Neem contact op
Hoe de AVG en WGBO van toepassing zijn in de zorg

Privacy in de zorg: meer dan alleen de AVG

Privacy in de zorg wordt vaak automatisch gekoppeld aan de Algemene verordening gegevensbescherming (AVG). Dat is terecht, maar niet volledig. Zorgorganisaties hebben namelijk óók te maken met de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Waar de AVG een algemeen Europees kader biedt voor de bescherming van persoonsgegevens, richt de WGBO zich specifiek op de behandelrelatie tussen zorgverlener en patiënt, met concrete regels zoals het bijhouden van een medisch dossier en een bewaartermijn van in principe twintig jaar.

In de praktijk gelden beide wetten tegelijk: de AVG als basis en de WGBO als aanvullende, sectorspecifieke wet. Dat lijkt duidelijk, maar roept in de dagelijkse zorgpraktijk regelmatig vragen op. Hoe dat precies zit, legt Privacy Consultant Rosa je uit in dit blog.

AVG en WBGO

Geheimhoudingsplicht en vertrouwen

De WGBO stelt vertrouwelijkheid centraal. Zorgverleners zijn verplicht tot geheimhouding van alles wat hen in het kader van de behandeling over de patiënt bekend wordt. Dat gaat verder dan alleen medische gegevens, ook persoonlijke informatie die tijdens een behandelcontact wordt gedeeld, valt hieronder. Deze geheimhoudingsplicht vormt de basis voor het vertrouwen tussen patiënt en zorgverlener. Gegevens mogen alleen worden gedeeld onder specifieke voorwaarden, zoals met toestemming van de patiënt of wanneer een wettelijke verplichting bestaat.

Medisch dossier versus dataminimalisatie

In de WGBO is vastgelegd dat een zorgverlener een medisch dossier moet bijhouden. Dit dossier bevat de informatie die nodig is voor goede zorg en de continuïteit van de behandeling. Tegelijkertijd geldt op grond van de AVG het principe van dataminimalisatie: alleen persoonsgegevens die noodzakelijk zijn voor het beoogde doel mogen worden vastgelegd.

Dataminimalisatie betekent niet dat je zo min mogelijk opschrijft, maar dat je alleen vastlegt wat relevant en noodzakelijk is (en geen extra details “voor de zekerheid”). In de zorg kan dit een spanningsveld opleveren, omdat goede zorg soms méér vraagt dan alleen informatie over de directe behandeling, bijvoorbeeld gegevens over veiligheid, functioneren of risico’s.

Voorbeelden uit de praktijk:

  • Een zorgverlener kan beter feitelijk rapporteren (“patiënt verhoogt stem, uit onvrede over wachttijd; gesprek gevoerd over grenzen en vervolgafspraak gepland”) dan oordelend (“patiënt is irritant/manipulatief”). Feiten helpen collega’s verder en voorkomen onnodige etiketten.
  • Bij stress door privéproblemen is het vaak voldoende om te noteren: “cliënt ervaart stress door scheidingssituatie, met invloed op slaap en stemming; besproken en vervolgstap afgesproken.” Je hoeft meestal niet alle details vast te leggen over ruzies, beschuldigingen of namen als dat niet nodig is voor de zorg.

Zorgverleners moeten zich dus aan zowel de WGBO als de AVG houden: genoeg informatie om goede zorg te leveren, maar niet méér dan noodzakelijk.

Bewaartermijnen: WGBO als uitgangspunt

Ook bij bewaartermijnen is de WGBO vaak leidend. Waar de AVG geen concrete termijnen voorschrijft, bepaalt de WGBO dat medische dossiers in principe twintig jaar moeten worden bewaard. Voor zorgorganisaties betekent dit dat zij hun bewaarbeleid primair op de WGBO baseren, aangevuld met de eisen uit de AVG. Denk bijvoorbeeld aan:

  • Integriteit en vertrouwelijkheid (passende technische en organisatorische beveiligingsmaatregelen).
  • Transparantie (patiënten duidelijk informeren via bijvoorbeeld een privacyverklaring).
  • Doelbinding en dataminimalisatie (gegevens niet langer of breder gebruiken dan nodig).
  • Accountability (kunnen aantonen dat het bewaarbeleid klopt en wordt nageleefd).

Inzagerecht en de grenzen daarvan

Het inzagerecht uit de AVG ziet op alle persoonsgegevens, terwijl de WGBO specifieke rechten regelt voor het medisch dossier, zoals inzage in diagnoses, verslagen en onderzoeksresultaten. De AVG vult de WGBO aan, bijvoorbeeld bij inzage in gegevens buiten de directe behandelrelatie.

Dit inzagerecht is niet onbeperkt. Zowel de AVG als de WGBO bieden ruimte om inzage te beperken ter bescherming van anderen. In de praktijk kan dit betekenen dat het dossier wordt verstrekt, met afscherming van passages over derden.

Delen van medische gegevens

Het delen van medische gegevens is onder de WGBO alleen onder strikte voorwaarden toegestaan: meestal mogen gegevens niet buiten de eigen organisatie worden gedeeld, tenzij de patiënt specifiek toestemming heeft gegeven. Een voor de praktijk belangrijke uitzondering vormt de situatie van doorverwijzing. Bijvoorbeeld: een huisarts mag relevante medische informatie delen met een medisch specialist in het ziekenhuis als de patiënt wordt doorverwezen, zodat de specialist de juiste behandeling kan starten. In die situatie wordt de toestemming van de patiënt verondersteld. Op dat punt raken de WGBO en de AVG elkaar direct. Op grond van de WGBO wordt de toestemming verondersteld, maar dit is onder de AVG eigenlijk problematisch. Dit betekent dan ook dat de patiënt wel aantoonbaar juist moet zijn geïnformeerd over de doorverwijzing, en de kans heeft gekregen bezwaar te maken. Onder de WGBO moet de patiënt dan ook wel juist zijn geïnformeerd over de behandeling.

Het delen buiten de behandelcontext – bijvoorbeeld voor beleid, onderzoek of kwaliteitsdoeleinden – vraagt om een eigen beoordeling. Telkens moet expliciet beoordeeld worden welk doel de gegevensdeling dient, welke grondslag van toepassing is en of aanvullende waarborgen nodig zijn. Meestal is ook hier expliciete toestemming vereist. Daarbij vraagt de AVG een beoordeling van zaken als doelbinding en passende beveiligingsmaatregelen, terwijl de WGBO vooral bepaalt wat er binnen de behandelrelatie mag vanuit het beroepsgeheim en de noodzaak voor goede zorg.

Beveiliging en datalekken in de zorg

Tot slot spelen beveiliging en incidenten een belangrijke rol. De WGBO verplicht tot een zorgvuldige omgang met medische gegevens, vanuit het beroepsgeheim. De AVG maakt dit concreet door eisen te stellen aan passende technische en organisatorische maatregelen (zoals toegangsbeheer en logging) én door meldplicht op te leggen bij datalekken.

Een datalek raakt daarom in de zorg niet alleen de AVG, maar kan ook het medisch beroepsgeheim doorbreken doordat vertrouwelijke patiënt informatie onbevoegd is gedeeld. Dat maakt zulke incidenten extra gevoelig.

Een voorbeeld uit de praktijk: een e-mail met een behandelverslag wordt per ongeluk naar het verkeerde e-mailadres gestuurd, of een medewerker verliest een laptop/USB-stick met patiëntgegevens. In zulke situaties moet de organisatie niet alleen beoordelen of er sprake is van een AVG-datalek (en of melding aan de Autoriteit Persoonsgegevens en/of de patiënt nodig is), maar ook direct maatregelen nemen om verdere verspreiding te voorkomen en het vertrouwen in de behandelrelatie te beschermen.

AVG en WGBO in de zorg: overzicht van de belangrijkste verschillen

5 praktische handvatten voor zorgorganisaties

Hoe zorg je ervoor dat de AVG en WGBO niet alleen “op papier kloppen”, maar ook in de praktijk goed werken (privacy by default)? Deze vijf tips helpen om privacy structureel mee te nemen in de zorgverlening en bedrijfsvoering.

  1. Maak privacy een vast onderdeel van het werkproces.Zorg dat bij elke verandering in zorgverlening of systemen standaard wordt getoetst aan de AVG én WGBO. Laat bijvoorbeeld bij een nieuwe applicatie waarin gezondheidsgegevens worden verwerkt eerst een risicoanalyse uitvoeren (DPIA).
  2. Gebruik een vaste ‘privacy-check’ bij samenwerking. Bespreek bij nieuwe ketenpartners of projecten altijd: wat delen we, waarom, en op basis van welke afspraken? En weeg hierbij ook de risico’s en maatregelen af.
  3. Hanteer duidelijke dossierafspraken. Spreek af wat wél en niet in het dossier hoort, en voorkom notities die niet behandel-relevant zijn.
  4. Houd bewaartermijnen en inzageverzoeken op orde. Zorg voor een actueel bewaarbeleid én een werkbaar proces om inzage- en correctieverzoeken tijdig af te handelen gelet op de reactie termijn vanuit de AVG.
  5. Oefen op datalekken en incidenten. Zorg dat medewerkers weten wat ze moeten doen bij een fout (zoals verkeerd mailen), en werk met korte stappenplannen en interne meldroutes.

Zo wordt privacy geen papieren verplichting, maar een vaste routine in het werkproces én in de behandelrelatie.

AVG en WGBO als aanvullend gheel

In de zorg is het geen kwestie van óf AVG óf WGBO. Beide wetten gelden naast elkaar en versterken elkaar. De WGBO borgt het vertrouwen in de behandelrelatie, de AVG zorgt voor structuur, transparantie en controle.

Tegelijk is privacy geen eenmalig ‘’vinkje’’ maar iets dat continu in beweging is en blijvend aandacht vraagt. Juist doordat vragen over dossiers, inzage en samenwerking steeds terugkomen in de praktijk, hoort privacy stevig verankerd te zijn in processen, bedrijfsvoering en dagelijkse zorgverlening.

Meer weten?
Meer weten over de AVG of WGBO? Of hulp nodig om te voldoen aan wet- en regelgeving? Onze Privacy Consultants staan klaar om je te ondersteunen. Neem vrijblijvend contact met ons op.

Reduce Risk, Create Value!