NEN 7513

Terug naar home

NEN 7513 Medische informatica - Logging - Vastleggen van acties op elektronische patiëntdossiers 2018

Verberg alle toelichting Toon alle toelichting

8.1 Algemeen
De logging moet een getrouw beeld geven van de gebeurtenissen waarop de logging betrekking heeft. Daartoe moet zekerheid worden geboden dat alle gebeurtenissen waarvoor dit geldt op de voorgeschreven wijze worden gelogd en dat de beschikbaarheid, integriteit en vertrouwelijkheid van de logging is gewaarborgd.
In 8.2 t/m 8.6 staan de zekerheidseisen die deze voorwaarden waarborgen. Deze zekerheidseisen vormen een aanvulling op de eisen uit 12.4 van NEN 7510-2:2017. De daar beschreven maatregelen zijn onverminderd van toepassing op de logging. Zo moet de logging ten minste even goed worden beveiligd als de onderliggende gegevens, hetgeen bijvoorbeeld betekent dat de logging alleen toegankelijk behoort te zijn door middel van authenticatie, waarbij ten minste twee factoren worden betrokken.
De aanvullende eisen op 12.4 uit NEN 7510:2017 betreffen:
  • de verantwoordelijkheid voor de logging (8.2);
  • de beschikbaarheid van de logging (8.3);
  • welke eisen er gelden over de toegang tot de logging (8.4);
  • de bewaartermijn van loggegevens (8.5);
  • voorwaarden voor interoperabiliteit (8.6).

8.2 Verantwoordelijkheid
Elke zorginstelling dient zich te kunnen verantwoorden en is gebaat bij de aanwezigheid van een betrouwbare logging. Een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt, is dan ook zelf logverantwoordelijke zoals beschreven in deze norm.
Om invulling te geven aan deze taak moet de zorginstelling of organisatie die persoonlijke gezondheidsinformatie verwerkt een functionaris aanwijzen: de logbeheerder.
Ook als het beheer van het elektronisch patiëntdossier is uitbesteed, blijft de logverantwoordelijke zelf verantwoordelijk voor voldoende beveiliging om de beschikbaarheid, integriteit en vertrouwelijkheid van de loggegevens te garanderen. Bij een systeemmigratie of een wijziging van de IT-dienstverlener is de logverantwoordelijke ervoor verantwoordelijk dat de logging toegankelijk blijft gedurende de geldende bewaartermijn.
Voor een persoonlijke gezondheidsomgeving (PGO) ligt de verantwoordelijkheid voor de logging bij de aanbieder van de PGO.
Voor persoonlijke gezondheidsinformatie die een persoon in eigen beheer elektronisch vastlegt, ligt de verantwoordelijkheid voor de logging geheel bij die persoon zelf.

8.3 Beschikbaarheid van de logging
De beschikbaarheid van de logging moet zodanig zijn dat redelijkerwijze aan de in hoofdstuk 5 beschreven informatiebehoeften en aan wettelijke eisen 6) wordt voldaan. De logverantwoordelijke moet daartoe regels vaststellen.
Dit geldt in het bijzonder bij beëindiging van het contract met de IT-dienstverlener of bij overgang als gevolg van fusie of overname of overdracht van de zorginstelling.
Bij uitbesteding en beëindiging van het contract met de externe dienstverlener moeten er afspraken worden gemaakt om de bewaartermijn en de toegang tot de loggegevens te verzekeren na beëindiging van de overeenkomst.

8.4.1 Algemeen
De logging bevat net als het onderliggend elektronisch patiëntdossier zeer gevoelige informatie. Op de logging moet daarom een strikte toegangsbeheersing worden toegepast, waarop controle moet worden uitgevoerd. Verantwoordelijkheid voor de controle moet in de organisatie zijn belegd. Directe toegang tot loggegevens en tot zoekvragen moet alleen mogelijk zijn op basis van expliciete autorisatie. De logverantwoordelijke moet daartoe regels vaststellen die vallen binnen de kaders van de WGBO, de WBP en de AVG. Specifieke aandacht moet daarbij zijn voor gebruikers met uitgebreide toegangsrechten, zoals de logbeheerder en de systeembeheerder. Het uitgangspunt bij het inrichten van de toegangsbeheersing moet zijn dat er alleen toegang is indien dit strikt noodzakelijk is.
Dit betekent bijvoorbeeld dat ook de logbeheerder niet zonder meer toegang heeft tot alle gelogde gegevens. Zo is bijvoorbeeld het feit dat er vanuit een soa-kliniek een opvraging is gedaan bij de apotheek dermate privacygevoelig dat de logbeheerder bij de apotheek dit niet mag inzien. Voor deze logbeheerder wordt het voor de uitvoering van zijn taak voldoende geacht dat hij kan zien dat er door de kliniek een opvraging is gedaan bij een van de dossiers. Voor de cliënt is deze raadpleging van zijn dossier door de soa-kliniek daarentegen natuurlijk wel inzichtelijk.
Bij het inzien van de logging telt overigens niet alleen het belang van de betrokken cliënt. Ook de privacy van de individuele medewerker van een organisatie is in het geding. Het belang van de privacy van een individuele medewerker van een organisatie kan conflicteren met het direct tonen van de naam van deze medewerker aan de cliënt. In de meeste gevallen is het voldoende dat de naam van de verantwoordelijke gebruiker (hoofdbehandelaar) wordt getoond.
Alleen in bepaalde uitzonderingssituaties is dat anders. In bepaalde gevallen behoren cliënten precies te kunnen nagaan wie welke gegevens in hun patiëntdossier heeft genoteerd of gelezen. In het bijzonder kan dat het geval zijn wanneer de cliënt daarvoor aanwijzingen heeft gegeven. Daarmee wordt afgeweken van generieke autorisatieprotocollen, waarin de geldende regels voor toegang tot de gegevens zijn vastgelegd. Wettelijke kaders beschrijven de minimumsituatie van de gevallen waarin deze wensen van de cliënt, dan wel diens gemachtigde of wettelijke vertegenwoordiger, moeten worden gehonoreerd. Dit betekent dat nadat de betrokkene een verzoek heeft gedaan om de logging in te zien, in eerste instantie de naam van de medewerker niet wordt getoond. In tweede instantie, wanneer de betrokkene daartoe een specifiek met redenen omkleed verzoek doet, behoort de organisatie de belangen van de medewerker en de betrokkene tegen elkaar af te wegen en in voorkomende gevallen het overzicht te tonen met de naam van de medewerker.

8.4.2 Autorisatieprotocollen en toestemmingsprofielen
Als uitwerking van de wetgeving worden door zorginstellingen autorisatieprotocollen opgesteld waarin de reguliere toegang tot bepaalde zorggegevens wordt gekoppeld aan een rol in het zorgproces en cliënten specifiek gewenste verruimingen of beperkingen op de algemene regels kenbaar kunnen maken in toestemmingsprofielen. De logging moet kunnen worden gebruikt voor de verantwoording van bepaalde gebeurtenissen op een elektronisch patiëntdossier. Daarom moeten in de logging verwijzingen worden opgenomen naar het autorisatieprotocol en naar het toestemmingsprofiel dat bij die gebeurtenis van toepassing was. Is er (nog) geen autorisatieprotocol of toestemmingsprofiel van kracht, dan wordt het ontbreken ervan vermeld.
In tabel 1 staat een opsomming van de in paragraaf 8.4 genoemde specifieke beperkingen van de toegang tot de loggegevens.
Tabel 1Bijzondere situaties bij toegang tot de loggegevens
Belanghebbende Mag zien Mag niet zien a
a In eerste instantie niet; in tweede instantie in bepaalde gevallen wel.
Cliënt Gezochte toegang tot het eigen patiëntdossier, door medewerkers van de houder van het dossier en door organisaties en medewerkers van andere organisaties.
  • organisatie, datum, tijd, rol en naam verantwoordelijke gebruiker voor de toegang, dossierdeel, autorisatieprotocol, toestemmingsprofiel, noodknopprocedure ja/nee.
 De naam van de medewerker die het eigen patiëntdossier heeft bewerkt.
Zorginstelling Gezochte toegang door alle eigen medewerkers, tot alle dossiers in en buiten de instelling, tot op het dossier herleidbaar.
  • datum, tijd, rol en naam verantwoordelijke gebruiker voor de toegang, dossierdeel, resultaat, rol en naam gebruiker, autorisatieprotocol, toestemmingsprofiel noodknopprocedure ja/nee.
 Gezochte toegang tot de eigen dossiers door externe zorginstellingen tot op de cliënt herleidbaar.

8.5 Bewaartermijnen
De verantwoordelijke voor de logging moet termijnen vaststellen voor het bewaren van loggegevens.
In aanvulling op 12.4 van NEN 7510-2:2017 geldt dat bij de vaststelling van de bewaartermijn van de loggegevens rekening moet worden gehouden met de informatiebehoeften van de in hoofdstuk 5 genoemde belanghebbenden.
Tenzij anders is bepaald 7), is de bewaartermijn minimaal 2 jaar en maximaal 15 jaar (De algemene bewaartermijn van een medisch dossier is 15 jaar.) Huidige of toekomstige wettelijk of in regelgeving bepaalde termijnen prevaleren boven deze bewaartermijnen indien deze afwijken.

OPMERKING Een afwijking op de standaard minimale bewaartermijn voor loggegevens van 2 jaar treedt bijvoorbeeld op in geval van een klacht ingediend of juridische procedure aanhangig is gemaakt m.b.t. het onterecht raadplegen van een elektronisch patiëntdossier en/of m.b.t. het inhoudelijk handelen van de zorgverlener en/of zorginstelling. In een dergelijke situatie of wanneer een dergelijke situatie door de betreffende zorgverlener en/of regiebehandelaar als aannemelijk wordt geacht, worden de loggegevens van het raadplegen van het patiëntdossier van de betreffende cliënt gefixeerd en apart opgeslagen, zodat de logging langer kan worden bewaard dan de standaard termijn, ten behoeve van de afhandeling van deze klacht of juridische procedure - tot maximaal 10 jaar na het ontstaan van de logging. (De termijn van 10 jaar wordt algemeen aangehouden voor het indienen van een klacht of procedure medisch tuchtrecht)

8.6 Voorwaarden voor interoperabiliteit
Bij informatiedomein overschrijdende communicatie (buiten de zorginstelling) of landelijke communicatie moet logging uit verschillende bronnen vergelijkbaar zijn. Hiertoe moet een exportfaciliteit aanwezig zijn. Hierbij moeten syntax en semantiek van de export vastliggen volgens het gestelde in hoofdstuk 7.
Delen van het totaal aan zorginformatie over een persoon kunnen zich in verschillende informatiesystemen bevinden en onder verschillende verantwoordelijkheidsgebieden vallen.
Een gebied waarbinnen het beleid en de verantwoordelijkheden ten aanzien van de informatievoorziening gemeenschappelijk zijn en de naamgeving van personen, systemen en andere objecten uniek is, wordt hier informatiedomein genoemd. In een informatiedomein bevinden zich één of vele informatiesystemen onder hetzelfde regime. Evenzo kunnen zich een of meer bronnen van loggegevens in een informatiedomein bevinden.
Informatiedomeinen kunnen geheel of gedeeltelijk met andere informatiedomeinen worden gecombineerd tot samengestelde informatiedomeinen. Het beleid, de verantwoordelijkheden en de systematiek voor naamgeving moeten dan voor het geheel van de samenstellende informatiedomeinen gemeenschappelijk gaan gelden. In de eenvoudigste vorm omvat een informatiedomein een enkel informatiesysteem en is dat ook de bron van de loggegevens. Dat kan bijvoorbeeld het geval zijn in een individuele zorgpraktijk of in een zelfstandig laboratorium. In samenwerkingsverbanden en complexere organisaties zijn veel informatiesystemen aanwezig. Dan kan een enkel informatiedomein worden gevormd wanneer voor een gemeenschappelijk regime wordt gekozen.
Een bijzonder informatiedomein vormen de diensten van de landelijke Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), waaronder het LSP-beleid. Verantwoordelijkheden en naamgeving zijn hiervoor op nationaal niveau bepaald. Aan het andere eind van het spectrum vormt de PGO een privé informatiedomein.
Met deze norm wordt beoogd een gestandaardiseerd en betrouwbaar overzicht te kunnen leveren van de gebeurtenissen waarbij zorggegevens over een persoon zijn verwerkt. Die gebeurtenissen kunnen zich over verschillende plaatsen en tijden uitstrekken. Het beoogde overzicht is dus alleen mogelijk als de loggegevens uit verschillende bronnen kunnen worden gecombineerd. Standaardisatie is nodig om de logging vanuit verschillende bronnen te kunnen integreren. Gestandaardiseerde logging is een voorwaarde om het overzicht voor de desbetreffende persoon mogelijk te maken. Een XML-schema in de XML Schema Definition language (W3C-recommendation may 2001 [5]) conform IETF/RFC-3881[1], kan hiervoor worden gebruikt. Hierbij wordt erop gewezen dat de inhoud van hoofdstuk 7 van deze norm leidend is.