Skip to main content

Cliënten hebben op grond van de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) reeds recht op inzage of afschrift van hun medisch dossier. Daarnaast kan op grond van de AVG kan ook al informatie in een gangbare elektronische vorm worden verkregen als het verzoek elektronisch wordt ingediend. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) die  deels per 1 juli 2020 in werking treedt,  is dan ook een verbijzondering van deze algemene rechten uit de AVG specifiek voor de zorg en elektronische gegevensuitwisseling.

Artikel 15d Wabvpz behandelt het recht op elektronische inzage en elektronisch afschrift. Het betreft hier het recht op inzage of afschrift van het dossier van de betreffende cliënt of van diens gegevens die de zorgaanbieder via een elektronisch uitwisselingssysteem beschikbaar stelt. De vorm van de elektronische inzage en het elektronisch afschrift is niet voorgeschreven. Bij elektronische inzage kan gedacht worden aan beveiligde zorgportalen, een persoonlijke gezondheidsomgeving (PGO’s) of websites, mits goed beveiligd. Zorgaanbieders dienen een voorziening te kiezen waarmee zeker is dat het afschrift langs een beveiligde weg bij de juiste persoon terechtkomt.

Inzage in loggingsinformatie
Artikel 15e Wabvpz  gaat nader in op logging en specifiek wat voor loggingsinformatie moet worden opgenomen in een afschrift. Het betreft een aanvulling op de al bestaande plicht tot logging op grond van de AVG.

Logging in de zorg houdt in dat wordt vastgelegd wie toegang heeft gehad tot de medische dossiers (i) en dat dit regelmatig wordt gecontroleerd (ii). Het Besluit elektronische gegevensverwerking door zorgaanbieders – in werking sinds januari 2018 – geeft specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling. In één van de opgenomen eisen, de NEN 7513, wordt beschreven wat onder logging beschikbaar moet zijn. Artikel 15e van de Wabvpz sluit hierbij aan.

Loggegevens zijn een belangrijk onderdeel van de implementatie van het beveiligingsbeleid. Om te kunnen voldoen aan de inzage- en informatieverplichting van artikel 15e Wabvpz zal een zorgaanbieder zijn logging op orde moeten hebben. Maar er zijn uiteraard meer situaties, waarin het nodig is de loggegevens te kunnen raadplegen. Denk bijvoorbeeld aan het onderzoeken van een datalek. Logbestanden dienen regelmatig en systematisch te worden bekeken zodat bij geconstateerde misstanden direct tot actie kan worden overgegaan. Onvoldoende beveiliging, logging of controle daarop kan leiden tot hoge boetes van de Autoriteit Persoonsgegevens. We wijzen in dit verband ook op de hoge boete die in 2019 aan het HagaZiekenhuis is opgelegd.

Meer informatie
Heeft u vragen over dit onderwerp? Wilt u weten aan welke regels uw organisatie moet voldoen en welke maatregelen u kunt treffen voor een goede beveiliging van persoonsgegevens? Neem dan contact op met de privacy advocaten van ons Team Zorg.

Juni 2020