Nieuws

Keurmerk eisen en de privacywet AVG: wat mag je wel en niet als zzp’er?

dinsdag 7 mei 2019    Dit artikel delen

De afgelopen maand zijn er veel vragen binnen gekomen over privacy van de cliënt in relatie tot de eisen die worden gesteld binnen de twee keurmerken KIWA en HKZ. Veel zzp’ers in de zorg maken zich zorgen dat zij meer vertrouwelijke informatie moeten aanleveren dan binnen de privacywet AVG is toegestaan. Die zorgen blijken deels terecht. 

Aanleiding

Helemaal vreemd is het niet dat juist nu het aantal vragen over dit onderwerp fors toenemen. Afgelopen maand heeft KIWA haar eisen opgehoogd en zijn de keurmerkhouders hiervan op de hoogte gebracht. Eén van die eisen is dat zzp’ers een zorgdossier moeten kunnen overleggen. Het HKZ keurmerk is voor zzp’ers een nieuwkomer, zo blijkt aangezien hierover sinds juni vorig jaar nog niet zoveel vragen gesteld zijn. Wij merken dat de vragen ineens loskomen sinds KIWA haar nieuwe eisen vorige maand lanceerde. En dat de zzp’ers zich opmaken voor de deadline van 1 december aanstaande. Mag ik eigenlijk wel een zorgdossier uploaden? En zo ja, hoe hou ik dan voldoende rekeningen met de privacywet AVG? Dit zijn vragen die we voorbij zien komen.

Wat zijn de eisen?

Beide keurmerken beoordelen de dossiervorming en stellen dit als eis. Deze eis komt niet uit de lucht vallen, maar heeft te maken met een eis uit de kwaliteitswet Wkkgz, art. 2, 6, 7, en 10. Om te beoordelen of jij voldoet aan deze eis, vragen zowel HKZ als KIWA om inzage van de dossiers.

De HKZ norm voor zzp’ers in de zorg geeft de optie om dossiers vooraf te anonimiseren en de dossiers blijven eigendom van de zzp’er. Dit anonimiseren is dus volgens NEN/HKZ niet noodzakelijk. ‘’De zzp’er moet een aantal dossiers overleggen.’’ ‘’U kunt dossiers eventueel anonimiseren. De assessor heeft een geheimhoudingsverklaring ondertekend en de dossiers blijven in uw bezit.’’

KIWA heeft specifiek opgenomen dat zij over anonieme dossiers mag beschikken en (dus) geen dossiers met herleidbare gegevens in wil zien. Op pagina 26 & 30 van de norm valt te lezen: ‘’In het kader van de Algemene Verordening Gegevensbescherming (AVG) mogen wij in het bezit komen van cliëntendossiers, mits deze geanonimiseerd zijn.’’ “’Geanonimiseerd houdt in dat er geen persoonsgegevens van de cliënt zichtbaar mogen zijn. Deze dient u dan ook onzichtbaar te maken.’’

De werkwijze is door beide keurmerken summier aangekaart en beschreven, maar lijkt – voor zover nu bekend – niet diepgaand uitgewerkt. Ook niet in bijvoorbeeld een privacyverklaring. Om die reden blijft onduidelijk welke informatie de keurmerken exact nodig hebben.

Mag je gevoelige gegevens overdragen?

Wat zegt de AVG hierover? Het ‘waarom’ informatie overdragen nodig is, heet een zogenaamde ‘grondslag’. En voor het uitwisselen van persoonsgegevens is een grondslag noodzakelijk. De AVG kent 6 grondslagen, waaronder:

  • Toestemming
  • Noodzakelijkheid op grond van de wet
  • Noodzakelijk voor de behartiging van gerechtvaardigde belangen
  • Noodzakelijkheid voor de uitvoering van een overeenkomst.

Onduidelijk is op welke grondslag de keurmerken zich beroepen. En het is onduidelijk of zij aanspraak willen maken op zo’n grondslag. Wij vinden dat er hierin duidelijkheid hoort te komen en zowel KIWA als HKZ geven aan dat de informatievoorziening hierover verbeterd kan worden. Beide partijen nemen dit op met hun privacy specialisten zo begrijpen we.

De grondslag toestemming, of een gerechtvaardigd belang, kunnen wat ons betreft mogelijkheden zijn, maar dat weten we niet zeker. Als we het onze gespecialiseerde juridische collega’s bij Eldermans | Geerts vragen, krijgen we terug dat er niet direct een duidelijke grondslag voor de hand ligt in deze situatie. Als je aanspraak wilt maken op een bepaalde grondslag, dien je bepaalde waarborgen georganiseerd te hebben om ook aan zo’n grondslag te kunnen voldoen. De grondslag en waarborgen lijken tot op heden niet uitgewerkt. Bovendien is het mogelijk dat je met het doorzenden van dossiers onder bepaalde omstandigheden ook het beroepsgeheim doorbreekt, dus ook daar dient rekening mee gehouden te worden.

Mag anoniem dan wel?

Er is geen grondslag nodig indien de persoonsgegevens volledig geanonimiseerd worden. De AVG is alleen van toepassing op een identificeerbaar natuurlijk persoon. Van belang is dus dat gegevens te koppelen zijn aan een persoon. Is dit niet mogelijk, dan zijn het anonieme gegevens en daarmee dus geen persoonsgegevens. In dat geval geldt de AVG niet voor deze gegevens en mogen de gegevens verstrekt worden aan derden waaronder de keurmerken. De praktijk is echter weerbarstiger dan de theorie.

Want eigenlijk zijn alle gegevens in het dossier medische persoonsgegevens. Zelfs als naam, geboortedatum, BSN etc. verwijderd zijn, kan uit het ziektebeeld mogelijk nog afgelezen worden om wie het gaat. Met betrekking tot dit soort informatie moeten zaken dus ook verwijderd worden. De eisen omtrent anonimiseren zijn zeer strikt. Het dusdanig anonimiseren dat de AVG niet van toepassing is, maar er wel een ‘zinvol’ dossier overblijft voor de keurmerken om te beoordelen, wordt heel moeilijk. Het weglakken van de naam volstaat dus niet. Wel is een werkwijze waarbij zo veel mogelijk wordt weggelakt, al vele malen veiliger dan het meesturen van het volledige dossier.

De keurmerken lijken overigens niet te stellen dat de AVG niet van toepassing is, dus vermoedelijk erkennen zij dat persoonsgegevens uitgewisseld (moeten) worden. In dat geval moeten zij wel duidelijk maken welke informatie zij precies willen ontvangen en welke grondslag de verwerking plaatsvindt. In een reactie geeft KIWA aan dat zij niet inhoudelijk toetsen op een zorgdossier. KIWA wil alleen kunnen herkennen dat de vereiste onderdelen aanwezig zijn.  Zij geven aan dat dat ook de reden is zij duidelijk vermelden dat de persoonsgegevens geanonimiseerd moeten worden. Het digitaal weglakken van gegevens moet niet al te veel moeite kosten geeft KIWA aan en welke onderdelen er dan weggelakt moeten worden zal de uitgever van het KIWA keurmerk nader gaan toelichten.

Hoe hiermee om te gaan?

Als het vooral de opbouw van het dossier (uit welke onderdelen bestaat het dossier?) betreft, dan hoeven er misschien helemaal geen (medisch-)inhoudelijke gegevens te worden verstrekt en is er mogelijk geen probleem. Indien het keurmerk daadwerkelijk wil toetsen op welke wijze de zorgaanbieder inhoudelijk het dossier vult met (medisch-)inhoudelijke gegevens en daarvoor die passages wil lezen, ligt dat problematischer. Bij KIWA hebben we inmiddels opgehaald dat er geen inhoudelijke toets wordt gedaan, voor HKZ weten we dat nog niet zeker.

Is er duidelijk welke informatie uit het dossier het keurmerk exact nodig heeft? Dan is het wellicht mogelijk precies te bepalen welke gegevens uit het dossier kunnen worden weggelakt / weggelaten. En of het resterende dossier kan worden verstrekt op grond van de AVG. Daar gaan beide keurmerk verstrekkers achteraan.

In de tussentijd..

De meest praktische werkwijze is om dossiers in elk geval zoveel mogelijk te anonimiseren en zoveel mogelijk van de naar een persoon herleidbare elementen te verwijderen. Dit is echter verre van ideaal, want het is een hoop werk. Daarnaast wordt het van belang dat duidelijk wordt of de keurmerken uitgaan van de AVG in deze en zo ja, op basis van welke grondslag dat gebeurt. Mocht straks duidelijk worden welke zaken uit het dossier nodig zijn voor beoordeling, dan kunnen wij weer (laten) beoordelen hoe je dat het beste vormgeeft.

Dit artikel is opgesteld in samenspraak met onze Solo-Partners Daniël Post en Kitty ten Bras, van Eldermans | Geerts.

SoloPartners is actief als brancheorganisatie voor zzp’ers in de zorg. Wij behartigen jullie belangen. Dit doen wij onder meer door het inschakelen van expertise, zodat vraagstukken worden opgelost. Vind je deze informatie zinvol? Steun onze beweging met een lidmaatschap >>

Dit artikel delen