Laatste update: 11 september 2020
De afgelopen jaren zijn er belangrijke ontwikkelingen geweest met betrekking tot de wet- en regelgeving over de uitwisseling van patiëntgegevens en de beveiliging in de zorg. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en het Besluit elektronische gegevensverwerking door zorgaanbieders zijn inmiddels in werking getreden. De Wabvpz is deels per 1 juli 2017 in werking getreden en een deel van de uitgestelde regels is sinds 1 juli van dit jaar in werking. In deze wet wordt onder andere omschreven wat de rechten van de patiënt zijn bij de uitwisseling van zijn gegevens. Het Besluit bevat regels ten aanzien van de beveiliging van een elektronisch uitwisselingssysteem (en zorginformatiesysteem) en is sinds 1 januari 2018 in werking. De regels die in de Wabvpz en het Besluit zijn vastgelegd hebben een behoorlijke impact op ICT-oplossingen voor de zorg.
Blogserie over impact van nieuwe regels gegevensverwerking in de zorg
Dit is deel 4 uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Deze blogposts zijn al verschenen:
- Deel 1: nieuwe regels per 1 juli 2017
- Deel 2: wat is een elektronisch uitwisselingssysteem?
- Deel 3: welke rechten heeft de patiënt?
- Deel 5: eisen beveiliging zorginformatiesysteem
Het Besluit elektronische gegevensverwerking door zorgaanbieders
In het Besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld voor gegevensbescherming in de zorg. Meer specifiek wordt er ingegaan op welke eisen er gelden ten aanzien van de beveiliging van een elektronisch uitwisselingssysteem (en een zorginformatiesysteem).
NEN-normen in de zorg
Het Besluit stelt met name het voldoen aan bepaalde normen verplicht:
- NEN 7510: informatiebeveiliging in de zorg
- NEN 7512: vertrouwensbasis voor gegevensuitwisseling
- NEN 7513: logging van toegang tot het patiëntdossier
Vier partijen bij het beveiligen van uitwisselingssystemen in de zorg
In het Besluit wordt onderscheid gemaakt tussen vier partijen:
- De zorgaanbieder, hier de zorginstelling of solistisch werkende zorgverlener.
- De verantwoordelijke voor het uitwisselingssysteem, een goed voorbeeld is VZVZ in het kader van het LSP.
- De partij die het uitwisselingssysteem beheert en in stand houdt, de ICT-dienstverlener.
- De zorgserviceprovider, dit is de partij die het netwerk levert tussen het zorginformatiesysteem en het uitwisselingssysteem.
Voor ieder van deze partijen zijn verplichtingen opgenomen in het kader van de beveiliging van een uitwisselingssysteem.
De zorgaanbieder en de verantwoordelijke voor het uitwisselingssysteem moeten bij het gebruik van het uitwisselingssysteem voldoen aan de normen NEN 7510 en NEN 7512. Ook moeten zij ervoor zorgen dat de logging van het systeem, voldoet aan NEN 7513. De ICT-dienstverlener zal het e.e.a moeten faciliteren zodat de zorgaanbieder (en verantwoordelijke voor het elektronisch uitwisselingssysteem) aan haar verplichtingen kan voldoen.
De ICT-dienstverlener moet een audit laten uitvoeren voor NEN 7510 en NEN 7512 door een onafhankelijke derde. De scope van de audit wordt ook bepaald. Zowel de rechtspersoon (vaak een besloten vennootschap) als het systeem moeten ge-audit worden. Het audit-rapport mag niet ouder zijn dan 5 jaar.
Verder wordt het verplicht om te koppelen met een uitwisselingssysteem middels een netwerkverbinding van een zorgserviceprovider. De verantwoordelijke stelt criteria op waaraan de zorgserviceprovider en de door hem geleverde netwerkverbinding moeten voldoen. De verantwoordelijke stelt de criteria overeenkomstig NEN 7512 op met als doel het veilig uitwisselen van gegevens.
ICTRecht Academy
Meer weten over gegevensbescherming, privacy en ICT in de zorg? Kom naar onze cursus Gezondheidsrecht & ICT en u krijgt in één dag overzicht op deze complexe onderwerpen.
