Leestijd: 7 minuten

Zorginstellingen liggen onder de loep van zowel de wetgever als de toezichthouders. Terwijl de forse bezuinigingen een groot gevaar voor de zorg zijn, stijgt onverminderd de regeldruk. Eén van de aandachtspunten van de wetgever is de wijze van verwerking van medische gegevens. In aanloop naar de invoering van de Wet cliëntenrechten bij verwerking van elektronische gegevens zijn de NEN 7510, 7512 en 7513 vrijgegeven. Deze normen moeten regelen hoe zorginstellingen omgaan met medische gegevens.

Medische gegevens

Medische gegevens worden, wanneer deze gekoppeld zijn aan een natuurlijk persoon, beschouwd als een bijzondere variant van persoonsgegevens (artikel 1 Wet bescherming persoonsgegevens). Het bijzondere zit hem in de gevoeligheid van de gegevens. Deze is namelijk groter als de medische toestand van een persoon daaruit is te herleiden. Sterker nog, medische gegevens zijn per definitie gevoeliger en verdienen daarom betere beveiliging.

Het College bescherming persoonsgegevens (CBP) doet regelmatig onderzoek naar de verwerking bij persoonsgegevens en uit publicaties blijkt dat zorginstellingen onzorgvuldig omgaan met medische gegevens in de praktijk. Het CBP verwijst bij zijn rapporten steevast naar de zelf opgestelde Richtsnoeren beveiliging van persoonsgegevens (2013), om te bepalen welke mate van beveiliging in een concrete situatie ‘passend’ is, waarbij altijd wordt geadviseerd om gebruik te maken van algemeen geaccepteerde beveiligingsstandaarden.

Het CBP heeft in 2012 de Minister geadviseerd om de NEN 7510-7513 normen toe te passen op het wetsvoorstel Cliëntenrechten bij verwerking van elektronische gegevens. Sinds vorige maand is het mogelijk om de NEN 7510, 7512 en 7513 gratis te downloaden en eindigt de rare situatie dat zorginstellingen aan normen moeten voldoen die niet (gratis) openbaar zijn gemaakt.

 

NEN 7510

Bij de verwerking van persoonsgegevens wordt door de wet vereist dat zowel de verantwoordelijke (bijvoorbeeld de zorginstelling) als de bewerker (bijvoorbeeld de IT-leverancier) passende technische en organisatorische maatregelen neemt om de vertrouwelijkheid te waarborgen (artikel 13 Wbp):

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

De NEN 7510-norm is een algemene document van ruim 150 pagina’s en behandelt de informatiebeveiliging in de zorg in de volle omvang. De norm is technologieneutraal en schrijft niet voor met welke specifieke technische maatregelen zorgaanbieders of – ook heel belangrijk – hun IT-toeleveranciers aan deze eisen moeten voldoen. Door middel van audits door externe beveiligingsdeskundigen kunnen partijen laten controleren of hun technische en organisatorische maatregelen voldoen aan de NEN 7510-norm.

De NEN 7510 is hier gratis te downloaden.

 

NEN 7512 en NEN 7513

In tegenstelling tot de NEN 7510, zijn de overige twee gratis gepubliceerde NEN-normen opgesteld voor specifieke verwerkingen. De NEN 7512 is gericht op de veilige uitwisseling van informatie, waarbij onderwerpen als authenticatie en digitale handtekeningen aan bod komen. De NEN 7513 geeft regels over het loggen (bewaren) van alles wat er met een verzameling medische gegevens gebeurt, zoals wie toegang heeft gekregen en welke gegevens er door wie zijn aangepast.

De NEN 7512 is hier gratis te downloaden en de NEN 7513 hier. De NEN 7511 is in 2011 ingetrokken, maar zal binnenkort in vernieuwde vorm verschijnen.

 

NEN-normen niet zaligmakend

Het is vooral onder de druk van het CBP dat het vage wettelijke begrip ‘passende technische en organisatorische maatregelen’ nu wordt ingekleurd met concrete normen. Dit terwijl het juist een bewuste keuze van de wetgever is geweest om de normen ‘open’ te laten. Dit laat de verantwoordelijke meer zelf bepalen welk beveiligingsniveau passend is. En hoewel de strekking van de normen (een passende beveiliging) te begrijpen en te prijzen is, is het te kort door de bocht om te stellen dat het niet voldoen aan bepaalde NEN-normen meteen onveilige gegevensverwerking zou betekenen. Er zijn waarschijnlijk meerdere wegen – en soms zelfs betere – die naar Rome leiden, die de wetgever nu met het wetsvoorstel lijkt te willen afsluiten. De NEN 7510-7513 normenkaders zijn in ieder geval niet onderworpen geweest aan democratische controle bij het ontstaan, wat vanuit staatsrechtelijk oogpunt dubieus is als hier te klakkeloos naar wordt verwezen.

Door de complexiteit van de materie zijn discussies over de beveiliging van medische gegevens tussen marktpartijen en/of met de toezichthouder lastig te voeren. Iedereen heeft behoefte aan houvast, maar gehinderd door gebrekkige technische kennis wordt wellicht te blind gestaard op een normenkader. Zo vereisen de Algemene Inkoopvoorwaarden voor de Zorg (AIVZ 2014) voor alle IT-diensten de NEN 7510, terwijl niet alle IT-diensten medische gegevens zullen verwerken. Voor niet-medische gegevens zijn de behandelde NEN-normen helemaal niet vereist. De nuance tussen verschillende gradaties van medische gegevens is ook zoek in de discussie. Zo zal het bekend zijn van het hebben van een verkoudheidje minder privacygevoelig zijn dan het bekend zijn van een hiv-besmetting. Maximale beveiliging is een utopie, dus moeten we ook niet voorkomen dat we een gulden met een rijksdaalder beveiligen?

NORD staat zowel zorginstellingen als IT-leveranciers bij waar het gaat om het contractuele kader en het juridisch inrichten van organisaties in verband met privacy compliancy.

Zorg & IT

Geplaatst op 11 december 2014 door Koen Konings