Wie ben ik en hoe word ik gezien?

Inmiddels hebben we bijna een jaar te maken met de Algemene verordening gegevensbescherming (AVG). Daarmee weten we wat het minimum is, qua bescherming van persoonsgegevens.

Een minimum waar we niet door heen mogen zakken. Zowel overheid als (zorg)organisatie mogen met beleid en regelgeving deze bodem niet loslaten. Wat wel mag is de  lat hoger leggen.

Als het gaat om de digitale gegevensuitwisseling binnen de zorg heeft de overheid de lat hoger gelegd met de Wet op de cliëntenrechten bij elektronische gegevensverwerking (en in aanvulling  daarop het Besluit op de cliëntenrechten bij elektronische gegevensverwerking). Daar heeft de zorgsector vanaf 1 januari 2020 mee te maken. Er worden in het besluit normen genoemd en men zal aantoonbaar moeten maken dat hieraan wordt voldaan. Vraag is alleen, wie is men?

In de dagelijkse praktijk in de zorg worden termen als zorgaanbieder, zorgverlener, zorgorganisatie, hulpverlener, hulpverlenersorganisatie e.d. afwisselend en door elkaar gebruikt. Dat klinkt allemaal aannemelijk en vanzelfsprekend. Toch kan hierdoor ook spraakverwarring ontstaan. Dat wordt mede veroorzaakt door wet- en regelgeving. Elke term heeft zijn eigen definitie. Sommige algemeen bekende en dagelijkse gebruikte termen of begrippen komen helemaal niet voor in een wet of besluit. Het zijn termen die afwisselend worden gebruikt. Cruciale vraag is dan: wie ben ik en wat mag ik?
Is bepaalde wet- en regelgeving op mij van toepassing, of juist niet? 

Kijken we bijvoorbeeld even naar de Wet op de cliëntenrechten bij elektronische gegevensverwerking in de zorg. Daarin wordt gesproken over zorgaanbieder, opvallend is dat hiervan geen definitie wordt gegeven.  De term  zorgverlener komt daarin dan wel weer voor. Maak daar maar eens chocola van!

Daarentegen wordt de term zorgaanbieder wel gedefinieerd in het Besluit op de cliëntenrechten bij elektronische gegevensverwerking in de zorg. Vreemd toch? Dat besluit heeft te maken met de beveiliging bij elektronische gegevensverwerking. Voor de definitie van zorgaanbieder verwijst dat besluit naar de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Volg je het nog?

Het verlossend woord in deze van-het-kastje-naar-de-muur-discussie is: een zorgverlener is een natuurlijk persoon, dus geen bedrijf of organisatie. Het is een mens, van vlees en  bloed. Hij of zij moet wel BIG-geregistreerd zijn. Kijk, dat is een helder verhaal.  Verder, als de natuurlijke persoon niet in dat register staat, dan moet het wel gaan om een persoon die een beroep uitoefent waarvan de opleiding bij een Algemene maatregel van bestuur is geregeld of aangewezen. Dat laatste bedoelen ze met het begrip zorgverlener in de Wet cliëntenrechten bij elektronische gegevensverwerking. 

Door de combinatie van wet en besluit worden beide groepen bedoeld. Wordt niet aan deze voorwaarden voldaan, dan ben je geen zorgaanbieder of zorgverlener. Andere aanduidingen zijn überhaupt niet interessant. 

Betekent dit nu dat anderen binnen en buiten de zorg elektronisch zorggegevens mogen uitwisselen? Ja! Zij worden niet expliciet uitgesloten. Wel gaan we ervan uit dat het niet vanzelfsprekend is dat anderen ook persoonsgegevens mogen gebruiken en uitwisselen in de zorg. De AVG stelt daaraan eisen, niet  de genoemde wetten en besluiten.

 Auke ten Hoeve, AVG-consultant