E-health in Gent E-health en privacy wetgeving in de praktijk AZ Sint-Lucas Gent 1 december 2016 Anneliese Van Egghen
E-health en privacy wetgeving in de praktijk 1. De Next Generation privacy wetgeving 2. De 10 ehealth basisdiensten 3. Privacywetgeving & ehealth 4. Privacywetgeving: andere wijzigingen
1. De Next Generation privacy wetgeving PERSOONSGEGEVENS Privacywet van 8/12/1992 Koninklijk besluit van 13/02/2001 EU Richtlijn 95/46/EG van 24/10/1995 ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) NL GENERAL DATA PROTECTION REGULATION (GDPR) EN van 27 april 2016 zal direct van toepassing zijn in alle lidstaten op 25 mei 2018
2. De 10 ehealth basisdiensten Beheer van loggings Beveiligde elektronische brievenbus - ehealthbox Codering en anonimisering Coördinatie van elektronische deelprocessen Elektronische datering (timestamping) Geïntegreerd gebruikers- en toegangsbeheer Portaalsite Raadpleging Rijksregister en KSZregisters Systeem voor end-toend vercijfering Verwijzingsrepertorium (metahub)
3. Privacywetgeving & ehealth Omkering bewijslast, ligt nu bij de ziekenhuizen Bewijskracht via ehealth logging om na te gaan wie wanneer welke gegevens gelezen-, geschreven, of verwijderd heeft Bewijskracht via ehealth Timestamping om authenticiteit & integriteit te garanderen voor medicatievoorschriften en gescande documenten
3. Privacywetgeving & ehealth Veilig sturen/ontvangen van elektronische berichten met medische gegevens Onvoldoende beveiliging bij standaard mail systemen zoals Outlook, Lotus Notes, Gmail, Hotmail, Hoog beveiligingsniveau met het elektronische mailbox systeem ehealthbox 2015: 44.753.486 verzonden berichten = 4 mio / maand
3. Privacywetgeving & ehealth Beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven persoonsgegevens garanderen ebirth: identificatie gebruiker & erkenning zorgverlener via ehealth basisdienst coördinatie van elektronische deelprocessen, met o.a. ehealth certificaten, geïntegreerd gebruikersbeheer & end-to-end vercijfering Raadpleging Rijksregister: correcte contactgegevens patiënten geautomatiseerd bijwerken in ZIS via ehealth basisdienst RRN connector
3. Privacywetgeving & ehealth Informed Consent = Geïnformeerde toestemming Patiënt raadpleegt zijn arts Via eid van de patiënt Authenticatie identiteit patiënt Controle verzekerbaarheid Mogelijkheid om de therapeutische relaties en de geïnformeerde toestemming van de patiënt te registreren
3. Privacywetgeving & ehealth Transparantie: eenvoudig, toegankelijk, begrijpelijk COZO, te raadplegen door zorgverlener en patiënt, via ehealth verwijzingsrepertorium om zo regionale en lokale uitwisselingsystemen van medische gegevens te verbinden = alle beschikbare elektronische medische documenten Healthdata: vereenvoudigen overheidsregistraties voor beroepsbeoefenaars, bvb Qermid, Tardis, SumEhr, gecodeerd en gestructureerd bestand, toegankelijk voor alle artsen (mits toestemming van de patiënt) & voor patiënt
3. Privacywetgeving & ehealth Rechtstreeks toegangsrecht/inzagerecht in eigen patiëntendossier ehealth portaalsite slaat zelf geen inhoudelijke informatie op en zal geen algemene toegang mogelijk maken tot een gecentraliseerd patiëntendossier te voorzien in EPD van het ziekenhuis attitudewijziging betrokken zorgverleners
3. Privacywetgeving & ehealth Gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (DPIA) verplicht uit te voeren bij verwerking persoonsgegevens DPIA voor alle nieuwe ehealth toepassingen - ehealth apps & Mobile Health apps - wordt uitgevoerd door de overheid verplicht voor verwerkingen met nieuwe technologie verplicht voor alle verwerkingen met gezondheidsinformatie
4. Andere wijzigingen EU Privacywetgeving Proactief conformiteit met de wetgeving aantonen: via gedragsvoorschriften Afschaffing meldplicht tot kennisgeving van een gegevensverwerking = vereenvoudiging Verplichte aanstelling functionaris voor gegevensbescherming / Data Protection Officer (DPO) = Veiligheidsconsulent?
4. Andere wijzigingen EU Privacywetgeving Rechtstreekse doorgifte (+ gratis afschrift) Verbod overdracht persoonsgegevens naar landen zonder een adequaat niveau van gegevensbescherming blijft Betere toepassing privacywetgeving. Controle door privacycommissie (audits enz.) kan leiden tot boetes > 20 mio of meer dan 4% van de jaarlijkse omzet
4. Andere wijzigingen EU Privacywetgeving Recht om vergeten te worden: Niet voor medische gegevens Niet bij wettelijke bewaarplicht Niet bij dwingende gerechtvaardigde reden Pseudonimisatie (= niemand redelijkerwijze in staat om persoon te identificeren met aanvullende informatie) Veiligheidsinbreuken binnen de 72u melden