PRIVACYREGLEMENT PATIENTGEGEVENS

Transcriptie

1 Versiedatum 27 juni 2014 Versienummer 2.1 Datum vaststelling Mei 2015 Datum evaluatie juni 2016 Verantwoordelijk voor vaststelling H. van den Hoeven Verantwoordelijk voor implementatie huisartsen, apotheken, SGZ Contactpersoon M.P. Ephraim Aantal pagina s 10 Gerelateerde documenten Geen Bijlagen Geen Betreft disciplines huisartsenpraktijk, apotheek, huisartsenpost * eerste versie betrof het document Gegevensbeheer, informatiebeveiliging en privacy-richtlijnen Zorgcluster Zoetermeer, SGZ DOEL EN REIKWIJDTE Doel van het privacyreglement is een vastlegging van de maatregelen die zijn genomen om zeker te stellen dat zorgvuldig met patiëntgegevens wordt omgegaan. Dit reglement is van toepassing op de verwerking van patiëntgegevens, die door Zoetermeerse en Benthuizense huisartsen en apotheken in een bestand zijn of worden opgenomen. DEFINITIES WGBO: Wet Geneeskundige Behandelingsovereenkomst. De WGBO geeft de patiënt een aantal rechten zoals het recht op inzage, afschrift, aanvulling en vernietiging. De WGBO is van toepassing op de huisartsen en (fysio)therapeuten, en niet op de apotheek. WBP: Wet Bescherming Persoonsgegevens. De WBP biedt de persoon op wie een gegeven betrekking heeft het recht van kennisneming, correctie, aanvulling, afscherming en verwijdering. De WBP kent m.b.t. de verantwoordelijke voor de persoonsregistratie de volgende verplichtingen: meldingsplicht bij het College Bescherming Persoonsgegevens; informatieplicht aan de patiënt over wie de verantwoordelijke voor de registratie is, de wijze waarop de verwerking plaats vindt, wie medegebruikers of ontvangers van gegevens zijn en wat de rechten van de patiënt zijn; het treffen van passende organisatorische beveiligingsmaatregelen, waaronder een overzicht van de personen die toegang hebben tot de registratie en technische beveiligingsmaatregelen; als gegevens extern bewerkt worden: een bewerkerscontract. CBP: College Bescherming Persoonsgegevens. Het CBP is een onafhankelijk college dat toezicht houdt op de naleving van de WBP-eisen. De WBP vereist dat de verantwoordelijke voor een persoonsregistratie een melding doet bij het CBP. Als verantwoordelijke voor de registratie geldt de eigenaar van de praktijk of apotheek. Veelal is dit de huisarts of de maatschap van hulpverleners. Voor de loondienstpraktijken van de SGZ is het bestuur van de SGZ eindverantwoordelijk voor de elektronische gegevensbestanden. Privacyreglement patiëntgegevens 1

2 AARD EN DOEL PATIENTREGISTRATIES Binnen het Zorgcluster vinden de volgende patiëntregistraties plaats, die onderstaand worden beschreven. Zorgcluster patiëntendatabase In Zoetermeer is een centrale patiëntendatabase in gebruik. Het betreft een database waarin de Zoetermeerse en Benthuizense huisartsen en apotheken (zowel vrijgevestigd als in dienst bij de SGZ) hun elektronische patiëntendossiers in onder brengen op basis van een bewerkersovereenkomst met de SGZ. Deze administratie vindt plaats in de applicaties van het bedrijf PharmaPartners, te weten Medicom (voor huisartsen) en Pharmacom (voor apotheken). De centrale patiëntendatabase wordt door PharmaPartners ehealth Server genoemd. In dit document wordt hiernaar verwezen onder de naam Zorgcluster. Aard en doel van de patiëntenregistratie in het Zorgcluster In het Zorgcluster zijn algemene persoonsgegevens (NAW-gegevens e.d.), medische gegevens, en farmaceutische gegevens opgenomen. Doelen van de registratie zijn ondersteunen en mogelijk maken van: een goede medische en farmaceutische zorg en hulpverlening aan de patiënt; financiële afhandeling van de geboden zorg met de patiënt dan wel diens zorgverzekeraar waaronder het aanmaken, registreren en bewerken van gespecificeerde declaraties; behandeling van klachten van patiënten; incidentenregistratie; intercollegiale toetsing; wetenschappelijk onderzoek, onderwijs en voorlichting; doelmatig beheer en beleid in de organisatie, waaronder kwaliteitsbewaking van de zorg. In het algemeen geldt dat patiëntengegevens voor de laatste vier doelen geanonimiseerd worden alvorens ze te gebruiken. Bij ondersteuning van wetenschappelijk onderzoek, onderwijs en voorlichting en bij het aanwenden van gegevens t.b.v. doelmatig beheer en beleid geldt dat expliciete toestemming nodig is van de patiënt, zijn vertegenwoordiger of een gemachtigde voor toegang tot herleidbare patiëntgegevens. Is het doel het toetsen van het kwaliteitsbeleid van de hulpverleners die deelnemen aan het Zorgcluster dan wordt gewerkt met geaggregeerde gegevens. De centrale patiëntenadministratie is aangemeld bij het College Bescherming Persoonsgegevens. Patiëntendatabase Huisartsenpost Zoetermeer De SGZ is beherend rechtspersoon van de Huisartsenpost Zoetermeer. Op de Huisartsenpost vindt registratie plaats van alle contacten van assistentes en artsen met patiënten. Deze registratie vindt plaats in de applicatie Hapicom van het bedrijf PharmaPartners en is ten behoeve van de Huisartsenpost gekoppeld aan het Zorgcluster via een centrale patiëntenindex. Privacyreglement patiëntgegevens 2

3 In deze patiëntenindex zijn van alle patiënten uit het Zorgcluster de zoekgegevens (NAW: naam, adres, woonplaats) en verzekeringsgegevens opgeslagen. Deze informatie wordt vanuit het Zorgcluster automatisch bijgehouden: als in het Zorgcluster een wijziging in het patiëntenbestand plaats vindt die consequenties heeft voor de index, wordt automatisch een mutatiebericht naar de index verzonden, die dan wordt bijgewerkt. Deze index is noodzakelijk om communicatie tussen de Huisartsenpost en het Zorgcluster mogelijk te maken. Vanuit de Huisartsenpost kunnen patiëntgegevens worden ingezien die zijn opgeslagen in het Zorgcluster via de centrale patiëntenindex van het cluster. Ook de melding van de handelingen die op de Huisartsenpost hebben plaats gevonden aan de eigen huisarts en apotheek lopen via deze index. Aard en doel van de patiëntenregistratie van de Huisartsenpost Doelen van de registratie zijn ondersteunen en mogelijk maken van: een goede medische hulpverlening aan de patiënt; financiële afhandeling van de geboden hulp met de patiënt dan wel diens zorgverzekeraar waaronder het aanmaken, registreren en bewerken van gespecificeerde declaraties; behandeling van klachten van patiënten; incidentenregistratie; intercollegiale toetsing; wetenschappelijk onderzoek, onderwijs en voorlichting; doelmatig beheer en beleid in de organisatie, waaronder kwaliteitsbewaking van de zorg. Voor de laatste vier doelen geldt hetzelfde als gesteld onder het SGZ-zorgcluster. Zowel de patiëntendatabase van de Huisartsenpost Zoetermeer als de centrale patiëntenindex zijn aangemeld bij het College Bescherming Persoonsgegevens. Financiële administraties De aangesloten hulpverleners en de SGZ beheren ieder voor de eigen declaraties aparte financiële administraties (los van de patiëntendatabase van het Zorgcluster). Financiële gegevens worden uit het Zorgcluster-declaratiegedeelte overgenomen. De financiële administratie is bedoeld voor het verwerken van (uitsluitend de noodzakelijke) gegevens voor de financiële afhandeling van de behandeling. Deze gegevens moeten aan de zorgverzekeraar worden verstrekt. Doel van de registraties is: financiële administratie, waaronder het in handen van derden stellen van vorderingen en het laten uitvoeren van accountantscontrole. Voor de financiële administraties bestaat geen meldingsplicht bij het CBP krachtens artikel 12 (debiteuren en crediteuren) van het vrijstellingsbesluit. Privacyreglement patiëntgegevens 3

4 ORGANISATIE VAN DE INFORMATIEBEVEILIGING De aangesloten hulpverleners en de SGZ hebben de volgende maatregelen genomen en afspraken gemaakt om zeker te stellen dat patiëntgegevens zorgvuldig worden behandeld en dat wordt voldaan aan de rechten en plichten uit o.a. de WBP en WGBO. Eindverantwoordelijkheid voor registraties De Wet Bescherming Persoonsgegevens (WBP) bepaalt dat de '(eind)verantwoordelijke' degene is die bepaalt wat er met de gegevens gebeurt. De WBP legt aan de '(eind)verantwoordelijke' een aantal plichten op, zoals het vastleggen van de doelen van de registratie en het zo nodig melden hiervan bij het College Bescherming Persoonsgegevens Het bestuur van de SGZ is eindverantwoordelijk voor het beheer en het instandhouden van het informatienetwerk en de gegevensbestanden van de hulpverleners in loondienst bij de SGZ. De artsen, apothekers en (fysio)therapeuten die op de loonlijst staan van de SGZ, zijn medeverantwoordelijk voor het verwerken van de patiëntgegevens. In het kader van het Zorgcluster, brengen vrijgevestigde huisartsen en apotheken die gebruik gaan maken van de SGZ-faciliteiten de eigen registratie onder in het Zorgcluster. In deze gevallen blijven de betreffende zelfstandige huisartsen en apotheken eindverantwoordelijk. Men stelt de SGZ aan als bewerker van hun registraties. De 'bewerker' is een persoon of organisatie buiten de praktijk of instelling aan wie de 'verantwoordelijke' (een deel van) de gegevensverwerking heeft uitbesteed. De 'bewerker' bewerkt volgens instructies en onder uitdrukkelijke verantwoordelijkheid van de verantwoordelijke. De bewerker is, naast de verantwoordelijke, aansprakelijk voor eventuele nadelen die iemand ondervindt omdat de privacy-eisen niet zijn nagekomen. De bewerker en zijn medewerkers hebben een geheimhoudingsplicht. Bewerkersovereenkomst De relatie tussen eindverantwoordelijke en bewerker en de wederzijdse rechten en plichten worden uitgewerkt in een bewerkersovereenkomst. Als een bewerker namelijk persoonsgegevens gaat verwerken, moet de verantwoordelijke de bewerker duidelijk maken hoe hij met de persoonsgegevens moet omgaan. De verplichtingen van de verantwoordelijke en de bewerker moeten duidelijk in een schriftelijke overeenkomst worden vastgelegd. De verantwoordelijke moet toezien op de naleving van de uit de overeenkomst voortvloeiende verplichtingen. In de overeenkomst tussen de SGZ en de zelfstandig gevestigde huisarts en apotheker zijn artikelen opgenomen die gelden als de bewerkersovereenkomst tussen een (maatschap van) zelfstandig gevestigde arts(en) of apotheker(s) als eindverantwoordelijke(n) en de SGZ als bewerker. Bewaartermijn De wettelijk bewaartermijn van patiëntgegevens is (minimaal) vijftien jaar. De SGZ rekent hierbij vanaf het moment dat het laatste consult of de laatste behandeling werd beëindigd; dossiers van patiënten die nog zijn ingeschreven, worden integraal bewaard - ook de onderdelen die ouder zijn dan 15 jaar. Privacyreglement patiëntgegevens 4

5 Als de termijn van 15 jaar is verlopen, moet de arts, apotheker of (fysio)therapeut nagaan of langer bewaren noodzakelijk is (tenzij een eerder vernietigingsverzoek is gehonoreerd). De gegevens moeten langer dan vijftien jaar worden bewaard als dat 'redelijkerwijs uit de zorg van een goed hulpverlener' voortvloeit, bijvoorbeeld omdat de arts, apotheker of (fysio)therapeut alleen goede zorg kan bieden als de gegevens langer worden bewaard. Te denken valt aan langlopende of terugkerende behandelingen bij chronische ziekten of erfelijke aandoeningen. Ook met het oog op wetenschappelijk onderzoek kan het van belang zijn gegevens langer te bewaren. Het initiatief tot langer bewaren kan ook van de patiënt uitgaan. Daarover kunnen behandelaar en patiënt samen afspraken maken. In het licht van de voorgaande gegevens heeft de SGZ besloten terughoudend te zijn met het vernietigen van medische dossiers. De bewaartermijn in de apotheek voor recepten is volgens wettelijke vereisten 6 jaar. De SGZ conformeert zich echter aan een landelijke afspraak tussen de KNMP en patiëntenorganisaties om het farmaceutische dossier (inclusief recepten) 10 jaar te bewaren. Overdracht dossier bij verandering van huisarts In de huisartsenwereld is het gebruikelijk dat bij beëindiging van de behandelingsovereenkomst (omdat de patiënt voor een andere arts kiest), na toestemming van de patiënt, het dossier volledig aan een opvolger wordt overgedragen of aan de patiënt wordt meegegeven. Als een patiënt vertrekt naar een andere huisarts kan het dossier aan de nieuwe huisarts worden overgedragen tenzij de patiënt daartegen bezwaar maakt. Uitzondering op deze overdracht is een situatie waarin de patiënt een procedure tegen de arts wil aanspannen of dit inmiddels heeft gedaan. De arts heeft er dan een 'aanmerkelijk' belang bij dat hij de gegevens voor zijn verweer kan gebruiken. In dat geval kan een kopie van de kern van het dossier worden overgedragen. Het dossier kan in papieren vorm ter beschikking worden gesteld door een uitdraai van het dossier uit het Zorgcluster te maken. Het dossier kan door de huisarts rechtstreeks aan de nieuwe huisarts ter beschikking worden gesteld: in dat geval wordt deze per post verstuurd of persoonlijk overgedragen. Dit gaat gepaard met een formulier (opvraagbaar bij het centraal bureau van de SGZ) waarbij de nieuwe huisarts voor ontvangst tekent, en verzocht wordt dit formulier te retourneren. Ook kan het dossier aan de patiënt worden meegegeven zulks ter beoordeling aan de huisarts. De patiënt tekent daarbij voor ontvangst op een daartoe bestemd formulier (opvraagbaar bij het centraal bureau van de SGZ). Dossiers voor echtgenoten of meerderjarige kinderen (16 jaar en ouder) worden uitsluitend meegegeven indien de patiënt hiervoor door hen schriftelijk gemachtigd is. De machtiging wordt tezamen met formulier voor ontvangst bewaard. Is er geen machtiging, dan wordt een gezinsdossier om privacy redenen per aangetekende post verzonden. Gaat de patiënt niet akkoord met het overdragen van zijn dossier, dan moet de oude huisarts het dossier bewaren totdat de bewaartermijn is verstreken (tenzij de patiënt eerder om vernietiging verzoekt). Privacyreglement patiëntgegevens 5

6 Overdracht dossier bij verandering van hulpverlener binnen het Zorgcluster Bij opvolging door een andere arts of apotheker binnen het Zorgcluster heeft de nieuwe behandelaar toegang tot het volledige dossier. Bij een dergelijke opvolging door een nieuwe huisarts worden patiënten ruime tijd voor vertrek van de 'oude' huisarts schriftelijk geïnformeerd over de opvolging. De patiënt kan dan eventueel bezwaar maken tegen de opvolging en de overdracht van het dossier aan de 'nieuwe' behandelaar. Als een patiënt zelf kiest voor een andere huisarts binnen het Zorgcluster, kan de oude huisarts het schriftelijk dossier overdragen zoals hiervoor beschreven bij verandering naar een huisarts buiten het Zorgcluster. Het dossier dat is opgeslagen in het Zorgcluster, kan echter ook worden overgedragen doordat de patiënt wordt uitgeschreven en vervolgens de naam van de huisarts in het NAW-deel wordt gewijzigd. In het Zorgcluster is uitsluitend de oude huisarts (of in diens opdracht de centrum- of doktersassistente) hiertoe bevoegd. Andere hulpverleners die toegang hebben tot het zorgcluster zijn niet bevoegd een patiënt van huisarts te laten veranderen. Procedure: patiënt of huisarts waar patiënt naar toe gaat vraagt oude huisarts om verandering; oude huisarts verwerkt nog alle noodzakelijke gegevens; oude huisarts schrijft patiënt uit en verandert de naam van de arts in NAW-deel. NB. Ingeval een patiënt is ingeschreven bij een huisarts die (nog) niet deelneemt in Zorgcluster, en vervolgens van huisarts verandert, is de apotheek wel gemachtigd de naam van de huisarts te wijzigen. Schriftelijk of mondeling informeren van derden Hoofdregel is dat gegevens alleen aan 'anderen' mogen worden verstrekt als de patiënt daarvoor uitdrukkelijk toestemming heeft gegeven. Met 'anderen' bedoelt de WGBO niet de hulpverleners die rechtstreeks bij de behandeling of begeleiding van de patiënt zijn betrokken, zoals een medebehandelaar, praktijkassistente, huisarts-in-opleiding (haio), verpleegkundige, (fysio)therapeut, een vervanger of waarnemer. Met 'anderen' worden evenmin bedoeld de (wettelijk) vertegenwoordiger van de patiënt (zoals ouders, voogd, curator, mentor, kind, broer of zus), of de door de patiënt (schriftelijk) gemachtigde. Voor informatieverstrekking aan deze personen hoeft de arts dus niet eerst toestemming aan de patiënt te vragen. Wél voor verstrekking aan personen die hierboven niet zijn aangegeven. De toestemming kan zowel mondeling als schriftelijk worden verkregen. In twijfelgevallen verdient het aanbeveling om bij verkregen mondelinge toestemming hiervan een aantekening in het dossier te maken. Privacyreglement patiëntgegevens 6

7 Verstrekken van informatie uit het dossier van een overledene De hoofdregel bij het verstrekken van informatie uit het dossier van een overledene is dat de privacy van een patiënt ook na diens dood wordt gerespecteerd en dat anderen dus geen inzage in zijn gegevens krijgen. Strikte navolging van deze hoofdregel zou er toe leiden, dat geen enkele informatie over een overledene aan wie dan ook mag worden verstrekt. Er zijn echter uitzonderingen: 1. Er is een wettelijke bepaling die verplicht om inzage te geven, bijvoorbeeld (ingevolge de BOPZ) aan de Inspecteur voor de Gezondheidszorg. 2. In geval van 'veronderstelde toestemming' van de overleden patiënt: als de behandelaar tot de overtuiging komt, na 'reconstructie van de wil van de overledene', dat in een concreet geval de overledene toestemming tot inzage zou hebben gegeven. Zo kunnen kinderen bijvoorbeeld inzage in het dossier van een overleden ouder krijgen vanwege een erfelijke ziekte of met het oog op een klacht, tenzij voor de arts duidelijk is dat de ouder dat niet zou hebben gewild. 3. Als er sprake is van een 'conflict van plichten' en als is voldaan aan de onderstaande criteria kan de behandelend arts tot gegevensverstrekking overgaan. Het moet daarbij altijd gaan om zeer zwaarwegende belangen van derden. Als uitgangspunt voor de doorbreking van het beroepsgeheim kunnen de volgende zes cumulatieve criteria (ontleend aan prof. dr. H.J.J. Leenen) worden gebruikt: alles is in het werk gesteld om toestemming van de betrokkene te verkrijgen; zwijgen levert voor een ander ernstige schade op; de zwijgplicht brengt de hulpverlener in gewetensnood; er is geen andere weg dan het geheim te doorbreken; het doorbreken van de zwijgplicht voorkomt of beperkt de schade aan een ander; het geheim wordt zo min mogelijk geschonden Het verdient aanbeveling dat de behandelaar in zijn dossier aantekening maakt van zijn belangenafweging en zijn motieven daarbij. Patiëntenvoorlichting Patiënten moeten adequaat en voldoende worden geïnformeerd over het elektronisch patiëntendossier in Zoetermeer / Benthuizen, en over de mogelijkheden om bezwaar aan te tekenen tegen inzage in het dossier. Daartoe heeft de SGZ in januari 2006 een brief en folder huis-aan-huis verspreid, waarin is gewezen op de informatie-uitwisseling. In april 2009 is door de SGZ een informatiekaart over de huisartsenpost en de dienstapotheek huis-aan-huis verspreid waarin wordt verwezen naar de SGZ-website. Het is de verantwoordelijkheid van de huisarts en apotheek om bij elke nieuwe inschrijving de patiënt persoonlijk te informeren over de gegevensuitwisseling en de mogelijkheid tot bezwaar. Daartoe heeft de SGZ een folder opgesteld die kan worden uitgereikt door de huisarts of apotheek. De folder is tevens te raadplegen en downloaden op de SGZ website Huisartsen en apotheken zijn gerechtigd de folder op hun eigen website plaatsen. Voor het aantekenen van bezwaar door de patiënt zijn twee bezwaarformulieren ontwikkeld: een bezwaarformulier voor de huisarts en een bezwaarformulier voor de apotheek. De SGZ beveelt aan om bij afscherming van gegevens op verzoek van de patiënt deze hiervoor een bezwaarformulier te laten tekenen, en deze bij diens dossier te archiveren. Privacyreglement patiëntgegevens 7

8 Geheimhouding Alle medewerkers die patiëntgegevens verwerken of anderszins kennis nemen van patiëntgegevens zijn gehouden aan geheimhouding. De afspraken hiervoor zijn vastgelegd in een aantal gedragscodes, te weten: voor medewerkers in dienst van Therapeuticum Aurum voor medewerkers in dienst van de SGZ; voor medewerkers die hun patiëntendatabase middels een bewerkerscontract bij de SGZ hebben ondergebracht; voor waarnemers/vervangers en stagiaires/hulpverleners in opleiding; voor medewerkers van de Huisartsenpost (artsen en assistentes); voor medewerkers van de afdeling automatisering en financiële administratie SGZ; voor medewerkers van leveranciers; voor derden die in opdracht van de eigenaar van de persoonsgegevens toegang verkrijgen tot gegevens binnen het Zorgcluster. Alle medewerkers die toegang hebben tot het Zorgcluster dienen de gedragscode te ondertekenen die op hen van toepassing is. Het ondertekende exemplaar wordt ingeval van medewerkers in dienst van een apotheek of praktijkhouder bewaard door de praktijkhouder en in het geval van huisartsen, apothekers, fysiotherapeuten en medewerkers van de SGZ door de directie van de SGZ. Het niet naleven van de gedragscode leidt er altijd toe dat de medewerker door de leidinggevende of collega s hierop wordt aangesproken. Disciplinaire maatregelen binnen de normale gezagsverhoudingen kunnen worden ingesteld bij ernstige overtredingen. Daarnaast kunnen door de besturen van de SGZ, RHV en/of KZA maatregelen worden genomen m.b.t. toegangsbevoegdheden van de betreffende persoon of deelname aan het cluster van de betreffende praktijk/apotheek. Naast de interne gedragscodes, kent de SGZ artikelen inzake geheimhouding in de overeenkomsten met externe leveranciers. Deze overeenkomst sluit de SGZ af met leveranciers van software die ten behoeve van het onderhoud van software en bestanden toegang nodig hebben tot het pakket. RECHTEN VAN DE PATIENT Om een beroep op een recht te doen kunnen patiënten een verzoek richten tot de behandelend arts, (fysio)therapeut of apotheker. In alle gevallen zal de behandelaar het verzoek beoordelen, omdat alleen hij/zij kan motiveren of het patiëntenrecht al dan niet kan worden gehonoreerd. Als een patiënt een beroep doet op zijn rechten, dan moet de behandelaar daarop in beginsel binnen vier weken reageren. Als behandelaar worden aangemerkt de huisarts, de apotheker en de (fysio)therapeut. Een centrum-, dokters- of apotheekassistente handelt derhalve niet zelfstandig verzoeken van patiënten zoals onderstaand omschreven af. Zijn cliënten het oneens met de wijze van afhandeling door de behandelend hulpverlener, dan kan men hiertegen bezwaar maken conform de klachtenregeling waarbij de hulpverlener is aangesloten. Privacyreglement patiëntgegevens 8

9 Recht op inzage en afschrift De patiënt heeft recht op inzage en afschrift van zijn gegevens. De WGBO maakt hierop één uitzondering: inzage of afschrift mag niet worden gegeven als daardoor de privacy van een ander wordt geschonden. Het kan bijvoorbeeld gaan om gegevens die door een partner of familielid zijn verstrekt in het vertrouwen dat de patiënt daarvan niet op de hoogte wordt gebracht. De gegevens kunnen betrekking hebben op henzelf of op de patiënt. De behandelaar zal die informatie uiteraard alleen vastleggen als dit voor de behandeling van de patiënt relevant is. Om een beroep te doen op de uitzondering moet de behandelaar aantonen dat het privacybelang van de ander wordt geschaad door inzage te geven én dat dit belang zwaarder weegt dan het belang van de patiënt. De behandelaar moet dus een belangenafweging maken. Een verzoek om inzage of een afschrift van (een gedeelte van) het dossier kan alleen worden gedaan door de patiënt zelf, of met machtiging diens vertegenwoordiger (bijvoorbeeld een advocaat). Voor kinderen gelden aparte regels (zie: leeftijd patiënt en diens rechten ) Aan een verzoek tot inzage of afschrift moet de behandelaar zo spoedig mogelijk, maar in elk geval binnen vier weken voldoen. De patiënt heeft geen recht op afgifte van de originele patiëntgegevens. De originelen komen alleen toe aan de eigenaar van de gegevens, in casu de vrijgevestigd huisarts of apotheker of de SGZ. Uitzondering hierop kan zijn dat binnen een huisartsenpraktijk bij overdracht naar een andere huisarts de originele gegevens aan de patiënt worden meegegeven voor de opvolger (zie: overdracht dossier bij verandering van huisarts ). Voor het maken van afschriften (niet voor het geven van inzage) rekent de SGZ een tarief. Deze tarieven zijn opvraagbaar bij het centraal bureau van de SGZ. Recht op aanvulling, correctie en afscherming De patiënt heeft het recht om het dossier aan te vullen. Hiermee kan de patiënt bereiken dat - naar zijn mening - een vollediger of juister beeld van zijn persoon of zijn gezondheidstoestand wordt geschetst. Het gaat dan om afwijkende of aanvullende zienswijzen van de patiënt zelf óf - op verzoek van de patiënt - van een andere arts bijvoorbeeld in het kader van een second opinion. Ook als de arts, apotheker of (fysio)therapeut het met de inhoud van de verklaring niet eens is, moet hij de verklaring in het dossier opnemen. De patiënt mag de arts, apotheker of (fysio)therapeut ook verzoeken om feitelijke onjuistheden in de gegevens te corrigeren, bijvoorbeeld verkeerde adresgegevens. De patiënt mag de arts, apotheker of (fysio)therapeut ook verzoeken zijn gegevens voor anderen af te schermen als hij van mening is dat deze feitelijk onjuist zijn of niet ter zake doen. Dat zal hij alleen vragen als hij het bewaren van deze gegevens van belang vindt; anders zal hij wel om correctie of vernietiging vragen. Binnen vier weken moet de arts, apotheker of (fysio)therapeut laten weten of, en zo ja, in hoeverre aan deze verzoeken kan worden voldaan. Privacyreglement patiëntgegevens 9

10 Recht op verwijdering en vernietiging De patiënt heeft het recht om informatie die niet relevant is voor de behandeling, te laten verwijderen. Bijvoorbeeld gegevens over geloofsovertuiging of ras. Ook kan de patiënt verzoeken (een deel van) zijn dossier te laten vernietigen. De verantwoordelijke moet binnen vier weken op een vernietigingsverzoek reageren en het binnen drie maanden uitvoeren. Een eventuele weigering moet goed worden gemotiveerd. Op het recht op verwijderen of vernietigen van gegevens bestaan namelijk twee uitzonderingen: 1. een voorschrift of een andere wet bepaalt dat de gegevens moeten worden bewaard. De SGZ gaat er hierbij van uit dat als er gegevens zijn die relevante informatie bevatten voor gerechtelijke procedures, deze bewaard moeten worden totdat de procedure definitief is afgerond. Voor overige patiëntgegevens worden de bewaartermijn van de WGBO (zie: bewaartermijn ) aangehouden. 2. vanwege een 'aanmerkelijke belang' van een ander dan de patiënt, moeten (bepaalde) gegevens worden bewaard. Het kan bijvoorbeeld gaan om een situatie waarin de patiënt een procedure tegen de arts wil aanspannen of dit inmiddels heeft gedaan. De arts heeft er dan een 'aanmerkelijk' belang bij dat hij de gegevens voor zijn verweer kan gebruiken. Dat er slechts een 'puur theoretische' kans bestaat dat zo'n procedure in de toekomst nog eens zal worden gestart, is onvoldoende grond om een vernietigingsverzoek van de patiënt af te wijzen. Een andere situatie waarop deze tweede uitzondering betrekking kan hebben, is dat een familielid van de patiënt met het oog op een erfelijke ziekte binnen de familie, goede redenen heeft om aan te dringen op bewaring van de gegevens. De arts moet beoordelen of er sprake is van 'een aanmerkelijk belang van een ander'. Een eventuele weigering van het vernietigingsverzoek moet goed worden onderbouwd. Is de patiënt het niet eens met het oordeel van de arts, dan kan hij dit laten toetsen door een collega-arts. Is de arts van mening dat, gezien de medische voorgeschiedenis van de patiënt, hij deze niet meer verantwoord kan behandelen omdat de te vernietigen gegevens essentieel zijn voor behandeling in de toekomst, dan zal hij dit eerst met de patiënt moeten bespreken. Daarbij kan ook het beëindigen van de behandelingsovereenkomst aan de orde komen; maar dit zal in de regel beperkt blijven tot uitzonderlijke situaties. Met het oog op eventuele latere misverstanden of een procedure verwacht de SGZ dat het vernietigingsverzoek altijd schriftelijk wordt ingediend en als correspondentie wordt bewaard. Leeftijd patiënt en diens rechten In de WGBO is opgenomen dat een zestienjarige volledig bekwaam wordt beschouwd om zelf een overeenkomst met een arts aan te gaan, ook al is hij/zij niet meerderjarig. Bij iemand jonger dan twaalf jaar is de toestemming van de ouders vereist. Bij twaalf- tot zestienjarigen is zowel de toestemming van de ouders als van het kind vereist: bij een meningsverschil geeft echter de toestemming van het kind de doorslag. Privacyreglement patiëntgegevens 10