Moet een zorgverlener toestemming vragen om patiëntgegevens op te slaan?
Een zorgverlener stelde ons de volgende vraag: “Moet ik toestemming vragen aan onze patiënten voor het opslaan van hun patiëntgegevens?”. Dit is een vraag die we regelmatig voorbij zien komen via onze helpdesk en die door andere organisaties vaak fout beantwoord wordt. Het enige juiste antwoord is namelijk: “Nee, dat hoeft niet”.
Zorgverleners hebben geen toestemming nodig
Als zorgverlener heeft u geen toestemming nodig om patiëntgegevens op te slaan. Om u deze uitspraak te laten begrijpen, doen we een stapje terug en leggen we eerst kort de AVG-grondslagen uit; de geldige redenen om persoonsgegevens op te slaan.
Binnen de AVG zijn er zes rechtsgronden om persoonsgegevens op te mogen slaan. Dat zijn (kort weergegeven):
- U heeft toestemming van de persoon om wie het gaat.
- Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
- Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
- Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
- Het is noodzakelijk om gegevens te verwerken om een gerechtvaardigde belang te behartigen.
Binnen de zorg gaat het niet om de eerste grondslag, de toestemming, maar om het uitvoeren van een overeenkomst.
Welke overeenkomst?
De overeenkomst waar het in het geval van de zorg over gaat, is wettelijk geregeld door de WGBO: de Wet Geneeskundige Behandelovereenkomst. Deze overeenkomst komt tot stand op het moment dat de patiënt zich door de zorgverlener laat behandelen, wat u als zorgverlener direct het recht geeft op de persoonsgegevens van deze patiënt op te slaan.
Risico’s van onnodig toestemming vragen
Met name in ziekenhuizen gaat het nog regelmatig mis met het vragen van toestemming. Door verkeerde interne voorlichting kan er geen uitwisseling van medische gegevens plaatsvinden, omdat het ziekenhuis in de veronderstelling is dat er eerst toestemming van de patiënt nodig is. Een voorbeeld: Zorgverleners die een onderzoek op hun patiënt laten uitvoeren in het ziekenhuis krijgen vaak geen toegang tot de uitslag, omdat de patiënt geen specifieke toestemming heeft gegeven voor het delen van de uitslag met de zorgverlener. Terwijl dit de aanvragende zorgverlener is, die uiteindelijk verantwoordelijk is voor de patiënt.
In de WGBO is vastgelegd dat zorgverleners die betrokken zijn bij de behandeling juist onderling gegevens moeten uitwisselen, voor de veiligheid en het welzijn van de patiënt.
De oplossing? Het Waveland portaal
Zijn er voor u als zorgverlener nog stappen te zetten op het vlak van de AVG-wetgeving? Ons AVG-pakket loodst u hier volledig doorheen via een online portaal in duidelijke taal. In dit portaal vindt u alles wat u nodig heeft om geheel in overeenstemming met de AVG te werken: volledige registratie van alle vereiste gegevens, verwerkingsregister en verwerkersovereenkomst, beoordelingsprocedure voor datalekken en meldingsprocedure Autoriteit Persoonsgegevens (AP) bij datalekken. Inclusief AVG-verklaring dat uw organisatie conform de AVG werkt. Wilt u meer weten? Vraag dan een gratis demo aan.