezondheidszorg zichtbaar. Allereerst bleek uit een studie van oktober 2018 dat bijna een derde van de organisaties nog altijd niet volledig voorbereid was op de wet [8]. Daarnaast heeft de intrede van de AVG geleid tot een sterke toename in het aantal gerapporteerde datalekken. Echter, dit reflecteert niet een absolute toename in het daadwerkelijk aantal lekken, maar waarschijnlijk een toename in het aantal meldingen [9]. Ondanks dat er anekdotisch bewijs is van tijdrovende en bureaucratische situaties, ontstaan door de AVG, is er nog niet goed te zeggen welke impact dit heeft op de gezondheidszorg als geheel [10,11]. Een veel genoemde klacht vanuit met name huisartsen is dat ze niet zonder expliciete toestemming bij gegevens van apothekers of specialisten kunnen, hetgeen leidt tot een bureaucratische rompslomp. In andere sectoren is ook te zien dat organisaties nog ‘onwennig’ reageren door voor alles toestemming te vragen. Denk bijvoorbeeld aan scholen die vragen of kinderen wel op de bellijsten mogen [12,13]. Ook overheidsinstanties als de belastingdienst, uitgevers en adverteerders zijn (nog) lang niet altijd al AVG-compliant [13]. Andere organisaties in diverse sectoren (financiën, tech) geven aan dat de wet wordt gezien als de gouden standaard voor privacywetgeving wereldwijd en hen daarom juist een competitief voordeel geeft ten opzichte van niet-Europese bedrijven [9].

De invoering en handhaving van de AVG heeft veel in beweging gebracht in de gezondheidszorg. De nieuwe privacywetgeving geeft een kans om het op een andere manier aan te pakken. Hierbij nodigt de AVG ook uit tot ethische reflectie op het verzamelen en gebruik van medische gegevens. De AVG is een extra middel om de privacy van de consument en patiënt beter te borgen, bovenop bestaande juridische kaders. In het eerste jaar van de AVG zijn er zoals verwacht kinderziekten opgetreden. Verwarring over de precieze regelgeving, het aanpassen van procedures en administratieve rompslomp heeft tijd en geld gekost. Ook de ontwikkelingen op het gebied van smart analytics roepen vragen op ten aanzien van het borgen van onder andere de anonimiteit van persoonsgegevens in het wetenschappelijk onderzoek. Echter, de AVG vindt al navolging elders ter wereld: de Verenigde Staten werkt ook toe naar vergelijkbare regelgeving [14,15].

In een digitaliserend zorglandschap, waarin de consument, patiënt en zorgprofessional beschikt over steeds meer (medische) data, dient zich een nieuw hoofdstuk aan met betrekking tot privacy en data veiligheid. De intrede van de AVG heeft in ieder geval de aandacht voor cybersecurity en gegevensbescherming vergroot.

Referenties

  1. European Commission. 2018 reform of EU data protection rules | European Commission. May 2018
  2. Bower, E. How does the General Data Protection Regulation (GDPR) affect GPs? April 2018
  3. Globaldata. General Data Protection Regulation (GDPR) in the Healthcare Industry 2018 Available from: https://www.globaldata.com/store/report/gdhcht008–general-data-protection-regulation-gdpr-in-the-healthcare-industry-implications-for-healthcare-h1-2018/. Retrieved 18-12-19
  4. Rumbold JMM, Pierscionek B. The Effect of the General Data Protection Regulation on Medical Research. February 2017
  5. Davis J. Europe’s GDPR privacy law is coming: Here’s what US health orgs need to know. May 2018
  6. Finnegan G. New EU rules aim to boost protection of patient data. But is healthcare ready? | Science|Business 2018 Available from: https://sciencebusiness.net/healthy-measures/news/new-eu-rules-aim-boostprotection-patient-data-healthcare-ready. Retrieved on 19-01-19
  7. Howell D. Five ways the GDPR will change healthcare. March 2018
  8. Businesswire. Imperva Survey Reveals Nearly Onethird of Organizations Still Not Completely Prepared for GDPR. August 2018
  9. Warren M. Still standing, six months after GDPR. December 2018
  10. Timmerman, J. Fijn, die AVG. December 2018
  11. Gimbel H. Absurde gevolgen privacyregels AVG in de zorg | Onnodige schadelijke rompslomp belemmert medisch handelen | Netkwesties 2018 [Available from: https://www.netkwesties.nl/1290/absurde-gevolgen-privacyregels-avg-in.htm] Retrieved 11-11-2018
  12. Emerce. 600 klachten bij Autoriteit Persoonsgegevens sinds AVG. June 2018
  13. Libbenga J. Het Jaar van de AVG. December 2018
  14. Guida R. Is the US Version of GDPR on the Horizon? October 2018
  15. Patrizio A. While no one was looking, California passed its own GDPR | Network World. July 2018