Zorgaanbieders als ziekenhuizen, huisartsen en verpleeginstellingen moeten zorgvuldig omgaan met de medische gegevens van patiënten. Om dat te waarborgen zijn wetten, regels, gedragscodes en normenstelsels ontwikkeld. Die vertellen doorgaans wat je moet doen, maar niet hoe je bijvoorbeeld gegevens beschermt tegen onbevoegde inzage en gebruik. Vier koepelorganisaties voor eerstelijns zorgaanbieders (NHG, LHV, KNMP en InEen) publiceerden in samenwerking met Nictiz onlangs een tweetal zogeheten handreikingen. Daarmee moeten eerstelijns zorgaanbieders praktische handvatten krijgen om aan wetten en normen te kunnen voldoen.
Quintus Bosman is opgeleid tot huisarts, maar inmiddels senior adviseur bij Nictiz. Hij was vanaf de start nauw betrokken bij de totstandkoming van de twee publicaties. De oorsprong daarvan ligt al weer enige jaren terug. Bosman: “Rond 2013 constateerden de koepelorganisaties van huisartsen en apothekers dat het niet eenvoudig was om de wet- en regelgeving rond informatiebeveiliging op een goede manier te implementeren in praktijken. Er is toen onderzoek naar knelpunten gedaan, waarbij ook de ICT-leveranciers van die zorgaanbieders zijn betrokken. De conclusie van dat onderzoek was dat er een duidelijke behoefte bestond aan praktische richtlijnen voor ICT-leveranciers enerzijds en de interne maatregelen in praktijken en bij zorgorganisaties anderzijds. Dat resulteerde destijds in een formele vraag aan Nictiz om het voortouw te nemen bij de totstandkoming van zulke leidraden.”
Quintus Bosman (Nictiz)
Meerjarenproject
De realisatie van deze publicaties, met betrokkenheid van de systeemleveranciers, heeft enige jaren in beslag genomen. Dat is volgens Bosman niet vreemd. “Het gaat om lastige materie. Wetten en normen zijn doorgaans algemeen geformuleerd. Om de vertaling daarvan naar de dagelijkse praktijk te maken moet je expliciete keuzes maken. Oplossingen moeten werkbaar zijn, zowel voor kleine huisartspraktijken als in grotere samenwerkingsverbanden zoals gezondheidscentra of zorggroepen. Met de Beveiliging Eerstelijns Informatie Systemen-eisen (BEIS) die we nu publiceren regelen we belangrijke onderdelen van de (technische) informatiebeveiliging voor informatiesystemen voor huisartsen, apotheken, maar ook keten-informatiesystemen die voor grote groepen chronisch zieken worden gebruikt. Als die systemen voldoen aan deze eisen kunnen gebruikers er van verzekerd zijn dat zij met hun systemen kunnen voldoen aan wettelijke eisen voor informatiebeveiliging. Ze moeten daarbij natuurlijk ook nog wel maatregelen nemen in hun eigen organisatie en toezien op passend gedrag van alle professionals.”
In samenwerking met ICT-leveranciers
Tussen wet en praktijk
Volgens Bosman moet je daarbij laveren tussen de bedoeling van een wet of norm en de werkbaarheid van maatregelen in de praktijk. Medische dossiers of delen daarvan moeten goed toegankelijk zijn voor zorgverleners en medewerkers die zorgtaken uitvoeren, of voor administratieve voorbereiding of afhandeling. Tegelijk moeten ze zodanig beveiligd zijn dat een zorgverlener of medewerker niet ongezien kan kijken en muteren in dossiers waar hij niets te zoeken heeft en moeten ze niet toegankelijk zijn voor derden. En net zo belangrijk: de patiënt moet bij de beveiliging zelf een controlerol en de daarvoor noodzakelijke controlemogelijkheden te krijgen. Voor sommige situaties bleek de wet- en regelgeving geen heldere richtlijn te kunnen bieden. “In die gevallen hebben we pragmatische keuzes gemaakt”, zegt Bosman, “vooral wanneer het ging over punten die bij zorgprofessionals in de afgelopen jaren tot veel vragen leidden.”
Goede timing: nieuwe wetgeving
Hoewel de totstandkoming van de BEIS-publicaties dus een zaak van de lange adem was, lijkt de timing van de publicatie goed gekozen. Bosman: “Op 1 juli van dit jaar wordt een zogeheten Algemene Maatregel van Bestuur (AMvB) van kracht. Dat is een gevolg van de nieuwe wet die de toegang van burgers tot hun medische dossiers regelt. Die wet is vorig jaar door de Eerste Kamer aangenomen. De AMvB maakt de toepassing van de zogeheten NEN-normenkaders dwingend van toepassing. Dat was tot nu toe nog niet altijd wettelijk geregeld. Ook zorgaanbieders in de eerste lijn krijgen hier dus direct mee te maken.”
Het eerste deel van de BEIS heeft vooral betrekking op zaken als authenticatie en autorisatie. Het gaat daarbij dus om veilige toegangscontrole (welke gebruiker mag in het systeem) en gecontroleerde toegang (tot welke gegevens heb je toegang en wat mag je ermee doen). Een tweede deel is specifiek gericht op het vastleggen van de toegang tot medische gegevens (logging). Door deze logging kan achteraf worden achterhaald of de privacy van de patiënt is geschonden.
Implementatiegids
Het idee achter de twee BEIS-publicaties is dat ze een praktische implementatiegids zijn voor leveranciers en gebruikers van eerstelijnssystemen. De betrokken koepelorganisaties realiseren zich volgens Bosman terdege dat ook mét deze gids informatiebeveiliging taaie kost is voor zorgaanbieders. Mede daarom zijn die koepels ook druk bezig met cursussen, voorlichtingsbijeenkomsten en andere activiteiten om hun leden op dit gebied te ondersteunen. Met deze set van eisen weten eerstelijns zorgaanbieders in ieder geval beter wat ze hun ICT-leveranciers aan minimum functies voor toegangsbeveiliging en logging moeten vragen. Die technische functies zijn een voorwaarde voor de noodzakelijke organisatorische maatregelen waarvoor de zorgaanbieder zelf verantwoordelijk is. Wanneer aan deze technische en organisatorische eisen is voldaan, zouden patiënten, overheid, toezichthouders en verzekeraars de zekerheid moeten hebben dat de informatiebeveiliging rond toegang en logging in de eerstelijns is gegarandeerd, zegt Bosman.
Trackbacks & Pingbacks
[…] bericht Eerstelijns koepelorganisaties maken implementatiegids voor informatiebeveiliging verscheen eerst op […]
Plaats een Reactie
Meepraten?Draag gerust bij!