Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Gegevensbescherming in de zorg deel 5: eisen beveiliging zorginformatiesysteem

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Update 3 juli: het Besluit is nog niet in werking getreden. Er zouden nog te veel Kamervragen lopen. Mogelijk wordt de inhoud van het Besluit nog aangepast.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 5 en tevens het laatste deel uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Deze blogposts zijn reeds verschenen:

Zorginformatiesysteem

In het Besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld in de zorg. Meer specifiek wordt er ingegaan op welke eisen er gelden ten aanzien van de beveiliging van een zorginformatiesysteem (en een elektronisch uitwisselingssysteem). Een zorginformatiesysteem is een elektronisch systeem van een zorgaanbieder voor het verwerken van persoonsgegevens in een patiëntdossier. Het is uitdrukkelijk geen uitwisselingssysteem.

Het Besluit stelt met name het voldoen aan normen verplicht:

  • NEN 7510: Informatiebeveiliging in de zorg
  • NEN 7512: Vertrouwensbasis voor gegevensuitwisseling
  • NEN 7513: Logging van toegang tot het patiëntdossier

Op grond van het Besluit geldt voor het zorginformatiesysteem dat de zorgaanbieder bij het gebruik van het systeem moet voldoen aan de normen NEN 7510 en NEN 7512. Verder moet de zorgaanbieder ervoor zorgen dat de logging van het systeem, voldoet aan NEN 7513.

Concreet zal dit betekenen dat de leverancier van het zorginformatiesysteem moet faciliteren. De ICT-leverancier moet immers de logging maar ook bijvoorbeeld de methode voor identificatie, authenticatie en autorisatie in het systeem implementeren. Het beheer van de instellingen van de maatregelen liggen wel weer bij de zorgaanbieder.

De Algemene Verordening Gegevensbescherming

Dit sluit ook aan bij wat in de Algemene Verordening Gegevensbescherming staat beschreven over beveiliging. Per 25 mei 2018 gaat namelijk gelden dat het nemen van passende maatregelen de verantwoordelijkheid wordt van de verwerkingsverantwoordelijke en de verwerker! Dat laatste is nieuw en kan een behoorlijke impact hebben.

Ik interpreteer dit zo dat de ICT-dienstverlener ook een eigen verantwoordelijkheid krijgt om ervoor te zorgen dat de zorgaanbieder bij haar gebruik kan voldoen aan de genoemde normen.

ICTRecht Academy

Meer weten over gegevensbescherming, privacy en ICT in de zorg? Kom naar onze cursus Gezondheidsrecht & ICT en u krijgt in één dag overzicht op deze complexe onderwerpen.

Itte Overing

Directeur ICTRecht Cloud & E-commerce

Itte Overing werkt als juridisch adviseur bij ICTRecht en is eindverantwoordelijk voor het Cloud- en E-commerceteam. Itte adviseert clouddienstverleners, hun toeleveranciers en afnemers over de juridische aspecten van cloud computing. Zij heeft zich hierbij gespecialiseerd in de continuïteit van bedrijf én dienst en de specifieke juridische uitdagingen van zorginstellingen in de cloud.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie