Besluit elektronische gegevensverwerking door zorgaanbieders in werking getreden

Binnen de zorgsector is op het verwerken van gegevens en persoonsgegevens diverse regelgeving van toepassing. Algemeen, zoals de Algemene Verordening Gegevensbescherming (AVG) en de uitvoeringswet AVG, en specifieker de Wet geneeskundige behandelingsovereenkomsten en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. De laatstgenoemde wet brengt een aantal verplichtingen met zich mee die specifiek voor de elektronische verwerking van gegevens binnen de zorgsector van belang zijn. De wet is (deels) gewijzigd op 1 juli 2017 en op 1 juli 2020 worden aanvullende wijzigingen doorgevoerd. De wet is nader uitgewerkt in het Besluit elektronische gegevensverwerking door zorgaanbieders dat op 1 januari 2018 in werking is getreden. Welke verplichtingen voor zorgaanbieders komen daarbij kijken?

Besluit elektronische gegevensverwerking door zorgaanbieders

In het besluit worden de verplichtingen uit de wet nader geconcretiseerd. Zo wordt vanaf heden voor de beschrijving van procedures, beleid of verantwoordelijkheden aangesloten bij de definities van de NEN-normen. Ook worden er specifieke eisen gesteld aan verantwoordelijken of gebruikers van elektronische systemen. Welke eisen dat zijn wordt hieronder verder uitgelegd.

ZorgaanbiedersBent u een verantwoordelijke voor een zorginformatie- of elektronisch uitwisselingssysteem?
Dan bent u verplicht om een Functionaris Gegevensbescherming aan te stellen en moet gebruik worden gemaakt van een geautoriseerde zorgserviceprovider, dat is een netwerkleverancier die verbindingen tussen diverse systemen deugdelijk beveiligd.

Het systeem zelf moet daarnaast voldoen aan diverse normen, zoals de NEN 7510 en NEN 7512, de logging moet bijgehouden worden conform NEN 7513. De geldende bewaartermijn wordt binnen 6 maanden bekendgemaakt. Ook moet verantwoord kunnen worden dat de systemen rekening houden met de actuele eisen op het gebied van informatiebeveiliging en persoonsgegevensbescherming.

Bent u een zorginstelling of -aanbieder die gebruik maakt van een zorginformatie- of elektronisch uitwisselingsysteem?
Dan bent u, in geval u op grote schaal gegevens verwerkt, verplicht om een Functionaris Gegevensbescherming aan te stellen. Ook dient u zorg te dragen voor voldoende veilig en zorgvuldig gebruik van dergelijke systemen. Dat borgt u middels de NEN 7510 en NEN 7512 normen.

Wijzigingen per 1 juli 2017 en 1 juli 2020

De wijzigingen van 1 juli 2020 komen bovenop de vereisten van 1 juli 2017, de belangrijkste wijzigingen per 1 juli 2017 waren:

  • De voorafgaande uitdrukkelijke toestemming van cliënt voor de beschikbaarstelling van gegevens in het elektronisch systeem.
  • Verplichte informatievoorziening over de (uitvoering van) rechten van de cliënt bij de elektronische gegevensuitwisseling, aansluiting van nieuwe categorieën zorgaanbieders op het uitwisselingssysteem of substantiële wijziging van het uitwisselingssysteem. In de laatste twee gevallen heeft de cliënt tevens de mogelijkheid om de verleende toestemming in te trekken.
  • Verbod voor aansluiting van zorgverzekeraars op of toegang door bedrijfsarts, verzekeringsarts of ander keurende arts tot het elektronische uitwisselingsysteem.

Per 1 juli 2020 wordt dit als volgt uitgebreid en aangevuld:

  • De toestemming moet gespecifieerd zijn. Dat betekent dat de toestemming toeziet op beschikbaarstelling van gegevens aan een specifieke (categorie) zorgaanbieder(s). De toestemming moet tevens door de zorgaanbieder geregistreerd worden.
  • De cliënt heeft recht op kosteloze elektronische inzage in en/of een kosteloos elektronisch afschrift van het dossier. Ook de loggegevens van wie wanneer iets heeft toegevoegd of ingezien horen hierbij.

Wij staan dit jaar op Zorg & ICT

Audittrail staat op 17, 18 en 19 april op Zorg & ICT in de Jaarbeurs Utrecht. Heeft u ondersteuning nodig of wilt u meer weten over de AVG, Wet geneeskundige behandelingsovereenkomsten, Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg of het Besluit elektronische gegevensverwerking door zorgaanbieders? Meld u hier aan voor Zorg & ICT en kom naar onze stand.

Heeft u eerder behoefte aan meer informatie over privacy? Nodig ons vrijblijvend uit voor een kopje koffie met advies! Wij helpen u graag verder.

Up-to-date blijven? Meld u dan aan voor onze tweemaandelijkse nieuwsbrief

Plaats een reactie

87 − = 84