Zorgorganisaties zijn druk met de NEN 7510.
Zorgorganisaties zijn druk met de NEN 7510. Dit is niet een nieuwe trend. Informatiebeveiliging en privacy zijn onderwerpen die al lange tijd op de agenda staan. De laatste jaren groeit echter de vraag naar NEN 7510 certificering door zorgaanbieders. Maar waarom? Het antwoord is te vinden in een schets van een aantal historische ontwikkelingen.
Rapport Beveiliging van persoonsgegevens.
In 2001 is de Wet bescherming persoonsgegevens in werking getreden. In artikel 13 van deze wet staat dat de verantwoordelijke voor de verwerking van persoonsgegevens passende technische en organisatorische maatregelen treft. In april 2001 schrijft de Registratiekamer het Rapport Beveiliging van persoonsgegevens, waarin een uitgebreide toelichting op organisatorische en technische maatregelen wordt beschreven.
NEN 7510:2004.
De lijst met organisatorische en technische maatregelen van de Registratiekamer komt overeen met de eerste versie van de NEN 7510 die in 2004 verschijnt. In 2004 en in 2007 doet het CBP samen met de IGZ een toets in ziekenhuizen naar de stand van informatiebeveiliging. Daarbij wordt de NEN 7510 als meetinstrument gebruikt. Het CBP geeft aan dat als een ziekenhuis voldoet aan de NEN 7510 norm, er vanuit mag worden gegaan dat er ook voldaan wordt aan de wettelijke bepaling. De IGZ ziet de NEN 7510 als voorwaarde om verantwoorde zorg te kunnen verlenen.
Programma van eisen voor een goed beheerd zorgsysteem (GBZ).
In juni 2008 verschijnt van Nictiz een programma van eisen voor een goed beheerd zorgsysteem. Dit programma is geschreven in het kader van het AORTA-programma, waarbij Nictiz samen met partijen in het veld werkte aan de invoering van het Landelijk EPD. In het programma van eisen voor een goed beheerd zorgsysteem wordt de NEN 7510 genoemd als voorwaarde waar zorgaanbieders aan moeten voldoen.
Wet gebruik burgerservicenummer in de zorg
Ook in het jaar 2008 treedt de Wet gebruik burgerservicenummer in de zorg in werking. Een zorgaanbieder is door deze wet verplicht om de identiteit en het BSN van een cliënt vast te stellen wanneer die cliënt zich voor het eerst met een zorgvraag meldt. Dit is nodig, omdat in alle berichtgevingen tussen zorgaanbieders onderling en met zorgverzekeraars het BSN aanwezig moet zijn. Dit om persoonsverwisseling en daardoor medische fouten te voorkomen. De Wet was ook een belangrijke voorwaarde voor het tot stand laten komen van het Landelijk EPD.
Eerste kamer stemde tegen een landelijk EPD
De Eerste Kamer stemt in 2011 echter tegen het Landelijk EPD. Het project lijkt niet meer door te gaan. Maar het Landelijke Schakelpunt (LSP), de spil van het EPD, maakt eind 2012 een doorstart met hulp van Zorgverzekeraars Nederland. Er moest wel voldoende steun zijn bij huisartsen en burgers.
CBP richtsnoeren: beveiliging van persoonsgegevens.
In 2013 verschijnt het document “CBP richtsnoeren: beveiliging van persoonsgegevens”. In de richtsnoeren wordt verwezen naar beheersmaatregelen uit de ISO27002. Dit zijn beheersmaatregelen waar ook in de NEN 7510:2011 ten dele gebruik van wordt gemaakt.
Wet cliëntenrechten bij elektronische verwerking van gegevens
Per 1 juli 2017 treedt de Wet cliëntenrechten bij elektronische verwerking van gegevens in werking. Deze wet schept aanvullende randvoorwaarden voor het eventuele gebruik van een elektronisch uitwisselingssysteem door zorginstellingen. Deze wet is een aanvulling op onder andere de Wbp/AVG, de WGBO, de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg (Wmg) en de Zorgverzekeringswet (Zvw). Tegelijkertijd treedt ook een algemene maatregel van bestuur in. Dit is het Besluit elektronische gegevensverwerking door zorgaanbieders.
Besluit elektronische gegevensverwerking door zorgaanbieders.
Dit Besluit geeft invulling aan de passende technische en organisatorische maatregelen als bedoeld in artikel 13 Wbp voor zorgaanbieders en andere organisaties die bij de informatievoorziening in de gezondheidszorg betrokken zijn. Het besluit verwijst dwingend naar NEN 7510, NEN 7512 en NEN 7513. Dit betekent dat wanneer een zorginstelling deze normen heeft geïmplementeerd, er van uit mag worden gegaan dat deze ‘passende technische en organisatorische maatregelen’ heeft getroffen.
Handhaving door Autoriteit Persoonsgegevens en IGJ
In 2018 is de Wbp vervangen door de AVG. Op grond van de AVG is de Autoriteit Persoonsgegevens toezichthouder voor het Besluit elektronische gegevensverwerking door zorgaanbieders. De IGJ heeft op grond van de Kwaliteitswet zorginstellingen tot taak toezicht te houden op verantwoorde zorg en zal de onderdelen van NEN-normen die hiervoor relevant zijn, in haar toezicht betrekken. De IGJ en het AP hebben hiervoor een samenwerkingsprotocol opgesteld.
IGJ Toetsingskader inzet eHealth
Met ingang van september 2018 hanteert het IGJ het toetsingskader voor de inzet van eHealth. Onder e-health wordt verstaan we de inzet van hedendaagse informatie- en communicatietechnologie (ICT) om de zorg te ondersteunen of te verbeteren. Onderdeel van het Toetsingskader is informatiebeveiliging en continuïteit door zorgaanbieders. Daarbij wordt gekeken naar de aanwezigheid van een Information Security Management Systeem en wordt de NEN 7510 als norm gebruikt.
Boete HagaZiekenhuis
In 2019 krijgt het HagaZiekenhuis van de Autoriteit Persoonsgegevens een boete van 460.000 euro voor het niet op orde hebben van de interne beveiliging van patiëntendossiers. Als onderbouwing van de uitspraak past de Autoriteit Persoonsgegevens de NEN 7510 toe.
NVZ Routekaart
Dit uitspraak van de Autoriteit Persoonsgegevens leidt tot de onderkenning van het probleem dat in de NEN 7510 voor een aantal eisen de praktische uitwerking niet concreet is gespecificeerd. Om te voorkomen dat iedere instelling zijn eigen interpretaties van de NEN 7510 normeisen opstelt, hebben de NVZ en de NFU gezamenlijk de Gedragslijn Toegangsbeveiliging Digitale Patiëntdossiers opgesteld. De gedragslijn geeft concrete invulling van de normeisen.
Nieuwe wet- en regelgeving
Het voorstel voor de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) wordt behandeld in de Tweede Kamer. Onder deze wet wordt via AMvB verwezen naar normen voor elektronische gegevensuitwisseling. Zoals de NEN 7503 voor het voorschrijven en ter hand stellen van medicatie. Zodra onder de Wegiz bij AMvB verwezen wordt naar NEN 7503, dient deze te verwijzen naar NEN 7510, 7512 en 7513. Certificering tegen de NEN 7510 helpt dus bij de invoering van de normen voor elektronische gegevensuitwisseling.
Conclusie: waarom groeit de vraag naar NEN 7510?
Vanaf 2001 wordt er al gestuurd op het toepassen van informatiebeveiliging in zorgorganisaties. Per 1 juli 2017 is de NEN 7510 verplicht geworden. Er wordt op toegezien door de Autoriteit Persoonsgegevens en er wordt op gehandhaafd door de IGJ.
Zorgorganisaties hoeven zich niet te certificeren tegen de NEN 7510 maar het helpt wel om continue aan te blijven tonen dat voldaan wordt aan de normeisen. Naast de wettelijke verplichting versterkt het ook het vertrouwen tussen zorgaanbieders onderling en met ICT-leveranciers dat aan de wettelijke verplichting wordt voldaan. Dit vertrouwen is belangrijk bij het elektronisch uitwisseling van medische gegevens.