Zorgaanbieders + verwerkers opgelet: NEN7510 wettelijk verplicht!

Het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ (‘Besluit’) is recent van kracht geworden. Zorgaanbieders en verwerkers opgelet! Conform het Besluit dienen verantwoordelijke zorgaanbieders ervoor te zorgen dat hun zorginformatiesysteem voldoet aan de NEN 7510 en dat de informatiesystemen waarmee zorginformatie uitgewisseld wordt, voldoen aan de NEN 7510, NEN 7512 en NEN 7513.

Het besluit vindt zijn (juridische) oorsprong in artikel 13 en 26 Wet bescherming persoonsgegevens (‘Wbp’). Artikel 13 Wbp verplicht de verantwoordelijke om “passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen”.

In de memorie van Toelichting bij de Wbp werd al opgemerkt dat in het begrip passend besloten ligt dat de beveiliging van persoonsgegevens in overeenstemming is met de stand van de techniek en voorts dat er sprake is van proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen gegevens. Naarmate de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er moet sprake zijn van een adequate beveiliging. In feite zijn genoemde NEN-normen hierdoor al jarenlang (sinds 2005!) impliciet verplicht voor de zorgsector in het kader van de beveiliging van persoonsgegevens.

De Autoriteit Persoonsgegevens (‘AP’ toen: ‘Cbp’) wees dan ook al in 2005 voor het eerst op de noodzaak voor de zorgsector de NEN-normen toe te passen als professionele standaard/veldnorm. Voor zorgaanbieders gold bovendien in het kader van de verwerking van het BSN al de verplichting te voldoen aan NEN 7510, 7511 en 7512. Het voldoen aan deze normen is destijds verplicht gesteld naar aanleiding van het advies van het Cbp om te zorgen voor eenduidige beveiligingsnormen door dwingend te verwijzen, omdat die normen van belang zijn voor de standaardisatie en samenwerking tussen instellingen en bevorderen de mogelijkheden om goed toezicht te houden op een passende beveiliging van de gegevensverwerking. Ook in het kader van de Wet cliëntenrechten bij elektronische verwerking van gegevens heeft de AP geadviseerd deze normen dwingend voor te schrijven bij amvb.

Op grond van het bepaalde in artikel 26 Wbp kunnen voor een bepaalde sector bij algemene maatregel van bestuur nadere regels worden gesteld voor de in de artikelen 6 tot en met 11 Wbp en artikel 13 Wbp geregelde onderwerpen. Van deze bevoegdheid heeft de wetgever dus thans gebruik gemaakt.  Dit Besluit geeft invulling aan de passende technische en organisatorische maatregelen als bedoeld in artikel 13 Wbp voor zorgaanbieders en andere organisaties die bij de informatievoorziening in de gezondheidszorg betrokken zijn.

Een en ander betekent dat wanneer zorgaanbieder en hun verwerkers (!) de in NEN 7510 en overige genoemde normen aangegeven maatregelen heeft getroffen, er van uit mag gaan dat deze passende technische en organisatorische maatregelen heeft getroffen, als bedoeld in artikel 13 Wbp.

Heeft uw organisatie vragen over de toepassing van de nieuwe NEN-normen op specifieke processen in haar organisatie of bent u verwerker van een zorginstelling en vraagt u zich af in hoeverre u hieraan dient te voldoen? Neem dan nu vrijblijvend contact met ons op.

Robbert Santifort, privacy advocaat

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.