Privacy in de zorg (deel 2): NEN 7510 en 7512 best practice of verplicht?

De huidige Wet bescherming persoonsgegevens (Wbp) verplicht de verantwoordelijke “passende technische en organisatorische maatregelen” te nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Op grond van artikel 26 Wbp kunnen bij algemene maatregel van bestuur nadere regels worden gesteld ten aanzien van deze verplichting. Het Besluit elektronische gegevensverwerking door zorgaanbieders geeft invulling aan deze verplichting voor zorgaanbieders en andere organisaties die bij de informatievoorziening in de gezondheidszorg betrokken zijn. Het Besluit verwijst dwingend naar de normen NEN 7510 en 7512. Dit betekent dat voldoen aan deze normen een wettelijke verplichting is.

De NEN 7510 is een norm voor het organisatorisch en technisch inrichten van informatiebeveiliging in de zorg en heeft betrekking op vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening. De NEN 7512 is een nadere invulling van de NEN 7510 betreffende de veiligheid van gegevensuitwisselingen tussen partijen in de zorg. Deze norm ziet op de elektronische communicatie in de zorg tussen zorgaanbieders en zorginstellingen onderling, met patiënten, met zorgverzekeraars en andere partijen die bij de zorg betrokken zijn.

De Minister van VWS heeft de normen afgekocht. Dit betekent dat de normen vrij verkrijgbaar zijn. In het Besluit wordt verwezen naar de NEN zonder dat daarbij een versie wordt genoemd. Dit betekent dat steeds de laatste gepubliceerde versie van toepassing is. Door het Ministerie van Volksgezondheid, Welzijn en Sport zal in de Staatscourant steeds mededeling worden gedaan van een nieuwe uitgave van NEN en vanaf welke datum de nieuwe uitgave van toepassing wordt. Hierbij zal volgens het Besluit rekening worden gehouden met de benodigde implementatietijd die nodig kan zijn om aan wijzigingen in NEN te voldoen. Zorgaanbieders dienen dus oplettend te zijn!

Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity. Lees ook deel 1 in deze reeks.