Dataportabiliteit: hoe geef je het dossier mee?
Hoe kan een patiënt/cliënt zijn/haar dossier meenemen naar een nieuwe zorgverlener?
Verschillende technieken
Qua techniek moet de verwerkingsverantwoordelijke verschillende vormen van dataportabiliteit (gegevensoverdraagbaarheid) bieden. Gegevens kunnen via een groot aantal verschillende gegevenstypen worden gedeeld. De meest passende vorm verschilt per sector. Vormen waarvoor de patiënt/cliënt een kostbare licentie nodig heeft, zijn niet passend. Je moet de patiënt/cliënt in ieder geval de mogelijkheid bieden om gegevens direct te downloaden. Daarnaast moet je de patiënt de mogelijkheid bieden om de gegevens direct naar een andere verwerkingsverantwoordelijke (bijvoorbeeld een andere zorgverlener) door te sturen.
Bij voorkeur wordt het dossier direct overgedragen aan de nieuwe zorgverlener via een beveiligde verbinding. Mocht dit niet mogelijk zijn omdat de nieuwe zorgverlener niet bekend is, dan kan ervoor gekozen worden om het dossier aan de patiënt/cliënt mee te geven. Het dossier moet bij voorkeur in een gestructureerde, gangbare en machine-leesbare vorm overdragen worden. Als je gebruik maakt van een vorm van elektronisch patiëntendossier, dan zou je kunnen bekijken of het mogelijk is (via de leverancier) om de gegevens in XML, CSV of een open formaat mee te geven. Mocht dit niet mogelijk zijn, dan blijft een PDF over. Het advies is om de cliënt/patiënt te helpen om een zorgvuldige keuze te maken in de wijze waarop de gegevens worden overgedragen aan een andere organisatie.
USB-stick
Bij voorkeur wordt het dossier direct tussen de zorgverleners overgedragen. Mocht dit niet direct mogelijk zijn en je wilt dit via een USB-stick doen, dan adviseren we je om gebruik te maken van een beveiligde (encrypted) USB-stick. Het opsturen van de USB-stick naar de nieuwe zorgverlener lijkt dan de gemakkelijkste optie, maar dit raden we af omdat er bijzondere persoonsgegevens in het dossier staan. Het versturen van een USB-stick via de post levert een extra risico op. Het is dan beter om de patiënt/cliënt te vragen de USB-stick bij de praktijk op te halen.
Moet ik een verzoek om dataportabiliteit en/of vergetelheid opnemen in mijn verwerkingenregister?
Het is geen wettelijke verplichting. Wel kan het bijhouden van dit soort verzoeken helpen bij het aantonen dat je op een goede manier met AVG-verzoeken om bent gegaan.
Let op: je bent als zorgorganisatie wel verantwoordelijk als de overdracht leidt tot een datalek. Zorg dus voor passende beveiligings- en authenticatiemaatregelen.