Patiëntgegevens delen via G-suite

Juristen en advocaten van VvAA ondersteunen leden bij uiteenlopende problemen.

Tekst: Shirin Slabbers

Een kinderfysiotherapeut/orthopedagoog is met collega’s uit verschillende disciplines een ‘eetteam’ gestart. Doel is te leren van elkaars ervaringen. Om documenten en gegevens te delen van patiënten die hiervoor in aanmerking komen – zonder dat de informatie te herleiden is tot patiënten – is voorgesteld om G-suite te gebruiken: de zakelijke dienstverlening van Google. De kinderfysiotherapeut vraagt zich af of G-suite veilig is en goedgekeurd is volgens de voorwaarden van de AVG.

Antwoord

Annemarie Smilde is senior specialist
gezondheidsrecht bij VvAA

Voor de beantwoording van deze vraag is het niet alleen van belang of het gebruik van G-suite aan de veiligheidseisen van de AVG voldoet, maar ook of het delen van patiëntengegevens is toegestaan op grond van de Europese privacywet Algemene verordening gegevensbescherming (AVG), de Uitvoeringswet AVG en de WGBO. 

Met betrekking tot de veiligheid van gegevensverwerking bepaalt de AVG kort samengevat dat een zorgprofessional technische maatregelen moet treffen voor het beperken van het risico op onbevoegd gebruik (al dan niet opzettelijk) van de gegevens of het verlies hiervan. Dit geldt voor digitale patiëntendossiers, mailverkeer en voor systemen waarmee zorgverleners gegevens met elkaar delen.

De veiligheids- en ICT-experts van VvAA hebben zich over G-suite
gebogen en laten weten dat zorgprofessionals met de betaalde (!) variant van G-suite kunnen profiteren van de continuïteit en de professionele ondersteuning die Google biedt. Het bedrijf heeft alle beveiligingsmaatregelendie voor een goede uitwisseling van gegevens nodig zijn, goed op orde. Denk hierbij aan encryptie en TLS-ontvangst. Dit is vaak veel beter dan bij de kleinere ICT-partijen in de markt. Google beschrijft op een speciale pagina hoe zij de AVG naleeft en welke instellingen u kunt of moet doen. Oftewel: met de betaalde variant van Google G-suite voldoen zorgprofessionals aan de technische veiligheidseis van de AVG, mits zij de instructies van Google hiervoor volgen.

Betaalde versie van G-suite is technisch gezien AVG-proof

Voor de vraag in hoeverre het delen van patiëntengegevens in de beschreven context is toegestaan op grond van de AVG, de Uitvoeringswet AVG en de WGBO, spelen een aantal zaken. Het gaat niet alleen om het doel van de sessies, maar het is ook van belang of de deelnemers zelf rechtstreeks betrokken zijn bij de behandeling van de te bespreken patiënten. In bepaalde gevallen zal er voor de gegevensuitwisseling expliciete toestemming van de betreffende patiënten en/of verte-
genwoordigers vereist zijn. In andere gevallen kan volstaan worden met het vooraf informeren van cliënten over het delen van gegevens tijdens de sessies en het doel daarvan. Ook moeten deze patiënten en/of hun vertegenwoordigers dan in de gelegenheid gesteld worden om bezwaar te maken.