Sign. - Ontwerpbesluit elektronische gegevensverwerking door zorgaanbieders
De Eerste Kamer publiceerde op 16 november 2016 het Ontwerpbesluit elektronische gegevensverwerking door zorgaanbieders. Aanleiding voor dit besluit vormde de motie van het lid Tan c.s. (Kamerstukken I 2010/2011, 31466, Y) waarin gevraagd werd om onder meer tot nadere regelgeving ten behoeve van veilige en betrouwbare elektronische gegevensuitwisseling te komen. Artikel 26 Wet bescherming persoonsgegevens (Wbp) maakt het mogelijk om in een algemene maatregel van bestuur nadere regels te stellen voor de gegevensverwerking voor bepaalde sectoren. Gezien de gesignaleerde knelpunten in de huidige regelgeving zijn in het Ontwerpbesluit elektronische gegevensverwerking door zorgaanbieders nadere regels gesteld ten aanzien van veilige gegevensuitwisseling in de zorg.
In het besluit wordt met name een nadere uitwerking gegeven aan de beveiligingsplicht ex artikel van de 13 Wbp. Dwingend worden normen en standaarden voorgeschreven in het kader van de overdracht en de veiligheid van de elektronische gegevensuitwisseling. Zo verplicht het besluit de zorgaanbieder te voldoen aan NEN 7510, NEN 7512 en NEN 7513. Indien de zorgaanbieder daaraan voldoet, treft de zorgaanbieder passende technische en organisatorische maatregelen als bedoeld in artikel 13 Wbp.
Voornoemde normen ontwikkelde het Nederlands Normalisatie-instituut voor informatiebeveiliging in de zorg. NEN 7510 betreft de algemene norm voor informatiebeveiliging in de zorg, waarin verschillende richtlijnen zijn opgenomen. De NEN-normen 7512 en 7513 bevatten een nadere uitwerking van de NEN 7510. Zo regelt NEN 7512 de veiligheid van gegevensuitwisseling tussen betrokken zorgaanbieders en andere partijen in de zorg nader en stelt daarbij eisen ten aanzien van authenticiteit en identificatie. NEN 7513 geeft nadere voorschriften voor de logging en controle. Zorgaanbieders worden verplicht loggegevens bij te houden die voldoen aan de…