Juridische aspecten van ehealth 19 maart 2016 Stefaan

Juridische aspecten van ehealth 19 maart 2016 Stefaan Callens deeltijds gewoon hoogleraar KULeuven advocaat te Brussel

I. Van geheim naar informatie en (big) data • Bij het begin van de 19 de eeuw was er alleen het verbod tot bekendmaking van geheimen (art. 458 SW). Art. 458. Geneesheren, heelkundigen, officieren van gezondheid, apothekers, vroedvrouwen en alle andere personen die uit hoofde van hun staat of beroep kennis dragen van geheimen die hun zijn toevertrouwd, en deze bekendmaken buiten het geval dat zij geroepen worden om in rechte (of voor een parlementaire onderzoekscommissie) getuigenis af te leggen en buiten het geval dat de wet hen verplicht die geheimen bekend te maken, worden gestraft met gevangenisstraf van acht dagen tot zes maanden en met geldboete van honderd [euro] tot vijfhonderd [euro]. – Begin 19 de eeuw: geen echte ziekenfondsen of ziekenhuizen, nauwelijks volksgezondheid 2

• Uitzonderingen via rechtspraak: – Conflict van plichten – Ook bekendmaking als wet het bekendmaken toelaat ipv als de wet het bekendmaken verplicht – Toestemming van patiënt – Gedeeld geheim 3

• Problemen met geheimhouding – Geen verplichting tot beveiliging van gegevens – Geen recht op informatie/geen recht op inzage – Geen specifieke regels voor verwerking van (gecodeerde) gegevens voor verschillende doeleinden/gebruikers. 4

EERSTE STELLING: Het beroepsgeheim van de arts op zich is volledig achterhaald voor het regelen van het omgaan met gezondheidsgegevens

II. Naar een Algemene Gegevensbeschermingsverordening – Data protection officer – Uitdrukkelijke toestemming – Recht op gegevens te verwijderen/over te dragen – Melden van data problemen – Risico analyse – Privacy impact analyse – Gedragscodes – Privacy by design – Privacy by default

III. Decreet gegevensdeling - Naar een ééngemaakt netwerk gegevensdeling tussen de actoren in de zorg: - doel? - reductie van fouten - dubbele onderzoeken vermijden - continue en kwaliteitsvolle zorgverstrekking - Verplichting voor zorgverlener tot deelname (via ee. Health-platform) - Mogelijkheid voor zorggebruiker tot deelname 7

- Noodzaak om vast te leggen wie tot wat toegang heeft bij zorgverlening - Voorziening moet veiligheidsconsulent aanduiden (al dan niet onder de medewerkers • Voorziening stelt veiligheidsbeleid en veiligheidsplan op – hoe wordt zorggebruiker geïnformeerd over rechten • Principiële machtiging van afdeling gezondheid van het Sectoraal Comité van Sociale Zekerheid en van de Gezondheid • Een zorggebruiker kan verplicht worden elektronisch deelbaar dossier bij te houden 8

• Zorgverlener stelt via het netwerk de elektronisch deelbare dossiers ter beschikking rekening houdend met – toestemming van zorggebruiker – gebruikers- en toegangsbeheer – verwijzingsrepertorium • Zorgverleners kunnen elektronisch deelbare dossiers raadplegen – – 9 die een zorgrelatie hebben met zorggebruiker rekening houdend met toestemming van zorggebruikers – toegangsbeheer verwijzingsrepertorium

• Zorgverlener informeert zorggebruiker over individueel dossier en elektronisch deelbaar dossier • Schriftelijke toestemming van zorggebruiker is vereist voor toegang van zorgactoren tot elektronisch deelbare dossier. – eventueel elektronische toestemming – intrekking van toestemming is mogelijk 10

– minderjarigen – Zelfstandig toestemming indien in staat tot redelijke beoordeling van zijn belangen rekening houdend met leeftijd en maturiteit – Vermoeden van twaalfjarige of ouder dat hij in staat is tot redelijke beoordeling van belangen – Andere minderjarigen: ouders die gezag over minderjarige uitoefenen of voogd en betrek minderjarige zoveel als mogelijk er bij en in verhouding tot begripsvermogen. 11

• Zorggebruiker heeft recht om te weten – Wie elektronisch deelbaar dossier over hem bijhoudt – Wie welk soort gegevens over hem bijhoudt – Wie op welk moment zijn gegevens heeft geraadpleegd • VASGAZ: Vlaams Agentschap voor Samenwerking rond Gegevensdeling tussen de Actoren in de Zorg – Bevorderen van samenwerking op vlak van gegevensdeling tussen zorgactoren – Beheren van het netwerk – … 12

TWEEDE STELLING: De individuele arts is niet langer meer de verantwoordelijke van het patiëntendossier, wel de associatie/vennootschap/instelling/netwerk waarvoor hij/zij werkt - impact op beveiliging impact op bewaring bij het beëindigen van de samenwerking

IV. Uitdagingen van ehealth voor artsen en juristen • Vermijden van discriminatie – niet iedereen wil/kan internet gebruiken • Kwaliteitsvolle zorg blijven aanbieden – Ook bij zorg op afstand • Privacy – Beveiligd gebruik – Doeleinden van gebruik – Informatie en toestemming

• Cloudcomputing en privacy – Orde: – – Nodige veiligheidsprocedures: Waar staat server? Hoe worden gegevens bewaard, enkel in EU, … – Ziekenhuiswetgeving – Privacycommissie • Evalueer beveiliging van clouddiensten – cloud kan georganiseerd zijn over verschilende servers en gegevenscentra (risico op fragmentering van gegevens – Probleem van beveiliging – Vermijd internationale transfer (buiten EU)(andere wetgeving wordt toepasselijk) – Goede contractuele afspraken

• Mhealth, APPS, gezondheidsgegevens en privacy – Definitie: gegevens betreffende de gezondheid • Klassieke gezondheidsgegevens (over gezondheidstoestand in medische context gegenereerd) • Wel ruimer dan medisch (zie ook WP art. 29 – februari 2015). – – – – Ook feit dat iemand zijn been is gebroken (arrest Lindqvist) Informatie over rookgedrag Lid van steungroepen (bv. omtrent kanker) Lid van Weigh Watchers, AA … Ook informatie afgeleid uit lichaamsmateriaal Analyse van bloed, urine, glucose niveau, Gegevens over blooddruk, obesitas, rookgedrag, alcoholconsumptie enz. • Indien louter lifestyle, geen gezondheidsgegevens MAAR…

• Ga na of gegevens gecombineerd worden met andere gegevens (de grijze zone): – Informatie van stappenteller over lange periode – Koppeling van gegevens aan sociale media » Stappenteller over lange periode » Combinatie met slaappatroon, eetgedrag enz. , localisatiegegevens enz. • Verbod om gezondheidsgegevens te verwerken, tenzij… – Probleem voor reclame/direct marketing met gezondheidsgegevens • Tips – Ga na of gegevens verbonden zijn met andere verwerkingen, data, sociale media enz. – Ga na hoe lang gegevens worden bijgehouden – Vertrek van uitdrukkelijke toestemming – Nood aan transparantie, afbakening van doel en beveiliging – Strenge regels voor later gebruik

• Medische hulpmiddelenwetgeving – CE markering en software? • Toename van grensoverschrijdende zorg/toepasselijke wetgeving? – Art. 3, d Richtlijn patiëntenrechten en grensoverschrijdende zorg „lidstaat waar de behandeling plaatsvindt”: de lidstaat op het grondgebied waarvan de gezondheidszorg feitelijk aan de patiënt wordt verleend. In het geval van telegeneeskunde wordt de gezondheidszorg geacht te zijn verstrekt in de lidstaat waar de zorgaanbieder is gevestigd;

• Terugbetaling en telemonitoring – Nomenclatuur en noodzaak fysische aanwezigheid? – Art. 7. 1 Richtlijn patiëntenrechten en grensoverschrijdende zorg De lidstaat van aansluiting dat de kosten van de verzekerde die grensoverschrijdende ge zondheidszorg heeft ontvangen, worden terugbetaald, indien de betrokken zorg deel uitmaakt van de prestaties waarop de ver zekerde uit hoofde van de wetgeving van de lidstaat van aan sluiting recht heeft.

• Aansprakelijkheid – Wie is aansprakelijk bij telemonitoring? – Hoe ver strekt de opvolgplicht bij telemonitoring? • Vb chronische patiënt en alarmsignalen komen binnen via pc van (huis)arts? • Organisatie van wachtregeling/gezondheidszorg – Wie volgt de binnenkomende data op?

• Mededinging – Wie krijgt toegang tot monitoring systemen? – Wie zorgt voor gegevensdeling/datacenter? • Kostprijs van datacenter? – Gratis? Quid art. 10 Geneesmiddelenwet – Rol van geneesmiddelenindustrie en distributeur van medische hulpmiddelen/telemonitoring devices

• Publiciteit • Uitoefening van gezondheidszorg – nieuwe beroepen/zorgactoren

DERDE STELLING • De arts moet op zoek gaan naar een nieuwe rol/positie: – de patiënt vindt veel informatie/wil zelf kiezen/kan zelf veel registreren – de patiënt krijgt controle over het dossier – de arts moet rekening houden met nieuwe zorgactoren (uit andere lidstaten)