Actuele ontwikkelingen in Nederland en Europa op het gebied van de privacy maken het meer dan ooit noodzakelijk om heldere afspraken te maken over de bescherming van medische gegevens tegen onbevoegde inzage en onbevoegd gebruik. Patiëntdossiers behoren zodanig te worden beveiligd dat zorgverleners, medewerkers of derden geen toegang hebben tot dossiers waarin zij niets te zoeken hebben.
De in NEN 7513 voorgeschreven wijze van logging heeft als doel een betrouwbaar overzicht te kunnen leveren van de gebeurtenissen waarbij persoonlijke gezondheidsinformatie is verwerkt 1). Wanneer voldaan is aan de norm is het mogelijk achteraf een overzicht te geven van de gebeurtenissen waarbij persoonlijke gezondheidsinformatie is vastgelegd, ingezien of anderszins verwerkt.
Dat overzicht maakt controle achteraf door cliënten mogelijk. En maakt het voor zorginstellingen mogelijk zich tegenover hun cliënten, collega’s, toezichthouders en anderen, te verantwoorden over de zorgvuldigheid waarmee zij met de persoonsgegevens omgaan.
Analyse van de logging vormt voor een zorginstelling een aanvulling op de controle op bevoegdheden die door de informatiesystemen wordt uitgevoerd en faciliteert zo de op basis van NEN 7510-1:2017 voorgeschreven Plan Do Check ACT-cirkel m.b.t. de beveiliging van persoonsgegevens die door zorginstellingen worden gebruikt om hun informatiesystemen te verbeteren.
Hoofdstuk 1 beschrijft het toepassingsgebied of de ‘scope’ van deze norm. Waar gaat de norm precies over en waarover niet? Daarna volgen drie hoofdstukken waarin achtereenvolgens een opsomming met normen waarnaar in deze norm wordt verwezen, een opsomming van de gebruikte definities en een opsomming van gebruikte afkortingen te vinden zijn.
Om te bepalen welke items in de logging behoren te worden opgenomen, staat in hoofdstuk 5 welke informatie aan de logging moet kunnen worden ontleend. Daaruit volgen de te loggen gebeurtenissen in hoofdstuk 6 en de specificatie van de te loggen gegevens per gebeurtenis in hoofdstuk 7.
Hoofdstuk 8 benoemt de eisen die moeten waarborgen dat de logging betrouwbaar is en zorgvuldig wordt beheerd met een passende toegangsregeling. Hoofdstuk 9 gaat in op de eisen ten aanzien van weergave van de logging.
— andere beheerders van persoonlijke gezondheidsinformatie;
—toezichthouders;
— ontwikkelaars van (zorg)informatiesystemen;
—patiënten, cliënten en alle andere personen van wie persoonlijke gezondheidsinformatie wordt verwerkt.
Het toepassen van deze norm is niet vrijblijvend, immers wetgeving verwijst naar deze norm.
NEN 7513 bevat verplichtingen voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie, bijvoorbeeld gemeenten en ICT-toeleveranciers van zorginstellingen, zoals hosting providers en Zorg Service Providers. Degenen die binnen deze organisaties verantwoordelijk zijn voor (het toezicht op) de beveiliging van gezondheidsinformatie, evenals hun beveiligingsadviseurs, -consultants, -auditoren, -aanbieders en externe dienstverleners, vinden in deze norm eisen en richtlijnen m.b.t. de registratie van gegevens rond de toegang tot het elektronisch patiëntdossier.
Deze norm maakt aan ontwikkelaars van informatiesystemen duidelijk welke gegevens er in de logging aanwezig moeten zijn en wat de cardinaliteit en optionaliteit van die gegevens is. Bij de aanschaf of bouw van nieuwe applicaties moet rekening worden gehouden met deze norm. Het gebruik van het in hoofdstuk 7 beschreven datamodel voor logging kan de uitwisseling van loggegevens tussen zorginstellingen faciliteren. Met het oog op de hiervoor noodzakelijke systeemontwikkeling is in deze norm aansluiting gezocht bij de specificaties van IETF/RFC-3881 [1], NEN-EN-ISO 12052:2006 en het IHE IT Framework [2], [3].
Voor alle personen van wie persoonlijke gezondheidsinformatie wordt verwerkt, biedt NEN 7513 een duidelijk houvast over wat van een zorginstelling of andere beheerder van persoonlijke gezondheidsinformatie mag worden verwacht als het gaat om het verstrekken van informatie en over wie toegang heeft gehad tot haar of zijn elektronisch patiëntdossier.
Ook externe toezichthouders zijn belanghebbenden bij de logging. Interne toezichthouders behoren tot de zorgaanbieder zelf.
NEN 7510-2:2017 schrijft voor dat logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Logbestanden moeten zijn beveiligd en mogen niet kunnen worden gemanipuleerd. De toegang tot instrumenten voor audits van systemen en audittrajecten moet worden beveiligd om misbruik of compromittering te voorkomen.
Ook vermeldt NEN 7510-2:2017 dat activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en dat de logbestanden behoren te worden beschermd en regelmatig behoren te worden beoordeeld. Daarnaast staat in NEN 7510-2:2017 dat gezondheidsinformatiesystemen die tijdkritische activiteiten voor gedeelde zorg ondersteunen, in tijdssynchronisatiediensten moeten voorzien om het traceren en reconstrueren van de tijdpaden voor activiteiten waar vereist te ondersteunen.
NEN 7510-2:2017schrijft niet precies voor welke gebeurtenissen moeten worden gelogd, welke gegevens van die gebeurtenissen moeten worden vastgelegd, aan welke kwaliteitseisen het loggen en de logbestanden moeten voldoen en hoe lang de logbestanden moeten worden bewaard. NEN 7513 vult daarin NEN 7510-2:2017 nader aan en in.
De bevoegdheden die aan gebruikers van informatiesystemen worden toegekend maken het hun mogelijk het systeem voor hun taken te gebruiken. Niet alle taken zijn tijdig vooraf te voorzien en detaillering van bevoegdheden is beperkt mogelijk. In de praktijk bieden de toegekende bevoegdheden daardoor een zekere speling ten opzichte van de formele toegangsregels. Met formele toegangsregels wordt bijvoorbeeld vigerende wet- en regelgeving bedoeld, en de door de zorginstelling opgestelde beleidsregels als onderdeel van de in 5.3 van NEN 7510-1:2017 bedoelde verplichting van een directie van een zorginstelling om te ‘bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd.’
Ten aanzien van persoonlijke gezondheidsinformatie zijn verschillende wetten, regels en richtlijnen van toepassing die in een bepaalde situatie bepalen hoe met de gegevens moet worden omgegaan. De Wet op de geneeskundige behandelingsovereenkomst (WGBO) is daarvan een goed voorbeeld.