Het UMC Utrecht lanceerde op 24 maart jl. een real time patiëntenportaal dat onderdeel is van het elektronisch patiëntendossier ("epd"). Het patiëntenportaal biedt patiënten de mogelijkheid om hun medische gegevens online in te zien. Denk hierbij aan behandelverslagen, medicijnoverzichten, metingen, patiëntbrieven en uitslagen.
Momenteel is het patiëntenportaal beschikbaar voor alle patiënten van 16 jaar en ouder en vanaf september 2015 wordt het ook toegankelijk voor patiënten onder 16 jaar. Met het patiëntenportaal worden ongeveer 320.000 personen bereikt.
De inzet van een dergelijk real time patiëntenportaal roept diverse vragen van ethische en juridische aard op. Is het bijvoorbeeld wenselijk dat een patiënt real time alle informatie in zijn dossier kan inzien? De patiënt zou dan namelijk bepaalde uitslagen eerder kunnen inzien dan de arts. En mogelijk worden zonder deskundige toelichting verkeerde conclusies door de patiënt getrokken. Oplossingen zijn uiteraard denkbaar.
Interessant zijn ook de privacy-rechtelijke aspecten die in het algemeen gepaard gaan met de inzet van een dergelijk patiëntenportaal.
Een patiëntenportaal wordt gekoppeld aan het epd van de patiënt. De vraag rijst hoe men de beveiliging van het portaal moet inrichten om er zeker van te zijn dat deze aan de vereisten van de Wet bescherming persoonsgegevens ("Wbp") voldoet. De Wbp vereist immers dat de verantwoordelijke (lees bijvoorbeeld het ziekenhuis) passende technische en organisatorische maatregelen neemt om persoonsgegevens te beschermen tegen verlies of enige vorm van onrechtmatige verwerking. Ten aanzien van de beveiliging van medische persoonsgegevens gelden in ieder geval strengere eisen nu dat bijzondere persoonsgegevens betreffen. Wat ‘passende’ technische en organisatorische beveiligingseisen zijn, definieert de Wbp niet. Dit maakt dat het vaak lastig is te bepalen voor welke beveiliging, of welk beveiligingsniveau moet worden gekozen. Goed juridisch advies kan verantwoordelijke partijen hierbij helpen.
Interessant is dat het UMC bij haar patiëntenportaal DigiD gebruikt als authenticatiemiddel voor patiënten. Dit is een sterk beveiligingsmiddel waarmee in beginsel alle gegevens in het patiëntenportaal kunnen worden versleuteld via encryptie. Als de gegevens eenmaal zijn versleuteld, zijn deze in principe alleen leesbaar voor de betreffende patiënt en/of de arts die kan inloggen. Versleuteling van gegevens van, naar en op het patiëntenportaal lijkt een must te zijn. Maar, het is van belang om niet te vergeten om de beveiliging van het epd zelf ook hierop af te stemmen. Dat is zeker het geval als het epd qua systeem los zou staan van het patiëntenportaal.
Indien u vragen heeft over de juridische aspecten van patiëntenportalen en epd’s of andere vragen op dit rechtsgebied, dan kunt u contact opnemen met Rik Geurts. Rik maakt deel uit van het brancheteam Zorg.
