LegalizeBesluit van 10 november 2017, houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders (Besluit elektronische gegevensverwerking door zorgaanbieders)
Op de voordracht van Onze Minister van Volksgezondheid, Welzijn en Sport, mede namens de Staatssecretaris van Veiligheid en Justitie, van 25 april 2014, kenmerk 363260-120063-WJZ;
Gelet op artikel 26 van de Wet bescherming persoonsgegevens;
De Afdeling advisering van de Raad van State gehoord (advies van 11 juli 2014, no. W13.14.0125/III);
Gezien het nader rapport van Onze Minister voor Medische Zorg van 7 november 2017, kenmerk 1243906-169427-WJZ, uitgebracht mede namens Onze Minister voor Rechtsbescherming;
Hebben goedgevonden en verstaan:
§ 1. Algemeen
Artikel 1
In dit besluit wordt verstaan onder:
- elektronisch uitwisselingssysteem: een elektronisch uitwisselingssysteem als bedoeld in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg;
- logging: de stelselmatige geautomatiseerde registratie van gegevens bedoeld in artikel 15e van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg alsmede de bestanden waarin die registratie is opgeslagen;
- NEN: een door de Stichting Nederlands Normalisatie-instituut uitgegeven norm;
- NEN 7510: norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg;
- NEN 7512: nadere invulling van NEN 7510 betreffende de veiligheid van gegevensuitwisseling tussen partijen in de zorg;
- NEN 7513: nadere invulling van NEN 7510 betreffende het vastleggen van acties op elektronische patiëntdossiers;
- zorgaanbieder: zorgaanbieder als bedoeld in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg;
- zorginformatiesysteem: elektronisch systeem van een zorgaanbieder voor het verwerken van persoonsgegevens in een dossier als bedoeld in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, niet zijnde een elektronisch uitwisselingssysteem;
- zorgserviceprovider: netwerkleverancier van een beveiligde netwerkverbinding tussen een zorginformatiesysteem en een elektronisch uitwisselingssysteem.
Artikel 2
Vervallen
Artikel 3
De verantwoordelijke voor een elektronisch uitwisselingssysteem draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van dat elektronisch uitwisselingssysteem.
Een zorgaanbieder draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem waarop hij is aangesloten.
De verantwoordelijke voor een elektronisch uitwisselingssysteem werkt met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria.
Een rechtspersoon, niet zijnde een zorgaanbieder, die een elektronisch uitwisselingssysteem beheert en in stand houdt, voldoet aan de volgende voorwaarden:
- a. een van de rechtspersoon onafhankelijke organisatie heeft na onderzoek vastgesteld dat de rechtspersoon en het systeem dat hij beheert voldoen aan het bepaalde in NEN 7510 en NEN 7512 en heeft die bevinding opgenomen in een door die organisatie ten behoeve van de rechtspersoon opgesteld audit-rapport;
- b. de in onderdeel a bedoelde vaststelling is niet langer dan vijf jaar geleden gedaan.
Artikel 4
Bij het vastleggen van beleid, procedures en verantwoordelijkheden als bedoeld in NEN 7510, NEN 7512 of NEN 7513 in documenten, gebruiken de verantwoordelijke voor een elektronisch uitwisselingssysteem en de zorgaanbieder de termen en definities als genoemd in NEN 7510, NEN 7512 of NEN 7513.
Artikel 5
De zorgaanbieder als verantwoordelijke voor een zorginformatiesysteem en de verantwoordelijke voor een elektronisch uitwisselingssysteem dragen er zorg voor dat de logging van het systeem voldoet aan het bepaalde in NEN 7513.
Vertegenwoordigende organisaties van zorgaanbieders en patiënten stellen, in overleg met de Autoriteit persoonsgegevens, overeenkomstig het bepaalde in NEN 7513 de bewaartermijn voor logging vast en maken die bewaartermijn bekend in de Staatscourant binnen 6 maanden na de inwerkingtreding van dit besluit. Indien niet binnen deze termijn een bewaartermijn bekend is gemaakt, stelt Onze Minister van Volksgezondheid, Welzijn en Sport een bewaartermijn vast en maakt die bekend in de Staatscourant.
Artikel 6
De zorgaanbieder als verantwoordelijke voor een zorginformatiesysteem en de verantwoordelijke voor een elektronisch uitwisselingssysteem, vergewissen zich steeds van de laatste stand van de wetenschap en techniek met betrekking tot informatiebeveiliging en de bescherming van persoonsgegevens, en verantwoorden zich over de toepassing daarvan bij de inrichting en het gebruik van hun systemen.
Artikel 7
Voor de uitvoering van dit besluit wordt toepassing gegeven aan de laatste uitgave van de genoemde NEN. Onze Minister van Volksgezondheid, Welzijn en Sport doet van een nieuwe uitgave van NEN, mededeling in de Staatscourant. Bij die mededeling wordt bekend gemaakt op welke datum de nieuwe uitgave van toepassing wordt, waarbij onderscheid kan worden gemaakt tussen bestaande en nieuwe elektronische uitwisselingssystemen en zorginformatiesystemen.
Artikel 8
Wijzigt het Besluit gebruik burgerservicenummer in de zorg.
Artikel 9
Dit besluit treedt in werking met ingang van 1 januari 2018, met uitzondering van de artikelen 8 en 9, tweede lid, die in werking treden met ingang van de dag na de datum van uitgifte van het Staatsblad waarin dit besluit wordt geplaatst.
Met ingang van de dag na de datum van uitgifte van het Staatsblad waarin dit besluit wordt geplaatst, berust het Besluit gebruik burgerservicenummer in de zorg op de artikelen 2, 11, 15, 17 en 17a van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de artikelen 17 en 21, vierde lid, van de Wet algemene bepalingen burgerservicenummer.
Artikel 10
Dit besluit wordt aangehaald als: Besluit elektronische gegevensverwerking door zorgaanbieders.
Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.
Artikel 9a
Dit besluit berust op artikel 15j, eerste lid, van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.