“We hebben een lijst met wetten in ons IB Handboek staan.”
Die zin hoor ik regelmatig bij organisaties. Maar een vertaling van deze lijst naar bijvoorbeeld de applicaties die in gebruik zijn is niet gemaakt. En juist bij dit soort vertalingen begint het echte werk.
Een lijst met wetten
Voor organisaties is het vaak een uitdaging om wet- en regelgeving goed te vertalen naar hun digitale praktijk. Er staat wel een lijst met wetten in IB Handboek, maar het effectief toepassen ervan blijkt lastiger. Daarom werk ik graag met een praktisch hulpmiddel: een digitale schets. Geen abstract model, maar een visuele weergave van de informatievoorziening in de organisatie. Hiermee zie je samen snel welke wetgeving bij de digitale praktijk van de organisatie hoort. Zo ontstaat overzicht. Welke wetten zijn écht van toepassing, en hoe zijn ze geborgd in het managementsysteem?
Toetsen van wet- en regelgeving
Tijdens trajecten rondom informatiebeveiliging en privacy in organisaties komt het onderwerp wet- en regelgeving altijd langs. En dat blijft een complex onderdeel. De centrale vraag is dan: Is het managementsysteem in staat om relevante wettelijke, reglementaire en contractuele eisen te identificeren en toe te passen?
In de praktijk leidt dit vaak tot waardevolle gesprekken. Is de juiste wet- en regelgeving wel opgenomen in de scope van het ISMS? En begrijpen de betrokken bedrijfsjuristen en privacy professionals hoe deze wetten zich vertalen naar de digitale praktijk waarmee de organisatie opereert?
Een recent praktijkvoorbeeld
Een recent praktijkvoorbeeld gaat over de eIDAS-verordening van de Europese Unie. Deze regelt onder andere de interoperabiliteit van elektronische identificatie (eID) binnen de EU. In Nederland implementeert de Wet digitale overheid (Wdo) delen van deze verordening. De Wdo regelt het toelaten en gebruiken van digitale identificatiemiddelen bij publieke én (deels) private dienstverleners.
Als een zorgorganisatie een publieke taak vervult en medische gegevens ontsluit via een portaal, dan moet dat veilig gebeuren via DigiD op niveau Substantieel.
In de praktijk blijkt dit vaak ingewikkeld. Organisaties zijn afhankelijk van wat hun ICT-leverancier biedt, en niet elk portaal ondersteunt standaard DigiD. Het is daarom belangrijk om scherp te hebben of een organisatie een publieke taak vervult, en welke applicaties binnen de organisatie daar invulling aan geven. Voorbeelden van vragen die dan opkomen:
- Moet een huisartsenpraktijk DigiD op haar patiëntenportaal hebben?
- Of moet een arbodienst DigiD gebruiken op haar portaal?
Een digitale schets als hulpmiddel
Om overzicht te krijgen in dit soort situaties werk ik graag met een digitale schets. Geen ingewikkeld TOGAF-model, maar een eenvoudige weergave op een flip-over of digitaal whiteboard, waarin ik samen met de organisatie kijk naar:
- De stakeholders die contact hebben met de organisatie
- De diensten die de organisatie levert
- De digitale toegangskanalen die de organisatie gebruikt om toegang tot informatie te geven
- De bedrijfsprocessen waarin de organisatie gegevens verwerkt
- De applicaties, SaaS-diensten en IaaS-diensten die worden ingezet voor de verwerking van informatie
- De locaties waar gegevens worden opgeslagen en verwerkt
- De externe koppelingen die de organisatie inzet voor elektronische gegevensuitwisseling
Zo’n schets biedt een gedeeld visueel kader en helpt om in kaart te brengen waar welke wet- en regelgeving speelt.
Publieke taken in de zorg
Een publieke taak is een taak die wettelijk is vastgelegd, én waarvan de uitvoering wordt gefinancierd of aangestuurd door de overheid (gemeente, Rijk, of zorgverzekeraar).
Zorgaanbieders met publieke taken:
| Zorgaanbieder / Sector | Waarom? |
| Huisarts | Verzekerde zorg volgens Zorgverzekeringswet (Zvw). |
| Ziekenhuis | Verzekerde zorg, betaald door Zvw/Wlz. |
| GGD | Uitvoering Wet publieke gezondheid (Wpg) namens gemeenten. |
| Jeugdzorgorganisaties (bijv. jeugd-ggz, ambulant, residentieel) | Wordt uitgevoerd op grond van de Jeugdwet en gefinancierd door gemeenten. |
| Jeugdbescherming / Raad voor de Kinderbescherming | Wettelijk vastgestelde taken in het kader van kinderbeschermingsmaatregelen |
| Gecontracteerde wijkverpleging | Zorg onder de Zvw |
| WIz-instelllingen (bijv. verpleeghuizen) | Zorg vanuit Wet landurige zorg (Wlz) |
| Gehandicaptenzorginstellingen | Meestal Wlz of Jeugdwet |
| Verslavingszorg | Vaak onderdeel van Zvw of Jeugdwet |
Zorgaanbieders zonder publieke taak:
| Zorgaanbieder / Sector | Waarom |
| Commerciële kliniek zonder contract | Geen publieke taak – commerciële zorg, vrijwillig en privaat betaald. |
| Reisvaccinatiekliniek | Geen wettelijke taak; commerciële dienstverlening. |
| Arbodienst | Geen publiek domein, zit in de werkgever-werknemer relatie |
| Rijbewijskeuring (bijv. 75+) bij een arbodienst | Je betaalt dit zelf; het is geen zorg die via de Zvw wordt vergoed. |
| Keuring voor levensverzekering | Commerciële vraag vanuit verzekeraar; vrijwillig, niet wettelijk verplicht. |
Van lijst naar toepassing
Een digitale schets helpt organisaties om beter inzicht te krijgen in hun eigen context. Wet- en regelgeving interpreteren en toepassen vraagt om samen te onderzoeken of de gekozen aanpak effectief is.
Deze gesprekken zorgen ervoor dat wetgeving gaat leven. Het wordt concreet:
Welke digitale dienst wordt geleverd? Welke gegevens worden verwerkt? Welke risico’s spelen er? En welke verplichtingen gelden daarbij?
Door samen te verkennen wat wél en niet past, ontstaat ruimte voor inzicht en verbetering.
Waarom een lijst met wetten niet genoeg is
De digitale wereld verandert snel. Wetgeving verandert veel langzamer. Daardoor ontstaat er ruis tussen wat juridisch verplicht is en wat technisch mogelijk of haalbaar is.
Veel organisaties worstelen met die vertaalslag: hoe passen we wetgeving toe in onze portalen, apps of digitale processen?
Een digitale schets helpt om die kloof te overbruggen. Niet als doel op zich, maar als middel om grip te krijgen op de werkelijkheid. Zo werk je samen aan een ISMS waarin wetgeving niet alleen bekend is, maar ook effectief wordt toegepast en geborgd.