Het Besluit elektronische gegevensverwerking door zorgaanbieders is per 1 januari 2018 in werking getreden. In het besluit worden specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling door zorgaanbieders vastgelegd. Doordat de eisen in een besluit zijn neergelegd in plaats van in een wet, kan makkelijker worden ingespeeld op de actuele stand van de techniek.
Op 5 april 2011 verwierp de Eerste Kamer het wetsvoorstel over het landelijk EPD (Elektronisch Patiënten Dossier). Daarbij werd een motie aangenomen (motie Tan) waarin de regering werd verzocht om te komen tot een nadere wettelijke regeling over de digitale dossiervorming en overdracht van gegevens. Met het publiceren van de nadere regels over elektronische gegevensverwerking door zorgaanbieders in de Staatscourant van 28 november 2017 is aan dit verzoek voldaan. Het besluit hangt samen met de Wet cliëntenrechten bij elektronische verwerking van gegevens, waarvan het eerste deel per 1 juli 2017 in werking is getreden. De wet heeft nu officieel Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (Wabpz). Hij maakt elektronische uitwisseling van medische persoonsgegevens mogelijk en regelt de randvoorwaarden voor een veilige uitwisseling van medische gegevens. Het is in aangepaste vorm de opvolger van het wetsvoorstel voor de invoering van een elektronisch patiëntendossier dat in 2011 door de Eerste Kamer werd verworpen.Herbevestiging wettelijke verplichting
Het Besluit elektronische gegevensverwerking door zorgaanbieders herbevestigt de al bestaande wettelijke verplichting van de implementatie van de norm voor Informatiebeveiliging NEN7510 (NEN7512 en NEN7513). Die plicht werd in juni 2009 gekoppeld aan het gebruik van het burgerservicenummer (BSN) in de zorg. In het besluit staan onder andere de volgende rechten en plichten op het gebied van informatieveiligheid en privacy:- Verplichting tot benoemen Functionaris voor de Gegevensbescherming (FG) als op grote schaal bijzondere persoonsgegevens worden verwerkt:
- Deze FG dient er voor zowel de apotheek als voor de patiënten te zijn om vragen op het gebied van privacy te beantwoorden. De FG geeft advies voor de toepassing en naleving van de privacy(wetgeving).
- Vastleggen van beleid, procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen.
- Ervoor zorg dragen dat gebruikte elektronische uitwisselingssystemen, interne zorginformatiesystemen en de overeenkomsten tussen zorgaanbieder en de verantwoordelijke van een elektronisch uitwisselingssysteem voldoen aan de veiligheids- en zorgvuldigheidseisen van NEN7510.
- Ervoor zorg dragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN7512.
- Ervoor zorg dragen dat de 'logging' van cliëntengegevens voldoet aan NEN7513.
