AVG

Het Besluit elektronische gegevensverwerking door zorgaanbieders herbevestigt de al bestaande wettelijke verplichting van de implementatie van de norm voor Informatiebeveiliging NEN7510 (NEN7512 en NEN7513). Die plicht werd in juni 2009 gekoppeld aan het gebruik van het burgerservicenummer (BSN) in de zorg.

In het besluit staan onder andere de volgende rechten en plichten op het gebied van informatieveiligheid en privacy:

• Verplichting tot benoemen Functionaris voor de Gegevensbescherming (FG) als op grote schaal bijzondere persoonsgegevens worden verwerkt:
• Deze FG dient er voor zowel de apotheek als voor de patiënten te zijn om vragen op het gebied van privacy te beantwoorden. De FG geeft advies voor de toepassing en naleving van de privacy(wetgeving).
• Vastleggen van beleid, procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen.
• Ervoor zorg dragen dat gebruikte elektronische uitwisselingssystemen, interne zorginformatiesystemen en de overeenkomsten tussen zorgaanbieder en de verantwoordelijke van een elektronisch uitwisselingssysteem voldoen aan de veiligheids- en zorgvuldigheidseisen van NEN7510.
• Ervoor zorg dragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN7512.
• Ervoor zorg dragen dat de ‘logging’ van cliëntengegevens voldoet aan NEN7513.

Handhaving door AP, IGJ

Op grond van de Wet bescherming persoonsgegevens (vanaf mei 2018 de AVG) is de Autoriteit Persoonsgegevens toezichthouder voor deze Algemene maatregel van bestuur (amvb). De IGZ (Inspectie Gezondheidszorg & Jeugd) heeft op grond van de Kwaliteitswet zorginstellingen tot taak toezicht te houden op verantwoorde zorg en zal de onderdelen van NEN-normen die hiervoor relevant zijn, in haar toezicht betrekken. De IGZ en het AP hebben een samenwerkingsprotocol waarin de afspraken tussen het AP en de IGZ over de wijze van samenwerking bij het toezicht staan opgesteld.

De maximale boete voor het niet voldoen aan de AVG is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt. Voor opsporingsinstanties en het Openbaar Ministerie geldt aparte privacywetgeving. Het EU voorstel is om de AVG op 25 mei 2018 te laten vergezellen door de e-privacyverordening.

Delen: