Leestijd: 5 minuten
Algemene Inkoopvoorwaarden Gezondheidszorg (AIVG) 2014
Medio 2014 werden de nieuwe AIVG 2014 geintroduceerd, die de oude inkoopvoorwaarden van de zorg vervingen. De nieuwe voorwaarden zijn tot stand gekomen onder leiding van NEVI Zorg, samen met Actiz, NVZ Nederlandse Vereniging van ziekenhuizen, VGN en GGZ Nederland. In deze voorwaarden is een bijzondere aandacht geschonken aan de NEN 7510-norm, betreffende de beveiliging van medische gegevens. In de relatie tussen zorginstelling en IT-leverancier spelen de AIVG, en daarmee ook de NEN 7510, daarom een belangrijke rol. Hier heeft NORD eerder een blog over gepubliceerd.
Medische gegevens
Medische gegevens – ook wel gezondheidsgegevens (artikel 21 Wet bescherming persoonsgegevens) – worden, wanneer deze gekoppeld zijn aan een natuurlijk persoon, beschouwd als een bijzondere variant van persoonsgegevens (artikel 1 Wet bescherming persoonsgegevens). Het bijzondere zit hem in de gevoeligheid van de gegevens. Deze is namelijk groter als de medische toestand van een persoon daaruit is te herleiden. Sterker nog, medische gegevens zijn per definitie gevoeliger en verdienen daarom betere beveiliging.
AIVG 2014 te streng?
Artikel 11.1 AIVG 2014 laat de leverancier de volgende garantie afgeven:
Leverancier staat er voor in dat de geleverde Prestaties (…) voldoen aan de hoogste wettelijke vereisten en overige overheidsvoorschriften, waaronder mede verstaan de Europese wet- en regelgeving en regelgeving van lagere overheden, alsmede aan de hoogste eisen van de binnen de branche gehanteerde veiligheids- en milieu-, kwaliteitsnormen c.q. certificering, alle zoals deze gelden ten tijde van de levering van de Prestatie. (…)
Artikel 42.4 AIVG 2014 vult dit aan en formuleert wanneer de IT-toeleverancier haar beveiliging op het niveau van NEN 7510 moet waarborgen:
In aanvulling op de garantie van artikel 11.1 staat Leverancier er voor in dat hij zal (blijven) voldoen aan de geldende regelgeving op het gebied van informatiebeveiliging in de gezondheidszorg (waaronder in ieder geval begrepen NEN7510 Norm voor informatiebeveiliging in de zorg. NEN7511: aanvulling voorschriften op het gebied van informatiebeveiliging in de zorg voor complexe organisaties (deel I) zoals ziekenhuizen, samenwerkende organisaties (deel II) zoals de thuiszorg en solopraktijken (deel III) zoals de huisartspraktijk. NEN7512: regelt de vertrouwensbasis voor gegevensuitwisseling. De norm stelt minimumeisen aan de bron van de informatie, het transportkanaal en de ontvanger van de gegevens. NEN7513: het stelselmatig registreren van acties op elektronische patiëntendossiers (“logging”)) dan wel logische opvolgers van deze norm en geeft Instelling toestemming de ICT Prestatie te controleren of te laten controleren door middel van een (externe) informatiebeveiligingsaudit. Tussen Partijen worden als dan afspraken gemaakt over het moment, de betrokken partijen, het onderwerp waartegen wordt geaudit en de kostenverdeling.
Echter, dit laatste artikel maakt helemaal geen onderscheid tussen wat niet medische gegevens zijn (en dus niet per se onder de NEN 7510-norm hoeven te vallen) en wat wél medische gegevens zijn (die wél door de NEN-normen geborgd zouden moeten worden). Hiermee lijken de nieuwe inkoopvoorwaarden de toepassing van het strenge regime van de NEN-normen op te rekken tot alle gegevens in plaats van tot louter de gevoelige medische gegevens.
Het is niet nodig om de leverancier van bijvoorbeeld een voorraadbeheersysteem van levensmiddelen met strengere verplichtingen op te zadelen dan strikt noodzakelijk. Ook voor de zorginstellingen kan het onhandig zijn om eerst via meervoudige authenticatie in te moeten loggen om extra koffie te bestellen.
Tip
IT-leveranciers doen er verstandig aan om in de hoofdovereenkomst een uitzondering te formuleren op artikel 42.4 AIVGwanneer ook toepassingen of diensten worden geleverd aan zorginstellingen, die géén medische gegevens verwerken. Inspiratie kan worden ontleend aan artikel 47.2 AIVG 2014, die aanknopend bij artikel 13 Wet bescherming persoonsgegevens gewoon het treffen van ‘passende technische en organisatorische beveiligingsmaatregelen’ vereist om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Indien deze persoonsgegevens medische gegevens zijn, dan geldt – zoals in een eerder blog al is uitgelegd – dat de NEN 7510-norm al snel om de hoek komt kijken. NORD Advocatuur denkt over dit onderwerp graag met u mee.