CBP: Geen toegang zorgverzekeraars tot EPD

0
296

Minister repareert wet op advies van CBP
Het Elektronisch patientendossier (EPD) is opgezet als een systeem waarmee hulpverleners voor hulpverleningsdoeleinden toegang kunnen krijgen tot gegevens over de patienten die zij behandelen. Toegang voor anderen dan hulpverleners en voor andere doeleinden verdraagt zich noch met de opzet van dat systeem noch met de juridische legitimatie daarvoor. In de Tweede Kamer is het voorstel van Wet op het EPD geamendeerd, waarbij een aantal bepalingen is toegevoegd waarin nog eens expliciet de toegang voor bedrijfsartsen, keuringsartsen en zorgverzekeraars wordt uitgesloten. In die bepalingen zijn echter ook uitzonderingsgronden opgenomen in verband waarmee wel toegang tot het EPD mogelijk moet zijn. In het aan het College bescherming persoonsgegevens (CBP) voorgelegde voorstel tot wijziging van het Besluit BSN in de zorg zijn die uitzonderingsgronden voor zorgverzekeraars verder uitgewerkt. Het CBP heeft in zijn advies over het conceptbesluit de minister van Volksgezondheid, Welzijn en Sport geadviseerd de uitzonderingsmogelijkheden op het verbod op toegang tot het EPD voor verzekeraars niet alleen in het Besluit maar ook in de Wet op het EPD te schrappen. De minister heeft inmiddels aangegeven dat hij het advies van het CBP overneemt en de Tweede Kamer een voorstel tot wijziging van de wet zal voorleggen.
Lees het advies (72 KB) en de bijlage bij het advies (61 KB) van het CBP van 14 juli 2009

In het conceptbesluit wordt uitwerking gegeven aan de in artikel 13ha Kaderwet opgenomen uitzondering op het verbod op toegang voor de zorgverzekeraar tot het EPD. Het CBP constateert dat weliswaar in de Toelichting op het conceptbesluit over de toegang van de zorgverzekeraar tot het EPD wordt opgemerkt dat het niet de bedoeling is dat zorgverzekeraars rechtstreeks toegang krijgen tot het EPD, maar dat dit niet in de tekst van de bepaling (artikel 2u tweede lid) zelf is opgenomen. Het CBP acht rechtstreekse toegang door zorgverzekeraars in strijd met de opzet en de legitimatie voor het EPD. Indien met de bepaling uitsluitend bedoeld wordt om boven twijfel te verheffen dat de zorgverzekeraar in het kader van de uitvoering van de zorgverzekeringen of voor zijn wettelijke taak ook kennis mag krijgen van gegevens zoals opgenomen in het EPD merkt het CBP op dat een dergelijke bepaling daartoe overbodig is. Het conceptbesluit ziet ook (artikel 2u eerste lid) op de toegang tot het EPD voor de zorgverzekeraar die tevens zorgaanbieder is. Het CBP constateert dat hiermee wordt voorzien in een nog verdergaande mate van toegang voor zorgverzekeraars dan waarin de tekst van artikel 13ha Kaderwet al voorziet. Die bepaling biedt dan ook geen grondslag voor hetgeen het besluit beoogt te regelen. Naar het oordeel van het CBP ziet het voorstel wel op een reeel probleem dat in de toekomst kan ontstaan als zorgverzekeraars ook als zorgaanbieder gaan opereren. Voor de oplossing van dit probleem adviseert het CBP om te voorzien in het stellen van extra eisen aan een ‘zorgaanbieder die tevens zorgverzekeraar is’ opdat zeker gesteld wordt dat de gegevens verkregen voor hulpverleningsdoeleinden niet gebruikt kunnen worden voor andere doeleinden.

Het CBP adviseert om artikel 2 u van het conceptbesluit te schrappen aangezien dit artikel voor het in de toelichting beschreven doel niet noodzakelijk is en in de praktijk tot veel misverstanden aanleiding kan geven. Het CBP geeft in zijn advies aan tegen artikel 13ha van de Wet op het EPD zwaarwegende bezwaren te hebben en adviseert om de uitzonderingsgronden op het verbod op toegang tot het EPD voor verzekeraars te schrappen. Inmiddels heeft de minister aangegeven dat hij het advies van het CBP overneemt en de Tweede Kamer een voorstel tot wijziging van de wet zal voorleggen.

Ten aanzien van twee andere nieuwe aanvullende bepalingen in het conceptbesluit adviseert het CBP de minister nader te concretiseren aan welke randvoorwaarden de zorgaanbieder moet voldoen bij het bieden van de mogelijkheid aan de client om in elektronische vorm een afschrift van het medisch dossiers te krijgen. Tevens adviseert het CBP om de beveiligingseisen voor regionale elektronische patientendossiers te specificeren.

Bron: CBP