NEN7510-norm wettelijk verplicht voor zorginstellingen?

Voor het leveren van goede zorg verwerken zorginstellingen gegevens van patiënten. Ook wisselen ze persoonsgegevens uit met andere zorgaanbieders. Patiëntgegevens zijn gevoelige gegevens en daarom is het van belang dat zorginstellingen deze gegevens adequaat beschermen. In dat kader zijn zorginstellingen in bepaalde gevallen wettelijk verplicht om te voldoen aan de NEN7510-norm. Dit betreft een norm voor informatiebeveiliging in de zorg. De norm omschrijft welke maatregelen een zorginstelling moet nemen om patiëntgegevens adequaat te beschermen. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de kwaliteit van de zorg in Nederland en gebruikt de norm als leidraad bij inspecties om te toetsen of zorginstellingen hun informatiebeveiliging op orde hebben. Hieronder zal worden toegelicht wanneer zorginstellingen wettelijk verplicht zijn om te voldoen aan de NEN7510-norm.

Zorginstellingen moeten voldoen aan de NEN7510-norm wanneer zij (1) het BSN van patiënten verwerken en (2) gebruik maken van een zorginformatiesysteem en/of een elektronisch uitwisselingssysteem.

(1) Het verwerken van BSN van patiënten

Op grond van de Regeling gebruik BSN in de zorg en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), dienen zorgaanbieders bij het verwerken van het BSN van patiënten te voldoen aan NEN7510 (en de uitwerkingen daarvan in NEN7511 en NEN7512). Relevant is dus om te bepalen of de betreffende zorginstelling valt onder de definitie ‘zorgaanbieder’. De definitie van zorgaanbieder is nader uitgewerkt in de Wet Kwaliteit, klachten en geschillen zorg (Wkkgz). Samengevat verstaat deze wet onder een zorgaanbieder ‘een instelling die bedrijfsmatige zorg verleent’ dan wel ‘een solistisch werkende zorgverlener die beroepsmatig zorg verleent’. Dit betreft een zeer ruime definitie. De meeste zorginstellingen zullen onder deze definitie vallen en moeten om deze reden voldoen aan de hiervoor genoemde NEN-normen wanneer zij het BSN van patiënten verwerken.

(2) Het gebruiken van een zorginformatiesysteem en/of een elektronisch uitwisselingssysteem

Op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders, dienen zorgaanbieders overeenkomstig NEN7510 en NEN7512 zorg te dragen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en het elektronisch uitwisselingssysteem. Ook moeten zorgaanbieders ervoor zorgen dat de logging van een zorginformatiesysteem voldoet aan de NEN7513-norm.

Een elektronisch uitwisselingssysteem is een systeem waarmee zorgaanbieders op elektronische wijze dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken. Voorbeelden van dergelijke systemen zijn inzageportalen en systemen met verwijsindexen (zoals MedMij en het Landelijk Schakelpunt (LSP)). Een zorginformatiesysteem is een elektronisch systeem van een zorgaanbieder voor het verwerken van persoonsgegevens in een dossier. Voorbeelden van dergelijke systemen zijn huisartsen-informatiesystemen (HIS’en) en apotheekinformatiesystemen (AIS’en). Bij het gebruiken van zorginformatiesystemen en elektronische uitwisselingssystemen dienen zorgaanbieders te voldoen aan de hiervoor genoemde NEN-normen.

Let op: het is voor zorgaanbieders wettelijk verplicht om te voldoen aan de NEN7510-norm. Echter is het niet wettelijk verplicht om een certificaat te behalen. Het behalen van een certificaat kan daarentegen wel zinvol zijn om aan te tonen dat aan de NEN7510-norm wordt voldaan.

Mocht een zorginstelling niet als zorgaanbieder gekwalificeerd kunnen worden, dan is de NEN7510-norm geen wettelijke verplichting. De norm betreft tevens geen verplichting in de gevallen dat zorginstellingen geen BSN verwerken en niet gebruik maken van een zorginformatiesysteem/elektronisch uitwisselingssysteem. Zoals hiervoor al aan de orde is gekomen, zal dit in de praktijk weinig voorkomen. Indien zorginstellingen niet aan de NEN7510-norm hoeven te voldoen, dan zullen zij zich alsnog dienen te conformeren aan de algemene regels van de AVG. Op grond van artikel 32 AVG dienen organisaties namelijk passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. Wanneer zorginstellingen gevoelige persoonsgegevens verwerken, betekent dit dat zij aan een hoger beschermingsniveau moeten voldoen. Om aan te kunnen tonen dat deze passende maatregelen zijn getroffen, is het ook voor deze zorginstellingen zinvol om een NEN7510-certificaat op zak te hebben. De AVG bevat echter geen concrete verplichtingen die bepalen dat organisaties moeten voldoen aan NEN-normen.

Volgens de hierboven genoemde regelgeving zijn zorgaanbieders verplicht om te voldoen aan de NEN7510-norm en niet hun ICT-leveranciers. Echter zorgen ICT-leveranciers doorgaans voor de beveiliging van de ICT-programma’s.

Wanneer de beveiliging van een ICT-programma niet op orde is, dan voldoet de betreffende zorginstelling als verantwoordelijke partij ook niet aan de NEN7510-norm. Van belang is dus dat ICT-leveranciers voldoen aan NEN7510-norm. Zorginstellingen en ICT-leveranciers kunnen hierover afspraken maken in een (verwerkers)overeenkomst.

Op 3 mei 2021 is het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) aangeboden aan de Tweede Kamer. Het doel van de Wegiz is om (bij Algemene Maatregel van Bestuur (AMvB) aangewezen) elektronische gegevensuitwisselingen tussen zorgaanbieders verplicht te stellen. Bij AMvB kunnen ook nadere eisen worden gesteld over de wijze waarop de gegevensuitwisseling plaatsvindt. Deze eisen vinden hun uitwerking in verschillende NEN-normen. Onder de Wegiz zullen de NEN-normen dus nog een belangrijkere rol krijgen. Wij zullen u op de hoogte houden omtrent de status van het Wetsvoorstel.

Wilt u meer informatie over gegevensuitwisseling in de zorg en de NEN7510-norm in het bijzonder? Neem dan contact op met Ruth Pruim of Tom Klatter.