Zorginstellingen die privacygevoelige gegevens van hun patiënten verwerken, moeten volgens de wet adequate informatiebeveiligingsmaatregelen treffen. De patiënt moet ervan uit kunnen gaan dat zijn gegevens vertrouwelijk worden behandeld. Daarnaast is de zorginstelling uiteraard zelf afhankelijk van de juistheid en beschikbaarheid van de gegevens. NEN 7510 is de ontwikkelde standaard (norm) voor informatiebeveiliging in de zorgsector. Onlangs is deze norm herzien. Het normontwerp is momenteel in te zien en kan van commentaar worden voorzien.
‘Passende’ beveiligingsmaatregelen
Volgens de wet (artikel 13 Wet bescherming persoonsgegevens, hierna: Wbp) moeten er passende technische en organisatorische maatregelen worden genomen die een adequaat beveiligingsniveau voor de verwerking van persoonsgegevens garanderen. Dit is een vrij open regel die per situatie anders ingevuld moet worden. Een standaard webwinkel die een digitaal klantenbestand bijhoudt, hoeft niet zulke strenge maatregelen te nemen als het ziekenhuis dat patiëntgegevens verwerkt in zijn informatiesystemen. Meer uitleg over wat een ‘passend’ beveiligingsniveau is kunt u lezen in deze blogpost van mijn collega.
Naast de algemene privacywetgeving (momenteel de Wbp en per 25 mei 2018 de Algemene Verordening Gegevensbescherming), zijn er verschillende andere wetten die regels bevatten over de privacy van patiënten en de beveiliging van medische persoonsgegevens. Zo is er een specifieke wet over het verwerken van BSN in de zorg (de Wet gebruik BSN in de zorg).
ISO- en NEN-normen
Om te kunnen voldoen aan de betreffende wetsbepaling (artikel 13 Wbp) kan aansluiting worden gezocht bij ontwikkelde standaarden voor informatiebeveiliging. De normen schrijven een bepaald proces voor waardoor een bedrijf - en zijn werknemers - weet hoe hij met digitale (persoons)gegevens moet omgaan en welke maatregelen hij moet treffen. Er bestaan zowel internationale (ISO) als nationale (NEN) normen voor informatiebeveiliging. De ISO 27001 norm is bijvoorbeeld de internationale algemene norm voor informatiebeveiliging.
NEN 7510 is de norm die specifiek ziet op de zorgsector en beschrijft maatregelen die zorginstellingen moeten nemen om patiëntgegevens en hun systemen te beveiligen. De Autoriteit Persoonsgegevens beschouwt voor de zorgsector de NEN 7510 als “een gezaghebbende en sectorale uitwerking” van de ‘passende’ technische en organisatorische maatregelen, zoals beschreven in de wet.
De norm richt zich niet alleen tot zorginstellingen, maar ook tot andere organisaties die zijn betrokken bij de verwerking van medische gegevens. Naast NEN 7510 zijn ook de aanvullingen NEN 7512 en NEN 7513 van belang voor de zorgsector. NEN 7512 ziet op de gegevensuitwisseling tussen verschillende partijen, denk aan maatregelen over de identificatie en authenticatie van partijen die gegevens uitwisselen. NEN 7513 ziet op logging, zoals maatregelen over het controleren van de rechtmatigheid van toegang tot patiëntendossiers.
De normen zijn geen wetten, maar ‘best practices’. Het voldoen aan de norm betekent niet automatisch dat ook wordt voldaan aan de wet.
Nieuwe versie NEN 7510: normontwerp NEN 7510:2017
NEN, het Nederlandse normalisatie-instituut dat normen vastlegt en uitgeeft, is in 2016 begonnen met de revisie van NEN 7510. Dit naar aanleiding van de herziening van de brondocumenten van ISO 27001, 27002 en 27799 (waar NEN 7510 op is gebaseerd). Volgens NEN sluit de nieuwe norm beter aan bij internationale normen. Wel is de norm nog steeds specifiek gericht op de Nederlandse situatie.
Geef input aan de NEN7510:2017
Bent u betrokken bij of geïnteresseerd in de informatiebeveiliging in de zorgsector? Tot 1 juli 2017 kan het normontwerp worden voorzien van commentaar. NEN neemt dit commentaar mee bij het voltooien van het ontwerp. Naar verwachting zal de definitieve versie eind 2017 gepubliceerd worden.
Meer informatie kunt u hier vinden over de beveiliging van persoonsgegevens.
Training ICT en gezondheidsrecht
Werkt u bij een zorginstelling en vraagt u zich af hoe u dient te werken in de cloud en wat de regels zijn voor het uitwisselen van medische gegevens online? Deze en meer van dit soort vraagstukken worden behandeld tijdens deze training.
