Digitale zorg en AVG: hoe zit dat?

goede cyber security met de systemen van vcare

De zorg is een grote bron van data, zoals ANW-gegevens, zorgvragen, diagnoses en behandelplannen. Zeer vertrouwelijke gegevens allemaal. Sinds 2018 moeten ze te allen tijde, conform de AVG, veilig opgeslagen en gedeeld worden. Maar hoe blijven we voldoen aan de AVG-normen als het om digitale zorg gaat? Vcare en
The Privacy Officers delen hun visie met de verrassende
conclusie: de AVG is een waardevol hulpmiddel.

Zie dit artikel ook in het online magazine van vakblad ICT&health, of de 4e editie van 2020 van het gedrukte vakblad.

Twee jaar geleden trad de algemene verordening gegevensbescherming in werking. In de volksmond stond die al snel bekend onder de afkorting AVG, maar die afkorting was geen troetelnaampje. De meeste mensen wisten niet goed waar ze aan toe waren met deze nieuwe verordening op het gebied van privacy en interpreteerden die vooral als ‘gedoe’.

Inmiddels zijn we twee jaar verder en ziet de zorgwereld er heel anders uit. Wie twee jaar geleden een zorgvraag had, ging voor een tien minuten-consult naar de huisartspraktijk. Wie buiten kantooruren een gezondheids-probleem kreeg, wist dat hij altijd terecht kon bij de huisartsenpost. Bij verwijzing kon snel een bezoek aan het ziekenhuis worden geregeld. En wie chronisch ziek was, wist dat hij op gezette tijden langs het ziekenhuis moest voor een routinecontrole.

Maar sinds maart dit jaar is dat beeld ingrijpend veranderd. De coronacrisis zette de samenleving op zijn kop en dus ook de zorg. Ineens werd het gemeengoed om zoveel mogelijk zorgvragen niet in een persoonlijk consult, maar digitaal te beantwoorden. Eerst telefonisch, maar al snel ook met behulp van beeldbellen. Veel patiënten ontdekten dat ze dit eigenlijk wel makkelijk vinden: hun zorgvraag wordt snel beantwoord en ze hoeven geen vrij te nemen om naar de huisartspraktijk of het ziekenhuis te gaan.

Ook zorgprofessionals zagen mogelijkheden en speelden een rol in de ontwikkeling van apps en andere toepassingen waarmee face-to-face zorg kan worden vervangen door een digitale toepassing. De Nederlandse Zorgautoriteit stimuleerde dit door haar regels voor digitale zorg te verruimen.

Veel patiënten ontdekten dat ze dit eigenlijk wel makkelijk vinden: hun zorgvraag wordt snel beantwoord en ze hoeven geen vrij te nemen om naar de huisartspraktijk of het ziekenhuis te gaan.

Maar de AVG dan…

Inmiddels kunnen we beslist zeggen dat digitale zorg een niet meer weg te denken extra toegang tot de zorg is. Maar met het ruimere gebruik ervan kwam wel één vraag al snel heel nadrukkelijk op de voorgrond te staan: hoe zit het met de privacy? Een vraag die vanzelfsprekend leidt tot vervolgvragen. Is die digitale zorg AVG-proof? Hebben de aanbieders van apps en andere digitale toepassingen rekening gehouden met de privacy-eisen? Hoe hebben ze dit zodanig geborgd dat ik als zorgaanbieder kan aantonen dat dit zo is, als ik er vragen over krijg? Welke verantwoordelijkheden heb ik zelf als zorgaanbieder? Welke verantwoordelijkheid heeft de patiënt of cliënt?

Beeldbellen is hier een mooi voorbeeld van. Niet meer weg te denken, maar wel een nieuw (werk)proces waarbij data wordt gedeeld en geborgd dient te worden conform de AVG.

Ander perspectief

Het gevolg: ineens lijkt niets meer duidelijk. Was de zorg net gewend aan die AVG, kon ze weer aan de slag met het onderwerp. De AVG was voor veel zorgverleners toch al een hoofdpijndossier, maar met de toevoeging van digitale zorg voelde het nog onoverzichtelijker.

Was de zorg net gewend aan die AVG, kon ze weer aan de slag met het onderwerp. De AVG was voor veel zorgverleners toch al een hoofdpijndossier.

Maar volgens Luuk Stoker is er alle reden om heel anders naar die AVG te kijken, ongeacht of het nu om face-to-face of digitale zorg gaat. Stoker is managing director van The Privacy Officers (zie kader), het bedrijf dat een heel praktisch hulpmiddel heeft ontwikkeld om vragen over de AVG heel gestructureerd te beantwoorden.

Hij vertelt: “De AVG dwingt je als bedrijf of zorgaanbieder om heel structureel na te denken over de vraag welke data je vastlegt en hoe je dat borgt. Je wordt gedwongen om dat efficiënt te doen. En hoewel dit de suggestie kan wekken dat het vooral veel werk is, is er juist alle reden om te beseffen dat het kan leiden tot een waardevolle efficiëntieslag voor je organisatie.”

Het besef dat de AVG geen struikelblok is voor een zorgaanbieder maar juist een heel interessant hulpmiddel kan zijn, wordt steeds belangrijker naarmate de zorg meer digitaal wordt, stelt Stoker. “Op dit moment gaat de techniek harder dan de ethiek”, zegt hij. “Maar het is wel zaak dat bedrijven die digitale oplossingen aanbieden voor de zorg – of het nu telefonische oplossingen, opties voor beeldbellen of apps zijn – ook kunnen waarborgen dat die oplossingen aan de privacywetgeving voldoen.”

Het besef dat de AVG geen struikelblok is voor een zorgaanbieder maar juist een heel interessant hulpmiddel kan zijn, wordt steeds belangrijker naarmate de zorg meer digitaal wordt.

De kloof dichten

Toch is dit nog makkelijker gezegd dan gedaan, zegt Mike van Eekelen, productmanager bij Vcare. Hij legt uit: “Het is niet de technische uitdaging die dit moeilijk maakt. De echte uitdaging is de kloof tussen de groeiende 24/7-zorgvraag van de patiënt of cliënt aan de ene kant, en aan de andere kant de mogelijkheden om deze zorgvraag met innovatie te kunnen beantwoorden én hierin te kunnen handelen. Dat alles op basis van duidelijke richtlijnen vanuit de brancheorganisaties in de zorg.”

Tot op heden lijkt niemand al een goed antwoord te hebben op de vraag of bijvoorbeeld de gegevens uit beeld-/gespreksopnamen en/of chat tussen zorgprofessional en patiënt wel of niet tot het patiëntendossier behoren, en daarmee ook hoelang deze gegevens bewaard dienen te worden.

“Deze vraag hebben wij meerdere malen bij zowel de Landelijke Huisartsen Vereniging als het Nederlands Huisartsen Genootschap neergelegd”, aldus Van Eekelen. “Maar tot nu toe heeft dit nog niet tot een concreet antwoord geleid. Als aanbieder begrijpen we maar al te goed dat hier vanuit alle aspecten – wetgeving, zorgverlener en patiënt – naar moet worden gekeken voordat er een richtlijn gegeven kan worden. Maar ondertussen staat de tijd niet stil, innovatie gaat door en dat moet ook. Dat antwoord heeft de zorg dus wel nodig.”

De garantie van Vcare

De productmanager vervolgt: “De zorg heeft het belang de patiënt of cliënt te bedienen en wij zien het als onze maatschappelijke verantwoordelijkheid de zorgprofessional en patiënt daarin zo goed mogelijk te ondersteunen en te beschermen. Door de samenwerking met experts én de ISO- en NEN-certificeringen kunnen wij garanderen dat onze oplossingen voor digitaal contact volledig voldoen aan de AVG, en dat de data kan worden geborgd ongeacht de richtlijnen over de opslag van data.”

Uiteraard neemt dit niet weg dat zorgprofessionals en patiënten hun eigen verantwoordelijkheden op dit gebied dienen te nemen als ze van deze oplossingen gebruikmaken. Maar, benadrukt Van Eekelen: “We kunnen wel laten zien dat het mogelijk is om daar stappen in te zetten, en we hebben geleerd dat het geen onderwerp is om bang voor te zijn, maar dat het juist inzichten verschaft die je werkproces ten goede kunnen komen.”

Precies uitgezocht

Luuk Stoker was het via zijn opleidingscentrum Ten Kate & Stoker al meer dan vijftien jaar gewend persoonlijke data van studenten te verzamelen, variërend van adresgegevens en het BSN tot aan een pasfoto. “Dat was toen allemaal heel normaal”, zegt hij. De komst van de AVG dwong hem echter om hier nog eens goed over na te denken. “Daar lag voor mij als ondernemer een uitdaging; hoe krijg en behoud ik dit inzichtelijk?”

Zo ontstond The Privacy Officers, het bedrijf dat een heldere en continue visuele vertaalslag ontwikkelde van de AVG voor organisaties. Uiteindelijk leidde dit tot juridisch advies voor organisaties en tot de ontwikkeling van de The Privacy Boxx, software die precies laat zien welke stappen een organisatie heeft gezet om aan die wetgeving te voldoen, welke stappen ze nog moet zetten en van wie ze informatie nodig heeft om dat te kunnen doen. Zo ondersteunt het bedrijf organisaties om continu AVG compliant te werken. Vcare is een van de bedrijven die gebruikmaakt van deze dienstverlening.