Paneldiscussie gegevensbescherming
Welke mogelijkheden (in juridische en ICT-technische zin) zijn er om kwaliteitsinformatie ‘patient-centered’ beschikbaar te stellen voor arts en patiënt, en hoe werkt MRDM daaraan?
Theo: De mensen wil je zelf de beschikking geven. Hoe doe je dit zonder een datalek te veroorzaken? Dan hou je je niet aan de spelregels van de wet. Je moet dat dan volgens die eisen doen. Dit is de trend, omdat dit ook die kan op gaat. Wat me tegenvalt van de wetgever is dat hier weinig op geanticipeerd wordt. De nieuwe wet borduurt voort op de behandelrelatie.
Ik kan me goed voorstellen dat de patiënt meer naar zichzelf toetrekt, die zelf op iemand afstapt. Dat de patiënt zelf de mogelijkheden behoudt. Er wordt vaak te gemakkelijk gedacht dat de patiënt dit zelf kan en dat is niet zo. Je moet het niet op het bordje van de patiënt gooien, zoals ook vaak in de consumentenwereld ziet. Daar moet je voorzichtig mee zijn.
MRDM pseudonimiseert de door het ziekenhuis aangeleverde gegevens, en levert daarna door aan bijv. DICA. Volgens Werkgroep 29 is er bij pseudonimiseren echter nog steeds sprake van persoonsgegevens. Dat impliceert dat het ziekenhuis expliciete toestemming moet gaan vragen voor DICA-registraties. Wat is jullie visie/standpunt in dezen? Hoe hard is de afgrenzing?
Theo: Je geeft de patiënt meer, maar als de patiënt meer wil, dan geef je meer, maar je wordt hier niet op afgerekend.
Evert-Ben: Er is nu een grijs gebied, maar als een patiënt zegt van ‘stuur maar naar de Telegraaf’. Indien dit in strijd is met betrokkene of de naast. Daar wil ik niet aan meewerken, want dit is evident in strijd met de AVG. Wij willen er niet voor verantwoordelijk zijn dat u dit aan de Telegraaf zendt.
Theo: Je moet de wereld van social media voor ogen houden. Je houdt de machine een gestructureerd leesbaar bestand voor. Voor de meesten van ons is dit nieuw, die zijn hier nog niet goed op voorbereid. Bij de AP en bij koepels heb ik gezegd dat je er niet tegen moet verzetten, maar dat het tijd kost om dit goed in te regelen.
Patiënten gaan dit niet afwachten. In 2019 komt hier iets nieuws voor. De patiënt kan het nu al opvragen.
Theo: Je moet nu al een plan hebben hoe je dat gaat waarmaken, hoe je dit gaat doen. Recht op dataportabiliteit, wat ze wel en niet zelf hebben ingebracht. Je mag meer doen, maar je bent waarschijnlijk niet in staat om dit zelf te doen. Ik begrijp dat je er nu nog niet klaar voor bent. Laat zien dat je er serieus mee bezig bent.
Mag je een keuze maken of je verwerkersverantwoordelijke bent of verwerker?
Theo: Een verwerker kan van iedereen een verwerkersverantwoordelijke maken en vice versa. De Transparantiekalender is niet transparant. Wij zijn als ziekenhuis een verwerkersverantwoordelijke, maar er zijn bepaalde afspraken die dit kunnen belemmeren. Voor ziekenhuizen kan het problemen opleveren dat er andere partijen in terugkomen.
Ik was als jurist sceptisch over de NEN7510-norm, maar het geeft toch een bepaalde houvast dat dit bij wet is bepaald. Als we met z’n allen vinden dat het maatschappelijk belangrijk vinden dan moet je dit transparant met elkaar regelen. Als DICA niet over persoonsgegevens beschikt dan zou ik dat vooral zo laten.
Paul: Je moet garanderen dat je bij benchmarken gedwongen bent om aan één partij verbonden te zijn. Wij willen aantonen dat mensen geen spijt krijgen om met ons in zee te gaan.
Waarom is er de discussie dat er een andere databewerker moet komen?
Paul: Wij willen daarom bijvoorbeeld een commissie van wijzen. Er moet een soort van controle komen op MRDM. Hier staan wij absoluut voor open.
Relatie: METC > AVG. Kun je daar iets over zeggen? Heb je het dan nog wel over in de AVG?
Evert-Ben: Als het goed is hebben ze naar elkaar gekeken. We zijn zelf bezig geweest met invormige toetsing. Je moet eigenlijk 1 METC hebben en geen 6. Er moet ten volle beoordeeld worden en niet marginaal, maar dat is het ideale plaatje. Buiten het ideaalplaatje zou je sowieso ervoor moeten zorgen dat er ook nog 4 FG’s naar moeten.