Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Privacy in de zorg (deel 3): logging verplicht?

Natascha van Duuren

13 februari 2018 - 2 minuten leestijd

Op grond van de huidige Wet bescherming persoonsgegevens moeten zorgaanbieders loggegevens bijhouden. Met de inwerkingtreding van het Besluit elektronische gegevensverwerking door zorgaanbieders per 1 januari 2018 moet deze logging voldoen aan NEN 7513.

Wat is logging?

Logging voorziet in een stelselmatige geautoriseerde registratie van gegevens rondom de toegang tot het (elektronisch) patiëntdossier. Dit is nodig vanwege het belang van de integriteit van de gegevens in het elektronisch patiëntendossier en de aanwezigheid van bijzondere persoonsgegevens. In het elektronisch patiëntendossier worden immers gegevens omtrent de gezondheid van de patiënt opgeslagen. Deze gegevens kwalificeren als bijzondere persoonsgegevens. Het is dan ook van belang te kunnen achterhalen wie toegang heeft gehad tot het dossier, of deze toegang wel rechtmatig was en welke acties in het dossier zijn uitgevoerd. Om dit te kunnen vaststellen is logging noodzakelijk.

NEN

NEN 7513 biedt aanwijzingen voor het loggen en het gebruik van logging om te voldoen aan wettelijke verplichtingen en levert ontwikkelaars van informatiesystemen een aantal eisen waaraan hun informatiesystemen moeten voldoen. Gegevens die tenminste bijgehouden moeten worden om logging mogelijk te maken zijn:

  • de gebeurtenis die plaatsgevonden heeft;
  • het tijdstip waarop de betreffende gebeurtenis heeft plaatsgevonden;
  • welke cliënte dit betrof’
  • wie de betreffende gebruiker van het elektronisch uitwisselingssysteem was die de gebeurtenis heeft laten plaatsvinden;
  • namens welke verantwoordelijke de betreffende gebruiker optrad.

Hoe lang moeten de loggegevens worden bewaard?

In het Besluit elektronische gegevensverwerking door zorgaanbieders is vastgelegd dat vertegenwoordigende organisaties van zorgaanbieders en patiënten in overleg met de Autoriteit Persoonsgegevens, een bewaartermijn moeten vaststellen en bekend maken. Deze bewaartermijn moet voor 1 juli 2018 bekend worden gemaakt in de Staatscourant. Ook in de NEN 7513 is opgenomen dat het in beginsel aan patiënten, zorgaanbieders en toezichthouders is om termijnen overeen te komen voor het bewaren van loggegevens. De reden hiervoor is een praktische. De algemene bewaartermijn van medische gegevens is immers 15 jaar. Een bewaartermijn van 15 jaar voor loggegevens zou echter een bulk aan data opleveren dat volgens de wetgever op praktische bezwaren kan stuiten. Tot 1 juli 2018, de datum waarop de bewaartermijn van loggegevens bekend wordt gemaakt, doen zorgaanbieders er echter goed aan de bewaartermijn van 15 jaar aan te houden.

Wilt u meer weten over privacy in de zorg? Neem dan contact op met Natascha van Duuren, partner IT, IE & privacy, n.vanduuren@declercq.com of 06-54983766.

Lees ook deel 1 en deel 2 in de serie Privacy in de zorg.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?