Bij het ontwerp van Careweb zijn de beschikbare privacy-reglementen van de eerste klanten leidend geweest, daarnaast werd geput uit het wetboek.

Citaat uit de wet op geneeskundige behandelovereenkomst, art 457, lid 1:
“...draagt de hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen over de patiënt .... worden verstrekt dan met toestemming van de patiënt.”

Binnen Careweb wordt de behandelrelatie tussen hulpverlener en cliënt gemanaged via de ‘cliënten-coördinatie’-functie. Alleen hulpverleners welke de cliënt behandelen, krijgen toegang tot een cliënt voor de periode dat dit vanuit de behandel-optiek vereist is. Die toegang betreft vervolgens alleen dat deel van het dossier, dat voor hen toegankelijk moet zijn op basis van hun profiel als behandelaar. Ter illustratie: de KNO-arts hoeft doorgaans niets te weten over een eventuele behandeling in het kader van de GGZ.

Careweb en het landelijk EPD
Het landelijk EPD loopt via het Landelijk Schakel Punt, LSP. Dit LSP is nog niet operationeel buiten ongeveer 650 aangesloten huisartsen en apothekers. Voor Careweb is nog geen aanvraag ingediend voor goedkeuring en dus toelating. Wel hebben we hierover regelmatig contact met het NICTIZ om het juiste moment te bepalen. Zodra Careweb is goedgekeurd kan ieder van onze aangesloten instellingen en solisten een aanvraag indienen om aangesloten te mogen worden. Echter: hiertoe is voorlopig nog geen noodzaak.

De Privacy binnen het LSP is aanzienlijk beter geregeld dan bij andere medische netwerken binnen of tussen instellingen. Toch kunnen via het LSP, door een hulpverlener, gegevens van een patiënt beschikbaar worden gesteld, zonder dat hiervoor toestemming is vereist. De mogelijkheid hiervoor wordt ook in art 457, lid 1 gecreëerd, iets verderop in de tekst: citaat ‘De verstrekking kan geschieden zonder inachtneming van de beperkingen ... indien het bij of krachtens de wet bepaalde daartoe verplicht.’

Voor het LSP is een wet in behandeling, de ‘Kaderwet elektronische zorginformatie uitwisseling’ die dit mogelijk moet maken. Voor geen enkel ander systeem is dit geregeld en is de uitwisseling dan ook veelal niet toegestaan. Tot op zekere hoogte is binnen het Landelijk EPD de toestemming van de patiënt overeind gehouden:
• De persoon heeft een zgn. ‘opt-out’, wat wil zeggen dat deze kan besluiten om niet mee te doen met het LSP. Ongeveer een half miljoen mensen heeft hier gebruik van gemaakt. Deze optie is bv niet geboden bij het inrichten van de reeds vigerende regionale netwerken waarin zonder de burgers te consulteren grote hoeveelheden medische data vrijelijk toegankelijk zijn voor grote groepen behandelaren tot ver voorbij gemeentegrenzen.
• Voordat een hulpverlener via het LSP informatie op wil vragen, is expliciete toestemming nodig van de betreffende cliënt.
Een persoon krijgt de mogelijkheid om hulpverleners expliciet uit te sluiten van raadpleging. Deze optie is bv van belang om vrienden, kennissen, buren die werkzaam zijn in de medische wereld, toegang tot gegevens te ontzeggen.

Om de privacy verder te waarborgen zijn er talloze aanvullende structuren bedacht.
We noemen de twee belangrijkste:
• De uit te wisselen informatie is gegroepeerd in onderwerpen. Per medisch professie wordt bepaald tot welke informatie toegang noodzakelijk is.
• Uitdrukkelijk is de eis vastgelegd dat er een behandelrelatie is tussen de hulpverlener en de patiënt/cliënt.
Vooruitlopend op het landelijk EPD zijn deze structuren reeds vanaf het begin doorgevoerd binnen Careweb.

Privacy en de DBC's GGZ
Een DBC hoeft niet gedeclareerd te worden bij de verzekeraar maar het mag uiteraard wel. Indien een DBC wordt gedeclareerd hoeft alleen de productgroepcode doorgegeven te worden. Careweb handelt dit af volgens de wettelijke minimum eisen zowel via de directe elektronische facturatie via Vecozo, als in de papieren factuur.
Soms vragen de verzekeraars om extra informatie: deze mag door de instelling niet verstrekt worden zonder toestemming van de client.

Privacy en het DBC Informatie Systeem
Tweedelijns GGZ-zorg moet verstrekt worden middels DBC's. Deze moeten verplicht worden aangeleverd aan het DIS, de grote landelijke database waaruit in de toekomst informatie kan worden gehaald op basis waarvan uitspraken over kwaliteit van behandelingen kunnen worden gedaan. In de aanlevering wordt een pseudonimisering uitgevoerd waarbij de DBC zo bewerkt wordt dat deze niet meer is terug te leiden op de cliënt/persoon, maar wel op de betrokken hoofdbehandelaar. Dit gebeurt door de onafhankelijke Stichting Zorg TTP, die buiten het DIS en het Ministerie staat.

Wanneer gegevens vernietigen?
De bewaarplicht vloeit voort uit artikel 454, lid 3 ‘Onverminderd het bepaalde in artikel 455, bewaart de hulpverlener de bescheiden, bedoeld in de vorige leden, gedurende vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener voortvloeit.’
De vernietigingsplicht vloeit voort uit artikel 455:
‘1.De hulpverlener vernietigt de door hem bewaarde bescheiden, bedoeld in artikel 454, binnen drie maanden na een daartoe strekkend verzoek van de patiënt.’
Met als uitzondering:
‘2.Lid 1 geldt niet voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de patiënt, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet.’
Het bewaren ondanks een verzoek tot vernietiging vereist dus een ‘aanmerkelijk belang’.
Careweb biedt de mogelijkheid om bij de helpdesk gespecificeerde onderdelen van het dossier te laten vernietigen.

Samenvatting
Een instelling heeft met Careweb de mogelijkheid de privacy goed te borgen, nu en in de toekomst. Wel is het zaak om binnen de instelling hierop alert te blijven en elkaar hierop te blijven aanspreken.
Het DIS is een (beperkte) inbreuk op de privacy. Voor zover wij inzage hebben, is dit met de onafhankelijke tussenliggende stichting redelijk dicht getimmerd.
De grootste, en feitelijk verboden, inbreuk ligt bij de verzekeraars. Uit incidentele meldingen vernemen wij dat zij aan illegale dossier vorming doen. We weten niet of dit onwetendheid is, dan wel een bewuste actie.