Privacy in de zorg (deel 2): NEN 7510 en 7512 best practice of verplicht?

Met de inwerkingtreding van het Besluit elektronische gegevensverwerking door zorgaanbieders op 1 januari 2018, wordt aan de verantwoordelijke voor een elektronisch uitwisselingssysteem en aan de zorgaanbieder de eis gesteld dat zij zorgen voor een veilig en zorgvuldig gebruik van hun systemen overeenkomstig het bepaalde in de NEN 7510 en NEN 7512. Dit betekent dat het voldoen aan deze normen per 1 januari 2018 verplicht is en niet louter een “best practice”.

De huidige Wet bescherming persoonsgegevens (Wbp) verplicht de verantwoordelijke “passende technische en organisatorische maatregelen” te nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Op grond van artikel 26 Wbp kunnen bij algemene maatregel van bestuur nadere regels worden gesteld ten aanzien van deze verplichting. Het Besluit elektronische gegevensverwerking door zorgaanbieders geeft invulling aan deze verplichting voor zorgaanbieders en andere organisaties die bij de informatievoorziening in de gezondheidszorg betrokken zijn. Het Besluit verwijst dwingend naar de normen NEN 7510 en 7512. Dit betekent dat voldoen aan deze normen een wettelijke verplichting is.

De NEN 7510 is een norm voor het organisatorisch en technisch inrichten van informatiebeveiliging in de zorg en heeft betrekking op vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening. De NEN 7512 is een nadere invulling van de NEN 7510 betreffende de veiligheid van gegevensuitwisselingen tussen partijen in de zorg. Deze norm ziet op de elektronische communicatie in de zorg tussen zorgaanbieders en zorginstellingen onderling, met patiënten, met zorgverzekeraars en andere partijen die bij de zorg betrokken zijn.

De Minister van VWS heeft de normen afgekocht. Dit betekent dat de normen vrij verkrijgbaar zijn. In het Besluit wordt verwezen naar de NEN zonder dat daarbij een versie wordt genoemd. Dit betekent dat steeds de laatste gepubliceerde versie van toepassing is. Door het Ministerie van Volksgezondheid, Welzijn en Sport zal in de Staatscourant steeds mededeling worden gedaan van een nieuwe uitgave van NEN en vanaf welke datum de nieuwe uitgave van toepassing wordt. Hierbij zal volgens het Besluit rekening worden gehouden met de benodigde implementatietijd die nodig kan zijn om aan wijzigingen in NEN te voldoen. Zorgaanbieders dienen dus oplettend te zijn!

Wilt u meer weten over privacy in de zorg? Neemt u dan contact op met Natascha van Duuren, partner IT, IE & privacy, 

Uitvoeringswet AVG ingediend bij de Tweede Kamer

Zoals bekend, treedt de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 in werking. Deze wet vervangt de Wet bescherming persoonsgegevens (Wbp). De verordening is rechtstreeks toepasselijk in alle lidstaten van de Europese Unie. Daarom is het op nationaal niveau niet nodig wetswijzigingen door te voeren. De AVG biedt echter ruimte om op nationaal niveau aanvullende wetten op te stellen. Dit staat bijvoorbeeld in artikel 9 lid 4 AVG: “De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren.”

In Nederland zijn die aanvullende bepalingen opgenomen in de Uitvoeringswet Algemene verordening gegevensbescherming (Uitvoeringswet).  Deze is aan het einde van 2017 bij de Tweede Kamer ingediend.

De Uitvoeringswet is beleidsneutraal. Dit houdt in dat waar in de AVG ruimte wordt gelaten voor nationale keuzes, de regels uit de Wbp zoveel mogelijk ongewijzigd zijn overgenomen in de Uitvoeringswet. Deze keuze is onder andere gemaakt, zodat de overgang van de oude naar de nieuwe situatie zo soepel mogelijk verloopt. Des te kleiner de verschillen, des te vloeiender de overgang van het huidige naar het nieuwe regime. Een voorbeeld hiervan zijn de uitzonderingsgronden op basis waarvan bijzondere persoonsgegevens mogen worden verwerkt. Deze zijn, vrijwel met dezelfde tekst, overgenomen uit de Wbp in de Uitvoeringswet.

In de Uitvoeringswet is daarnaast veel aangesloten bij hetgeen in de AVG is opgenomen. Zo staat er bijvoorbeeld in de AVG aangegeven wat de nationale toezichthouder voor taken en bevoegdheden heeft. In de Uitvoeringswet is dat ‘vertaalt’ naar de taken en bevoegdheden van de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder.

Voor nu is het afwachten of de Tweede Kamer het voorstel aanneemt. In dat geval wordt het stuk doorgezonden naar de Eerste Kamer, die daar vervolgens over mag stemmen. We houden u op de hoogte.

De privacy van zieke werknemers

Terwijl privacy bijna dagelijks aandacht krijgt in de media, blijkt het bij veel bedrijven nog te schorten aan de benodigde aandacht voor dit onderwerp. Met name als het gaat om de gegevensverwerking binnen de arbeidsrelatie. Werkgevers verwerken grote hoeveelheden persoonsgegevens over hun werknemers, waaronder gegevens over de gezondheid van werknemers.

Gezondheidsgegevens zijn zeer privacy gevoelig en kwalificeren daarom als ‘bijzondere persoonsgegevens’ in de zin van de Wet bescherming persoonsgegevens (Wbp). Deze gegevens zijn wettelijk goed beschermd en mogen niet zomaar verwerkt worden. Het verwerken van persoonsgegevens omvat vrijwel iedere denkbare handeling met betrekking tot persoonsgegevens, waaronder vastleggen, bijwerken, wijzigen, opvragen, gebruiken en verstrekken.

Annneloes Korremans schreef een artikel over dit onderwerp dat is gepubliceerd in het vakblad Loonzaken. Wilt u het hele artikel lezen? Klik dan hier.