Hoe zit het nou echt met de Wet en de norm NEN 7510?
Dit is een toelichtend artikel over de ‘wet Cliëntenrechten bij elektronische verwerking van gegevens’ , de NEN 7510 serie, en de gevolgen voor zorgverleners
Waveland kreeg veel reacties op onze nieuwsbrief over de gevolgen van de HAGA ziekenhuis uitspraak van de Autoriteit Persoonsgegevens.
Dit artikel wil de wetgeving en de link naar vrijwillige Nederlandse normen zoals de NEN 7510 helder onder elkaar zetten voor haar zorgverleners.
Alleen voldoen aan de inhoud van de AVG privacywet lijkt niet voldoende bij een controle naar aanleiding van een klacht of datalek.
Dit artikel licht toe waarom dat zo is, of lijkt te zijn. Namens onze zorgverleners vragen we ons af of dit de goede aanpak is van de overheid.
We spreken over drie wettelijke regelingen en een aantal vrijwillige normen:
- De AVG privacy wet (een Europese verordening)
- De ‘wet cliëntenrechten bij elektronische verwerking van gegevens’. Dit is een Wet[1].
- ‘Besluit elektronische gegevensverwerking door zorgaanbieders’. Dit is een AmvB, een Algemene maatregel van Bestuur[2].
- Normen van de NEN[3].
Twee wettelijke regels lichten we kort toe in voetnoten beneden aan deze pagina. ‘Normen van de NEN’ lichten we hieronder toe.
Een toelichting op 3: ‘Nederlandse normen’.
Normen worden gemaakt door de branche, die zich vrijwillig[4] verzamelt in een werkgroep. De NEN is secretaris van die werkgroep. De NEN is een afkorting van ‘Nederlandse Norm’[5] te Delft.
Normen zijn als uitgangspunt altijd vrijwillig. Normen zijn een overzicht van eisen[6] samengesteld door leden van de werkgroep. De werkgroep bestaat uit organisaties en soms bedrijven met een belang bij de norm. Soms zit er iemand van de overheid bij.De norm is een aanbeveling vanuit de branche over de ‘beste praktijk’ voor een bepaald onderwerp.
Terug naar de wet en haar AmvB
De ‘wet cliëntenrechten bij elektronische verwerking van gegevens’ van 1 juli 2017[7] stelt eisen[8] bij het gebruik van een elektronisch uitwisselingssysteem door zorgverleners.
Wat is een elektronisch uitwisselingssysteem?
De definitie in de wet is:
- elektronisch uitwisselingssysteem: een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier;
Kort toegelicht is een elektronisch uitwisselingssysteem een systeem waarbij zorgverleners elkaar toestemming verlenen in hun patiëntendossiers te kijken. Het LSP (Landelijk Schakelpunt) is een voorbeeld van zo’n systeem.
Belangrijk: de wet Cliëntenrechten verbiedt de toegang tot een uitwisselingssysteem voor:
- Zorgverzekeraars
- Bedrijfsartsen, verzekeringsartsen, keuringsartsen
Het bij deze wet horende AmvB ‘Besluit elektronische gegevensverwerking door zorgaanbieders’, geeft nadere invulling aan de wet. Die eisen gelden voor:
- de verantwoordelijke aanbieder van een uitwisselingssysteem, en
- iedere zorgverlener die zich bij zo’n uitwisselingssysteem aansluit.
De wettelijke eis is dat aanbieder en zorgverlener beiden NEN 7510, 7512 en 7513 toepassen.
Dit betekent een volledig management systeem voor dataveiligheid in de zorg (NEN 7510) de communicatieprocessen bij uitwisseling van gegevens (NEN 7512) en de logging, dat is het bijhouden wie, wanneer, en wat gedaan heeft in het systeem, (NEN 7513). Dit is een vereenvoudigde weergave, er staan wat meer onderwerpen in de verschillende normen.
- De aanbieder van het uitwisselingssysteem moet daarbij volgens de AmvB een onafhankelijk auditrapport hebben, niet ouder dan 5 jaar, en daarvan melding doen bij de AP.
- De zorgverlener die zich aansluit bij een uitwisselingssysteem moet op basis van NEN 7510 serie het veilig gebruik van het uitwisselingssysteem garanderen. De AmvB verplicht de zorgverlener zijn beleid, procedures, verantwoordelijkheden en registraties vast te leggen op het gebied van de dataveiligheid.
Ze moeten zich beiden op de hoogte houden van de laatste stand van wetenschap en techniek met betrekking tot privacy en dataveiligheid.
Ze moeten zich altijd kunnen verantwoorden voor het gebruik van het uitwisselingssysteem.
Conclusie I: De zorgverlener die zich aansluit bij een uitwisselingssysteem voor patiëntengegevens moet een manier vinden om de NEN 7510, 7512 en 7513 als vastgelegd beleid, procedures, verantwoordelijkheden en registraties in te voeren en bij te houden binnen zijn praktijk.
Het LSP (Landelijk SchakelPunt) is een voorbeeld van een uitwisselingssysteem. Er zijn meer systemen die onder de definitie van een uitwisselingssysteem vallen.
De toezichthouders op bovenstaande zijn
- De IGJ (Inspectie Gezondheidszorg en Jeugd)
- De Autoriteit Persoonsgegevens.
Beide organisaties gebruiken de NEN 7510 serie bij hun toezicht. Ze gebruiken die norm als invulling van de wettelijke eisen.
Conclusie II: IGJ en AP gebruiken bij controles de eisen de normen NEN 7510, NEN 7512 en NEN 7513 als kader voor AVG en dataveiligheidswetgeving.
Zorgverleners, aangesloten bij het LSP (Landelijk SchakelPunt) moeten daarom werken op basis van NEN 7510, 7512 en 7513.
Namens onze licentiehouders hebben we wel een aantal vragen.
Onder andere:
- De normen vormen een vrijwillig kader. Door de normen te noemen in de wetgeving en AmvB worden de vrijwillige normen verplichte wettelijke eisen. Die eisen zijn dan opeens afdwingbaar door wettelijke toezichthouders. Onder juristen en wetgevers is een discussie gaande of de wetgever wel via die figuur vrijwillig bedoelde normen tot wettelijk verplichte normen moet maken.
- De normen stellen zelf dat de norm toegepast moet worden zoals past bij de organisatie. De basis van de toepassing is de risicoanalyse. De normen kennen daarmee een open structuur. Hoe gaan de toezichthouders om met goed werkende eigen invulling door zorgverleners? Krijgen die wel deskundige aandacht? Of geldt alleen de letter van de norm, zoals in een wet?
- Op basis van welk vastgelegd mandaat past de AP de ‘wet cliëntenrechten bij elektronische verwerking van gegevens’ en het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ toe als beoordelingskader?
- In de HAGA uitspraak is de link gelegd tussen de AVG en de norm NEN 7510 en volgende. Dat betekent dat voldoen aan de AVG alleen kan door de norm NEN 7510 e.v. bewijsbaar toe te passen. De AP gebruikt immers ook andere wetgeving om aan te tonen dat een zorgverlener de AVG heeft overtreden. Is dit de goede aanpak? Het is wel realiteit op dit moment.
Conclusie III: Waveland Wiskits NEN 7510 en ISO 27001 leveren uw direct in te voeren management systeem om aan de norm te voldoen.
Het volledige beleid, procedures, verantwoordelijkheden en registraties zijn direct beschikbaar. Uw specifieke gegevens vult u makkelijk aan. Het is goed bij te houden binnen uw praktijk.
Waveland houdt u op de hoogte van wijzigingen in wetgeving en normen. Wij houden u op de hoogte van belangrijke uitspraken van toezichthouders (jurisprudentie). Gevolgen voor uw management van wetgeving en normen voert Waveland voor u door in uw eigen Wiskit. Waveland houdt u op de hoogte als een aanpassing gedaan is.
Zo blijft uw praktijk voldoen aan de wet.
Hoe breidt u uw licentie uit van ‘Comfort AVG’ naar ‘Compleet NEN 7510’ ?
Ga naar www.waveland.nu en log in in uw account. Hier kunt u bij ‘uw licenties’ uw huidige licentie upgraden.
Uw reeds ingevoerde AVG gegevens blijven behouden bij uw overstap naar Wiskit ‘Compleet’
U betaalt bij de overstap alleen het verschil in licentiekosten voor dat lopende jaar. Het nieuwe jaarbedrag gaat pas in het jaar daarop in.
Eerst even overleg? Klik op ‘stel uw vraag’ in de bovenbalk van uw Wiskit.
Of mail naar info@waveland.nu Wij helpen u graag.
Voetnoten:
[1] Een wet is aangenomen door 2e en 1e kamer. Een wet vermeldt vaak de mogelijkheid om haar eisen nader in te vullen via een AmvB.
[2] Een AmvB is een Algemene Maatregel van Bestuur. Die AmvB heeft eveneens ‘kracht van wet’. Een geadresseerde van de wet (=degene voor wie de wet geldt) kan dus verplicht gehouden worden aan de eisen die in de AmvB staan (!).
[3] Dit lichten we toe in de tekst van het artikel zelf. Het is namelijk niet voor iedereen duidelijk is wat Nederlandse normen eigenlijk zijn.
[4] Deelnemers moeten daarvoor meestal betalen: de kosten van het secretariaat van een werkgroep worden betaald door de leden van de werkgroep zelf.
[5] Voorheen heette dit het Nederlandse Normalisatie Instituut. Samen met de NEC vormen ze nu de NEN te Delft.
[6] Het zijn technische- of organisatorische eisen.
[7] Deze wet is een aanvulling op de AVG, de WGBO, wet gebruik BSN in de zorg, Wet marktordening gezondheidszorg (Wmg) en de Zorgverzekeringswet (Zvw)
[8] Deze wet regelt ook het verplichte gebruik van het BSN nummer en de voorwaarden daarvoor.