Whatsappen over cliënten, mag dit wel of niet? Privacy-expert Maaike geeft antwoord

Snel advies nodig over huiduitslag bij een patiënt? Even een foto maken, verzenden via whatsapp en direct reactie. Whatsapp is superhandig om snel te overleggen met je collega’s. Maar mag het ook van de AVG? Advocaat Maaike van Santvoort is gespecialiseerd in privacy en geeft antwoord. 

Wil je weten hoe het ook alweer zit met de AVG in de zorg? Scroll dan naar onder voor een stukje theorie. 

Situatie 1: Je hebt advies nodig over een wond bij je patiënt. Je maakt snel een foto en stuurt deze naar je leidinggevende via whatsapp. Mag dat?

Antwoord van de expert: De eerste vraag hierbij luidt: gebruik je een telefoon van de zaak of een privétoestel? Met een privételefoon is het antwoord nee, omdat op dat moment de gegevens buiten de organisatie komen en de werkgever hier geen controle over heeft. Voor een bedrijfstelefoon geldt dat er een noodzaak moet zijn om dit te doen.

Gaat het om een zaak van leven of dood – letterlijk – dan zegt de wet dat het beschermen van vitale belangen in de meeste gevallen boven privacy gaat. Oftewel: je mag whatsapp gebruiken om het leven van je patiënt te redden.

En in alle andere gevallen? Dan is het slimmer om te kiezen voor een optie die beter beveiligd is. Denk aan een e-mail of bericht via de eigen servers van je zorgorganisatie of een app die je werkgever heeft goedgekeurd, zoals Siilo, het medewerkerportaal van Ons, Zivver en Microsoft Teams. En dan nog geldt: alleen als het noodzakelijk is om dit digitaal te doen.

Situatie 2: Je ontvangt een rouwkaart van een patiënt die onlangs is overleden. Je deelt deze met je collega’s in jullie groepsapp. Is dit toegestaan binnen de privacywetgeving?

Antwoord van de expert: De AVG geldt niet voor mensen die overleden zijn. Een rouwkaart mag je dus delen. Houd wel rekening met de gedragscodes van de organisatie waar je werkt.

Met een geboortekaartje zit het iets anders. Die gegevens moet je namelijk wel beschermen. Hoewel de Autoriteit Persoonsgegevens hier niet actief op controleert, is het goed om je te houden aan deze simpele regels:

Ontvang je een geboortekaartje dat is gericht aan de organisatie? Dan kun je ervan uitgaan dat de verzender het goed vindt als je deze deelt met collega’s.

Is de kaart specifiek aan jou geadresseerd? Dan kun je deze beter niet delen.

Situatie 3: Na afloop van je dienst wil je een overdracht doen over je patiënten. Je kunt je collega alleen nergens vinden. Omdat je snel naar huis wil, zet je de belangrijkste dingen op whatsapp. Schend je hiermee de privacy van je patiënten?

Antwoord van de expert: Hierbij geldt hetzelfde antwoord als gegeven bij situatie 1, gebruik alleen je werktelefoon. Mocht je gegevens doorsturen, zorg dan dat dit zo beperkt mogelijk is en goed beveiligd.

Dit kan bijvoorbeeld door niet met naam en toenaam te communiceren, maar door gebruik te maken van een code per patiënt. Zo zijn de gegevens niet direct tot een persoon te herleiden. Komt de data op straat te liggen door een beveiligingslek, dan weet de buitenwereld nog niet direct om wie het gaat. Houd de informatie daarom zo anoniem mogelijk.

Daarnaast moet je je hier afvragen of whatsapp het beste platform is voor dit doel. Als onderdeel van Facebook valt de reputatie van whatsapp rondom gegevensbescherming te betwijfelen. Beter is om de overdracht te doen via een beveiligd platform van je organisatie. In de meeste gevallen verplicht je werkgever dit ook.

Conclusie: wel of geen whatsapp op de zorgwerkvloer?

De AVG schrijft geen specifieke tools voor die je wel of niet mag gebruiken. De organisatie kan er dus theoretisch voor kiezen om whatsapp in te zetten. Toch komen vooral grotere organisaties hier niet zomaar mee weg.

Werkgevers hebben namelijk de plicht om software te gebruiken die passende beveiliging biedt. Kies daarom liever voor een app die dubbel beveiligd is (tweestapsverificatie), die gegevens opslaat op een beveiligde server én ze tijdig verwijdert, en die het makkelijk maakt om gegevens anoniem te verzenden.

Hoe zorgvuldiger je omgaat met de privacy van patiënten, hoe kleiner de kans op een datalek.

Tips

Tot slot nog een paar tips om de privacy van patiënten te waarborgen:

• Richt je vragen altijd specifiek aan de persoon die je nodig hebt (en niet in een groepsgesprek), zodat je de patiëntgegevens zo min mogelijk verspreidt.

• Houd er rekening mee dat in het geval van een bijzondere ziekte of een ongeluk dat in de media is geweest, data niet altijd zo anoniem is als het lijkt.
• Zorg ervoor dat je werktelefoon goed beveiligd is en ga zorgvuldig met toegangscodes om.
• Houd je aan het privacyreglement van de organisatie waar je werkt.

De theorie

Zoals je waarschijnlijk wel weet, is sinds mei 2018 overal in de EU een nieuwe privacywet van kracht: de AVG. Die zorgt ervoor dat klanten van organisaties – en daarmee patiënten in de zorg – meer rechten hebben om hun privacy te beschermen.

Maaike geeft de vijf belangrijkste uitgangspunten voor de AVG in de zorg:

• Medische gegevens zijn altijd aan te merken als bijzondere persoonsgegevens.
• Het verwerken van bijzondere persoonsgegevens  (bijv. d.m.v. het sturen van een appje)  is verboden tenzij de wet anders bepaalt.
• De wet biedt voor zorgverleners de nodige uitzonderingen onder welke omstandigheden de verwerking wel is toegestaan.
• Bijzondere persoonsgegevens mag je, ondanks de uitzondering, alleen verwerken als dit strikt noodzakelijk is.
• Je bent verplicht om passende beveiligingsmaatregelen te treffen om de gegevens van patiënten te beschermen.

Hoe communiceer jij met collega’s over patiënten? Deel je tips hieronder in een reactie.