PGO en privacy

Met een Persoonlijke Gezondheidsomgeving (PGO) kunnen cliënten/patiënten de verbinding leggen met verschillende zorgverleners. Via een PGO kunnen cliënten namelijk gezondheidsgegevens van bijvoorbeeld de huisarts of het ziekenhuis inzien en deze gegevens vervolgens koppelen aan andere gezondheidsapps. Door het uitwisselen van (medische) gegevens rijst de vraag bij de cliënt/patiënt hoe het zit met de privacy.

PGO in Wegiz

Tijdens het debat over het wetsvoorstel elektronische gegevensuitwisseling in de zorg (hierna: Wegiz) werd een PGO-wetswijziging ingediend. Deze wetswijziging bepaalt dat, op verzoek van de cliënt, de zorgverlener op een veilige en betrouwbare manier belangrijke gezondheidsgegevens met de PGO van de cliënt deelt. Tijdens de wetsbehandeling kwam de vraag naar voren of de verantwoordelijkheid voor de privacy komt te liggen bij de makers van PGO’s (hierna: leveranciers) en werd vastgesteld dat cliënten twijfelen of de gegevensbescherming voldoende is geregeld.

MedMij-afsprakenstelsel

Om te zorgen dat gegevens voldoende worden beschermd is afgesproken dat er alleen gezondheidsgegevens in PGO’s worden gezet, die voldoen aan het MedMij-afsprakenstelsel.

Dit afsprakenstelsel van de Stichting MedMij heeft als doel om leveranciers op de MedMij-manier gegevens uit te laten wisselen. Het volgende staat onder andere in het MedMij-afsprakenstelsel:

  • Na een succesvol doorlopen toetredingsproces, sluit MedMij deelnemersovereenkomsten met leveranciers af. In deze overeenkomsten is onder meer opgenomen dat deelnemende partijen zich houden aan verschillende rollen en verantwoordelijkheden. Dit noemt men een afsprakenset.
  • MedMij stelt een modelverwerkersovereenkomst beschikbaar die zorgaanbieders kunnen gebruiken om afspraken met leveranciers te maken. De AVG verplicht het sluiten van een verwerkersovereenkomst.
  • Op grond van de genoemde afsprakenset toont de leverancier – via een auditverklaring en rapportage – jaarlijks aan dat hij voldoet aan het normenkader van MedMij.
  • MedMij stelt eisen aan een NEN 7510-certificering voor een leverancier.

In bovenstaande is vooral ingegaan op de rol van de leveranciers. Op termijn is het wellicht mogelijk dat cliënten zelf kunnen kiezen om hun gegevens, voor bijvoorbeeld onderzoek, beschikbaar te stellen. Hier zijn op dit moment nog geen technische mogelijkheden voor in PGO’s.

Wanneer cliënten meer regie hebben op hun gegevens, zullen zij meer verantwoordelijkheid voelen voor het bewaren van hun gegevens. Als zorgverlener mag je de cliënt wijzen op de regierol en eigen verantwoordelijkheid die daaruit voortkomt. Dit zal de gegevensbescherming ten goede komen.

De website www.pgo.nl helpt je als zorgverlener met het communiceren over PGO’s.