Besluit elektronische gegevensverwerking zorgaanbieders ingegaan

2 januari 2018
Plenaire_zaal_Eerste_Kamer
Databeschikbaarheid
Nieuws
Op 5 april 2011 verwierp de Eerste Kamer het wetsvoorstel over het landelijk EPD (Elektronisch Patiënten Dossier). Daarbij werd een motie aangenomen (motie Tan) waarin de regering werd verzocht om te komen tot een nadere wettelijke regeling over de digitale dossiervorming en overdracht van gegevens. Met het publiceren van de nadere regels over elektronische gegevensverwerking door zorgaanbieders in de Staatscourant van 28 november 2017 is aan dit verzoek voldaan. Het besluit hangt samen met de Wet cliëntenrechten bij elektronische verwerking van gegevens, waarvan het eerste deel per 1 juli 2017 in werking is getreden. De wet heeft nu officieel Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (Wabpz). Hij maakt elektronische uitwisseling van medische persoonsgegevens mogelijk en regelt de randvoorwaarden voor een veilige uitwisseling van medische gegevens. Het is in aangepaste vorm de opvolger van het wetsvoorstel voor de invoering van een elektronisch patiëntendossier dat in 2011 door de Eerste Kamer werd verworpen.

Herbevestiging wettelijke verplichting

Het Besluit elektronische gegevensverwerking door zorgaanbieders herbevestigt de al bestaande wettelijke verplichting van de implementatie van de norm voor Informatiebeveiliging NEN7510 (NEN7512 en NEN7513). Die plicht werd in juni 2009 gekoppeld aan het gebruik van het burgerservicenummer (BSN) in de zorg. In het besluit staan onder andere de volgende rechten en plichten op het gebied van informatieveiligheid en privacy:
  • Verplichting tot benoemen Functionaris voor de Gegevensbescherming (FG) als op grote schaal bijzondere persoonsgegevens worden verwerkt:
  • Deze FG dient er voor zowel de apotheek als voor de patiënten te zijn om vragen op het gebied van privacy te beantwoorden. De FG geeft advies voor de toepassing en naleving van de privacy(wetgeving).
  • Vastleggen van beleid, procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen.
  • Ervoor zorg dragen dat gebruikte elektronische uitwisselingssystemen, interne zorginformatiesystemen en de overeenkomsten tussen zorgaanbieder en de verantwoordelijke van een elektronisch uitwisselingssysteem voldoen aan de veiligheids- en zorgvuldigheidseisen van NEN7510.
  • Ervoor zorg dragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN7512.
  • Ervoor zorg dragen dat de 'logging' van cliëntengegevens voldoet aan NEN7513.

Handhaving door AP, IGJ

Op grond van de Wet bescherming persoonsgegevens (en vanaf mei 2018 de AVG) is de Autoriteit Persoonsgegevens toezichthouder voor deze Algemene maatregel van bestuur (amvb). De IGZ (Inspectie Gezondheidszorg & Jeugd) heeft op grond van de Kwaliteitswet zorginstellingen tot taak toezicht te houden op verantwoorde zorg en zal de onderdelen van NEN-normen die hiervoor relevant zijn, in haar toezicht betrekken. De IGZ en het AP hebben een samenwerkingsprotocol waarin de afspraken tussen het AP en de IGZ over de wijze van samenwerking bij het toezicht staan opgesteld.
Databeschikbaarheid ICT Patiënt Wetgeving Security Privacy