Home / Nieuws & Blogs / Gegevensbescherming in de zorg deel 5: eisen beveiliging zorginformatiesysteem

Gegevensbescherming in de zorg deel 5: eisen beveiliging zorginformatiesysteem

| 7 juli 2017

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Update 3 juli: het Besluit is nog niet in werking getreden. Er zouden nog te veel Kamervragen lopen. Mogelijk wordt de inhoud van het Besluit nog aangepast.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 5 en tevens het laatste deel uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Deze blogposts zijn reeds verschenen:

Zorginformatiesysteem

In het Besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld in de zorg. Meer specifiek wordt er ingegaan op welke eisen er gelden ten aanzien van de beveiliging van een zorginformatiesysteem (en een elektronisch uitwisselingssysteem). Een zorginformatiesysteem is een elektronisch systeem van een zorgaanbieder voor het verwerken van persoonsgegevens in een patiëntdossier. Het is uitdrukkelijk geen uitwisselingssysteem.

Het Besluit stelt met name het voldoen aan normen verplicht:

  • NEN 7510: Informatiebeveiliging in de zorg
  • NEN 7512: Vertrouwensbasis voor gegevensuitwisseling
  • NEN 7513: Logging van toegang tot het patiëntdossier

Op grond van het Besluit geldt voor het zorginformatiesysteem dat de zorgaanbieder bij het gebruik van het systeem moet voldoen aan de normen NEN 7510 en NEN 7512. Verder moet de zorgaanbieder ervoor zorgen dat de logging van het systeem, voldoet aan NEN 7513.

Concreet zal dit betekenen dat de leverancier van het zorginformatiesysteem moet faciliteren. De ICT-leverancier moet immers de logging maar ook bijvoorbeeld de methode voor identificatie, authenticatie en autorisatie in het systeem implementeren. Het beheer van de instellingen van de maatregelen liggen wel weer bij de zorgaanbieder.

De Algemene Verordening Gegevensbescherming

Dit sluit ook aan bij wat in de Algemene Verordening Gegevensbescherming staat beschreven over beveiliging. Per 25 mei 2018 gaat namelijk gelden dat het nemen van passende maatregelen de verantwoordelijkheid wordt van de verwerkingsverantwoordelijke en de verwerker! Dat laatste is nieuw en kan een behoorlijke impact hebben.

Ik interpreteer dit zo dat de ICT-dienstverlener ook een eigen verantwoordelijkheid krijgt om ervoor te zorgen dat de zorgaanbieder bij haar gebruik kan voldoen aan de genoemde normen.

ICTRecht Academy

Meer weten over gegevensbescherming, privacy en ICT in de zorg? Kom naar onze cursus Gezondheidsrecht & ICT en u krijgt in één dag overzicht op deze complexe onderwerpen.