Nieuwe regelgeving voor elektronische gegevensverwerking door zorgaanbieders

Op dinsdag 28 november 2017 is het definitieve besluit elektronische gegevensverwerking door zorgaanbieders (Begz) bekend gemaakt. Het Begz treedt in werking per 1 januari 2018.

Doel

Zorgaanbieders maken veelal gebruik van een zogenaamd zorginformatiesysteem, een elektronisch systeem van een zorgaanbieder waarin gegevens met betrekking tot de zorgverlening worden vastgelegd. Ook maken sommige zorgaanbieders gebruik van een elektronisch uitwisselingssysteem, een systeem waarmee zorgaanbieders elektronisch (gedeelten van) dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken.

Het doel van het Begz is het stellen van specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling en het zorginformatiesysteem van de zorgaanbieder. Het besluit werkt in het bijzonder de toepasselijke (NEN) normen en standaarden met betrekking tot de overdracht en de beveiliging van elektronische gegevensverwerking uit.

 Verplicht aanstellen van een functionaris voor de gegevensbescherming

De functionaris voor de gegevensbescherming fungeert als een interne toezichthouder. Deze houdt onder meer controle op naleving van beveiligingsmaatregelen en de aanpassing hiervan. Vooruitlopend op de inwerkingtreding van de Algemene verordening gegevensbescherming vanaf 25 mei 2018 is in het Begz vastgelegd dat zowel verantwoordelijken voor een elektronisch uitwisselingssysteem als zorginstellingen die op ‘grote schaal’ (medische) gegevens verwerken een functionaris voor de gegevensverwerking moeten hebben.

Voldoen aan NEN-normen

Voor de informatiebeveiliging in de zorg zijn zogenaamde NEN-normen vastgesteld door het Nederlands Normalisatie-instituut. Zorgaanbieders met zorginformatiesysteem en verantwoordelijken voor een elektronisch uitwisselingssysteem zijn verplicht om ‘passende technische en organisatorische beveiligingsmaatregelen’ voor informatiebeveiliging te nemen. In het Begz is dwingend bepaald dat deze systemen moeten voldoen aan NEN 7510 en NEN 7512. Ook moet voor wat betreft de ‘logging’ (wat voorziet in de stelselmatige geautomatiseerde registratie van gegevens rondom toegang tot het elektronisch cliëntendossier) voldaan worden aan NEN 7513.

Wat moeten zorgaanbieders nu doen?

Het Begz stelt veel specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling. De Autoriteit Persoonsgegevens en de Inspectie voor Gezondheidszorg en Jeugd houden toezicht op de naleving van de eisen uit het besluit. Wanneer zorgaanbieders voldoen aan de in het besluit gestelde eisen mag ervan uitgegaan worden dat zorgaanbieders ‘passende technische en organisatorische maatregelen’ hebben getroffen. Zorgaanbieders moeten dus zo snel mogelijk voldoen aan alle wettelijke vereisten. Voor veel zorgaanbieders betekent dit dat er werk aan de winkel is. Hiermee kan niet gewacht worden, want het Begz treedt zoals gezegd al in werking per 1 januari 2018.

Heeft u vragen over wat het Begz voor uw organisatie betekent en welke stappen u moet nemen om tijdig aan de regelgeving te voldoen? Neem dan contact op met Luuk Arends en Lidewij Bergsma.