In januari werd bekend dat er bij de GGD miljoenen adresgegevens, telefoonnummers en Burgerservicenummers zijn gestolen en illegaal zijn verhandeld door werknemers van de gezondheidsdienst. Op dit moment zijn een aantal werknemers aangehouden. Het voorval maakt ons (weer) pijnlijk duidelijk hoe groot het belang van informatiebeveiliging is in de zorg, waar veel gevoelige persoonsgegevens worden verwerkt. In deze blog zet ik uiteen welke beveiligingsregels zorgaanbieders moeten naleven bij het elektronisch uitwisselen van patiëntgegevens.
Zorgaanbieders maken bij het elektronisch uitwisselen van patiëntgegevens gebruik van de software van ICT-leveranciers. Hoewel ICT-leveranciers de patiëntgegevens over het algemeen verwerken in opdracht van de zorgaanbieder en daarom als ‘verwerker’ zijn aan te merken, dragen ook ICT-leveranciers verantwoordelijkheden voor beveiliging van patiëntgegevens en doeltreffend incidentenmanagement bij datalekken. Ook hierover leest u meer in deze blogserie.
De beveiligingseisen voor de elektronische patiëntendossiers zijn neergelegd in de Algemene Verordening Gegevensbescherming (‘AVG’), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’) en het Besluit elektronische gegevensverwerking door zorgaanbieders (‘Besluit’).
Zorgaanbieders zijn verplicht om een medisch dossier bij te houden over de behandeling van de patiënt. Dat dossier hoeft niet elektronisch te worden bijgehouden. Wel zijn zorgaanbieders verplicht om een elektronische versie van een papieren dossier te verstrekken als de patiënt daarom verzoekt.
De wet maakt onderscheid tussen verschillende soorten elektronische patiëntendossiers. Als een zorgaanbieder een medisch dossier of gedeelten daarvan op elektronische wijze raadpleegbaar maakt voor andere zorgaanbieders, spreekt de wet van een elektronisch uitwisselingssysteem. Voor de uitwisseling van gegevens via een elektronisch uitwisselingssysteem moet toestemming worden gevraagd. Een voorbeeld van zo’n systeem is het Landelijk Schakelpunt: een netwerk door middel waarvan zorgaanbieders gegevens over hun patiënten kunnen raadplegen in elkaars systemen.
Als een zorgaanbieder een elektronisch systeem gebruikt voor het verwerken van persoonsgegevens in een dossier, maar dit niet raadpleegbaar maakt voor andere zorgaanbieders (en het dus geen elektronisch uitwisselingssysteem is), is er sprake van een zorginformatiesysteem. Het zorginformatiesysteem van het HagaZiekenhuis kwam in het nieuws omdat medewerkers de medische gegevens van realityster Samantha de Jong, beter bekend als ‘Barbie’, nodeloos hadden bekeken.
De Algemene Verordening Gegevensbescherming (AVG) verplicht de zorgaanbieder én de ICT-leverancier om de risico’s aan het elektronische patiëntendossier te beoordelen en maatregelen te treffen om die risico’s te beperken. Die maatregelen dienen voor een “passend niveau” van beveiliging te zorgen. Om te beoordelen of sprake is van een “passende beveiliging” dient rekening te worden gehouden met de technische mogelijkheden, de kosten, de risico’s en de aard van de te beschermen persoonsgegevens. Omdat gezondheidsgegevens zeer gevoelig zijn, gelden voor de bescherming van dit type persoonsgegevens zeer hoge beveiligingseisen.
Zoals aangegeven rust deze AVG-verplichting niet alleen op de zorgaanbieder als verwerkingsverantwoordelijke, maar óók op de ICT-leverancier als verwerker. Bovendien schrijft de AVG voor dat de zorgaanbieder en de ICT-leverancier hier contractuele afspraken over dienen te maken.
De AVG bevat algemene vereisten. Deze regels gelden voor alle verwerkingen van persoonsgegevens en bieden een algemeen kader. De AVG biedt de wetgever op bepaalde vlakken ruimte om specifieke wet- en regelgeving aan te nemen. In dat geval gaat de specifieke wet- en regelgeving vóór op de AVG (in het geval van afwijking) of vult de specifieke wetgeving de normen uit de AVG verder in. Dat is ook het geval bij het beveiligen van patiëntgegevens die zijn vastgelegd in een elektronisch patiëntendossier: de specifieke zorgwetgeving geeft een nadere invulling aan de te nemen maatregelen om te kunnen spreken van een “passende beveiliging”.
De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’) bepaalt dat er nadere regels kunnen worden gesteld aan de beveiliging en het gebruik van een zorginformatiesysteem of een elektronisch uitwisselingssysteem. Deze regels zijn nader uitgewerkt in het Besluit elektronische gegevensverwerking door zorgaanbieders (‘Besluit’). Het Besluit verwijst dwingend naar NEN 7510, NEN 7512 en NEN 7513. De NEN zijn inmiddels geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg.
Vereisten elektronisch uitwisselingsysteem
Systeem moet voldoen aan NEN 7510 en NEN 7512. De verantwoordelijke voor een elektronisch uitwisselingssysteem is op grond van het Besluit verplicht om ervoor te zorgen dat het systeem voldoet aan de technische en organisatorische eisen die voortvloeien uit de NEN 7510 en 7512. Het zal niet altijd zo zijn dat de zorgaanbieder de verantwoordelijke is voor een elektronisch uitwisselingssysteem. Het Besluit bepaalt echter ook dat de zorgaanbieder zorg moet dragen voor een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem waarop hij is aangesloten, overeenkomstig NEN 7510 en NEN 7512. Daarom zal de zorgaanbieder in de overeenkomst met de verantwoordelijke voor het elektronisch uitwisselingssysteem moeten opnemen dat het systeem aan NEN 7510 en 7512 voldoet.
Auditverplichting ICT-leverancier. Verder verplicht het Besluit de rechtspersoon, niet zijnde de zorgaanbieder, die het elektronisch uitwisselingssysteem beheert en in stand houdt (de ICT-leverancier), om het systeem te laten controleren door een onafhankelijke derde om vast te stellen dat er aan de NEN-normen wordt voldaan. Dit moet worden vastgelegd in het auditrapport.
Systeem moet worden gelogd volgens NEN 7513. De verantwoordelijke voor een elektronisch uitwisselingssysteem moeten daarnaast zorg dragen dat de logging voldoet aan NEN 7513. Volgens het Besluit vaststelling bewaartermijn logging dienen loggegevens ten minste 5 jaar te worden bewaard vanaf het moment dat de logregel wordt geschreven.
Aangezien de ICT-leverancier als verwerker op zal treden namens de zorgaanbieder dient deze ingevolge art. 28 lid 1 AVG ook aantoonbaar te voldoen aan NEN 7510 en NEN 7512. Daarnaast dient het elektronisch patiëntendossier zodanig te worden ingericht dat logging wordt toegepast conform NEN 7513 en de zorgaanbieder kan voldoen aan de eisen uit het Besluit.
Vereisten zorginformatiesysteem
Systeem moet voldoen aan NEN 7510 en NEN 7512. De zorgaanbieder moet overeenkomstig NEN 7510 en 7512 zorgen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en de zorgaanbieder als verantwoordelijke voor een zorginformatiesysteem.
Systeem moet worden gelogd volgens NEN 7513. De zorgaanbieder moeten daarnaast zorg dragen dat de logging voldoet aan NEN 7513 en de loggegevens minimaal 5 jaar bewaren. Voornoemde verplichtingen rusten ingevolge artikel 28 lid 1 AVG ook op de ICT-leverancier in de rol als verwerker.
Vastleggen beveiligingsbeleid en uitvoeren controles
De zorgaanbieder is ook verplicht om de procedures en verantwoordelijkheden rondom de gebruikte elektronische uitwisselingsystemen en interne zorginformatiesystemen neer te leggen in een beleid. De zorgaanbieder en de verantwoordelijke voor een elektronisch uitwisselingsysteem dienen regelmatig te onderzoeken of de patiëntgegevens nog wel voldoende beschermd worden en dienen de bevindingen te documenteren. De ICT-leverancier kan (en zal hier op grond van de verwerkersovereenkomst in gevallen toe kunnen worden verplicht) onder andere ondersteuning bieden in de informatievoorziening aan de zorgaanbieder.
NEN-normen
De NEN-normen die in het Besluit genoemd worden, geven kaders aan de noodzakelijke beveiligingsmethodes voor elektronische patiëntendossiers.
NEN 7510 bestaat uit twee delen en richt zich op zorginstellingen en andere organisaties die bij de informatievoorziening in de gezondheidszorg zijn betrokken. NEN 7510 geeft onder andere aanwijzingen over het organisatorisch en technisch inrichten van de informatiebeveiliging, bijvoorbeeld dat toegang tot het elektronische dossier dient te worden verleend door middel van tweefactor authenticatie (hfst. 9).
NEN 7512 ziet op de elektronische communicatie tussen zorgaanbieders en zorginstellingen onderling, met patiënten, met zorgverzekeraars en andere betrokken partijen. NEN 7512 geeft verdere invulling van een aantal van de richtlijnen van NEN 7510, bijvoorbeeld over de veiligheid van gegevensuitwisseling.
NEN 7513 is ook een verdere invulling van NEN 7510 (waar in hoofdstuk 12 wordt verplicht dat logbestanden moeten worden gemaakt en periodiek gecontroleerd) en gaat over logging. Logging is een beveiligingsmethode waardoor achterhaald kan worden wie toegang heeft gehad tot een patiëntdossier, volgens welke regels toegang is verkregen en welke acties op het patiëntdossier zijn uitgevoerd. NEN 7513 biedt zorgaanbieders aanwijzingen voor het loggen en het gebruik van logging om te voldoen aan wettelijke verplichtingen en levert ontwikkelaars van informatiesystemen een aantal eisen waaraan hun informatiesystemen moeten voldoen. Patiënten hebben ook recht op inzage in deze loggegevens.
Op basis van de AVG zijn de zorgaanbieder en de leverancier verplicht om ervoor te zorgen dat elektronische patiëntendossiers op een passende wijze worden beveiligd. Die beveiligingseisen kunnen zowel technisch als organisatorisch van aard zijn. De Wabvpz en het Besluit geven, afhankelijk van het type systeem (intern zorginformatiesysteem of een elektronisch uitwisselingssysteem), nadere invulling aan de beveiligingsvereisten; er moet worden voldaan aan NEN 7510, 7512 en 7513. Gaat deze kwalificatie niet op, dan nog moet er aansluiting worden gezocht bij NEN 7510.
Uit de Kamerbrief van Minister de Jonge blijkt dat er ter bescherming van de patiëntgegevens onder andere werd geborgd door een privacytraining, het tekenen van een geheimhoudingsverklaring, het verplicht stellen van een VOG en het loggen van zoekopdrachten met een steekproefsgewijze controle. Maar er gingen ook een aantal zaken mis – zo kregen veel medewerkers toegang tot de gegevens, bevatte de gebruikte systemen een print- en/of exportfunctie, was de controle van de logging niet geautomatiseerd en voldeed de organisatie van GGD GHOR Nederland nog niet aan NEN 7510 (en meer). Voor het volledige overzicht zij verwezen naar de Kamerbrief. Er wordt nu gewerkt aan oplossingen, bijvoorbeeld in de vorm van een kernteam die aanvullende maatregelen identificeert en implementeert.
Meer artikelen van SOLV Advocaten
