Per 1 juli 2017 is de Wet cliëntenrechten bij elektronische verwerking van gegevens deels in werking getreden. Aanvankelijk was het idee om tegelijkertijd het Besluit elektronische gegevensverwerking door zorgaanbieders van kracht te laten zijn. De toepassing van dit Besluit werd echter uitgesteld, omdat er nog te veel Kamervragen liepen. Kennelijk zijn de Kamervragen inmiddels beantwoord en opgelost, want het Besluit is afgelopen 28 november in de Staatscourant gepubliceerd en is vanaf 1 januari 2018 van kracht. Wat hebben de Kamervragen betekend voor het definitieve Besluit?
Vragen over samenhang tussen het Besluit en andere wetgeving
Het Besluit geeft nadere invulling aan de beveiligingseisen waaraan elektronische uitwisselingssystemen en zorginformatiesystemen moeten voldoen. De leden van de PvdA- en SP-fracties hebben naar aanleiding van het ontwerp van het Besluit verschillende vragen gesteld. Zo vroegen de leden van de PvdA-fractie zich af hoe het zat met het afleggen van verantwoording over het verbeteren van de informatiebeveiliging en bescherming van persoonsgegevens. Aan wie moet de zorgaanbieder bijvoorbeeld verantwoording afleggen en hoe ver reikt de verantwoordelijkheid?
Ook hadden de fracties vragen over de samenhang tussen het Besluit en andere (aankomende) wetgeving. De fracties verwezen hierbij naar de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten, waarin een vergaande hackingsbevoegdheid wordt gecreëerd. Moeten medische gegevens niet expliciet worden uitgezonderd van de mogelijkheid tot hacken en waarom wordt er, in het kader van beveiliging, niet gekozen voor ‘privacy enhancing technology’?
Duidelijkheid over wat en wanneer gehackt mag worden
De minister van Volksgezondheid, Welzijn en Sport heeft de vragen uitgebreid beantwoord. Het toezichthoudend orgaan is volgens de minister, zoals ook uit de wet volgt, de Autoriteit Persoonsgegevens (AP). De AP zal daarnaast samenwerken met de Inspectie Gezondheidszorg. De aankomende wetgeving geeft volgens de minister een helder, wettelijk kader voor de beantwoording van de vraag wanneer en wat er gehackt mag worden.
Ook de kritische noten over de netwerkbeveiliging weet de minister van tafel te vegen. De minister wijst er terecht op dat het treffen van beveiligingsmaatregelen en het inzetten van privacy enhancing technology prima naast elkaar kunnen bestaan.
De minister weet zich naar mijn mening goed door de Kamervragen heen te slaan en ziet zich daarom - terecht - niet genoodzaakt om het Besluit naar aanleiding van de vragen te wijzigen. Het Besluit is dan ook onveranderd in werking getreden. In onze eerder gepubliceerde blogreeks over gegevensbescherming in de zorg leest u meer over de impact van deze nieuwe regelgeving.
Ondanks dat de Kamervragen geen aanleiding geven tot wijziging van het Besluit, schort het Besluit inhoudelijk aan alle kanten. Hierover meer in deel 2 van deze blogreeks 'De AVG en het Besluit elektronische gegevensverwerking door zorgaanbieders: geen dikke vriendjes'.
Training ICT en gezondheidsrecht
Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?
