Kunt u uw cliënten vergeten?
Het is juni 2018. Een van de medewerkers van applicatiebeheer opent de mail. Een van de verpleegkundigen heeft het verzoek gekregen van een voormalige cliënt om alle gegevens uit het systeem te laten verwijderen. De cliënt is goed geïnformeerd en beroept zich hierbij op het recht op vergetelheid zoals benoemd in de Algemene Verordening Gegevensbescherming (AVG).
Wat is het recht op vergetelheid?
De AVG geeft consumenten (en daar horen cliënten in de zorg ook onder) een aantal nieuwe rechten. Een van deze rechten is het zogeheten recht op vergetelheid. Dit betekent dat een cliënt een verzoek moet kunnen doen om zijn of haar dossier te laten verwijderen.
Het recht op vergetelheid is in principe niets nieuws. Een soortgelijk recht bestaat al in de Wet bescherming persoonsgegevens (Wbp). Dit is niet breed bekend. Door de toegenomen aandacht voor privacy (bijv. rondom Facebook) en het ingaan van de AVG bestaat de kans dat er meer van dergelijke verzoeken zullen komen.
Overigens hoeft u niet alle gegevens van de cliënt te wissen. In sommige gevallen heeft u te maken met bewaartermijnen. Declaraties moeten zeven jaar worden bewaard. Medische dossiers moeten 15 jaar worden bewaard. Ook kan uw organisatie gegevens verwerken van betrokkenen die van algemeen belang zijn op het gebied van volksgezondheid.
Cliënten mogen op verschillende manieren een verzoek doen om hun gegevens te laten verwijderen. Als een cliënt een verzoek digitaal indient (bijvoorbeeld per e-mail), dan bent u verplicht om ook digitaal te reageren. Daarnaast mag uw organisatie geen kosten in rekening brengen voor het uitvoeren van het verzoek. Dit mag alleen in gevallen dat iemand veelvuldig verzoeken plaatst.
Heeft u de gegevens van uw cliënten ook aan een derde partij verstrekt (bijvoorbeeld een apotheek), dan dient u ook namens de cliënt een verzoek te doen bij deze apotheek om de gegevens te verwijderen.
Hoe gaat u met een verzoek om?
Als een cliënt een beroep doet op het recht van vergetelheid, dan bent u verplicht binnen drie maanden een antwoord te geven op dit verzoek. U mag beargumenteerd een verzoek weigeren (met bijvoorbeeld een beroep op de wettelijke bewaartermijnen). De kans is echter groot dat u niet het hele verzoek kunt weigeren. Door de volgende stappen te doorlopen kunt u ieder verzoek om gebruik te maken van het recht op vergetelheid goed behandelen. De eerste twee stappen zijn erg tijdrovend en het is belangrijk om deze uit te voeren voordat er een verzoek binnenkomt.
1. Breng de informatiestromen in kaart
Een cruciale stap in het proces moet eigenlijk al geschieden voordat de eerste aanvraag binnenkomt. U heeft een goed overzicht nodig van alle plekken waar informatie van uw cliënten wordt bewaard. Vaak komt hier een lijstje uit van een aantal applicaties waar gegevens van cliënten in alle gevallen in staan. Het systeem dat u gebruikt voor uw declaraties zal in alle gevallen de gegevens van uw cliënten bevatten.
Een volgende stap die hieruit voortvloeit is om de informatiestromen in kaart te brengen. Het overzicht van de informatiestromen stelt u in staat om de gegevens makkelijk te kunnen verwijderen. In welke gevallen worden gegevens gedeeld met een derde partij (zoals een apotheek)? Wanneer komen gegevens van een patiënt terecht in het behandeldossier?
Belangrijk is dat er naast de formele stromen ook vaak informele stromen zijn. Denk hierbij aan excellijstjes met cliëntinformatie die heen en weer gemaild worden tussen de zorgafdelingen en de cliëntenadministratie. Ook deze gegevens moeten worden gewist. Deze informatiestromen zijn echter niet altijd zichtbaar voor de functionaris gegevensbescherming. Helaas zijn juist deze informele informatiestromen vatbaar voor datalekken. De noodzaak om juist deze gegevens te wissen is dus extra groot.
2. Bepaal welke gegevens verwijderd mogen worden
Als de informatiestromen binnen de organisatie in kaart gebracht zijn, dan is de volgende stap om te bepalen welke informatie daadwerkelijk verwijderd mag worden. Als er gegevens zijn die bewaard moeten blijven, dan is het handig om hier vooraf een lijn over af te spreken. Zo kan er sneller worden gehandeld worden in het geval het verzoek binnen komt.
3. Zoek contact met de cliënt
Als een cliënt verzoekt om informatie te laten verwijderen, dan is dit vaak niet zonder reden. Het is verstandig om aan de cliënt voor te leggen dat de gegevens uit het dossier ook niet meer beschikbaar zijn voor andere doeleinden. Als de cliënt later besluit een klacht in te dienen bij de inspectie, dan kan de inspectie als gevolg van de verwijdering geen goed onderzoek meer doen. Tevens kunt u uitleggen welke gegevens niet verwijderd kunnen worden (bijvoorbeeld in verband met wettelijke eisen). Mogelijk krijgt u tijdens dit gesprek nog verdere informatie over de geleverde zorg.
4. Documenteer het verzoek
Indien de cliënt tijdens het contactmoment aangeeft dat hij zijn gegevens toch wil laten verwijderen, dan is het van belang om dit te documenteren. Zo kunt u aantonen dat u de gegevens heeft laten verwijderen en dat u daarom niet alle informatie meer heeft over de cliënt.
5. Verwijder de gegevens
Hetgeen waar het uiteindelijk om te doen is, het daadwerkelijk verwijderen van de gegevens, is misschien nog wel het makkelijkste van het gehele proces.
Het is belangrijk om vooraf in te schatten wat de gevolgen kunnen zijn van een beroep op het recht van vergetelheid. Als uw organisatie de informatiestromen binnen de organisatie niet goed in beeld heeft, dan wordt het al snel een hele klus om het verzoek te verwerken.
De informele datastromen verdienen hierbij extra aandacht. Veel datalekken vinden binnen informele informatiestromen plaats. Heeft u de gegevens van de cliënt dan niet goed verwijderd, dan gaat u dubbel nat. Uw organisatie heeft niet alleen een datalek veroorzaakt, maar u heeft ook het verzoek op vergetelheid onvolledig uitgevoerd.
Zoals bij alle aspecten van de AVG is het ook bij het recht op vergetelheid van belang dat u in control bent.
Wilt u meer weten over hoe u in control komt, kom neem dan contact op met ons kenniscentrum.