Het elektronisch dossier en NEN-normen

Een elektronisch dossier moet aan diverse beveiligingseisen voldoen die onder andere zijn opgenomen in de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg. Deze wet richt zich specifiek op elektronische gegevensuitwisseling. De regels in deze wet komen overeen met wat er in de AVG staat.

De bepaling van de Wet cliëntenrechten zijn opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).

Op basis van deze wet heeft de zorgaanbieder een aantal verplichtingen, waaronder het volgen van de zogenoemde NEN-normen.

In deze NEN-normen staan onder andere normen en procedures voor elektronische uitwisselingssystemen en interne zorginformatiesystemen.

Verder bevatten de NEN-normen veiligheidseisen en zorgvuldigheidseisen voor elektronische uitwisselingssystemen. De zorgaanbieder dient tenslotte gebruik te maken van verbindingen die voldoen aan de betreffende NEN-norm. NEN-normen die in het kader van elektronische dossiervoering relevant zijn, zijn onder andere de NEN 7510 (informatiebeveiliging in de zorg), NEN 7512 (gegevensuitwisseling).

De NEN 7513 gaat over ‘logging’ in het elektronisch dossier. Deze NEN biedt houvast aan een zorgaanbieder over wat mag worden verwacht als het gaat om herleidbaarheid van wie toegang heeft gehad tot het dossier.

Om logging mogelijk te maken zijn de volgende gegevens noodzakelijk:

De gebeurtenis die plaatsgevonden heeft.
Het tijdstip waarop de betreffende gebeurtenis heeft plaatsgevonden.
Welke cliënt het betreft.
Wie de gebruiker van het elektronisch systeem was die de gebeurtenis heeft laten plaatsvinden.
Namens welke verantwoordelijke de betreffende gebruiker optrad.

De wet is vaag als het gaat over inzicht in log-gegevens. De Autoriteit Persoonsgegevens zegt hier het volgende over: cliënten hebben in principe recht op een volledig logoverzicht bij het medisch dossier. Behalve als het belang van de bescherming van de rechten en vrijheden van zorgverlener(s) zwaarder weegt. Dit moet wel goed worden gemotiveerd.

Beveiligingseisen betreffen niet alleen de beveiliging van het elektronische verkeer door middel van firewall, antivirusprogramma’s en dergelijke, maar ook beveiliging van de toegang tot gegevens op de werkplek. Een voorbeeld van dit laatste is het afschermen van het beeldscherm zodat niet iedereen kan meekijken en het “op slot gaan” van het scherm als er niet aan het dossier wordt gewerkt.

Verder is de zorgverlener met ingang van 2020 verplicht om aan patiënten online inzage te geven in de eigen medische gegevens.