Het handhaven van de beschikbaarheid, integriteit en vertrouwelijkheid (met inbegrip van authenticiteit, toerekenbaarheid en controleerbaarheid) van informatie is het overkoepelende doel van informatiebeveiliging. In de zorg is de privacy van cliënten afhankelijk van het handhaven van de vertrouwelijkheid van persoonlijke gezondheidsinformatie. Om deze vertrouwelijkheid te handhaven behoren er ook maatregelen te worden genomen voor het handhaven van de integriteit van gegevens, al was dat alleen maar vanwege het feit dat het mogelijk is de integriteit van toegangsbeveiligingsgegevens, audittrajecten en andere systeemgegevens dusdanig te corrumperen dat schendingen van de vertrouwelijkheid kunnen plaatsvinden en zelfs onopgemerkt kunnen blijven. Bovendien is de veiligheid van cliënten afhankelijk van het handhaven van de integriteit van persoonlijke gezondheidsinformatie; nalatigheid kan ziekte, letsel of zelfs de dood als gevolg hebben. Een hoog beschikbaarheidsniveau is ook een bijzonder belangrijk kenmerk van zorginformatiesystemen, waar behandelingen vaak tijdkritisch zijn. Het zou zo kunnen zijn dat juist het moment waarop zich rampen voordoen, die zouden kunnen leiden tot uitval van andere, niet-gezondheidsgerelateerde IT-systemen, het moment is waarop de in zorginformatiesystemen vervatte informatie het hardst nodig is.
De in NEN 7510-1+A1 en NEN 7510-2 besproken beheersmaatregelen zijn de beheersmaatregelen waarvan is bepaald dat ze geschikt zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie in de zorg te beschermen en ervoor te zorgen dat de toegang tot dergelijke informatie gecontroleerd en verantwoord kan worden. Deze beheersmaatregelen helpen fouten in de medische praktijk te voorkomen, die zouden kunnen voortvloeien uit het niet goed handhaven van de integriteit van gezondheidsinformatie. Bovendien dragen ze bij aan het garanderen dat de continuïteit van medische dienstverlening gehandhaafd wordt.
Er zijn nog meer overwegingen die de doelen van informatiebeveiliging in de zorg vorm geven, waaronder:
a) aan wettelijke verplichtingen voldoen, die zijn vervat in de toepasselijke wet- en regelgeving inzake gegevensbescherming die het recht op privacy van een cliënt beschermt 2);
b) gevestigde ‘best practices’ op het gebied van privacy en beveiliging binnen de gezondheidsinformatica handhaven;
c) de rekenschap van zorgprofessionals en/of professionals werkzaam binnen het zorgdomein en van organisaties werkzaam binnen het domein van de gezondheidszorg mogelijk maken;
d) de implementatie van stelselmatig risicomanagement binnen zorginstellingen ondersteunen;
e) aan de beveiligingsbehoeften voldoen die in alledaagse situaties in de zorg worden geïdentificeerd;
f) de exploitatiekosten verlagen door intensiever gebruik van technologie op een veilige, beveiligde en goed gemanagede wijze mogelijk te maken, die de huidige gezondheidsactiviteiten ondersteunt, maar deze niet beperkt;
g) het vertrouwen van het publiek in zorginstellingen en de informatiesystemen waarop deze organisaties vertrouwen, handhaven;
h) door professionele organisaties in de zorg vastgestelde professionele normen en ethiek handhaven (voor zover informatiebeveiliging de vertrouwelijkheid en integriteit van gezondheidsinformatie handhaaft);
i) elektronische zorginformatiesystemen gebruiken in een omgeving die op passende wijze tegen bedreigingen is beveiligd; en
j) interoperabiliteit tussen zorginformatiesystemen mogelijk maken, aangezien er steeds meer gezondheidsinformatie wordt uitgewisseld tussen organisaties en buiten de grenzen van rechtsgebieden (met name aangezien die interoperabiliteit de juiste wijze van omgaan met gezondheidsinformatie versterkt, waardoor wordt gegarandeerd dat de beschikbaarheid, integriteit en vertrouwelijkheid ervan gehandhaafd blijven).
Ongeacht hun grootte, locatie en model van dienstverlening, behoren alle zorginstellingen strenge beheersmaatregelen te hebben ingesteld om de aan hen toevertrouwde gezondheidsinformatie te beschermen. Veel beroepsbeoefenaren in de zorg werken echter als zelfstandig zorgverlener of werken in kleine klinieken waar men niet beschikt over speciale IT-middelen om informatiebeveiliging te managen. Zorginstellingen hebben daarom duidelijke, compacte en zorgspecifieke richtlijnen nodig voor het selecteren en implementeren van dergelijke beheersmaatregelen. Deze richtlijnen behoren te kunnen worden aangepast aan het brede spectrum aan omvang, locaties en modellen van dienstverlening die men in de zorg aantreft. Ten slotte biedt het vaststellen van een gemeenschappelijk referentiekader voor informatiebeveiliging in de zorg een duidelijk voordeel. Dit vanwege de toenemende elektronische uitwisseling van persoonlijke gezondheidsinformatie tussen zorgverleners (waaronder het gebruik van draadloze en internetdiensten, cloudcomputing).
2) In aanvulling op wettelijke verplichtingen is er een schat aan informatie beschikbaar over ethische verplichtingen met betrekking tot gezondheidsinformatie; bijv. de gedragscode van de Wereldgezondheidsorganisatie. Deze ethische verplichtingen kunnen in bepaalde omstandigheden ook gevolgen hebben voor informatiebeveiliging in de zorg.
Waar zorginstellingen kunnen verschillen in hun standpunten over klinische governance en corporate governance, zou het belang van het integreren en onderhouden van informatiegovernance geen onderwerp van discussie mogen zijn. Dit is essentieel voor het ondersteunen van de beide andere vormen van governance. Zorginstellingen worden steeds afhankelijker van informatiesystemen voor het ondersteunen van de zorgverlening (bijv. door gebruik te maken van technieken die de besluitvorming ondersteunen en door trends richting ‘op bewijs gebaseerde’ in plaats van ‘op ervaring gebaseerde’ zorg). Hierdoor kunnen gebeurtenissen waarbij verlies van beschikbaarheid, integriteit en vertrouwelijkheid optreedt, aanmerkelijke klinische gevolgen hebben. Problemen die voortvloeien uit dergelijke gevolgen, zullen worden beschouwd als falen ten opzichte van de ethische en wettelijke verplichtingen die inherent zijn aan een zorgplicht.
In kaders voor klinische governance behoort doeltreffend management van de informatiebeveiligingsrisico's een even hoog belang te krijgen als zorgplannen, infectiemanagementstrategieën en andere kernaspecten van klinisch management. NEN 7510‑1+A1 en NEN 7510-2 helpen de verantwoordelijken voor klinische governance een beter inzicht te krijgen in de bijdrage die wordt geleverd door doeltreffende informatiebeveiligingsstrategieën.
3) Let op: in bepaalde landen wordt informatiegovernance informatiezekerheid genoemd.
Er zijn allerlei soorten informatie waarvan de beschikbaarheid, integriteit en vertrouwelijkheid 4) beschermd behoren te worden:
a) persoonlijke gezondheidsinformatie 5);
b) gepseudonimiseerde gegevens die, via een methodiek voor pseudonieme identificatie, aan persoonlijke gezondheidsinformatie worden ontleend;
c) statistische en onderzoeksgegevens, waaronder geanonimiseerde gegevens, die aan persoonlijke gezondheidsinformatie worden ontleend, door persoonlijke identificatiegegevens weg te halen;
d) klinische/medische kennis die niet gerelateerd is aan specifieke cliënten, waaronder gegevens ter ondersteuning van klinische besluiten (bijv. gegevens over ongewenste bijwerkingen van medicijnen);
e) gegevens over zorgverleners, personeel en vrijwilligers;
f) informatie in verband met het toezicht op de volksgezondheid;
g) audittrajectgegevens die door zorginformatiesystemen worden geproduceerd en die persoonlijke gezondheidsinformatie of aan persoonlijke gezondheidsinformatie ontleende pseudonieme gegevens bevatten, of die gegevens bevatten over de handelingen van gebruikers met betrekking tot persoonlijke gezondheidsinformatie;
h) systeembeveiligingsgegevens voor zorginformatiesystemen, waaronder toegangsbeveiligingsgegevens en andere beveiligingsgerelateerde systeemconfiguratiegegevens.
De mate waarin beschikbaarheid, integriteit en vertrouwelijkheid behoren te worden beschermd, is afhankelijk van de aard van de informatie, het beoogde gebruik ervan en de risico's waaraan deze informatie wordt blootgesteld. Zo is het bijvoorbeeld mogelijk dat statistische gegevens (punt c hierboven) niet vertrouwelijk zijn, maar kan het beschermen van de integriteit ervan erg belangrijk zijn. Ook is het mogelijk dat audittrajectgegevens (punt g hierboven) geen hoge beschikbaarheid vereisen (regelmatig archiveren met een terugvindtijd, gemeten in uren in plaats van seconden, zou voldoende zijn voor een bepaalde toepassing), maar dat de inhoud ervan zeer vertrouwelijk is. Met behulp van een risicobeoordeling kan op de juiste manier worden bepaald hoeveel inspanning er nodig is om de beschikbaarheid, integriteit en vertrouwelijkheid te beschermen. De resultaten van regelmatige risicobeoordeling behoren te worden afgestemd op de prioriteiten en middelen van de implementerende organisatie.
4) De mate van beschikbaarheid is afhankelijk van hoe de gegevens gebruikt gaan worden.
De verschillende soorten bedreigingen in en kwetsbaarheden van informatiebeveiliging lopen sterk uiteen en dat geldt ook voor de beschrijvingen ervan. Hoewel dit op zich niet uniek is voor de zorg, is het grote aantal factoren dat in overweging behoort te worden genomen bij het beoordelen van bedreigingen en kwetsbaarheden, wel iets dat uniek is voor de zorg.
Het is inherent aan hun aard dat gezondheidsorganisaties in een omgeving werken waar het grote publiek nooit volledig kan worden buitengesloten. Bij grote gezondheidsorganisaties is alleen al het aantal mensen dat zich door de ruimten beweegt waar de zorgactiviteiten worden uitgevoerd, aanzienlijk. Deze factoren verhogen de kwetsbaarheid van systemen voor fysieke bedreigingen. De waarschijnlijkheid dat dergelijke bedreigingen zich voordoen, kan groter worden als er emotionele cliënten of familieleden, of cliënten of familieleden met psychische aandoeningen aanwezig zijn.
Het kritische belang van het correct identificeren van cliënten, en daar het juiste medische dossier aan koppelen, leidt ertoe dat zorginstellingen gedetailleerde identificerende informatie verzamelen. Regionale of binnen een specifiek rechtsgebied vallende cliëntenregistraties (d.w.z. registers van cliënten) zijn soms de meest uitgebreide en actuele bewaarplaatsen van identificerende informatie die beschikbaar zijn in een rechtsgebied. Omdat deze identificerende informatie van grote waarde kan zijn voor mensen die deze zouden willen gebruiken om identiteitsdiefstal te plegen, behoort deze streng beschermd te worden.
NEN 7510-1+A1 en NEN 7510-2 zijn bedoeld voor degenen die verantwoordelijk zijn voor het toezicht op de beveiliging van gezondheidsinformatie en voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie die richtlijnen zoeken over dit onderwerp, evenals hun beveiligingsadviseurs, ‑consultants, -auditoren, -aanbieders en externe dienstverleners.
De doelgroep van NEN 7510-1+A1 en NEN 7510-2 bestaat uit:
— zorginstellingen;
— andere beheerders van persoonlijke gezondheidsinformatie.
Een instelling wordt volgens art. 1 van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) 6) gedefinieerd als een rechtspersoon die bedrijfsmatig zorg verleent, een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die bedrijfsmatig zorg doet verlenen 7). In dit verband wordt ook genoemd de Wet toelating zorginstellingen 8), die in art. 5 aangeeft welke organisaties zorg mogen verlenen. Ten derde wordt ook het Interimbesluit forensische zorg 9) genoemd, dat in art. 1 aangeeft welke zorginstellingen forensische zorg mogen verlenen.
NEN 7510-1+A1 en NEN 7510-2 zijn in ieder geval van toepassing op de zorginstellingen zoals gedefinieerd in voornoemde wet- en regelgeving.
Naast de zorginstellingen zelf bestaat de doelgroep van NEN 7510-1+A1 en NEN 7510-2 ook uit andere beheerders 10) van persoonlijke gezondheidsinformatie. Naast de ‘instellingen die zorg verlenen’, zijn er namelijk ook andere organisaties die ten aanzien van persoonlijke gezondheidsinformatie als beheerder optreden. Voorbeelden hiervan zijn zorgserviceproviders, gemeenten en toeleveranciers van zorginstellingen, zoals hostingproviders.
De schrijvers van NEN 7510-1+A1 en NEN 7510-2 beogen niet een beknopte handleiding te schrijven over informatiebeveiliging. Er zijn veel beveiligingseisen die voor alle gerelateerde informatiesystemen opgaan, ongeacht waar die gebruikt worden, in de financiële dienstverlening, fabricage, industriële besturingen of in welke andere georganiseerde activiteit dan ook. In NEN 7510‑1+A1 en NEN 7510-2 wordt de aandacht gericht op beveiligingseisen die nodig zijn geworden door de unieke uitdagingen van het leveren van elektronische gezondheidsinformatie die de zorgverlening ondersteunt.
6) Zie: http://wetten.overheid.nl/BWBR0037173/2016-08-01.
NEN 7510:2017 voor informatiebeveiliging in de zorg bestaat uit twee delen.
Deel 1 is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Het invoeren van een managementsysteem voor informatiebeveiliging is voor een organisatie een strategische beslissing. Het vaststellen en implementeren van een managementsysteem voor informatiebeveiliging wordt beïnvloed door de behoeften en doelstellingen van de organisatie, de beveiligingseisen, de procedures die de organisatie toepast en de omvang en structuur van de organisatie.
Het managementsysteem voor informatiebeveiliging borgt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie door een risicobeheerproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.
Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is met de procedures van de organisatie en met de algehele managementstructuur, en dat informatiebeveiliging in aanmerking wordt genomen bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de implementatie van een managementsysteem voor informatiebeveiliging in omvang wordt afgestemd op de behoeften van de organisatie.
NEN 7510-1+A1 kan worden gebruikt door interne en externe partijen om het vermogen van de organisatie te beoordelen om te voldoen aan de eigen informatiebeveiligingseisen.
De volgorde waarin de eisen in deze norm worden gepresenteerd, geeft niet de volgorde van belangrijkheid aan en impliceert niet de volgorde waarin ze behoren te worden geïmplementeerd. De nummering van de lijstitems dient alleen referentiedoeleinden.
NEN 7510-2 voorziet in richtlijnen voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie over hoe men het beste de beschikbaarheid, integriteit en vertrouwelijkheid van dergelijke informatie kan beschermen.
Met de aanvulling met NEN-EN-ISO 27799 gaat deze norm in op de speciale behoeften op het gebied van informatiebeveiliging van de gezondheidssector en de unieke werkomgevingen van deze sector. Terwijl de bescherming en beveiliging van persoonlijke informatie belangrijk is voor alle personen, bedrijven, instellingen en overheden, gelden er speciale eisen in de gezondheidssector waaraan behoort te worden voldaan om de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie zeker te stellen. Het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van gezondheidsinformatie vereist daarom gezondheidssectorspecifieke expertise.
[A1>De beheersmaatregelen in NEN 7510-2 volgen de tekst van NEN‑ISO/IEC 27002+C1+C2:2015 en NEN‑EN‑ISO 27799:2016. In die laatste internationale norm zijn zorgspecifieke aanscherpingen van het dwingende ‘moeten’ (‘shall’) voorzien op basis van een universele risicobeoordeling voor de zorg. Aangezien in de systematiek van NEN 7510-1+A1 een verklaring van toepasselijkheid (6.1.3 van NEN 7510-1+A1) de selectie van beheersmaatregelen bepaalt, is die formuleringswijze hier niet overgenomen. In NEN 7510-2 staan immers ‘best practices’ of richtlijnen om aan de doelvoorschriften te voldoen. Dit zijn mogelijke keuzes, daarom worden in NEN 7510-2 de beheersmaatregelen niet-normatief beschreven; er staat dus geen ‘moeten’, maar ‘behoren te’.
Daarin ligt ook het verschil met de doelvoorschriften in bijlage A van NEN 7510-1+A1. Zorginstellingen moeten op basis van 6.1.3 van NEN 7510-1+A1 beheersmaatregelen selecteren en dit vastleggen in de verklaring van toepasselijkheid om zo te kunnen aantonen welke beheersmaatregelen wel of niet van toepassing zijn. In bijlage A van NEN 7510-1+A1 worden de beheersmaatregelen daarom wel normatief beschreven (‘moeten’ en niet ‘behoren te’).<A1]
Deze normen maken het mogelijk om de drie onderliggende basisnormen NEN-EN-ISO 27799, [A1>NEN‑EN-ISO/IEC 27001+A11<A1] en NEN-ISO/IEC 27002+C1+C2 op consequente wijze binnen zorgomgevingen te implementeren, met specifieke aandacht voor de unieke uitdagingen die de zorg stelt. Door deze normen te volgen zorgen zorginstellingen ervoor dat de vertrouwelijkheid en integriteit van gegevens waarvoor zij verantwoordelijk zijn, gehandhaafd worden, dat kritische zorginformatiesystemen beschikbaar blijven en dat er rekenschap voor gezondheidsinformatie wordt afgelegd.
Het overnemen van deze richtlijnen door zorginstellingen, zowel binnen als tussen rechtsgebieden, zal bijdragen aan de interoperabiliteit en zal het mogelijk maken veilig nieuwe technieken voor samenwerking binnen de zorgverlening in te voeren. Het op beveiligde wijze delen van informatie, zodanig dat de privacy wordt beschermd, kan de resultaten van de zorg aanmerkelijk verbeteren.
Ten slotte kunnen zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zich certificeren tegen NEN 7510-1+A1, waarvan het certificatieschema (NTA 7515) onder accreditatie is goedgekeurd. Hiermee staat het certificatieproces onder toezicht van de Raad voor Accreditatie (RvA), die zowel eisen stelt aan het certificatieproces als aan de certificerende organisatie.
De [A1> Inspectie Gezondheidszorg en Jeugd (IGJ)<A1] heeft aangegeven NEN 7510 te hanteren bij het toetsen van de vraag of zorginstellingen de juiste maatregelen treffen voor invoering en handhaving van informatiebeveiliging.
De Autoriteit Persoonsgegevens heeft met de richtsnoeren voor de beveiliging van persoonsgegevens een nadere uitwerking gegeven van art. 13 Wbp en art. 32 AVG. In de richtsnoeren wordt verwezen naar NEN-ISO/IEC 27001:2005 nl en NEN-ISO/IEC 27002:2007 nl. Voor de zorg is hiervoor naar NEN 7510 11) verwezen.
11) CBP Richtsnoer Beveiliging van persoonsgegevens (2013), p. 16.
Verschillende wet- en regelgeving heeft aanknopingspunten met NEN 7510-1+A1 en NEN 7510-2. Het aantal regels neemt toe en de regels worden internationaler van aard. In een aantal gevallen volgt uit de wet- en regelgeving een verplichting om aan NEN 7510 te voldoen. Hieronder volgt een niet-limitatieve opsomming van de belangrijkste wet- en regelgeving met een relatie naar deze normen.
Wet bescherming persoonsgegevens (Wbp) en Algemene verordening gegevensbescherming (AVG)
De belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn vastgelegd in de Wet bescherming persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens (95/46/EG). De Wbp is sinds 1 september 2001 van kracht.
Vanaf 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van toepassing. De AVG vervangt de EU-privacyrichtlijn. De Wbp komt dan te vervallen, net als de nationale privacywetten van de andere EU-lidstaten.
Zowel Wbp als AVG verplichten organisaties te zorgen voor een adequate beveiliging van persoonsgegevens. In art. 32 AVG 12) is vastgesteld dat de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen (...) 13).
Deze verplichting kan worden ingevuld door te voldoen aan de bestaande (Nederlandse en internationale) normen voor informatiebeveiliging. Voor zorginstellingen en andere organisaties die persoonlijke gezondheidsinformatie verwerken, betreft het onder andere NEN 7510-1+A1 en NEN 7510-2, NEN 7512 en NEN 7513. ‘Als een zorginstelling de in deze normen aangegeven maatregelen heeft getroffen, wordt daarmee vastgesteld dat de instelling voldoet aan de genoemde wettelijke bepaling.’ 14) Er zal daarnaast moeten worden afgewogen welke aanvullende maatregelen eventueel nodig zijn in verband met de bijzonderheden en risico’s van de verwerking van persoonsgegevens.
Besluit elektronische gegevensverwerking door zorgaanbieders
Dit [A1>besluit 15)<A1] op basis van artikel 26 Wbp verwijst dwingend naar NEN 7510, NEN 7512 en NEN 7513. De Nota van toelichting bij dit besluit vermeldt de verplichting om te voldoen aan NEN 7510 en NEN 7512 in het kader van de verwerking van het burgerservicenummer. Het voldoen aan deze normen is destijds verplicht gesteld naar aanleiding van het advies van het CBP 16) om te zorgen voor eenduidige beveiligingsnormen door dwingend te verwijzen, omdat die normen van belang zijn voor de standaardisatie en samenwerking tussen instellingen en de mogelijkheden bevorderen om goed toezicht te houden op een ‘passende beveiliging’ als bedoeld in art. 13 Wbp.
Ook in het kader van het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens (kamerstukken 33 509) heeft de AP geadviseerd deze normen dwingend voor te schrijven in deze AMvB op grond van art. 26 Wbp.
Dit betekent dat wanneer een zorginstelling de in NEN 7510, NEN 7512 en NEN 7513 aangegeven maatregelen heeft getroffen, ervan uit mag worden gegaan dat deze ‘passende technische en organisatorische maatregelen’ heeft getroffen, als bedoeld in art. 13 Wbp. 17)
Wet aanvullende bepalingen verwerking persoons gegevens in de zorg
De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg 18) schept aanvullende randvoorwaarden voor het eventuele gebruik van een elektronisch uitwisselingssysteem door zorginstellingen en wijzigt een aantal andere wetten 19). In art. 10 wordt bepaald dat bij ministeriële regeling kan worden bepaald aan welke beveiligingseisen de gegevensverwerking moet voldoen. In de op dat artikel gebaseerde Regeling gebruik burgerservicenummer in de zorg staat in art. 2 dat die gegevensverwerking moet voldoen aan NEN 7510.
Wet op de geneeskundige behandelovereenkomst (WGBO)
De WGBO (BW-boek 7, afdeling 5, art. 446-468), omtrent rechten en plichten voor zowel hulpverlener als cliënt, is van toepassing op het verwerken van gegevens door de zorginstelling die de hulpverlener in het kader van de behandeling van de cliënt heeft verkregen. Die wet verplicht hem de noodzakelijke gegevens vast te leggen in zijn dossier over de cliënt. Via de Wbp is een zorginstelling ook verplicht de gegevens van haar cliënten in het dossier adequaat te beschermen. Die verplichting kan worden ingevuld door NEN 7510‑1+A1 en NEN 7510-2 als uitgangspunt te hanteren.
Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)
De Wet BIG is van toepassing op het bevorderen en bewaken van de kwaliteit in de gezondheidszorg door de onderverdeling van beroepen in drie groepen, waarvan art. 3-beroepen in het BIG-register staan en onder het complete tuchtrecht vallen.
Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
De Wkkgz verplicht de zorginstelling tot het verlenen van goede zorg die veilig, doeltreffend, doelmatig en cliëntgericht is (art. 2) en te zorgen voor systematische bewaking, beheersing en verbetering van de kwaliteit van de zorg (art. 7).
Wet cliëntenrechten zorg (Wcz)
De Wcz is een samenvoeging van regels omtrent de rechten van cliënten en de bijbehorende verplichtingen voor zorginstellingen: o.a. recht op goede zorg, keuze-informatie, informatie, toestemming, dossiervorming, bescherming van de persoonlijke levenssfeer, effectieve en laagdrempelige klachten- en geschillenregeling, medezeggenschap, goed bestuur en toezicht en maatschappelijke verantwoording. Goede zorgverlening vraagt van de zorginstelling dat zij bijhoudt wat er met de cliënt is besproken en welke behandeling er is gegeven. De Wcz geeft de cliënt dan ook het recht op een dossier en verplicht de zorginstelling dus om dit aan te leggen. De cliënt heeft recht op inzage en op een afschrift van zijn dossier. Deze bepalingen zijn met enige wijzigingen overgenomen uit de WGBO. In de WGBO is ook de bescherming van de persoonlijke levenssfeer (‘privacy’) geregeld. Dit is overgenomen in de Wcz. Onder bescherming van de persoonlijke levenssfeer vallen de geheimhoudingsplicht van de zorginstelling en haar medewerkers en het recht van de cliënt op privacy tijdens de zorgverlening.
12) Vergelijkbaar met artikel 13 Wbp.
Binnen de zorg worden gegevens in toenemende mate uitgewisseld tussen betrokken partijen. Dit geldt voor zowel de primaire processen van behandeling en verzorging van een individuele cliënt als de financiële afhandeling en de bedrijfsprocessen in een zorginstelling. Voorbeelden zijn: het versturen van aanvragen en uitslagen van laboratoriumbepalingen tussen een zorginstelling en een extern laboratorium, inzage van een cliënt in zijn eigen elektronisch patiëntdossier via een portaal en het versturen van een ontslagbrief van een specialist aan een huisarts. NEN 7512 heeft betrekking op de elektronische communicatie in de zorg, en wel tussen zorgverleners en zorginstellingen onderling, met patiënten en cliënten, met zorgverzekeraars en met andere partijen die bij de zorg zijn betrokken. Vanuit de wet- en regelgeving worden er eisen gesteld aan de beveiliging van deze gegevensuitwisseling. Deze eisen verschillen per proces. NEN 7512 beschrijft het proces om te komen tot een goede risicobeoordeling voor gegevensuitwisseling.
NEN 7513 stelt eisen aan de registratie van gegevens rond de toegang tot elektronisch vastgelegde persoonlijke gezondheidsinformatie bij een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt. In het kader van deze norm wordt deze totale verzameling aangeduid als: ‘het elektronisch patiëntdossier’. NEN 7513 beschrijft de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot het elektronisch patiëntdossier, die controle van de rechtmatigheid ervan mogelijk maakt.
NEN 7513 beschrijft daartoe de gebeurtenissen die moeten worden gelogd en welke gegevens van die gebeurtenissen moeten worden vastgelegd. NEN 7513 beschrijft niet alleen de eisen met betrekking tot de acties van de toegang zelf, maar ook de acties rond het inrichten en beheren van de (autorisatie)structuur.
NEN 7513 is daarmee ook een uitwerking van wat NEN 7510-2 voorschrijft voor zover het gaat om de verplichting om gebeurtenissen in elektronische patiëntdossiers te loggen en deze te beheren en te beveiligen.
NEN 7513 schrijft in – in aanvulling op NEN 7510-2 – ook voor dat de in de logbestanden vastgelegde gegevens onweerlegbaar zijn en schrijft voor hoe dit moet worden bereikt. NEN 7513 schrijft voor hoelang logbestanden minimaal en maximaal moeten worden bewaard. NEN 7513 geeft aanwijzingen over de te gebruiken templates van de logging voor cliënten en zorginstellingen, conform wettelijke kaders. 20)
20) In art. 35 lid 2 van Wbp en art. 12 lid van de AVG staan kwaliteitseisen t.a.v. templates. Art. 35 Wbp luidt: ‘Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.’
