NEN 7510, NEN 7512 en NEN 7513. Zo langzamerhand de verplichte kost voor elke zorgaanbieder en haar ICT-leverancier als het gaat om informatieveiligheid. NEN 7510 wordt al sinds 2013 door de AP, toen nog CBP, genoemd als de gangbare standaard voor passende (organisatorische) beveiliging. Sinds 2018 is de zorgaanbieder ook verplicht om bij het gebruik van een zorginformatiesysteem of elektronisch uitwisselingssysteem te voldoen aan de genoemde NEN-normen.
Wegiz
Het is te verwachten dat de normen een steeds grotere rol gaan spelen, gezien het Wetsvoorstel Elektronische Gegevensuitwisseling in de Zorg ("Wegiz"). Minister Van Ark verwacht begin 2021 het wetsvoorstel naar de Tweede Kamer te sturen, de internetconsultatie is reeds afgerond. Het voorstel is elke gegevensuitwisseling gestandaardiseerd te laten verlopen. Taal en techniek moeten daartoe worden gestandaardiseerd. Voorgaande omdat “goede en tijdige gegevensuitwisseling tussen zorgverleners en met de patiënt belangrijk is voor goede zorg”.
Het idee is om per gegevensuitwisseling een standaard te formaliseren die (uiteindelijk) in een Algemene Maatregel van Bestuur (“AMvB”) wordt vastgelegd. Waar mogelijk wordt het aan het veld overgelaten om de standaard vorm te geven in samenwerking met het Nederlandse normalisatie instituut ("NEN"). Indien of voor zover dat niet lukt, kan een standaard middels AMvB worden afgedwongen.
Push versus pull
Bij gegevensuitwisseling in de zorg denkt u al snel aan uitwisseling middels een elektronisch uitwisselingssysteem, een systeem waarmee zorgaanbieders op elektronische wijze dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken.
In de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het Besluit elektronische gegevensverwerking door zorgaanbieders, worden de regels rondom het elektronisch uitwisselingssysteem uitgewerkt. Het gaat hier om een systeem ten behoeve van pull-verkeer, uitdrukkelijk niet om push-verkeer.
Voor de opname van medische gegevens uit een patiëntdossier in een dergelijk systeem geldt een opt-in, de patiënt moet uitdrukkelijke toestemming geven voorafgaand aan de opname van zijn gegevens in het systeem. Omdat vooraf nog niet duidelijk is door wie en ten behoeve van welke behandeling de gegevens opgevraagd gaan worden, kan geen gebruik gemaakt worden van “veronderstelde toestemming” voor de doorbraak van het beroepsgeheim.
Logisch, dat er vooraf toestemming moet worden gegeven, maar wel ook vrij onhandig omdat men het elektronisch uitwisselen op een (bij AMvB) bepaalde gestandaardiseerde wijze verplicht wil maken. Minister Van Ark en haar voorganger, hebben dan ook voorgesteld zoveel als mogelijk weg te blijven bij het elektronisch uitwisselingssysteem bij het formuleren van de standaarden. En hebben dus een sterke voorkeur voor uitwisseling door middel van push-verkeer, zoals nu gangbaar is bij een verwijzing door de huisarts naar de specialist.
Opmerkelijk is dat een van de eerste standaarden waaraan gewerkt wordt, namelijk het digitaal receptenverkeer, naar alle waarschijnlijkheid wel weer via een elektronisch uitwisselingssysteem zal moeten verlopen. Het voorstel voor een AMvB ten behoeve van deze gegevensuitwisseling hoopt Minister Van Ark overigens met het wetsvoorstel (Wegiz) mee te sturen.
Informatieveiligheidsstandaarden
De taal en de informatie die uitgewisseld wordt, moeten gestandaardiseerd worden. In samenwerking met het NEN kunnen hiertoe door het veld standaarden worden opgesteld of kunnen hiertoe bestaande NEN-normen worden aangepast. Deze NEN-normen zullen dan onderdeel gaan uitmaken van de standaard voor een bepaalde gegevensuitwisseling.
Het standaardiseren gaat verder dan de standaardisatie van de uit te wisselen medische gegevens. Ook systemen moeten interoperabel en veilig zijn/worden. Oftewel de techniek en informatieveiligheid moet ook gestandaardiseerd worden. Want ook dat is nodig voor “de beschikbaarheid en de betrouwbaarheid van gezondheidsgegevens en uitwisseling daarvan”. In de concept-memorie van toelichting bij het genoemde wetsvoorstel wordt daarom expliciet ook verwezen naar de drie eerdergenoemde normen: NEN 7510 (informatiebeveiliging), NEN 7512 (vertrouwensbasis voor gegevensuitwisseling) en NEN 7513 (logging).
En zo komen we weer terug bij het begin van deze blog, de NEN-normen voor informatieveiligheid worden voor zover de normen dat nog niet zijn, verplichte kost voor de zorgaanbieder en haar ICT-leverancier. Wat daarbij wiens verantwoordelijkheid is, is een mooi onderwerp voor een volgende blog.
Bent u op zoek naar meer informatie over de juridische plichten bij het elektronisch uitwisselen van medische gegevens? ICTRecht ondersteunt u graag, lees hier verder.
Wilt u meer te weten komen over Wegiz? Lees hier meer over in de blogserie:
Wet en norm: Wegiz
Wegiz #4: keuzevrijheid voor de zorgaanbieder
Wegiz update: wanneer moet u in actie komen en digitaal uitwisselen?
