Privacy en wetgeving
Stap terug: Gegevensverzameling
Het vastleggen en delen van persoonlijke gegevens in registers vraagt zorgvuldige afwegingen ten aanzien van privacy. Wetgeving voor registraties gaat daarom vooral over het beschermen van de privacy van deelnemers. Voor het opzetten en beheren van registraties heb je in Nederland te maken met diverse wetten.
- Algemene Verordening Gegevensbescherming (AVG); per 25 mei 2018 is deze verordening van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). PGO support biedt de nodige handreikingen op dit gebied aan patiëntenorganisaties.
- Wet Geneeskundige Behandelingsovereenkomst (WGBO): in deze wet is vastgelegd onder welke voorwaarden de in het kader van een behandeling geregistreerde gegevens beschikbaar worden gesteld voor onderzoek (wetenschappelijk onderzoek en gezondheidszorgstatistieken). In praktijk komt het erop neer dat artsen en zorgverleners vaak zonder toestemming of medeweten van patiënten gegevens kunnen vastleggen in een dossier.
- Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Hierin is de Wet cliëntenrechten bij elektronische verwerking van gegevens opgenomen. Deze wet verankert de rechten van patiënten over inzage en uitwisseling van gegevens binnen de gezondheidszorg. De wet geeft patiënten het recht op zeggenschap over de eigen digitale gezondheidsgegevens binnen de zorg.
- Wet gebruik burgerservicenummer (BSN) in de zorg
- Besluit elektronische gegevensbewerking door zorgaanbieders
- Wet medisch-wetenschappelijk onderzoek (WMO): Deze wet is van toepassing als de gegevensverzameling die nodig is voor het opbouwen van een registratie zeer ingrijpend is voor de patiënt. In dat geval is 'informed consent' vereist: patiënten moeten goede informatie krijgen en expliciet toestemming geven voor het verzamelen en delen van de gegevens.
- Privacy by design: is een methodiek om zorgvuldig om te gaan met persoonsgegevens en iedere keer te bedenken wat de benodigde minimale data zijn om de vraag te beantwoorden en hierbij alleen de strikt noodzakelijke persoonsgegevens te gebruiken. Meer informatie vindt u op de website van de Autoriteit persoonsgegevens en in dit document. https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_nl.pdf
Toestemming van patiënten
Er zijn diverse manieren om de toestemming van patienten goed te regelen:
- Opt-in. Dit is de klassieke manier. De patiënt wordt om (schriftelijke) toestemming gevraagd om haar/zijn gegevens op te nemen in het register. Een variant is om te vragen naar specifieke manieren waarop de gegevens vervolgens worden gebruikt in onderzoek. Nog anders kan het met 'Dynamic consent', waarbij de persoon steeds kan bepalen wat mag en wat niet met de gegevens. Helaas is dynamic consent vaak nog niet mogelijk in de praktijk.
- Opt-out. De persoon kan aangeven dat de gegevens dienen te worden verwijderd uit het register. Men spreekt ook wel over 'bezwaar maken'. Dit is een manier van zeggenschap geven over gegevens en lichaamsmateriaal. Het geldt bijvoorbeeld voor zeggenschap over wetenschappelijk onderzoek met lichaamsmateriaal dat in ziekenhuizen wordt opgeslagen na bijvoorbeeld operaties. De ziekenhuizen informeren patiënten in een folder dat ze bezwaar kunnen maken als ze dat willen.