Eigenlijk was het een potsierlijke situatie: zorgaanbieders moeten binnenkort aan nieuwe wetgeving gaan voldoen, maar de eisen waaraan ze moeten voldoen waren nergens gratis in te zien. Je kon de betreffende boeken met NEN-normen alleen kopen in de webshop van de stichting NEN. Maar vanaf 1 november kan iedereen ze gratis downloaden.
De Tweede Kamer nam afgelopen zomer een wetsvoorstel aan over cliëntenrechten bij elektronische verwerking van gegevens. Dat ligt nu nog ter behandeling bij de Eerste Kamer, maar wanneer het aan Minister Schippers ligt moet de wet snel van kracht worden.
In de nieuwe wet wordt (via een zogeheten Algemene Maatregel van Bestuur) dwingend verwezen naar de NEN-normen 7510, 7512 en 7513. Deze NEN-normen hebben betrekking op technische en organisatorische eisen voor de elektronische verwerking van persoonsgegevens over de gezondheid. Ook het College Bescherming Persoonsgegevens (CBP) had eerder al het advies gegeven om de NEN-normen dwingend voor te schrijven.
De regering had eigenlijk die normen per 1 januari 2014 al vrij toegankelijk willen maken, maar de onderhandelingen over het openbaar maken van de NEN-normen bleken toch tijdrovender dan eerst gedacht. Afgelopen zomer liet de Minister in een brief aan de Tweede Kamer nogmaals weten dat de normen daadwerkelijk afgekocht zullen worden, en sinds enkele dagen zijn de normen inderdaad gratis beschikbaar gesteld via de website van Stichting NEN.
Waar gaan die normen over?
Het meest algemene document is de NEN 7510 norm, die de volle breedte van de informatiebeveiliging in de zorg bestrijkt. Deze NEN-norm biedt 152 pagina’s aan algemene en organisatorische richtlijnen voor beveiliging van zorg-informatiesystemen. De NEN 7510 beschrijft niet hoe je aan deze norm moet voldoen. Met welke specifieke technische maatregelen zorgaanbieders, cloudleveranciers en softwareaanbieders aan deze eisen moeten voldoen is hun eigen verantwoordelijkheid. Als ze dat nodig vinden, kunnen ze een externe deskundige (auditor) laten controleren of hun infrastructuur, toepassing en organisatie voldoet aan het NEN 7510 normenkader.
Uitwisseling van informatie
De NEN 7512 heeft betrekking op de veilige uitwisseling van informatie, en beschrijft zaken als authenticatie, digitale handtekeningen en vertrouwensrelaties tussen partijen. De NEN 7513 norm geeft regels voor het bewaren (loggen) van alles wat er met een elektronische patiëntdossier gebeurt. Wie heeft toegang gehad, wanneer zijn welke gegevens door wie aangepast, dat zijn zaken die je altijd terug moet kunnen vinden, en de NEN 7513 geeft de normen die van toepassing zijn.
Wie gaat deze normen nu lezen?
Het is een publiek geheim dat een groot deel van de Nederlandse zorgaanbieders niet (geheel) werkt volgens de NEN normen, terwijl ze dagelijks wel medische gegevens opslaan en elektronisch uitwisselen. Wanneer de nieuwe wet inzake patiëntenrechten van kracht wordt, naar verwachting begin volgend jaar, dan zullen deze drie NEN normen (en wellicht nog meer) voor het eerst een wettelijke status krijgen.
De normen zelf zijn zo specialistisch dat de gemiddelde directeur van een zorginstelling of huisarts hooguit de samenvatting zal lezen. Maar iedere zorgaanbieder die medische gegevens elektronisch uitwisselt (en dat zijn nagenoeg alle aanbieders in Nederland) kan in 2015 dus wel dwingend aan deze normen gehouden worden.
Plaats een Reactie
Meepraten?Draag gerust bij!