Werkgroep Patiënt Informatie beveiliging Utrecht 14 april 2016
1. Werkgroep 2. Tijdlijn 3. Resultaat
Patiënt en informatie beveiliging Wat kan, mag, is? Welke rol heb ik? Wat zijn de regels? We gaan de patiënt informeren!
Team Judith Duinisveld, Bob Joormann, Patrick Eggen, Jan Wouda, Poppe Wijnsma, Hedde van der Lugt, Martijn Claus, Egon Mulder, Ronald Driehuis, Karsten Hendrikx, Sven Lentz, Bernadette van Oost Marinka de Jong, Jack van Gils
2. Tijdlijn
Definitie Informatie beveiliging Informatiebeveiliging is het geheel van preventieve maatregelen plus de daarbij behorende procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Maar vooral De mens centraal Informatiebeveiliging is namelijk niet alleen een ICT aangelegenheid. Veel risico's hebben te maken met de menselijke factor. Goede informatiebeveiliging is vooral ook bewustwording van medewerkers (zowel op de werkvloer als op managementniveau). Technische hulpmiddelen zijn immers niets waard als ze niet of op een verkeerde wijze worden gebruikt.
Privacy Het zorg antwoord Privacy, privésfeer, persoonlijke levenssfeer of eigenruimte is een afweerrecht dat de persoonlijke levenssfeer beschermt. Privacy kan worden omschreven als de persoonlijke vrijheid, het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen begeven.
De kern Zelf bepalen wie welke informatie over ons krijgt. De wens onbespied en onbewaakt te leven.
De Wet Heb ik rechten? Wat ligt er vast? Wie heeft toegang? Kan ik er zelf iets over zeggen? Kan ik het laten verwijderen? o.a. Wet Bescherming Privacy nr Vraag Antw. Omschrijving wet / regeling 1 Wat wordt er vastgelegd? Art 35 Wbp: De patiënt heeft het recht om op te vragen welke gegevens over hem/haar zijn vastgelegd 2 Welke gegevens wisselen jullie uit en met wie? Art 35 Wbp De patiënt heeft het recht om te weten wie zijn/haar gegevens heeft geraadpleegd cq 3 Kan ik zien wie mijn gegevens heeft gemuteerd geraadpleegd? 4 Waar/in welk systeem staan mijn gegevens? geen wettelijk kader 5 Kan ik zelf bepalen wie toegang krijgt tot mijn Art 8 Wbp Er is toestemming nodig van de patiënt voor het verzamelen van de gegevens gegevens? 6 Zijn mijn gegevens beschermd tegen hackers? Art 13 Wbp Er dienen adequate technische en organisatorische maatregelen te worden getroffen om de privacy van de burger te waarborgen. 7 Kunnen mijn gegevens verwijderd worden en kan Art 455 WGBO 1. De hulpverlener vernietigt de door hem bewaarde bescheiden, bedoeld in ik dat controleren? artikel 454, binnen drie maanden na een daartoe strekkend verzoek van de patiënt. 2. Lid 1 geldt niet voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de patiënt, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet. Art 36 Wbp Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen. 8 Kan ik het digitaal opslaan van gegevens Nee er is een wettelijke plicht tot het registreren van gegevens voorkomen? 9 Kan ik zelf mijn gegevens corrigeren en/of Artikel 36 Wbp aanvullen? Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd. Indien de persoonsgegevens zijn vastgelegd op een gegevensdrager waarin geen wijzigingen kunnen worden aangebracht, dan treft hij de voorzieningen die nodig zijn om de gebruiker van de gegevens te informeren over de onmogelijkheid van verbetering, aanvulling, verwijdering of afscherming ondanks het feit dat er grond is voor aanpassing van de gegevens op grond van dit artikel. Het bepaalde in het eerste tot en met vierde lid is niet van toepassing op bij de wet ingestelde openbare registers, indien in die wet een bijzondere procedure voor de verbetering, aanvulling, verwijdering of afscherming van gegevens is opgenomen. Art 38 Wbp De verantwoordelijke die naar aanleiding van een verzoek op grond van artikel 36 persoonsgegevens heeft verbeterd, aangevuld, verwijderd of afgeschermd, is verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost. De verantwoordelijke doet aan de verzoeker, bedoeld in artikel 36, desgevraagd opgave van degenen aan wie hij de mededeling heeft gedaan. 10 Kan ik mijn gegevens inzien? Art 35 Wbp: De patiënt heeft het recht om op te vragen welke gegevens over hem/haar zijn vastgelegd 11 Praten jullie over mijn gegevens? 12 Bij wie kan ik een klacht indienen? College Bescherming Persoonsgegevens, Een patiënt heeft verschillende mogelijkheden als hij van mening is dat zijn hulpverlener ten onrechte zijn medische gegevens heeft doorgegeven. Zo kan een patiënt het besluit van de hulpverlener om zijn geheimhoudingsplicht te doorbreken, aanvechten middels een tuchtzaak, een civiele procedure, dan wel een strafrechtelijke procedure. Iedere zorgaanbieder is verplicht een klachtencommissie in te stellen. In eenvoudige en duidelijke gevallen kan een klacht ook door een klachtenfunctionaris of vertrouwenspersoon worden afgedaan. Bij een regionaal tuchtcollege voor de gezondheidszorg kan een patiënt een klacht indienen over een arts, tandarts, verloskundige, apotheker, verpleegkundige, fysiotherapeut, klinisch psycholoog of psychotherapeut. Behalve bij het regionale tuchtcollege kan men ook een klacht indienen bij de officier van justitie. Voor advies en ondersteuning kan een patiënt zich tot een van de 13 regionale Zorgbelangorganisaties (of via telefoon 0900-2437070) wenden 13 Hoe weet een andere arts dat ik bijzonderheden? heb? 14 Hoe weet u de bijzonderheden die ik aan de? andere arts heb gemeld? 15 Kan ik mijn gegevens downloaden? nee 16 Welke plichten heb ik als patiënt?? Artikelen 452 en 461 van de WGBO Art. 452 (inlichtingen- en medewerkerplicht van de cliënt) De cliënt geeft de hulpverlener naar beste weten de inlichtingen en medewerking die deze redelijkerwijs voor het uitvoeren van de overeenkomst nodig heeft. Om verantwoorde zorg te kunnen leveren dient de cliënt alle hiervoor benodigde informatie te verstrekken en medewerking te verlenen. Dit kan bijvoorbeeld betekenen dat de interne behandelaars en/ of de behandelaars die extramuraal zorg leveren, die bepaalde gezondheidsgegevens van de cliënt moeten kunnen verkrijgen of inzien die nodig zijn om verantwoorde zorg te leveren. Art. 461 (loon) De cliënt is de hulpverlener loon verschuldigd. In de praktijk zal deze bepaling niet gelden bij het leveren van zorg in natura. Dan betaalt de zorgverlener voor de op grond van de AWBZ verzekerde zorg. Voor de niet verzekerde zorg, zoals aanvullende dienstverlening, geldt de bepaling wel. 17 Mogen mijn gegevens zomaar gegevens worden?? 18 Zorg via social media/skype/publiek domein? Uitgangspunt is dat de privacy van de patiënt dient te worden gewaarborgd. De vraag is of de patiënt zelf beseft dat hij/zij via Social Media een breder publiek heeft dan alleen de medisch professional. In dat geval zou je kunnen zeggen dat er sprake is van toestemming. 19 Ik wil regie over mijn gegevens, kan dat? Wettelijk kader is aanwezig hiervoor.
De reis van de burger in potentie allemaal patiënt dus scenario s Kwaadaardige buurvrouw I Kwaadaardige buurvrouw II Scheiding Verhuizing Kindje Ongeluk Kwaadaardige dokter & foutief dossier Sollicitatie & verleden Dossier kwijt Second opinion Zorgverzekeraar Coma
Kennis Wat is er al? Inventarisatie gestart. Misschien zijn wij niet nodig? Is ons doel al ingevuld door anderen? Boek met scenario s, websites, ministerie, NPCF
Kennis Voorbeeld: Mijnzorgveilig.nl Denk mee, praat mee, doe mee voor een goede zwangerschapsbegeleiding Zwanger? Neem direct contact op met een verloskundige Bereid het gesprek met de verloskundige goed voor Denk na over waar je wilt bevallen Bespreek jouw geboorteplan Regel de kraamzorg op tijd Het consultatiebureau neemt contact met je op
Probleem Is er een probleem?
Probleem Is er een probleem? Er is veel, maar wie weet dat? Communicatie is het probleem
3. Volgende stap
Doelstelling Doelgroep Mediumkeuze Vormgeving Communiceren Evalueren Oplossing Communicatie voor patiënt
Scrum Wat weten we, hoe doen we dit? Met wie doen we dit?
Patiënt en informatie beveiliging
Explanimations Communicatie naar de patiënt Via het internet Mogelijk in de POH praktijk / wachtkamer (super) eenvoudig Korte boodschappen van 30 seconden Kies er 3
Status 1. Film 1 Verhuizen en uw medisch dossier 2. Film 2 Inzage in uw medisch dossier 3. Film 3 Toestemming tot delen
Publicatie gedaan op Youtube; Oktober 2015
Samenwerking
Succes? 5.000 hits nodig (totaal nu 900) Rode Kruis afspraak! > aanpassing nodig Formele evaluatie werkgroep nog niet gedaan
Vervolg? Meer scenario s? Andere media? Inregelen kanaal-management? Opdrachtgever? Budget? Film productie Behoefte?
Mijn conclusie Werkgroepen zijn er om iets te leren Werkgroepen zijn er om iets te communiceren Patiënten informeren is een moeilijke taak, maar wel belangrijk Hoeveel gratis inspanning willen partijen leveren?