De General Data Protection Regulation (GDPR) wordt op 25 mei van kracht. Domus Medica heeft manschappen ingezet om de inhoud van deze Europese verordening te ontrafelen en huisartsen toelichting te verschaffen.
De toenemende informatisering maakt een steeds vlottere gegevensdeling mogelijk, ook in de zorg. Stilaan krijgt de patiënt meer mogelijkheden om zelf tot gegevensdeling bij te dragen. Mensen zullen daarom meer en meer vragen hebben over wat er met hun gegevens gebeurt. Meer specifiek: welke gegevens worden precies verzameld? En: wat mag en wat niet?
In 2015 stelde de Europese Commissie een verordening op, die op Europees niveau een eenduidig kader schept over het zorgvuldig en beveiligd hanteren van persoonsgegevens. De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) betreft niet alleen het kader van de zorg, maar wel het volledige maatschappelijke kader. Het gebruik van gegevens die worden verzameld via de sociale media is op dat vlak een veelbesproken onderwerp. Toch moet men voor ogen houden dat de GDPR ook betrekking heeft op gegevensverzameling via geschreven of gedrukte documenten.
De verordening gaat op 25 mei van kracht. In samenwerking met dr. Hilde Philips (Centrum voor Huisartsgeneeskunde, Universiteit Antwerpen en Data Protection Officer) heeft het expertisedomein ICT uit de lijvige GDPR-tekst de aspecten opgepikt die relevant zijn voor de huisartspraktijk en de wachtpost. Er zijn instrumenten en opleidingen ontwikkeld om de implicaties van de verordening voor de huisarts op het terrein behapbaar te maken.
Om zorgvuldig met persoonsgegevens om te springen, is bewustwording een eerste belangrijke stap. “Heel veel nuttige maatregelen nemen artsen nu al”, zegt Elfi Goesaert van het kennisdomein ICT bij Domus Medica. Zoals documenten met gevoelige informatie over patiënten niet binnen het handbereik van derden laten. Of geen gevoelige informatie communiceren per e-mail, sms, fax of losse dragers (USB-stick). Of geen documenten met gevoelige informatie afdrukken op een printer die in een gemeenschappelijk lokaal staat. Of de receptionist(e) aanmanen tot de nodige discretie als hij/zij een telefoongesprek voert met een patiënt, terwijl men in de wachtzaal kan horen wat er gezegd wordt. Enzovoort.
Verdere tips blijven nuttig. Staat er in het samenwerkingscontract met administratieve medewerkers een bepaling over de geheimhoudingsplicht? En wat staat er in het samenwerkingscontract met bijvoorbeeld de fabrikant van het EMD?
Concreet moet iedere praktijk een verwerkingsregister opstellen. Daarin wordt uitgelegd welke maatregelen de praktijk neemt om de verwerking van persoonsgegevens te beveiligen. Het opstellen van het verwerkingsregister is een eenmalig proces, behoudens latere wijzigingen in de dataverwerkingsstrategie van de praktijk. Domus Medica heeft een digitaal sjabloon opgesteld, dat men binnen de praktijk kan invullen en uitprinten. Het moet ter beschikking van de Privacycommissie worden gehouden. Het opstellen van een verwerkingsregister is niet tijdrovend, verzekert men bij Domus Medica: als de praktijk al op een verantwoorde manier omgaat met patiëntengegevens en medewerkersgegevens komt het neer op de correcte registratie hiervan. Wel vraagt het een blijvende aandacht voor het veilig omgaan met persoonsgegevens, zeker als dit gevoelige gegevens zoals gezondheidsgegevens betreft.
Groepspraktijken en wachtposten moeten een verwerkingsverantwoordelijke aanduiden, die instaat voor de inhoudelijke correctheid van het verwerkingsregister en de organisatie van de gegevensverwerking in goede banen leidt. In solopraktijken is de huisarts automatisch de verwerkingsverantwoordelijke.
Mocht er ondanks de genomen voorzorgen toch een lek optreden, dan moet dat in bepaalde omstandigheden worden gemeld aan de Privacycommissie en mogelijk zelfs aan de betrokkene (de patiënt over wie de gegevens verzameld zijn). Hiervoor heeft Domus Medica aan de hand van de GDPR en de richtlijnen van de Privacycommissie een algoritme opgesteld.
De vertegenwoordigers van de kringen hebben op 6 maart een GDPR-opleiding gekregen. Eind april-begin mei organiseert Domus Medica opleidingen voor individuele huisartsen.