Op onze website vind je tal van AVG-gerelateerde onderwerpen. Toch ontvangt de AVG-Helpdesk nog regelmatig vragen via de mail. Een deel van deze binnengekomen vragen beantwoorden wij maandelijks, uiteraard geanonimiseerd, op onze website.
Vraag
Ik werk als verpleegkundige in een zorginstelling. Is het vermelden van de achternaam op onze naambadge en in het dossier van een client bij rapportage verplicht? Door vermelding van onze achternaam kunnen andere zorgverleners, bezoekers etc. ons opzoeken op het internet. Dit is niet wenselijk vanwege onze privacy.
Antwoord
Er is in de wetgeving niets vastgelegd over vermelding van zowel voor- als achternaam op naambadges en/of in (digitale) medische dossiers.
Wel heeft een patiënt het recht om te weten wie de persoonsgegevens (die over hem of haar gaan) heeft ingezien of ontvangen. Een zorgaanbieder mag een inzageverzoek (gedeeltelijk) weigeren, bijvoorbeeld als de privacy van een zorgverlener in gevaar komt. De zorgaanbieder zal op dat moment de belangen van de zorgverlener af moeten zetten tegen de belangen van de patiënt. De zorgaanbieder moeten kunnen laten zien dat er een zorgvuldige afweging is gemaakt tussen de belangen van alle genoemde partijen. De persoonsgegevens van een medewerker kunnen zwart gelakt worden, als de zorgaanbieder tot de conclusie komt dat de belangen van de patiënt niet opwegen tegen de belangen van de zorgverlener.
Gezien de zorgen over uw privacy en de mogelijke ongewenste gevolgen van het delen van uw volledige naam, lijkt het verstandig om beleid te ontwikkelen dat ervoor zorgt dat de privacy van zowel patiënten als zorgverleners wordt beschermd. Dit kan inhouden dat er gekozen wordt voor het gebruik van voornamen of initialen op naambadges en in dossiers, in plaats van volledige namen.
In het kader van veiligheid, transparantie en professionaliteit, moeten zorgverleners hun naam kenbaar maken aan de cliënt. Het helpt cliënten om te weten wie hen verzorgt. Dit bevordert het vertrouwen en de communicatie tussen de zorgverlener en de cliënt.
Er kunnen echter uitzonderlijke situaties zijn waarin een zorgverlener bezwaar maakt tegen het delen van zijn of haar volledige naam, bijvoorbeeld vanwege persoonlijke veiligheidsredenen. Dit kan het geval zijn als er sprake is van bedreigingen of andere veiligheidsrisico’s. In dergelijke situaties kan de zorgverlener ervoor kiezen om alleen de voornaam of een pseudoniem te gebruiken om de eigen veiligheid te waarborgen.
Wel is het belangrijk dat de zorgverlener nog steeds herkenbaar en bereikbaar blijft voor cliënten en collega’s, en dat de kwaliteit van de zorg niet in het geding komt. In zulke gevallen is het belangrijk om dit te bespreken met de werkgever of de betreffende zorginstelling om tot een passende oplossing te komen.
Wat is een baxterzakje?
Een baxterzakje is onderdeel van een medicijnrol. Op het baxterzakje staat belangrijke informatie zoals: de dag en datum van de inname, innametijdstip, naam en beschrijving van het geneesmiddel en de persoonsgegevens van de patiënt, zoals geboortedatum en naam. Baxterzakjes zijn ontworpen om medicatiefouten te verminderen en de therapietrouw van patiënten te verbeteren. Voor zover bekend wordt het BSN niet vermeld op het baxterzakje.
Antwoord
In de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) staat dat zorgaanbieders het BSN van patiënten verplicht moeten registreren. Dit is noodzakelijk om fouten bij de uitwisseling van financiële en medische gegevens en persoonsverwisselingen te voorkomen.
Om de vraag te kunnen beantwoorden of het BSN mag worden vermeld op de baxterrol, dient er gekeken te worden naar de noodzakelijkheid van de gegevensverwerking, oftewel, is het vermelden van het BSN op de baxterzakjes noodzakelijk om het doel te bereiken?
Een baxterzakje moet voldoende informatie bevatten om te garanderen dat de juiste medicijnen aan de juiste patiënt worden toegediend. Hiervoor zijn de NAW-gegevens en de geboortedatum van een patiënt voldoende. Het gebruik van het BSN voegt in dit geval niets toe. Daarbij komt het gebruik van het BSN voor dit doeleinde niet overeen met wat is bepaald in de Wbsn-z.
Lees hier meer over BSN in de zorg op onze website of lees de aanbevelingen van de Autoriteit Persoonsgegevens.
Op grond van de AVG is een verwerkersovereenkomst vereist wanneer gegevens worden verwerkt door een verwerker namens de verwerkingsverantwoordelijke. Een verwerker is iemand die in opdracht van een andere organisatie persoonsgegevens verwerkt, maar niet gebruikt voor eigen doeleinden.
Een voorbeeld van een verwerker is een administratiekantoor dat wordt ingeschakeld om salarisuitbetalingen te verwerken of een clouddienst die persoonsgegevens opslaat voor een zorgaanbieder.
Wanneer sprake is van hoofd- en onderaannemerschap, is het alleen verplicht om een verwerkersovereenkomst af te sluiten als de onderaannemer persoonsgegevens verwerkt. De verwerkersovereenkomst vult de overeenkomst voor hoofd- en onderaannemerschap aan en vervangt deze niet. Beide overeenkomsten kunnen dus naast elkaar bestaan.
Wanneer je als onderaannemer ISO 9001 gecertificeerd bent, is het niet nodig om een VOG en/of diploma van een betrokken medewerker toe te sturen aan een hoofdaannemer (opdrachtgever). Op grond van de ISO 9001 (paragraaf 7.2) ben je verplicht om de benodigde competenties van de eigen werknemers vast te stellen.
Als de hoofdaannemer vraagt om een VOG en/of diploma van een werknemer, moet dit goed worden gemotiveerd. Het kan voorkomen dat de hoofdaannemer een wettelijke verplichting heeft om een kopie van de VOG te verwerken. In dat geval is er wel een noodzaak en wettelijke grondslag om een VOG te verstrekken.
Gelet op het feit dat een onderaannemer in het bezit is van een ISO 9001 certificaat, en als gevolg hiervan de aanwezigheid van de genoemde documenten via audits is getoetst, lijkt het onwaarschijnlijk dat de hoofdaannemer een noodzaak heeft bij het verkrijgen van een VOG en/of diploma van een werknemer van de onderaannemer.
De Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) verplicht zorgverleners om een dossier bij te houden voor de behandeling van patiënten. Dit dossier kan zowel op papier als digitaal worden bewaard, omdat de wet geen specifieke richtlijnen aan de exacte vormgeving van het dossier stelt.
Wat betreft de papieren dossiers: zodra deze zijn gescand en digitaal zijn opgeslagen, mogen ze worden vernietigd. Het is dus niet nodig om zowel de papieren versie als de digitale versie te bewaren. Belangrijk is wel dat de digitale scans goed zijn beveiligd en een nauwkeurige en volledige weergave zijn van de originele documenten. Ook moet het digitale dossier te allen tijde toegankelijk en raadpleegbaar zijn.
Welke rechten heeft een patiënt met betrekking tot het eigen medisch dossier of dat van een familielid?
Antwoord:
De AVG en aanverwante wet- en regelgeving geeft de patiënt de volgende rechten als het gaat om het medisch dossier:
- recht op (elektronische) inzage in en (elektronisch) afschrift (op verzoek van de patiënt wordt de loggingsinformatie ook opgenomen)
- recht op informatie over gegevensverwerking
- recht op elektronische inzage of afschrift van de gegevens die digitaal zijn uitgewisseld met andere zorgaanbieders via een elektronisch uitwisselingssysteem of gericht berichtenverkeer
- recht op het toevoegen van een verklaring
- recht op de correctie van gegevens
- recht op beperking van gegevensverwerking
- recht op het meenemen van persoonsgegevens en over te dragen aan een ander.
- recht op vernietiging van dossiergegevens
Bovenstaande patiëntenrechten worden door de patiënt zelf uitgeoefend. Bij minderjarige en/of meerderjarige wilsonbekwame patiënten kunnen deze rechten ook door hun vertegenwoordiger(s) worden uitgeoefend.
Wanneer een patiënt komt te overlijden, blijft de geheimhoudingsplicht van een arts gelden. Nabestaanden hebben wél het recht om het medisch dossier in te in de volgende gevallen:
- toestemming gegeven door de patiënt
- nabestaanden hebben een mededeling gekregen van een incident
- een zwaarwegend belang
Meer informatie hierover vind je op onze pagina 'Recht op inzage dossier overledene'
Vanwege een aangetoond zwaarwegend belang heb ik inzage gekregen in het medisch dossier van mijn overleden partner. Nu ik recht heb op inzage in het medisch dossier en afschrift, heb ik dan ook in aanvulling op dat recht (artikel 15e Wabvpz) recht op het inzien van de logging?
Antwoord
Aangezien u – op grond van een zwaarwegend belang – recht heeft op inzage in het medisch dossier (en een afschrift daarvan) van uw overleden partner, heeft u op grond van artikel 15d en 15e Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) ook het recht tot inzage in de logging.
Mijn zorgverlener is recent gestopt en stelt dat zij het medisch dossier van mijn kind zeven jaar moet bewaren. Het gaat om een cliënt rapportage systeem. Klopt dit?
Antwoord
De termijn van zeven jaar voor het bewaren van een financiële administratie geldt niet voor medische gegevens. De hoofdregel is dat een zorgaanbieder het dossier van uw kind 20 jaar moet bewaren. Deze termijn is gerekend vanaf het tijdstip dat het dossier voor het laatst is gewijzigd.
In sommige gevallen kan het medisch dossier zelfs langer worden bewaard:
- wanneer er een andere wettelijke bewaartermijn is (Archiefwet);
- wanneer dit noodzakelijk is voor goede hulpverlening (chronische ziekte);
- wanneer de medische gegevens belangrijk zijn voor een ander, zoals bij genetische gegevens (in het kader van een erfelijke ziekte) het geval kan zijn.
Op de pagina bewaartermijnen staan alle bewaartermijnen toegelicht.
Moet een zorgaanbieder (als hoofdaanbieder) toestemming vragen aan de patiënt voordat een medisch dossier wordt overgedragen aan een onderaannemer met relevantere expertise voor de hulpvraag van de patiënt?
Antwoord
Een medisch dossier mag alleen over worden gedragen als dit in overeenstemming is met de AVG en de wetgeving die ziet op de geneeskundige behandelingsovereenkomst en het medisch beroepsgeheim (WGBO).
Dit houdt in dat het niet is toegestaan om gezondheidsgegevens van een patiënt aan derden te verstrekken zonder toestemming van de patiënt. Deze toestemming is volgens de WGBO niet nodig, wanneer een andere zorgaanbieder (zoals bijvoorbeeld een onderaannemer die gespecialiseerd is in autismezorg) rechtstreeks betrokken is bij dezelfde behandeling van de patiënt.
Voor het antwoord op bovenstaande vraag is het dus van belang met wie de patiënt een behandelingsovereenkomst heeft gesloten:
- alleen met de hoofdaanbieder (waar de onderaannemer onder valt), of;
- afzonderlijk met de onderaannemer
Als een patiënt een behandelovereenkomst met alleen de hoofdaanbieder sluit en de onderaannemer als ‘hulppersoon’ (ook wel medebehandelaar genoemd) wordt ingeschakeld, dan is voor de uitwisseling van gezondheidsgegevens geen toestemming van de patiënt vereist. Kan de onderaannemer niet worden aangemerkt als medebehandelaar, omdat de onderaannemer afzonderlijk een behandelingsovereenkomst met dezelfde patiënten sluit, is voor de uitwisseling van gezondheidsgegevens – tussen de hoofdaanbieder en onderaannemer – wel toestemming nodig.
Mag je voor leerdoeleinden (bijzondere) persoonsgegevens inzien, als de persoonsgegevens oorspronkelijk voor een ander doel gegeven zijn?
Antwoord
Nee. Dit is alleen toegestaan met expliciete toestemming van de betrokkene of diens vertegenwoordiger.
Antwoord
Het verwerken van een ledenlijst valt onder de AVG, die de bescherming van persoonsgegevens regelt. Een sportvereniging mag in principe een ledenlijst aan leden beschikbaar stellen. De AVG-Helpdesk adviseert wel om tijdens een ledenvergadering dit eenmalig als verzoek neer te leggen en hierover te stemmen.
Met een ledenlijst wordt uitdrukkelijk niet het gehele ledenbestand bedoeld, waarin zich méér gegevens bevinden (contactgegevens, financiële gegevens etc.),. Met een ledenlijst bedoelen we slechts een lijst met namen van personen die lid zijn van de sportvereniging. De AVG vereist immers dat de verwerking van persoonsgegevens beperkt blijft tot wat strikt noodzakelijk is voor de beoogde doeleinden van de verwerking.
Meer informatie is te vinden op de pagina sportverenigingen en persoonsgegevens.
Een vrouw, zonder zorgindicatie, woont zelfstandig in een aanleunwoning bij een zorginstelling, neemt maaltijden af en doet mee met activiteiten. De zorginstelling houdt een elektronisch dossier (inclusief toestemmingsverklaring) voor haar bij. Is dit toegestaan?
Antwoord
Volgens de AVG dienen organisaties transparant te zijn over hoe ze persoonsgegevens verwerken en moeten ze een grondslag hebben voor het verwerken van deze gegevens. Een toestemmingsverklaring kan een van die grondslagen zijn.
Wanneer je maaltijden afneemt én deelneemt aan activiteiten bij de zorginstelling, is het mogelijk dat er persoonsgegevens worden verwerkt voor administratieve doeleinden, bijvoorbeeld voor het bijhouden van maaltijdreserveringen of deelname aan activiteiten. In zo’n geval is het redelijk dat de instelling bepaalde gegevens nodig heeft voor het leveren van diensten. De gegevens die worden verwerkt moeten wel noodzakelijk zijn voor het doel waarvoor ze worden verwerkt. Als dit niet noodzakelijk is voor de diensten die aan de vrouw worden verleend, moet de zorginstelling hier per direct mee te stoppen.
De zorginstelling moet zich dus aan de AVG houden wanneer zij gegevens verzamelt. De zorginstelling hoort de vrouw bijvoorbeeld duidelijk te informeren over welke gegevens er worden verzameld en waarvoor ze worden gebruikt. Daarnaast zal de zorginstelling een zogenaamde grondslag moeten hebben. De grondslag kan toestemming zijn. Bovendien moet de vrouw op elk moment de mogelijkheid hebben om haar toestemming in te trekken of haar gegevens in te zien en te laten wijzigen wanneer deze niet kloppen.
Antwoord
De verplichting om te loggen is onderdeel van de wettelijke verplichting om persoonsgegevens te beveiligen. Daarnaast heeft het Nederlands Normalisatie Instituut (NEN) een norm vastgesteld over logging (NEN 7513). Verwerkingsverantwoordelijken voor een Elektronisch Uitwisselingssysteem (EUS) en/of zorginformatiesysteem, zijn verplicht om ervoor te zorgen dat genoemde systemen voldoen aan de eisen van NEN 7513.
Logging is verplicht, omdat de dossierhouder moet kunnen zien wie gegevens uit zijn of haar dossier(s) heeft geraadpleegd. Dit houdt in dat de dossierhouder onweerlegbaar moet kunnen vaststellen welke gebeurtenissen hebben plaatsgevonden in het dossier.
De Gedragscode van de KNMG vereist geschikte logging met toepasselijke controleprocedures. De hoeveelheid aan loggingcontroles is niet vastgelegd in de wet, maar het periodiek controleren van loggegevens wordt aanbevolen om de veiligheid van (patiënt)gegevens te waarborgen. De vraag over wat periodieke controle precies inhoudt, kan blijven bestaan. Hieronder worden enkele uitgangspunten gegeven met betrekking tot periodieke controle:
- Volgens NEN 7510 is het verplicht om logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, te creëren, te bewaren en regelmatig te beoordelen.
- Het rapport "Toegang tot digitale patiëntendossiers binnen zorginstellingen" benadrukt dat controle van logging systematisch en consistent moet plaatsvinden. Een steekproefsgewijze controle en/of controle op basis van klachten is niet toereikend.
- Het doen van slechts één of enkele proactieve steekproeven per jaar wordt als onvoldoende beschouwd om te voldoen aan het vereiste van een passend beveiligingsniveau met betrekking tot logging.
- De Autoriteit Persoonsgegevens (AP) is van mening dat een wekelijkse controle van dossiers die zijn geraadpleegd via de noodknopprocedure, zonder twijfel voldoet aan de eisen voor een systematische en consistente controle van loggegevens.
Als fysiotherapeut verstuur ik informatie van naar huisartsen, zonder eerst toestemming te vragen aan de patiënten. Zo weet de huisarts als vaste behandelaar wat er speelt en kan ik eraan bijdragen dat een eventuele vervolgbehandeling in de eerste lijn aansluit op de behandeling die wij hebben ingezet. Mag dit?
Antwoord
Bij verwijzing van een patiënt door de huisarts mag de fysiotherapeut een terugkoppeling geven aan de verwijzend huisarts, ook zonder expliciete toestemming van de patiënt. In dit geval mag worden verondersteld dat de patiënt ook instemt met de terugkoppeling van de fysiotherapeut aan de verwijzend huisarts. Juridisch gesproken wordt een verwijzend arts gezien als medebehandelaar. Voor het uitwisselen van noodzakelijke gegevens is dan geen toestemming van de patiënt vereist.
Is er geen verwijzing van de huisarts geweest? Dan wordt de huisarts niet gezien als medebehandelaar. De fysiotherapeut moet dan aan de patiënt toestemming vragen voor het informeren van de huisarts. Geeft de patiënt geen toestemming? Noteer dan in het medisch dossier dat de patiënt terugkoppeling heeft geweigerd.
Bij het aanmelden voor een polibezoek bij de aanmeldzuil van het ziekenhuis, wordt het ID-bewijs gelezen en vervolgens aan de patiënt toestemming gevraagd of een kopie van de pasfoto mag worden opgeslagen in het patiëntendossier. Mag de patiënt dit weigeren?
Antwoord
Ja, de patiënt mag weigeren om een pasfoto op te slaan in het patiëntendossier. Wel geldt in de zorg een identificatieplicht. Dit houdt in dat de patiënt een geldig identiteitsbewijs moet tonen als het medische zorg krijgt. Hierdoor weet je als zorgverlener dat de patiënt echt is die hij zegt te zijn. Als ziekenhuis mag je een patiëntenpas gebruiken met een foto, zodat de patiënt niet bij elk bezoek een identiteitsbewijs hoeft te laten zien.
Lees hier meer over identificatieplicht.
Om tijdelijk te beschikken over voldoende zorgpersoneel wordt in de zorg steeds vaker gebruik gemaakt van zzp’ers. Voor deze zzp’ers wordt – voor de verschillende systemen – een algemeen invalaccount aangemaakt. Hierdoor is moeilijk te achterhalen welke handelingen de betreffende zzp’er heeft gedaan. Is dit toegestaan?
Antwoord
Door verschillende medewerkers op een algemeen invalaccount te laten werken, is niet meer te controleren welke medewerker wanneer welke aantekeningen heeft gemaakt in een medisch dossier of andere handelingen heeft uitgevoerd. Dit is dan ook niet toegestaan.
Logging
Logging is een geautomatiseerde registratie van gegevens, die bedoeld is om bij te houden welke gebeurtenissen/handelingen binnen een systeem hebben plaatsgevonden. Door middel van logging in de zorg kan achteraf worden gecontroleerd of er een (goede) reden was voor een medewerker om bijvoorbeeld een bepaald patiëntendossier in te zien.
Mijn cliënt stapt over naar een andere zorgverlener. Cliënt vraag de (medische) gegevens aan haar toe te sturen zodat zij deze kan doorzetten naar de nieuwe zorgverlener. Wie is tijdens het versturen van de gegevens verantwoordelijk voor de medische gegevens van deze cliënt?
Antwoord
De zorgverlener die gegevens wil versturen (bijv. via e-mail) is verantwoordelijk voor de (medische) gegevens en zal dus zorg moeten dragen voor het versturen van de gegevens via een beveiligde e-mailverbinding naar de cliënt. Hoe de cliënt vervolgens zelf de gegevens doorstuurt naar een eventuele nieuwe zorgverlener valt niet onder de verantwoordelijkheid van de oude zorgverlener.
Het geniet overigens de voorkeur dat de voormalige zorgverlener de medische gegevens rechtstreeks via een beveiligde e-mailverbinding, zonder tussenkomst van de cliënt, naar de nieuwe zorgverlener stuurt. In dat geval is enkel de zorgverlener verantwoordelijk voor het op een veilige wijze versturen van de gegevens.
Toelichting
In de dagelijkse praktijk verloopt e-mail vaak over onbeveiligde verbindingen. Dat maakt gewone (onbeveiligde, niet versleutelde) e-mail per definitie geen goed medium voor uitwisseling van medische gegevens. Bovendien is e-mail een bron van bedreigingen, zoals malware en phishing. Tegelijkertijd is alles via de post ook niet meer van deze tijd en is een e-mail stukken sneller.
Om gegevens te kunnen versturen (naar de cliënt of naar een andere zorgverlener) heeft een zorgverlener een grondslag nodig. Er is bijvoorbeeld sprake van een rechtsgeldige grondslag als de cliënt toestemming heeft gegeven voor het versturen van de gegevens.
Als de cliënt toestemming heeft gegeven voor het uitwisselen van de gegevens zal de zorgverlener dit ook op een veilige manier moeten doen. Voor het e-mailverkeer tussen zorgverleners en patiënt of cliënt hanteert de Autoriteit Persoonsgegevens de norm van versleuteling. Een zorgverlener mag dus met zijn cliënt mailen, mits de e-mails versleuteld worden verstuurd. Ook de rest van de beveiliging moet goed geregeld zijn. Denk aan een gebruikersrichtlijn, antivirus- en antispamsoftware en beveiliging van de opslag van e-mails.
Wij bieden psychologische zorg aan volwassen cliënten waarbij we ook diagnostiek uitvoeren. Een van mijn cliënten heeft afgelopen week suïcide gepleegd, terwijl ik deze week zijn diagnostiek resultaten en conclusie zou terugkoppelen.
De familie heeft het verzoek gedaan om de terugkoppeling met de familie te doen, daar de cliënt momenteel is overleden. Cliënt heeft hier geen nadrukkelijke toestemming voor gegeven. Moeder zou, naar eigen zeggen, wel meegegaan zijn naar het terugkoppelingsgesprek samen met de cliënt. Echter heb ik hier geen schriftelijke bevestiging voor gehad.
Graag zou ik willen weten wat toegestaan is binnen de huidige situatie, zodat ik dit met de familie kan bespreken.
Antwoord
Over het algemeen hebben nabestaanden, waaronder erfgenamen, geen recht op inzage in het dossier van een overledene. Hetzelfde geldt bijvoorbeeld voor een verzekeraar of politie/justitie. Deze algemene regel kent echter drie uitzonderingen.
Het inzien van een dossier na overlijden van cliënt mag:
- Als de cliënt bij leven hiervoor toestemming heeft gegeven;
- Als de nabestaanden een mededeling van een incident hebben ontvangen; of.
- Als er sprake is van een zwaarwegend belang.
Voor ouders of voogden van kinderen die op het moment van overlijden nog geen zestien jaar waren, geldt een bijzondere regeling voor inzage in het medisch dossier.
Hoewel de familie in dit geval aangeeft wel naar het gesprek te zijn meegegaan met cliënt, is hier geen bewijs van. Het dossier mag in dit geval dus niet gedeeld worden met de familie.
Meer informatie over dit onderwerp vind je op onze pagina inzage dossier overledene.
Vraag 1
Via de post heb ik een patiënt een oproep gestuurd voor de griepprik. Dit was een gesloten en persoonlijk geadresseerde vensterenvelop met op de buitenkant gedrukt ‘dit is een bericht van uw huisarts’. Patiënt vindt echter dat er op de uitnodiging privé en vertrouwelijk had moeten staan, omdat de uitnodiging niet altijd iets te maken heeft met leeftijd. De uitnodiging kan ook op grond zijn van bijvoorbeeld een chronische aandoening die niemand wat aangaat. Heeft deze patiënt gelijk?
Vraag 2
Cliënt heeft via de post een rapportage ontvangen met daarin zeer gevoelige en persoonlijke informatie over de gezinsproblematiek. Cliënt vraagt zich af waarom deze informatie per post is verstuurd en niet via versleutelde e-mail.
Antwoord
In beide gevallen geldt dat de zorgprofessional niet onjuist heeft gehandeld. Het versturen van (gevoelige) informatie per post is volgens de AVG toegestaan. Geadviseerd wordt om de post aangetekend te versturen en/of de envelop te voorzien met de tekst ‘vertrouwelijk’. Meer hierover vind je op onze pagina Medische gegevens per post.
Het versturen van (gevoelige) informatie per e-mail is ook mogelijk al is dit niet altijd wenselijk. Een fout is hierbij namelijk makkelijk gemaakt. De gegevens toch per post versturen? Check dan vooral onze pagina Gegevens delen per mail voor tips hoe je dit het beste kunt doen.
Als zorgprofessional ontvang ik regelmatig informatieverzoeken, onder meer van medisch adviseurs van letselschade deskundigen. Soms zijn deze verzoeken niet ondertekend of opgesteld door een arts, maar door een secretaresse. Zo is het onduidelijk of een medisch adviseur de aanvraag doet en zo ja, wie. In die gevallen verzoek ik om meer informatie, maar krijg ik vaak telefonisch geen gehoor of schriftelijk geen reactie. Hoe moet ik met dergelijke verzoeken omgaan?
Antwoord
Het delen van een medische gegevens mag alleen als cliënt/patiënt daar expliciet toestemming voor heeft gegeven. In de praktijk komt het vaak voor dat administratief medewerkers de gegevens namens de medisch adviseur opvragen. Ook administratief medewerkers zijn verbonden aan het medisch beroepsgeheim van de medisch adviseur, dit wordt het afgeleid beroepsgeheim genoemd. Als er wordt getwijfeld aan de administratief medewerker is het advies om rechtsstreeks contact op te nemen met de medisch adviseur. Heb je als behandeld arts twijfels over de verstrekking van de gevraagde informatie? Neem contact op met de patiënt om af te stemmen met wie welke informatie mag worden gedeeld.
Na toestemming van de cliënt is het toegestaan om het dossier te delen met de medisch adviseur. Dit kan per post of via beveiligde mail.
Het is ook mogelijk om het dossier door de client zelf op te laten halen. Vervolgens kan de client het dossier zelf afgeven bij de medisch adviseur.
Cliënt x is van onze praktijk overgestapt naar een nieuwe fysiopraktijk in een andere regio. Cliënt wilt graag dat wij haar dossier opsturen naar de nieuwe praktijk. Mag dit?
Antwoord
Voor onder andere artsen, tandartsen, apothekers, GZ-psychologen, psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen geldt het medisch beroepsgeheim. Dit is wettelijk geregeld. Het delen van een dossier mag dus niet zomaar. Hiervoor moet een cliënt uitdrukkelijk toestemming geven. Na deze toestemming is het toegestaan om het dossier te delen met de andere fysiopraktijk. Dit kan via een elektronisch uitwisselingssysteem of via beveiligde e-mail.
Het is ook mogelijk om het dossier door de client zelf op te laten halen. Vervolgens kan de client het dossier zelf afgeven bij de nieuwe praktijk.
In onze zorginstelling worden baxterzakjes in de prullenbak op de kamer van de cliënt weggegooid. Mag dit?
Antwoord
Baxterzakjes zijn zakjes waarbij tijdens een geautomatiseerd proces medicatie voor patiënten in wordt gedaan. Op deze zakjes staat privacygevoelige informatie zoals onder andere de naam van de patiënt, de soort en hoeveelheid medicatie. Deze zakjes mag je daarom niet zomaar in de prullenbak weggooien. Overleg met je werkgevern of verstrekker hoe je de zakjes verantwoord kunt verwerken. Denk bijvoorbeeld aan het onleesbaar maken van de gegevens met een watervaste stift of het doorknippen van de zakjes. Ook zijn er zakjes waarbij de inkt op het zakje eenvoudig met water is weg te halen of papieren zakjes, die lijken op plastic, maar door een papierversnipperaar mogen. Daarnaast bestaan er speciale afvalcontainers waar de zakjes in kunnen worden gedeponeerd.
Stel je vraag
Ook als zorgverlener een AVG-gerelateerde vraag die niet terugkomt op onze onderwerpen-pagina? Stuur deze dan naar avghelpdeskzorg@minvws.nl. Wij proberen zo veel mogelijk e-mails te beantwoorden. Het is mogelijk dat wij gestelde vragen, geanonimiseerd, gebruiken voor op onze website.