Nieuwseditie januari 2018

03-01-2018

Europa vraagt om strengere privacyregels

Wat betekent dat voor verpleegkundigen?

Om de gegevens die ondernemingen van burgers verzamelen, beter te beschermen tegen misbruik, legt Europa vanaf 25 mei 2018 strengere privacyregels op. Die geven burgers meer controle over het gebruik van hun persoonlijke gegevens. De Europese wetgeving is ook onmiddellijk geldig in elke lidstaat van de EU.

Wat houdt die nieuwe regelgeving in en wat moet je weten als verpleegkundige? Het NVKVV vroeg het aan Tom Balthazar, stafmedewerker gezondheidsrecht bij Zorgnet-ICURO en hoofddocent gezondheidsrecht bij de UGent.

Waarom wil Europa een nieuwe privacywetgeving?

Tom Balthazar: ‘De nieuwe privacywetgeving is onder meer nodig om de regelgeving in heel Europa uniform te maken en het is een verstrenging van een aantal privacyregels. De nieuwe privacywet legt ook een verantwoordingsplicht bij de verantwoordelijke voor de verwerking zodat de privacy van die gegevens niet enkel afhangt van een controle achteraf. De eindverantwoordelijken zijn bijvoorbeeld de ziekenhuizen en instellingen, maar kunnen ook de praktijken van zelfstandige verpleegkundigen zijn. Ook zij moeten aantonen dat ze zich houden aan de vereisten van de nieuwe verordening en aan de verplichtingen die het met zich meebrengt zoals – voor grotere bedrijven – het aanstellen van een data protection officer (DPO) of gegevensbeschermingsfunctionaris die een verwerkingsregister moet maken met een concrete omschrijving van de gegevens die bijgehouden worden, hoe die beveiligd worden, en met de namen van de personen die er toegang toe hebben. Die verplichtingen liggen bij de organisaties en bedrijven en niet bij de verpleegkundigen op de werkvloer.’

Welke verplichtingen gelden voor de praktijken van zelfstandige verpleegkundigen?

Tom Balthazar: ‘Zelfstandige thuisverpleegkundigen moeten er zelf voor zorgen dat ze de integriteit en de vertrouwelijkheid van hun gegevens beschermen en waarborgen. Ze moeten software gebruiken om gegevens te versleutelen, bijvoorbeeld de gratis e-health software, de betalende versie van Dropbox…. De verordening omvat ook een meldingsplicht als er een datalek is, bijvoorbeeld als een laptop met onbeschermde patiëntengegevens uit een auto gestolen wordt of wanneer iemand een USB-stick met vertrouwelijke informatie verliest, dan moet dat binnen de 72 uur gemeld worden bij de Gegevensbeschermingsautoriteit (de opvolger van de Privacycommissie). Elk vermoeden van een lek van gegevens van patiënten, moet je melden.’

Wanneer is de aanstelling van een DPO-manager verplicht?

Tom Balthazar: ‘Een data protection officer of een DPO moet aangesteld worden in bedrijven van meer dan 250 werknemers of bij grootschalige verwerking van gezondheidsgegevens. Die verplichting geldt dus niet voor de meeste kleine zelfstandige groepspraktijken. Maar voor bijvoorbeeld een woonzorgcentrum met minder dan 250 werknemers maar meerdere bewoners is dit toch nodig. Hoe die discussie verder evolueert, kan je volgen op  gdpr-eu.be/dpo.’

Wat betekenen de nieuwe privacyregels voor de verpleegkundigen op de werkvloer?

Tom Balthazar: ‘Verpleegkundigen moeten zich houden aan het beroepsgeheim en aan de algemene privacyregels maar moeten geen controle uitvoeren op de gegevens of het verwerkingsregister checken. Daar stelt elke instelling een verwerkingsverantwoordelijke voor aan. Verpleegkundigen hebben enkel inzage in de patiëntgegevens voor zover ze die nodig hebben om hun taken te kunnen uitvoeren. Ze mogen ze bijvoorbeeld niet doorgeven aan derden. Die bepalingen werden al beschreven in de Belgische privacywet en de vorige Europese privacyrichtlijn en zijn nu enkel wat duidelijker gesteld.’

Wanneer een verpleegkundige digitaal informatie deelt met een multidisciplinair team van dezelfde instelling zijn die gegevens beveiligd door de instelling zelf. Wat met het delen van gegevens in een multidisciplinair team dat de grenzen van de instelling overschrijdt? Welke zijn daar de aandachtspunten?

Tom Balthazar: ‘Die gegevens worden in de eerste plaats bepaald door het beroepsgeheim: je mag die gegevens, die nodig zijn voor de behandeling van de patiënt, doorgeven maar niet meer dan strikt nodig. In het verwerkingsregister zal onder meer moeten beschreven staan welke disciplines toegang hebben tot welke gegevens. Dat is iets dat op instellingsniveau bepaald moet worden. Ook moet er controle zijn op de logins. Patiënten moeten ook – als ze dat vragen – hun gegevens en hun dossier kunnen inzien.’

Wat kan een verpleegkundige doen in patiënteducatie over privacyregels?

Tom Balthazar: ‘Een goede raad die verpleegkundigen aan patiënten kunnen geven is dat een patiënt vertrouwelijk omgaat met zijn eigen informatie. Ze zijn best voorzichtig in het verspreiden van hun gegevens zoals een diagnose zodat die niet tegen hen gebruikt kan worden, bijvoorbeeld bij een aanvraag voor een verzekering, in een sollicitatieprocedure of in relaties. Iedereen maakt dat voor zichzelf uit maar denkt daar best goed over na.

Patiënten moeten persoonlijk toestemming geven om hun gegevens te verspreiden. Ze hebben ook recht of informatie: het is aan de instellingen om een patiënt toegang tot zijn dossier te geven. Als verpleegkundige kan je de patiënt informeren hoe hij daar – voor de eigen instelling – concreet inzage in kan krijgen. Een aantal ziekenhuizen voorzien al een e-platform waar patiënten kunnen inloggen en hun persoonlijke informatie kunnen inzien. Dat inzagerecht is geen nieuw gegeven in de nieuwe EU-verordening. Dat was al eerder bij wet gedefinieerd maar wordt nu in veel instellingen concreter en toegankelijker gemaakt.’

De verpleegkundige als personeelslid in een instelling: welke privacyregels zijn voor hem of haar belangrijk?

Tom Balthazar: ‘Ook de personeelsadministratie moet discreet met personeelsgegevens omgaan. Die gegevens mogen niet ingezien worden door personen die daar niets mee te maken hebben. Zo mag iemand die enkel de loonadministratie doet, geen toegang kunnen krijgen tot bijvoorbeeld persoonlijke evaluaties. Ook mogen een aantal gegevens na ontslag niet bewaard worden. Die beperkingen moeten nauwkeurig omschreven worden in een protocol zodat duidelijk is wat wel en niet kan.’

Is België / Vlaanderen voorbereid op de nieuwe privacyregels van Europa?

Tom Balthazar: ‘De strengere EU-privacyregels zijn nu al anderhalf jaar bekend. België zou zeker voorbereid moeten zijn al is het nog wachten op een nieuw kader en het verschijnen van de Belgische uitvoeringsbesluiten.’

GDPR – AVG

GDPR staat voor General Data Protection Regulation, AVG voor Algemene Verordening Gegevensbescherming. De grote lijnen zijn:

  • Start: 25 mei 2018
  • Bescherming van persoonlijke data van de Europese burger
  • Verhoogde veiligheidsmaatregelen
  • Maatregelen bij datalekken en tegen hackers
  • Een datalek verplicht melden binnen 72 uur
  • Toestemming nodig om persoonlijke gegevens te verzamelen en te gebruiken, tenzij daarvoor een rechtmatige basis bestaat (zoals diagnose en therapie)
  • Richtlijnen voor dataverzameling en –opslag van gegevens
  • In grote bedrijven en zorgvoorzieningen: aanstelling van een DPO (een data protection officer)
  • Ieder persoon heeft recht op inzage, op rechtzetting, om ‘vergeten te worden’ (zonder mogelijkheid tot schrapping in patiëntendossiers)…
  • Boetes bij niet naleven van regelgeving

Basisbeginselen van de gegevensbescherming:

  • Rechtmatige, behoorlijke en transparante werking
  • Juistheid
  • Integriteit en vertrouwelijkheid
  • Welbepaald doel
  • Minimale gegevensverwerking
  • Beperkte bewaartermijn

Meer informatie:

Els Put