Verslag dialoogsessie cliëntenportaal: de juridische aspecten

Het past helemaal bij deze tijd: een digitaal cliëntenportaal dat cliënten zelf, hun vertegenwoordiger(s) en wellicht ook andere zorgverleners inzage geeft in relevante informatie. Of nog mooier: waarmee ze onderling berichten kunnen uitwisselen. Maar weten zorgaanbieders met welke juridische aspecten ze rekening moeten houden? Waardigheid en trots organiseerde er een dialoogsessie over onder leiding van ICT- en privacy-jurist Carolien Jobse.

Carolien start met een korte uitleg over de structuur van wet- en regelgeving. Er zijn algemene wetten (lex generalis) en specifieke wetten (lex specialis). ‘Een specifieke wet gaat voor op een algemene wet en een jongere wet gaat voor op een oudere wet.’ Europese wet- en regelgeving werkt door op nationaal niveau. Wetten worden uitgewerkt of verduidelijkt in beleidsregels, gedragscodes en NEN/ISO-normen. Relevante wetten voor het cliëntenportaal zijn:

Een dossier aanmaken

Carolien gaat in stappen door het zorgproces van een fictieve cliënt, van ‘aanmelding’ via ‘in zorg zijn’ tot ‘uit zorg’. Mag een zorgaanbieder bijvoorbeeld al voordat de cliënt in zorg is een cliëntdossier aanmaken? De Wet langdurige zorg (Wlz) geeft daarvoor toestemming: ‘zorgaanbieders mogen voor aanvang van de zorglevering, dan wel zo snel mogelijk daarna, een bespreking met de cliënt organiseren om afspraken te maken’. Het besluit langdurige zorg verduidelijkt vervolgens waarover dat gesprek in ieder geval moet gaan. En dat is breed, van geloofsovertuiging tot voeding. ‘En de toevoeging “in ieder geval” betekent dat er nog veel meer gevraagd mag worden. Let wel op dat de cliënt zélf akkoord gaat met de privacyverantwoording.’

Toegang

Het dossier is aangemaakt, wie bepaalt vervolgens wie toegang heeft? ‘In principe de cliënt zelf’, aldus Carolien. Ze legt uit dat de Wlz 3 mogelijkheden onderscheidt:

  • De cliënt is handelingsbekwaam en bepaalt zelf wie wel en geen toegang krijgt.
  • De cliënt is handelingsbekwaam, maar er zijn twijfels of hij het wel kan. Dan kan de cliënt iemand schriftelijk machtigen. Als een machtiging ontbreekt, is de volgorde: echtgenoot, geregistreerd partner of andere levensgezel, daarna komen kinderen en vervolgens tante, oom, neef of nicht. Let op, machtiging is alleen mogelijk als de cliënt het echt wil!
  • De cliënt staat onder curatele. Dan beslist de wettelijke vertegenwoordiger wie toegang krijgt.

Een belangrijke eyeopener voor de aanwezigen is dat de wettelijke vertegenwoordiger lang niet altijd ook de eerste contactpersoon is. En wat te doen als de wilsonbekwaamheid niet wettelijk is vastgelegd? ‘Dan zit je in een grijs gebied’, zegt Carolien. ‘En geldt de tweede mogelijkheid.’ Ze raadt aan de weg altijd zorgvuldig te bewandelen. ‘Is er geen schriftelijke machtiging van de cliënt? Dan is de echtgenoot de aangewezen persoon, tenzij de cliënt steigert. En stel dat de echtgenoot het toch liever uitbesteedt aan de dochter, leg dat dan vast, met een akkoord van de echtgenoot. Dat kan gewoon tijdens een regulier MDO.’

Datalekken

Carolien stipt ook het voorkomen van datalekken aan. ‘Die ontstaan door systemen die niet up-to-date zijn en door slechte wachtwoorden.’ En door onzorgvuldig omgaan met inloggegevens. ‘Stel dat de cliënt zijn inloggegevens verspreidt, ben ik dan strafbaar?’, vraagt een van de aanwezigen. ‘Niet als uw organisatie kan aantonen dat ze er alles aan doet om een datalek te voorkomen’, antwoordt Carolien. ‘Neem daarom in de gebruikersvoorwaarden op dat de cliënt zelf verantwoordelijk is. U kunt de cliënt wel helpen om een bepaald beveiligingsniveau te verkrijgen. Bijvoorbeeld door in te stellen dat cliënten elke maand een nieuw wachtwoord moeten kiezen.’

Autorisatie en authenticatie

Inmiddels is de cliënt in zorg en ontsluit het cliëntenportaal de gegevens uit het cliëntdossier. Welk deel van het dossier voor wie zichtbaar is, hangt af van de autorisatie. Carolien: ‘Familieleden hoeven doorgaans geen medische gegevens te zien, maar wel of moeder of vader een fijne dag heeft gehad. Voor anderen geldt: wat moeten ze weten voor de uitoefening van hun taak?’ Authenticatie wordt gebruikt om de identiteit van een gebruiker vast te stellen. Welke vorm van authenticatie een organisatie kiest is afhankelijk van de gevoeligheid van de informatie. In het algemeen geldt dat organisaties medische gegevens zwaarder moet beveiligen dan andere gegevens.

Wijzigingen loggen

Carolien geeft aan dat de bepaling dat medewerker en cliënt na 24 uur niets meer kunnen wijzigen in hun eigen rapportage geen juridische basis heeft. Wel moet een organisatie wijzigingen loggen (bijhouden en vastleggen), met reden. Waarschijnlijk komt de 24-uurs bepaling uit de praktijk. Het is een manier om te voorkomen dat medewerkers hun eigen rapportage kunnen ‘frauderen’. ‘En bij ons heeft het een mooie bijvangst’, zegt een van de aanwezigen. ‘Medewerkers zijn veel alerter op hoe en wat ze rapporteren. Ze werken harder aan een goede rapportage.’

Uit zorg

Carolien besluit met de eisen voor het afsluiten van een cliënt dossier. De Wet op de geneeskundige behandelingsovereenkomst (WGBO) stelt dat een dossier bij het verbreken van de zorgrelatie direct gesloten moet worden. Carolien raadt aan hier vooral praktisch mee om te gaan. ‘Als een cliënt uit zorg gaat – meestal door overlijden – is er vaak nog wel contact met de familie. Zet in het dossier zoveel mogelijk dicht, maar houdt het portaal nog even open. Dat vergemakkelijkt de communicatie.’ Voor organisaties is het dus handig te beschikken over een systeem waarin het dossier losstaat van het portaal. Een goed punt om mee te nemen bij de keuze van een systeem.

Tips

  • De algemene aanname is dat iedereen de wet kent. Maar niet alle leveranciers voldoen aan de wet- en regelgeving. Bevraag je leverancier dus goed, want de zorgorganisatie is verantwoordelijk.
  • Voor medische gegevens gelden strengere regels dan voor algemene persoonsgegevens. Bepaal daarom van tevoren goed wie wat kan inzien en waarom. En hoe gevoelig de informatie is.
  • Ken het onderscheid tussen een wettelijke vertegenwoordiger en een gemachtigde. Een wettelijke vertegenwoordiger is bij wet aangewezen (curator of mentor). Een gemachtigde is door de cliënt zelf aangewezen.
  • Inzage is iets anders dan gegevensuitwisseling. Van gegevensuitwisseling is sprake als 2 softwarepakketten met elkaar ‘praten’. Niet alle cliëntenportalen bieden deze mogelijkheid al, maar houd er rekening mee dat uitwisseling op een gegeven moment gaat plaatsvinden. Bereid je daar alvast op voor. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg bevat bepalingen over gegevensuitwisseling.
  • Maak goede gebruikersvoorwaarden. Daarmee kun je veel gedoe voorkomen.

Verslag door Ingrid Brons

Meer weten

Geplaatst op: 25 september 2017
Laatst gewijzigd op: 18 januari 2019