Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.
Update 3 juli: het Besluit is nog niet in werking getreden. Er zouden nog te veel Kamervragen lopen. Mogelijk wordt de inhoud van het Besluit nog aangepast.
Dit is deel 5 en tevens het laatste deel uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Deze blogposts zijn reeds verschenen:
In het Besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld in de zorg. Meer specifiek wordt er ingegaan op welke eisen er gelden ten aanzien van de beveiliging van een zorginformatiesysteem (en een elektronisch uitwisselingssysteem). Een zorginformatiesysteem is een elektronisch systeem van een zorgaanbieder voor het verwerken van persoonsgegevens in een patiëntdossier. Het is uitdrukkelijk geen uitwisselingssysteem.
Het Besluit stelt met name het voldoen aan normen verplicht:
Op grond van het Besluit geldt voor het zorginformatiesysteem dat de zorgaanbieder bij het gebruik van het systeem moet voldoen aan de normen NEN 7510 en NEN 7512. Verder moet de zorgaanbieder ervoor zorgen dat de logging van het systeem, voldoet aan NEN 7513.
Concreet zal dit betekenen dat de leverancier van het zorginformatiesysteem moet faciliteren. De ICT-leverancier moet immers de logging maar ook bijvoorbeeld de methode voor identificatie, authenticatie en autorisatie in het systeem implementeren. Het beheer van de instellingen van de maatregelen liggen wel weer bij de zorgaanbieder.
Dit sluit ook aan bij wat in de Algemene Verordening Gegevensbescherming staat beschreven over beveiliging. Per 25 mei 2018 gaat namelijk gelden dat het nemen van passende maatregelen de verantwoordelijkheid wordt van de verwerkingsverantwoordelijke en de verwerker! Dat laatste is nieuw en kan een behoorlijke impact hebben.
Ik interpreteer dit zo dat de ICT-dienstverlener ook een eigen verantwoordelijkheid krijgt om ervoor te zorgen dat de zorgaanbieder bij haar gebruik kan voldoen aan de genoemde normen.
Meer weten over gegevensbescherming, privacy en ICT in de zorg? Kom naar onze cursus Gezondheidsrecht & ICT en u krijgt in één dag overzicht op deze complexe onderwerpen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.