Elektronische gegevensuitwisseling tussen artsen en andere zorgverleners onderling

van deze mogelijkheid gebruik wil maken, moet hij nagaan of dit verantwoord en veilig is.

Artsen wisselen niet alleen elektronisch gegevens uit met patiënten, maar ook met andere artsen en zorgverleners. Ook hiervoor gelden voorwaarden. Hieronder beschrijven we de voorwaarden bij elektronische gegevensuitwisseling tussen artsen en andere zorgverleners onderling per e­mail, via WhatsApp en andere berichtendiensten, en via social media.⁸⁰

80 Zie ook de NTA7516 voor veilige e­mail en chatapplicaties.

3.4.1 Patiëntgegevens versturen en dossiers delen

Bij elektronische gegevensuitwisseling wordt wel onderscheid gemaakt tussen 'push­' en 'pull­verkeer'.

Push­verkeer

Bij push­verkeer ligt het initiatief voor de gegevensuitwisseling bij de verzender. Dat is degene die een patiëntendossier in bewaring heeft. Deze verzender verstuurt gericht gegevens naar één of enkele ontvangers die een behandelrelatie heeft/hebben met de betrokken patiënt, dan wel wanneer een behandelrelatie wordt beoogd. Voorbeelden van push­verkeer zijn Edifactberichten, beveiligde e­mail en het gebruik van WhatsApp en andere applicaties waarmee artsen berichten en foto’s met of zonder patiëntgegevens kunnen versturen naar andere zorgverleners.

Pull­verkeer

Bij pull­verkeer stelt een arts (dossierhouder) een patiëntendossier of gegevens daaruit beschik­

baar voor raadpleging door andere zorgverleners (dossierraadplegers). Op voorhand staat niet altijd vast wie uiteindelijk de gegevens zullen raadplegen. Dat zal bijvoorbeeld afhangen van welke waarnemer er dienst heeft op een HAP. Het initiatief voor de daadwerkelijke gegevensuitwisseling ligt bij de dossierraadpleger. Een voorbeeld van zo’n elektronisch uitwisselingssysteem is het Landelijk Schakelpunt (LSP).

In 2019 zijn algemene eisen gepubliceerd waaraan e­mail­ en chat­applicaties, waarmee

patiëntgegevens kunnen worden uitgewisseld, moeten voldoen om veilig te zijn. Die eisen richten zich bijvoorbeeld op de mate van beschikbaarheid, integriteit en vertrouwelijkheid, maar ook gebruiksvriendelijkheid. Die eisen gelden zowel voor de uitwisseling van patiëntgegevens tussen professionals onderling als tussen professionals en patiënten.⁸¹

Meer informatie:

• Gedragscode EGiZ Elektronische gegevensuitwisseling in de zorg

3.4.2 Gebruik van e-mail

Er bestaat geen wettelijke bepaling die het gebruik van e­mail bij het uitwisselen van medische gegevens tussen zorgverleners onderling reguleert. Daarom moet aansluiting worden gezocht bij meer algemeen geformuleerde regels over de omgang met medische gegevens. Deze komen erop neer dat de arts op een verantwoorde wijze met de medische gegevens van zijn patiënten moet omgaan. Deze regels gelden ook als de medische gegevens per e­mail worden verzonden.

Voordat een arts medische gegevens naar een andere zorgverlener mailt, moet duidelijk zijn dat de ontvanger deze gegevens mag ontvangen. Het beroepsgeheim van de arts verhindert immers in beginsel dat een arts medische gegevens aan derden verstrekt. De gegevensuitwisseling moet dus passen binnen de uitzonderingen die voor het beroepsgeheim gelden (zie hiervoor paragraaf 1.4 en 1.5).

81 Dit is de Nederlandse Technische Afspraak NTA7516 “Eisen voor veilige e­mail en chatapplicaties”. Op internet:

Veilig mailen met NTA 7516 (nen.nl) (laatst geraadpleegd op 9 december 2020).

Is vastgesteld dat de gegevens mogen worden verstrekt, dan blijft de vraag over of dat via e­mail kan. Bij verzending via e­mail bestaat het risico dat de gegevens bij onbevoegden terechtkomen.

De arts moet daarom vooraf een risico­inschatting maken. Daarbij verdient het de voorkeur om de gegevens versleuteld te versturen. Hiermee wordt voorkomen dat onbevoegden toegang krijgen tot de gegevens. Om veilig te kunnen e­mailen zijn systemen beschikbaar zoals Zivver en ZorgMail.

Alledaagse e­mailsystemen zijn in het algemeen niet voldoende in staat om de vertrouwelijkheid van medische gegevens te borgen. Daarom is recent tegemoet gekomen aan de behoefte aan een handreiking voor veilig mailen in de zorg. De NEN norm NTA 7516 is in het voorjaar van 2019 gepubliceerd en biedt helderheid over de voorwaarden, waaronder e­mail wél veilig gebruikt kan worden. Het bevat een compleet overzicht van de organisatorische en technische maatregelen die genomen moeten worden als een zorgaanbieder via e­mail medische gegevens wil uitwisselen en zich wil houden aan de geldende wetgeving en richtlijnen van de AP.

3.4.3 Gebruik van WhatsApp en andere berichtendiensten

Artsen gebruiken soms WhatsApp of andere (vergelijkbare) berichtendiensten om foto’s en berich­

ten over patiënten naar collega’s te sturen. Het gebruik van deze diensten kan soms nodig zijn in het zorgproces. Maar foto’s en andere patiëntgegevens vallen onder het medisch beroepsgeheim.

Daarom moeten artsen zich realiseren dat zij bij het gebruik van WhatsApp of vergelijkbare appli­

caties de vertrouwelijkheid van patiëntgegevens moeten waarborgen. Dit is een onderdeel van de wettelijke verplichting en verantwoordelijkheid om patiëntgegevens effectief te beveiligen tegen kennisneming door onbevoegden.⁸² Niet alle berichtendiensten zijn even veilig. Het advies is dan ook om allereerst de mate van veiligheid van de berichtendienst te onderzoeken. Bijvoorbeeld door informatie te zoeken over de privacy­ en informatiebeveiliging van de specifieke berichtendienst.

Kiest een arts ervoor om via WhatsApp een collega­arts te consulteren door een foto met een aandoening naar hem toe te sturen? Dan is dat niet verboden. Maar de vraag is of het wel veilig en vertrouwelijk is. Bij WhatsApp valt dat niet te garanderen. Zo mag een foto niet herleidbaar zijn naar een identificeerbare patiënt. Het versturen van een foto van een stuk huid, is toegestaan als de ontvanger niet weet en kan weten wie deze patiënt is. Het kan echter lastig zijn om een foto volledig te anonimiseren. Weliswaar kan de arts de foto anonimiseren, maar door de context kan een foto toch herleidbaar zijn. Daarnaast kunnen foto’s voorzien zijn van metadata waaruit blijkt op welke locatie en op welk tijdstip de foto is gemaakt. Dit kan gaan tot aan het IP­adres van bijvoorbeeld de zorginstelling. Ook deze metadata kunnen leiden tot identificeerbaarheid van de patiënt. Dergelijke foto’s zijn daarom soms niet zo anoniem als men zou denken. Bovendien kunnen foto’s die via WhatsApp worden ontvangen, automatisch op de smartphone worden opgeslagen. Daardoor bestaat een risico op vermenging met privé fotoverzamelingen.

Al met al geldt wat de KNMG betreft: gebruik WhatsApp alleen als gegevens echt niet tot een patiënt herleidbaar zijn. In andere gevallen is het veiliger om andere communicatiemiddelen te gebruiken. Denk daarbij bijvoorbeeld aan messenger­apps die speciaal voor zorgprofessionals zijn ontwikkeld, zoals Siilo en Zorg Messenger.

82 Artikel 32 AVG.

De NTA 7516 is ook van toepassing op messenger apps en instantmessaging toepassingen zoals WhatsApp en Facebook Messenger.

3.4.4 Gebruik van social media

Voor het gebruik van social media geldt de KNMG­handreiking Artsen en social media. Daarin wordt ook aandacht besteed aan de privacy bij de uitwisseling van gegevens die tot patiënten herleidbaar zijn. De handreiking gaat niet over de kwaliteit en betrouwbaarheid van specifieke social media diensten, maar biedt artsen handvatten om in individuele situaties een afweging te maken om al dan niet beroepsmatig gebruik te maken van social media.