De AVG en het NEN normenkader

De veilige verwerking van persoonsgegevens en informatiebeveiliging in de zorg gaan hand in hand…

Artikel 9 van de Algemene Verordening Gegevensbescherming (AVG) geeft o.a. aan dat gezondheidsgegevens worden geclassificeerd als bijzondere persoonsgegevens. De verwerking daarvan is aan strikte voorwaarden verbonden. Het lekken van gezondheidsgegevens kan voor een patiënt, maar ook voor zorgaanbieders behoorlijke gevolgen hebben. In de zorg, waar men op grote schaal met bijzondere en gevoelige persoonsgegevens werkt, is het essentieel om de informatiebeveiliging op orde te hebben.

Daarom moeten alle zorginstellingen in Nederland voldoen aan het NEN normenkader: ‘Informatiebeveiliging in de zorg’. 

Welke normen kent de zorg?

Vorig jaar, op 1 juli 2017, is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) in werking getreden. Deze wet verplicht zorginstellingen om hun informatiebeveiliging in te richten conform de NEderlandse Normen (NEN). Het NEN normenkader is opgesteld door de stichting Nederlands Normalisatie Instituut (NNI) en is specifiek gericht op de zorg. Het instituut onderscheidt drie normen:

  1. NEN 7510: norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg;
  2. NEN 7512: nadere invulling van NEN 7510 wat betreft de veiligheid van gegevensuitwisseling tussen partijen in de zorg;
  3. NEN 7513: nadere invulling van NEN 7510 wat betreft het vastleggen van acties op elektronische cliëntendossiers.

Het NEN normenkader is gebaseerd op de zogenaamde Code voor Informatiebeveiliging, een internationale standaard voor informatiebeveiliging in organisaties (het ISO normenkader). Voor de zorgsector is deze code aangepast.

Het uitgangspunt van deze norm is het managementsysteem dat zich continu richt op verbeteren. Dit werkt als volgt: een organisatie bepaalt door middel van een analyse wat de risico’s zijn op het gebied van informatiebeveiliging. Op basis van de risico’s neemt de organisatie passende maatregelen. De risicoanalyse en het doorvoeren van de maatregelen wordt regelmatig herhaald. Daardoor houdt de organisatie de maatregelen op peil of verbetert ze.

NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van de te nemen maatregelen. De norm bevat een uitgebreide inleiding, die ingaat op de specifiek Nederlandse context van wet- en regelgeving en actuele ontwikkelingen. Verder besteedt deze norm uitgebreid aandacht aan het managementsysteem voor informatiebeveiliging en het risicomanagement dat daar deel van uitmaakt.

 Toezicht door de Inspectie voor de Gezondheidszorg

NEN 7510 wordt genoemd in artikel 2 van de Algemene Maatregel van Bestuur (AMvB) die hoort bij de Wet gebruik burgerservicenummer (Wgb) in de zorg. Hierdoor heeft NEN 7510 een verplichtend karakter. De verplichting voor de zorginstellingen houdt in dat zij bij het leveren van verantwoorde zorg de patiëntgegevens adequaat moeten beveiligen. Informatiebeveiliging valt daarmee onder het toezicht van de Inspectie voor de Gezondheidszorg (IGZ). IGZ neemt NEN 7510 als uitgangspunt bij het toetsen of zorginstellingen de juiste maatregelen treffen voor het invoeren en handhaven van adequate informatiebeveiliging.

 NEN 7510 en de AVG: de verantwoordingsplicht

Voor het vertrouwen van de patiënt in zorgaanbieders is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat verandert niet met de komst van de AVG. Nieuw onder de AVG is wel de verantwoordingsplicht.

De verantwoordingsplicht houdt in dat organisaties o.a.  moeten aantonen dat ze de juiste technische en organisatorische (beveiligings)maatregelen hebben genomen om de veilige verwerking van persoonsgegevens te waarborgen.

Dat betekent bijvoorbeeld dat de organisatie:

  • niet méér persoonsgegevens verwerkt dan noodzakelijk is;
  • de toegang van medewerkers tot de persoonsgegevens beperkt;
  • de persoonsgegevens niet langer bewaart dan nodig is.

In de AVG staan een aantal verplichte maatregelen genoemd waarmee je aan de verantwoordingsplicht voldoet. Naast de verplichte maatregelen kun je extra maatregelen nemen. Voorbeelden hiervan zijn:

  • het toepassen van de NEN 7510 norm bij het realiseren van informatiebeveiliging in de zorg.
  • Het registreren elke raadpleging van een dossier van een patiënt door elke individuele medewerker. Dit heet logging.
  • Het regelen van de toegang tot patiënten/cliënten dossiers door middel van het toekennen van autorisaties: wie mag welke informatie zien.

In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om bijzondere en gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt/cliënt, hebben ook geen toegang nodig tot het dossier van die patiënt.

Voldoen aan de Europese wetgeving

Zoals al aangegeven geeft het normenkader aan welke passende maatregelen binnen de zorg(instellingen) moeten worden genomen. Door het implementeren van deze maatregelen draagt het NEN normenkader bij aan het AVG-proof maken van de organisatie. De AVG schrijft immers voor dat alle organisaties in control (accountable) moeten zijn van hun data en daar passende maatregelen voor moeten nemen. Deze AVG-eis geldt voor elke organisatie, terwijl het NEN normenkader specifiek voor de zorg van toepassing is.

Het voldoen aan het NEN normenkader staat niet één op één gelijk met het klaar zijn voor de AVG. Daar, waar het NEN normenkader is gericht op het in kaart brengen van de risico’s en het continue verbeteren van maatregelen, stelt de AVG eisen aan wat er al moet zijn geregeld in het kader van de veilige verwerking van persoonsgegevens. Dit bevestigt nog maar eens dat informatiebeveiliging prima zonder privacy kan, maar privacy absoluut niet zonder informatiebeveiliging!