Het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ verplicht zorgorganisaties voor 1 januari een functionaris voor de gegevensbescherming te benoemen.
Uiterlijk 1 januari 2018 moeten zorgaanbieders over een functionaris voor de gegevensbescherming beschikken. Deze verplichting geldt onder meer voor elke ziekenhuis in Nederland. Zorgpraktijken lijken echter nog onvoldoende ingericht op de verplichtingen vanuit het op 28 november 2017 gepubliceerde Besluit elektronische gegevensverwerking door zorgaanbieders (hierna: het ‘Besluit’). Wat is (de grondslag van) het Besluit en aan welke verplichtingen dienen zorgaanbieders volgens het Besluit verder te voldoen?
Achtergrond
Het Besluit stelt functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling in de zorg. De regering heeft het Besluit genomen omdat de zorg een sector is waar een adequate beveiliging sterk samenhangt met de persoonlijke veiligheid van burgers c.q. patiënten. In de memorie van Toelichting bij de Wbp wordt ook vermeld dat naarmate de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, zwaardere eisen worden gesteld aan de beveiliging van de gegevens.
De grondslag van het Besluit is artikel 26 Wet bescherming persoonsgegevens (Wbp), welke bepaalt dat bij algemene maatregel van bestuur voor een bepaalde sector nadere regels kunnen worden gesteld inzake de verwerking van persoonsgegevens en maatregelen om persoonsgegevens te beveiligen. Wanneer op 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van toepassing is, wordt de Wbp ingetrokken. Daarmee vervalt de grondslag van het Besluit. Het is onduidelijk of het Besluit na deze datum zijn rechtskracht blijft behouden. Het op 13 december jl. ingediende wetsvoorstel uitvoeringswet Algemene verordening gegevensbescherming bevat geen overgangsbepaling voor het Besluit, maar het is mogelijk dat na de aanpassingen in het wetgevingsproces het Besluit onder de AVG zijn geldig blijft behouden. Het Besluit voorziet in ieder geval tot 25 mei 2018 in de leemte in de huidige regelgeving en na 25 mei 2018 moet uit de uitvoeringswet Algemene verordening gegevensbescherming blijken of het Besluit van kracht blijft.
Verplichtingen
Zorginstellingen dienen op grond van het Besluit ervoor te zorgen dat het zorginformatiesysteem voldoet aan eisen van handhaving die de vertrouwelijkheid van persoonlijke gezondheidsinformatie van cliënten, alsook de gegevens over zorgverleners, personeel en vrijwilligers waarborgt. Bij de definitie van een ‘zorginstelling’ wordt aangesloten bij artikel 1 Wet Wet kwaliteit, klachten en geschillen zorg (Wkkgz), die een ‘instelling’ definieert als ‘een rechtspersoon die bedrijfsmatig zorg verleent, een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die bedrijfsmatig zorg doet verlenen’.
NEN
Het Besluit formuleert verplichtingen op onder andere de volgende onderwerpen:
- een zorgvuldig elektronisch uitwisselingssysteem;
- veilig gebruik van het zorginformatiesysteem;
- werken met een geautoriseerde zorgserviceprovider;
- beheer door een onafhankelijke organisatie;
- op de juiste wijze vastleggen van beleid, procedures en verantwoordelijkheden;
- zorg voor de ‘loggin’ van het elektronische uitwisselingsysteem;
- gebruik van de nieuwste techniek op het gebied van informatiebeveiliging;
De verplichtingen van het Besluit knopen aan bij de normen ontwikkeld door het Nederlands Normalisatie-instituut voor Informatiebeveiliging voor de zorgsector in Nederland. Deze normen zijn voornamelijk vastgelegd in NEN 7510, welke nader wordt ingevuld door NEN 7512 betreffende de veiligheid van gegevensuitwisseling tussen partijen in de zorg en NEN 7513 betreffende het vastleggen van acties op elektronische patiëntdossiers. De Autoriteit Persoonsgegevens (AP) is voor het Besluit en de toepassing van deze normen toezichthouder.
NEN 7510 geeft aanwijzingen voor het toepassen van de Code voor informatiebeveiliging in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces van de zorginstelling of zorgorganisatie. In 12 hoofdstukken wordt in NEN 7510 aanwijzingen gegeven over zaken zoals risicomanagement, naleving, informatiebeveiliging, beheer van bedrijfsmiddelen en beheer van communicatieprocessen. Risicomanagement bestaat bijvoorbeeld uit risicobeoordelingen en risicobehandeling, terwijl het beveiligingsbeleid uit het toewijzen van verantwoordelijkheid en een ‘Information Security Management System’ bestaat. In NEN 7512 worden aanwijzingen gegeven om vertrouwen in gegevensuitwisseling te waarborgen. Dit kan bijvoorbeeld door het doel van de gegevensuitwisseling (zoals informeren van patiënten en rapportage van onderzoek) duidelijk te maken, of door een authenticatie te laten plaatsvinden van de partij waarmee gecommuniceerd wordt (denk aan elektronische handtekening). NEN 7513 behandelt specifiek de beheersing van de elektronische toegang tot patiëntgegevens, onder meer door het ‘loggen’ van acties op elektronische patiëntdossiers. Loggen voorziet in de stelselmatige geautomatiseerde registratie van gegevens rondom de toegang tot het patiëntdossier en heeft als doel een betrouwbaar overzicht te kunnen leveren van de gebeurtenissen waarbij zorggegevens over een persoon zijn verwerkt (zie ook artikel 35 Wbp). Ten slotte, het is mogelijk dat, wanneer NEN 7521 betreffende de toegang tot en uitwisseling van patiëntengegevens gepubliceerd wordt, dat NEN 7521 ook onderdeel zal uitmaken van het Besluit.
Functionaris voor de gegevensbescherming
Het Besluit verplicht verder dat de verantwoordelijke voor een elektronisch uitwisselingssysteem een functionaris voor de gegevensbescherming (FG) in de zin van artikel 62 Wbp benoemt. De ´verantwoordelijke´ voor een elektronisch uitwisselingssysteem is een ´natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt´ (artikel 1 lid d Wbp). Het Besluit bepaalt dat in ieder geval instellingen die op grote schaal gegevens verwerken, zoals ziekenhuizen, uiterlijk 1 januari 2018 verplicht zijn om te werken met een FG. Het Besluit loopt hiermee vooruit op artikel 35 AVG.
De FG is een onafhankelijke, interne toezichthouder, die toezicht houdt op de toepassing en naleving van de Wbp. Op grond van het Besluit en de Wbp kan de FG controle voeren op naleving van beveiligingsmaatregelen en een rol spelen bij de evaluatie en aanpassing van de (elektronische) beveiliging. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke die hem heeft benoemd, of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd. De FG kan in dit kader een inventarisatie van gegevensverwerkingen maken, interne regelingen ontwikkelen en adviseren over technologie en beveiliging. De FG heeft echter geen sanctiebevoegdheden. De bevoegdheden van de AP blijven overigens onverminderd van toepassing indien een zorginstelling een FG heeft. Een nadere uitleg over de taken en middelen van de FG is te vinden in de Richtlijnen voor functionarissen voor gegevensbescherming.
Per 1 januari 2018 verplicht
Zorginstellingen hebben nog een aantal weken om te voldoen aan het Besluit. Wilt u hier ondersteuning bij? Wij adviseren u. Neem voor meer informatie contact op met legal@fortunadeo.nl.
