Vorige week werd bekend gemaakt dat op grote schaal illegale handel plaatsvindt van persoonsgegevens, afkomstig uit twee coronasystemen van de GGD. Dit voorval maakt ons (weer) pijnlijk duidelijk hoe belangrijk een goede informatiebeveiliging is. Vooral in de zorg, waar veel gevoelige persoonsgegevens worden verwerkt.
In deze blog een uiteenzetting van de beveiligingsregels bij elektronische patiëntendossiers, voor zowel zorgaanbieders als ICT leveranciers.
Zorgaanbieders maken bij het elektronisch uitwisselen van patiëntgegevens gebruik van de software van ICT leveranciers. Hoewel leveranciers de patiëntgegevens over het algemeen verwerken in opdracht van de zorgaanbieder – en daarom als ‘verwerker’ zijn aan te merken – dragen ook ICT leveranciers verantwoordelijkheden voor de beveiliging van patiëntgegevens en een doeltreffend incidentenmanagement bij datalekken.
Beveiligingseisen elektronische patiëntgegevens
De beveiligingseisen voor de elektronische patiëntendossiers zijn neergelegd in de Algemene Verordening Gegevensbescherming (AVG), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en het Besluit elektronische gegevensverwerking door zorgaanbieders (Besluit).
1. Elektronisch patiëntendossier – juridisch onderscheid
Zorgaanbieders zijn verplicht om een medisch dossier bij te houden over de behandeling van de patiënt. Dat dossier hoeft niet elektronisch te worden bijgehouden. Wel zijn zorgaanbieders verplicht om een elektronische versie van een papieren dossier te verstrekken als de patiënt daarom verzoekt.
De wet maakt onderscheid tussen verschillende soorten elektronische patiëntendossiers. Als een zorgaanbieder een medisch dossier of een gedeelte daarvan zodanig inricht dat dit op elektronische wijze is te raadplegen door andere zorgaanbieders, dan spreekt de wet van een elektronisch uitwisselingssysteem. Voor het uitwisselen van gegevens via een elektronisch uitwisselingssysteem moet toestemming worden gevraagd. Een voorbeeld van zo’n systeem is het Landelijk Schakelpunt; een netwerk waardoor zorgaanbieders gegevens over hun patiënten kunnen raadplegen in elkaars systemen.
Als een zorgaanbieder een elektronisch systeem gebruikt voor het verwerken van persoonsgegevens in een dossier, maar dit niet raadpleegbaar maakt voor andere zorgaanbieders (en het dus geen elektronisch uitwisselingssysteem is), dan is er sprake van een zorginformatiesysteem.
Een bekend voorbeeld dat onlangs het nieuws haalde, is het zorgsysteem van het HagaZiekenhuis. De aanleiding was een datalek dat betrekking had op medewerkers die nodeloos de medische gegevens van realityster Samantha de Jong, beter bekend als ‘Barbie’, hadden bekeken. De Autoriteit Persoonsgegevens startte een onderzoek, wat ertoe zou leiden dat het ziekenhuis een boete van €460.000,- kreeg opgelegd.
2. Algemeen: beveiligingseisen uit de AVG
Voor wat betreft elektronische patiëntendossiers, verplicht de AVG tot het beoordelen van de risico’s en het nemen maatregelen om die risico’s te beperken. Deze AVG-verplichting rust niet alleen de zorgaanbieder als verwerkingsverantwoordelijk, maar ook op de ICT leverancier. Bovendien, schrijft de AVG voor dat de zorgaanbieder en de ICT leverancier hierover contractuele afspraken moeten maken.
De te nemen maatregelen dienen voor een ‘passend niveau’ van beveiliging te zorgen. Voor de beoordeling van dit beveiligingsniveau wordt rekening gehouden met de technische mogelijkheden, de kosten, de risico’s en de aard van de te beschermen persoonsgegevens.
De AVG bevat veelal algemene vereisten. Het zijn regels die een algemeen kader vormen en gelden voor alle verwerkingen van persoonsgegevens. Voor sommige gebieden biedt de AVG echter ruimte voor specifieke wet- en regelgeving. Dit is ook het geval bij het beveiligen van patiëntgegevens die zijn vastgelegd in een elektronisch patiëntdossier. Zo geeft de hierna te bespreken specifieke zorgwetgeving nadere invulling aan de te nemen maatregelen om te kunnen spreken van een ‘passende beveiliging’.
3. Zorgspecifieke beveiligingsregels
Zo stelt de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) nadere regels aan de beveiliging en het gebruik van zorginformatiesystemen en elektronisch uitwisselingssysteem. Deze regels zijn verder uitgewerkt in het Besluit elektronische gegevensverwerking door zorgaanbieders (Besluit). Dit Besluit verwijst dwingend naar de zogenaamde NEN-normen, NEN 7510, NEN 7512 en NEN 7513.
Binnen de informatiebeveiliging in de zorg zijn dit inmiddels geaccepteerde beveiligingsstandaarden. Aan het einde van deze blog worden de normen apart besproken.
Vereisten elektronisch uitwisselingsysteem
- Systeem moet voldoen aan NEN 7510 en NEN 7512. De verantwoordelijke voor een elektronisch uitwisselingssysteem is op grond van het Besluit verplicht om ervoor te zorgen dat het systeem voldoet aan de technische en organisatorische eisen die voortvloeien uit de NEN 7510 en 7512. Hoewel een zorgaanbieder niet altijd de verwerkingsverantwoordelijke zal zijn, bepaalt het Besluit dat zorgaanbieders – overeenkomstig NEN 7510 en NEN 7512 – zorg dragen voor een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem. Als gevolg daarvan zal een zorgaanbieder in de overeenkomst met de verantwoordelijke voor het systeem moeten opnemen dat aan NEN 7510 en NEN 7512 voldoet.
- Auditverplichting voor ICT leverancier. Verder verplicht het Besluit de rechtspersoon, niet zijnde de zorgaanbieder, die het elektronisch uitwisselingssysteem beheert en in stand houdt (de ICT leverancier), om het systeem te laten controleren door een onafhankelijke derde. Daarmee dient te worden vastgesteld dat er is voldaan aan de NEN-normen. Vervolgens moet dit worden vastgelegd in een auditrapport.
- Systeem moet worden gelogd volgens NEN 7513. De verantwoordelijke voor een elektronisch uitwisselingssysteem moet er ook voor zorgen dat de logging voldoet aan NEN 7513. Uit het Besluit vaststelling bewaartermijn logging volgt dat deze loggegevens ten minste 5 jaar bewaard moeten worden, vanaf het moment dat de logregel wordt geschreven
Aangezien een ICT leverancier optreedt als verwerker namens de zorgaanbieder, dient hij ingevolge artikel 28 lid 1 AVG ook aantoonbaar te voldoen aan NEN 7510 en NEN 7512. Daarnaast dient het elektronisch patiëntendossier zodanig te worden ingericht dat logging wordt toegepast conform NEN 7513 en de zorgaanbieder kan voldoen aan de eisen uit het Besluit.
Vereisten zorginformatiesysteem
- Systeem moet voldoen aan NEN 7510 en NEN 7512. De zorgaanbieder is overeenkomstig NEN 7510 en 7512 verantwoordelijk voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem.
- Systeem moet gelogd worden volgens NEN 7513. De zorgaanbieder moeten daarnaast zorg dragen dat de logging voldoet aan NEN 7513 en de loggegevens minimaal 5 jaar bewaren.
Voornoemde verplichtingen rusten ingevolge artikel 28 lid 1 AVG ook op de ICT leverancier in zijn rol als verwerker.
Vastleggen beveiligingsbeleid en uitvoeren controles
Zorgaanbieders zijn ook verplicht om de procedures en verantwoordelijkheden rondom elektronische patiëntendossiers neer te leggen in een beleid. Daarnaast moeten de zorgaanbieder en de verantwoordelijke voor elektronische uitwisselingssystemen regelmatig onderzoeken of patiëntgegevens nog wel voldoende beschermd worden. Deze bevindingen dienen zij vervolgens te documenteren. De ICT leverancier kan (of wordt hiertoe verplicht in de verwerkersovereenkomst) in dit verband ondersteuning bieden in de informatievoorziening aan de zorgaanbieder.
NEN-normen
De NEN-normen die in het Besluit genoemd worden, geven kaders aan de noodzakelijke beveiligingsmethodes voor elektronische patiëntendossiers.
- NEN 7510 bestaat uit twee delen en richt zich op zorginstellingen en andere organisaties die betrokken zijn bij de informatievoorziening in de gezondheidszorg. NEN 7510 geeft onder meer aanwijzingen over het organisatorisch en technisch inrichten van de informatiebeveiliging. Zo dient toegang tot het elektronisch patiëntendossier te worden verleend door middel van tweefactor authenticatie (hfst. 9).
- NEN 7512 ziet op de elektronische communicatie tussen zorgaanbieders en zorginstellingen onderling, met patiënten, zorgverzekeraars en andere betrokken partijen. Daarnaast geeft NEN 7512 een verdere invulling aan een aantal van de richtlijnen uit NEN 7510, bijvoorbeeld over de veiligheid van gegevensuitwisseling.
- NEN 7513 omvat ook een verdere invulling van NEN 7510 (dat in hfst. 12 verplicht tot het maken van logbestanden en deze periodiek te controleren) en gaat over logging. Logging is een beveiligingsmethode waarmee achterhaald kan worden wie er toegang had tot een patiëntendossier, volgens welke regels die toegang is verkregen en welke acties op het patiëntendossier zijn uitgevoerd. NEN 7513 biedt zorgaanbieders aanwijzingen voor het loggen en het gebruik van logging om te voldoen aan wettelijke verplichtingen. Daarnaast voorziet het ontwikkelaars van informatiesystemen van een aantal eisen waaraan hun informatiesystemen moeten voldoen. Patiënten hebben overigens een recht op inzage in deze loggegevens. Bekijk voor meer informatie over dit recht op inzage ook mijn eerdere blog over dit onderwerp.
Tot slot
Op basis van de AVG zijn zowel zorgaanbieders als leveranciers verplicht om ervoor te zorgen dat elektronische patiëntendossiers op een passende wijze worden beveiligd. Die beveiligingseisen kunnen zowel technisch als organisatorisch van aard zijn. De Wabvpz en het Besluit geven, afhankelijk van het type systeem (intern zorginformatiesysteem of een elektronisch uitwisselingssysteem), nadere invulling aan de beveiligingsvereisten. In dit verband moet worden voldaan aan de NEN-normen.
Mocht deze kwalificatie niet opgaan, dan nog kan het raadzaam zijn om aansluiting te zoeken bij NEN 7510. Voor wat betreft het datalek bij de GGD gaf minister de Jonge in een Kamerbrief aan dat de bescherming van patiëntgegevens onder meer werd gewaarborgd door een privacy training, het tekenen van een geheimhoudingsverklaring, het verplicht stellen van een VOG en het loggen van zoekopdrachten met een steekproefsgewijze controle. Toch gingen er ook een aantal zaken mis. Zo kregen (te) veel medewerkers toegang tot de gegevens, bevatte de gebruikte systemen een print- en/of exportfunctie, was de controle van de logging niet geautomatiseerd en voldeed de organisatie van GGD GHOR Nederland nog niet aan NEN 7510 (en meer).
Voor het volledige overzicht zij verwezen naar de Kamerbrief. Op dit moment wordt er gewerkt aan oplossingen. Bijvoorbeeld in de vorm van een kernteam die aanvullende maatregelen identificeert en implementeert.
Meer weten?
Ten aanzien van het onderwerp elektronisch patiëntendossier, bestaat inmiddels een breed scala aan regelgeving. Wij hebben gemerkt dat dit veel vragen oproept. Daarom schreven we in dit verband ook een uitgebreid artikel over de rechten van patiënten en verplichtingen van zorgaanbieders. Dit artikel leest u hier.
Heeft u vragen naar aanleiding van het bovenstaande, neem dat gerust contact op met Eva de Vries of Jacintha van Dorp.
