Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Gegevensbescherming in de zorg deel 4: eisen beveiliging uitwisselingssysteem

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in werking in de zorg. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Update 3 juli: het Besluit is nog niet in werking getreden. Er zouden nog te veel Kamervragen lopen. Mogelijk wordt de inhoud van het Besluit nog aangepast.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 4 uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Deze blogposts zijn al verschenen:

Het volgende deel kunt u nog verwachten:

Het Besluit elektronische gegevensverwerking door zorgaanbieders

In het Besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld voor gegevensbescherming in de zorg. Meer specifiek wordt er ingegaan op welke eisen er gelden ten aanzien van de beveiliging van een elektronisch uitwisselingssysteem (en een zorginformatiesysteem).

NEN-normen in de zorg

Het Besluit stelt met name het voldoen aan bepaalde normen verplicht:

  • NEN 7510: informatiebeveiliging in de zorg
  • NEN 7512: vertrouwensbasis voor gegevensuitwisseling
  • NEN 7513: logging van toegang tot het patiëntdossier

NEN 7521 is nog in ontwikkeling. Deze norm gaat over uniforme en veilige gegevensuitwisseling tussen zorgverleners en zorginstellingenrond de behandeling van een patiënt. Zodra deze af is zal er besloten worden of ook hieraan moet worden voldaan.

Vier partijen bij het beveiligen van uitwisselingssystemen in de zorg

In het Besluit wordt onderscheid gemaakt tussen vier partijen:

  • De zorgaanbieder, hier de zorginstelling of solistisch werkende zorgverlener.
  • De verantwoordelijke voor het uitwisselingssysteem, een goed voorbeeld is VZVZ in het kader van het LSP.
  • De partij die het uitwisselingssysteem beheert en in stand houdt, de ICT-dienstverlener.
  • De zorgserviceprovider, dit is de partij die het netwerk levert tussen het zorginformatiesysteem en het uitwisselingssysteem.

Voor ieder van deze partijen zijn verplichtingen opgenomen in het kader van de beveiliging van een uitwisselingssysteem.

De zorgaanbieder en de verantwoordelijke voor het uitwisselingssysteem moeten bij het gebruik van het uitwisselingssysteem voldoen aan de normen NEN 7510 en NEN 7512. Ook moeten zij ervoor zorgen dat de logging van het systeem, voldoet aan NEN 7513.

De ICT-dienstverlener moet een audit laten uitvoeren voor NEN 7510 en NEN 7512 door een onafhankelijke derde. De scope van de audit wordt ook bepaald. Zowel de rechtspersoon (vaak een bv) als het systeem moeten ge-audit worden. Het audit-rapport mag niet ouder zijn dan 5 jaar.

Verder wordt het verplicht om te koppelen met een uitwisselingssysteem middels een netwerkverbinding van een zorgserviceprovider. De verantwoordelijke stelt criteria op waaraan de zorgserviceprovider en de door hem geleverde netwerkverbinding moeten voldoen. De verantwoordelijke stelt de criteria overeenkomstig NEN 7512 op met als doel het veilig uitwisselen van gegevens.

Functionaris Gegevensbescherming

Naast de normen, wordt er in het kader van de beveiliging ook gesproken over de Functionaris Gegevensbescherming. De Autoriteit Persoonsgegevens noemt dit “een interne toezichthouder op de verwerking van persoonsgegevens”.

Op grond van het Besluit moet door de verantwoordelijke voor het uitwisselingssysteem en de zorgaanbieder een functionaris gegevensbescherming worden aangesteld. Hiermee wordt vooruitgelopen op de Algemene Verordening Gegevensbescherming, volg de link en lees er meer over in onze factsheet.

Op grond van de AVG moet eenieder die stelselmatig op grote schaal medische gegevens verwerkt, een Functionaris Gegevensbescherming aanstellen (intern of extern).

ICTRecht Academy

Meer weten over gegevensbescherming, privacy en ICT in de zorg? Kom naar onze cursus Gezondheidsrecht & ICT en u krijgt in één dag overzicht op deze complexe onderwerpen.

Itte Overing

Juridisch adviseur & Manager Cloud

Itte Overing werkt als juridisch adviseur bij ICTRecht en is manager van het cloudteam. Zij adviseert clouddienstverleners, hun toeleveranciers en afnemers over de juridische aspecten van cloud computing.

Zij heeft zich hierbij gespecialiseerd in de continuïteit van bedrijf én dienst, de specifieke juridische uitdagingen van zorginstellingen in de cloud en “notice and takedown”.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie