Vraag & Antwoord: hoe borgen wij uw privacy?
Verwerking persoonsgegevens binnen het St. Antonius
Hoe worden mijn gegevens in het St. Antonius beschermd?
Al uw algemene persoonsgegevens (naam, adres, woonplaats, geboortedatum e.d.) en uw bijzondere persoonsgegevens (medische gegevens, het Burgerservicenummer (BSN), verzekeringsnummer e.d.) worden beschermd conform de huidige wet- en regelgeving en zijn vastgelegd in ons Elektronisch Patiënten Dossier (EPD).
Wat bedoelen we precies met patiënt- of persoonsgegevens? Waar gaat het over?
Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent concreet dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is, bijvoorbeeld NAW-gegevens, BSN en verzekeringsnummer.
Wat zijn de veiligste manieren om gegevens tussen ziekenhuis en patiënt uit te wisselen?
Beveiligde manieren om gegevens uit te wisselen is face-to-face of via het online patiëntportaal Mijn Antonius. Telefonisch gegevens uitwisselen kan ook; in dit geval zal de zorgverlener controlevragen stellen zodat deze zeker weet de juiste persoon aan de telefoon te hebben.
Hoe geef ik als patiënt toestemming dat mijn gegevens uitgewisseld mogen worden?
Aangezien u voor een behandeling of onderzoek naar het ziekenhuis bent gekomen, mag uw zorgverlener ervan uitgaan dat u instemt met het gebruik van uw persoonsgegevens en de uitwisseling daarvan met zorgverleners/medewerkers in het ziekenhuis die bij uw behandeling betrokken zijn. In situaties waarbij uw gegevens voor een ander doel dan uw behandeling worden gebruikt, moet de zorgverlener altijd vooraf uw toestemming vragen. Een mondelinge toestemming volstaat. Dit noteren wij in uw Elektronisch Patiënten Dossier (EPD).
U moet altijd toestemming geven om uw patiëntgegevens te delen met externe zorgverleners, zoals huisartsen of andere ziekenhuizen. Ook dit noteren wij in uw dossier.
Wat gebeurt er als ik als patiënt geen toestemming geef?
U kunt bezwaar maken tegen uitwisseling van uw persoonsgegevens door dit met uw zorgverlener te bespreken of schriftelijk kenbaar te maken. Deze informatie wordt dan opgenomen in uw dossier.
Hoe verhoudt mijn privacy zich tot het medisch beroepsgeheim van een zorgverlener?
Voor zorgverleners zoals artsen, verpleegkundigen en psychotherapeuten geldt het wettelijk geregeld medisch beroepsgeheim. De medewerkers van het ziekenhuis zijn via hun arbeidscontract aan een geheimhoudingsplicht gebonden. Zij mogen dus niet zonder uw toestemming uw persoons- of medische gegevens met anderen delen die niet bij het zorgproces betrokken zijn.
Wie heeft toegang tot welke informatie?
Uw zorgverlener mag informatie delen met degenen die rechtstreeks betrokken zijn bij uw behandeling en met hun waarnemers of vervangers. Dit kunnen zowel zorgverleners zijn als secretaresses of financieel medewerkers. Maar uw gegevens mogen alleen worden gedeeld voor zover dit noodzakelijk is voor hun werkzaamheden.
Wie is verantwoordelijk voor de toegang tot mijn medische dossier?
Het St. Antonius Ziekenhuis is verantwoordelijk voor de toegang tot uw medisch dossier.
Wie mag toegang hebben tot mijn medisch dossier en hoe controleert u dit als ziekenhuis?
Alleen zorgverleners en medewerkers die betrokken zijn bij uw zorgproces hebben toegang tot uw medisch dossier. Dit is geregeld in ons Elektronisch Patiënten Dossier (EPD). Alleen medewerkers die getraind, bevoegd en geautoriseerd zijn om te werken in het EPD, kunnen informatie inzien en/of aanpassen in het EPD als zij betrokken zijn bij uw zorgproces.
Zo kunnen verpleegkundigen en poli-assistenten alleen gegevens inzien van patiënten die op hun poli/verpleegafdeling komen. Artsen kunnen de medische gegevens van alle patiënten van het St. Antonius inzien. Andere medewerkers, bijvoorbeeld medewerkers van de schoonmaak of communicatie, hebben geen toegang tot het EPD.
Hoe is de toegang tot het medisch dossier geregeld bij patiënten die 16 jaar of jonger zijn?
Ouders en wettelijk vertegenwoordigers van kinderen tot 12 jaar hebben recht op inzage in het dossier van hun kind. Kinderen tussen de 12 en 16 jaar moeten persoonlijk instemmen met het opvragen van hun dossier door hun ouders.
Wat zijn mijn rechten als patiënt als het gaat om gegevensbescherming?
U heeft altijd het recht op inzage. Dat is uw recht om uw persoonsgegevens in te zien die door ons worden verwerkt in het EPD. Als patiënt heeft u onverkort recht op inzage en afschrift van uw gehele dossier. Het ziekenhuis geeft u het dossier dan in PDF of digitaal zodat het dossier op eenvoudige wijze uitgelezen kan worden door andere systemen. Hier kunt u uw medisch dossier opvragen.
Verder heeft u het recht:
- om bezwaar te maken tegen de gegevensverwerking.
- op vergetelheid: Het recht om ‘vergeten’ te worden. Dit betekent concreet dat uw gegevens definitief verwijderd moeten worden wanneer u dit wenst.
- op dataportabiliteit: het recht om uw persoonsgegevens over te dragen aan anderen
- op rectificatie en aanvulling: het recht om de persoonsgegevens die wij van u verwerken te wijzigen of aan te vullen.
- op beperking van de verwerking: u heeft het recht om minder gegevens te laten verwerken.
U leest meer hierover op de website van de Autoriteit Persoonsgegevens.
Welke rechten hebben nabestaanden van een overleden patiënt? Mogen zij het medisch dossier van de overleden patiënt inzien?
Nabestaanden hebben alleen recht op een kopie van het medisch dossier van een overledene als:
- Er zwaarwegende redenen zijn (bijvoorbeeld bij erfelijke ziekte in de familie) en/of aangenomen kan worden dat het overleden familielid geen bezwaar zou hebben gehad.
- Het dossier van een overledene wordt 15 jaar bewaard of zoveel langer als wenselijk is volgens de arts.
Mag ik als patiënt een gesprek met de zorgverlener opnemen? Wat mag ik met deze informatie doen?
Ja, u mag het gesprek opnemen. Wij vragen u wel om dit vooraf kenbaar te maken bij uw zorgverlener. De geluidsopnamen mag u alleen gebruiken in huiselijke kring (niet delen via internet of social media). Voor beeldopnamen geven wij in principe geen toestemming.
Mag mijn zorgverlener medische gegevens telefonisch aan mij doorgeven (bijv. bloedgroep)?
Ja, de zorgverlener mag medische gegevens telefonisch doorgeven mits de zorgverlener 100% zeker is van uw identiteit. De zorgverlener zal daartoe controlevragen stellen. Zie verder de volgende vraag.
Hoe weet een medewerker/zorgverlener 100% zeker dat hij de juiste persoon aan de telefoon heeft?
Het is lastig om 100% zeker te zijn of we de juiste persoon aan de telefoon hebben. Om risico’s zoveel mogelijk uit te sluiten stellen medewerkers van het ziekenhuis een aantal controlevragen (bijvoorbeeld geboortedatum, adres en telefoonnummer). Als iemand anders belt, bijv. een familielid, contactpersoon, huisarts of ander ziekenhuis, controleren wij in het EPD de gegevens van de persoon die belt, overeenkomen met de gegevens die de patiënt aan heeft doorgegeven. Alleen als de gegevens overeenkomen, delen we deze.
Wij kunnen op diverse manieren uw patiëntgegevens controleren, bijvoorbeeld:
- na het ontvangen van een verzoek via e-mail vragen wij u om een bevestiging per sms. Dit mobiele nummer moet dan kloppen met de patiëntgegevens uit onze administratie.
- Wij vragen u per e-mail om een bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de patiëntgegevens uit onze administratie.
- Wij vragen u om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.
Is mijn medisch dossier (Elektronisch Patiënten Dossier) goed afgeschermd? Hoe is dat geregeld?
Verpleegkundigen en poli-assistenten kunnen alleen gegevens inzien van patiënten die op hun poli/verpleegafdeling komen. Artsen kunnen de medische gegevens van alle patiënten van het St. Antonius inzien. De rechten binnen het EPD zijn dus afhankelijk van de rol van de zorgverlener; er zijn diverse criteria die bepalen of een medewerker wel of niet toegang heeft tot het dossier van de patiënt.
Indien toegang niet is toegestaan aan de hand van deze criteria, dan kan de medewerker alsnog het dossier bekijken door middel van ‘’Break-The-Glass’’. Er komt een pop-upvenster dat aanduidt dat toegang geweigerd is; de gebruiker moet dan een reden opgeven waarom inzage alsnog nodig is (onderzoek, acute hulp, etc.). Deze handelingen van de ‘’Break-The-Glass-gebruiker’’ worden vastgelegd en automatisch gerapporteerd aan de functionaris Gegevensbescherming van het ziekenhuis.
Medewerkers die niet bevoegd en geautoriseerd zijn om het werken met het EPD (medewerkers van de schoonmaak, techniek, communicatie etc.) kunnen niet in uw dossier komen.
Mag de receptioniste vertellen op welke verpleegafdeling een patiënt ligt?
Ja, dat is toegestaan wanneer een bezoeker zich meldt bij de balie. De receptioniste zal dan wel enkele controlevragen stellen, zoals naam, woonplaats en/of geboorteplaats van de patiënt. Wanneer dit klopt, mag de receptioniste doorgeven op welke verpleegafdeling de patiënt ligt. Andere (medische) persoonsgegevens dan de verpleegafdeling, geeft de receptioniste niet door.
Telefonisch geeft een receptioniste niet door op welke verpleegafdeling een patiënt ligt.
Via welke kanalen mag ik als patiënt welke informatie doorgeven?
Wanneer we zeker weten met de juiste persoon te spreken (bijv. door het stellen van controlevragen), mag telefonisch, face-to-face, beveiligde e-mail of via het online patiëntportaal Mijn Antonius alle informatie gedeeld worden.
Via WhatsApp of social media mag dit nooit want dit zijn geen veilige communicatiemiddelen.
Verwerking persoonsgegevens buiten het ziekenhuis
Wanneer is toestemming van mij als patiënt nodig om gegevens met een externe zorgaanbieder te delen?
Altijd. Wij hebben altijd uw (schriftelijke of mondelinge) toestemming nodig, voordat wij als ziekenhuis gegevens kunnen delen met derden. Wij leggen deze toestemming vast in uw dossier.
Communicatie tussen zorgverlener en patiënt
Welke communicatiekanalen zijn er en wat zijn de risico’s?
Er zijn veel risico’s bij het gebruik van de meeste communicatiemiddelen. De veiligste manieren zijn face-to-face en via het online patiëntportaal Mijn Antonius. Alle andere communicatiemiddelen zijn in principe niet beveiligd en mogen niet gebruikt worden om persoons- en medische gegevens mee uit te wisselen.
Welke regels gelden er bij het gebruik van Messenger apps of Whats app?
Wij gebruiken deze kanalen als ziekenhuis niet om persoons- of medische gegevens te delen.
Is het medisch beroepsgeheim wel geborgd bij communicatie via social media?
Nee, via social media is het beroepsgeheim niet geborgd. Wij delen dan ook geen persoons- of medische gegevens via deze kanalen. Wanneer een patiënt zelf persoons- of medische gegevens verzendt via social media, zullen wij deze niet verder verzenden of retourneren bij beantwoording. Wij verwijderen uw medische gegevens dan uit de app of vragen u via een andere manier met het ziekenhuis te communiceren.
Wat zijn alternatieven voor veilige communicatie? En maakt het St. Antonius hier gebruik van?
De veiligste manieren zijn face-tot-face en via het online patiëntportaal Mijn Antonius.
Is communicatie via Mijn Antonius veilig?
Ja, communicatie via Mijn Antonius is 100% beveiligd. Lees hier meer informatie over privacy en veiligheid in Mijn Antonius.
Is communicatie via de Mijn Antonius-app (op uw mobiele telefoon/tablet) veilig?
Ja, ook via de Mijn Antonius-app (mobiel) is de communicatie veilig.
Gegevensverwerking in de Cloud
Mogen persoonsgegevens van patiënten opgeslagen en gedeeld worden in de Cloud?
Nee, dit mag niet. Het EPD van het St. Antonius slaat in ieder geval geen persoonsgegevens op in een Cloud.
Vormen clouddiensten als Dropbox, We Transfer, OneDrive risico’s voor het verzenden van medische gegevens? Mag ik ze als patiënt of zorgverlener gebruiken?
Clouddiensten zijn geen veilige communicatiekanalen. Het ziekenhuis gebruikt deze niet. Het staat een patiënt uiteraard vrij om gebruik te maken van clouddiensten, maar het is goed wanneer zij zich realiseren dat deze diensten niet beveiligd zijn.
Registraties
Welke rechten op informatie hebben patiënten?
Patiënten hebben het recht op inzage in hun eigen dossier. Zie ook bij ''verwerking persoonsgegevens binnen het ziekenhuis''.
Opt-in versus opt-out: hoe gaat het St. Antonius hier mee om?
Vooraf: Opt-in is geadresseerden geven vooraf toestemming om op een mailinglijst te komen); opt-out betekent dat geadresseerden zich achteraf, na ontvangst, van een mailinglijst kunnen laten halen.
We streven ernaar om alleen via opt-in te werken. Dit is nu echter nog niet altijd het geval.
Hoe worden mijn gegevens vastgelegd?
Wij leggen gegevens alleen digitaal vast.
Hoe lang mag een ziekenhuis mijn gegevens bewaren? Welke regels gelden er?
Voor de verschillende gegevens gelden verschillende bewaartermijnen; over het algemeen geldt een termijn van 15 jaar.
Is uitdrukkelijke toestemming vereist of volstaat veronderstelde toestemming?
Zie vraag ook bij ''Verwerking persoonsgegevens binnen het ziekenhuis''. Er is altijd toestemming vereist. Dit wordt in het EPD vastgelegd bij aanvang van de behandeling.
Uitwisseling persoonsgegevens voor onderzoek
Mag het St. Antonius gegevens van mij als patiënt gebruiken voor onderzoek?
Zoals in veel ziekenhuizen, worden ook in ons ziekenhuis medische gegevens verzameld; dit is nodig om u goede zorg te kunnen bieden en zorg te kunnen verbeteren. Ook uw medische gegevens mag het St. Antonius onder bepaalde voorwaarden gebruiken voor kwaliteitsregistratie en wetenschappelijk onderzoek. Deze gegevens zijn anoniem en dus niet direct herleidbaar tot uw persoon.
U kunt uiteraard tegen dit gebruik bezwaar maken. Uw ‘wel/geen bezwaar’ leggen wij vast in uw EPD; dit heeft verder geen gevolgen voor uw behandeling. In de toekomst kan de patiënt zelf het 'wel/geen bezwaar' beheren via het online patiëntenportaal Mijn Antonius.
Mag het St. Antonius alle gegevens van mij als patiënt verzamelen?
Nee, dat mag niet. Onderzoekers mogen alleen data van patiënten gebruiken die noodzakelijk zijn voor het beantwoorden van vooraf bepaalde onderzoeksvragen.
Mag ik ook bezwaar maken tegen gebruik van mijn data?
Ja, patiënten mogen te allen tijde bezwaar maken voor het gebruik van zijn gegevens voor onderzoek. Dit heeft verder geen consequenties voor de behandeling.
Hoe worden de patiëntendata voor wetenschappelijk onderzoek opgeslagen?
Voor de opslag van de onderzoeksdata gebruikt het St. Antonius een beveiligd datamanagementsysteem.
Waar moet ik als patiënt op letten bij het geven van toestemming voor het gebruik van mijn medische gegevens?
Het is goed u altijd af te vragen wat anderen, bijvoorbeeld een onderzoeker van het ziekenhuis, gaan doen met uw gegevens. Schroom nooit daar vragen over te stellen, zodat u weet waarvoor u toestemming geeft.
Hoe controleert het ziekenhuis of zorgverleners, onderzoekers, medewerkers zich houden aan de afspraken met betrekking tot gegevensbescherming?
Wij auditen (controleren) regelmatig en nemen steekproeven.