Dossier onnodig ingezien?
U ontvangt als praktijkeigenaar en behandelaar een mail van een patiënt. Hij behandelt daarin drie punten. Deze gaan over het onnodig inzien van een dossier en de volledigheid van een privacyverklaring. Hier vindt u de vragen en antwoorden op een rij.
1) De patiënt vermoedt dat een collega van u die niet bij de behandeling betrokken was, zijn dossier heeft ingezien. Hij vraagt u dat na te gaan. U constateert vervolgens tot uw schrik dat een assistente het dossier onnodig heeft ingezien. Wat nu?
Op grond van de Algemene Verordening Gegevensbescherming (AVG) dient u desgevraagd de patiënt te informeren wie zijn dossier heeft ingezien. Zorg daarom voor software die dat registreert, zodat u het ook kunt produceren. Deze informatieplicht ligt bij de zogenaamde verwerkingsverantwoordelijke. Daaronder vallen bijvoorbeeld de solistisch werkende zorgverlener, een praktijkeigenaar en een instelling. Als een werknemer een dergelijke vraag krijgt, kan die worden doorgespeeld naar bijvoorbeeld de praktijkeigenaar of de functionaris gegevensbescherming. Informeer de patiënt dan wel over die doorgifte.
‘Onnodig inzien betekent onbevoegd’
Een verwerkingsverantwoordelijke kan ook worden aangesproken op het niet controleren van inzages door medewerkers. Er moet namelijk periodiek steekproefsgewijs worden gecontroleerd of degene die een medisch dossier heeft ingezien, daartoe wel bevoegd was. Onnodig inzien betekent onbevoegd.
En als blijkt dat een medewerker onbevoegd inzage heeft gehad, dan moeten maatregelen worden genomen. Denk bijvoorbeeld aan een arbeidsrechtelijke waarschuwing. De patiënt zelf kan bij verschillende instanties een klacht indienen, zoals bij de Autoriteit Persoonsgegevens (AP), en ook aangifte doen. Het onbevoegd inzien is strafbaar (er is dan sprake van computervredebreuk). De AP kan als sanctie een boete opleggen.
2) De patiënt wijst erop dat in uw privacyverklaring nog steeds staat dat een dossier in principe 15 jaar wordt bewaard, terwijl de wettelijke bewaartermijn al jaren een andere is. De patiënt kondigt aan hierover een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Het klopt dat de bewaartermijn in de Wet op de geneeskundige behandelingsovereenkomst is gewijzigd. Van 15 jaar (vanaf einde behandeling) naar 20 jaar (vanaf de laatste wijziging van het dossier). Veel privacyverklaringen zijn hierop nog niet aangepast, terwijl dat wel had gemoeten. Mijn advies is de uwe door een jurist te laten beoordelen en zo nodig te updaten.
3) De patiënt vraagt zich af waarom de privacyverklaring niet is aangevuld met het feit dat er inmiddels e-consulten zijn en de opnames daarvan worden bewaard. U vraagt zich af of dat moet.
E-consulten hoeft u niet op te nemen. Dat mag wel, maar vraag de patiënt daar dan wel toestemming voor. Dit hoeft niet per se in een privacyverklaring te staan, maar mag wel. Noteer het in ieder geval in het dossier.
Uw reactie
Het zou gepast zijn uw patiënt naar aanleiding van zijn mail te informeren over het onderzoek dat u heeft gedaan, tot welke bevindingen dat heeft geleid en welke maatregelen zijn genomen, met dank voor de genomen moeite. De ervaring leert dat dit voor patiënten vaak voldoende is en er geen formele klacht meer wordt ingediend.
