• Nieuws

Het recht op privacy en informatiebeveiliging in de zorg – De NTA 7516 nader toegelicht

11 juni 2020
IT & privacy - Privacy - Zorg

Anamika Wilbrink en Nina Witt – Ploum, Rotterdam Law Firm

Het thema van dit nummer is ‘mensenrechten in de zorg’. Mensenrechten zijn in verschillende verklaringen, verdragen en wetten vastgelegd. Eén van de mensenrechten is het recht op privacy. Ook in de zorg is dit een groot goed. Men is zich bewust van de gevoeligheid van  gezondheidsgegevens van patiënten en daar wordt op gepaste wijze mee om gegaan. In de afgelopen periode bleek weer eens hoe belangrijk de bescherming van persoonsgegevens is en wordt bevonden. Tegelijkertijd wordt er in deze crisistijd, maar ook meer in het algemeen in verband met toenemende innovatie, meer en meer informatie uitgewisseld via diverse media. Patiënten videobellen of chatten steeds vaker met hun arts.

Er worden middels de daarvoor gebruikte software via meer kanalen persoonsgegevens van patiënten verwerkt dan bij face-to-face contact. Zo worden de persoonsgegevens van de patiënt veelal ook verwerkt door een derde partij (de softwareleverancier). Bovendien liggen inbreuken op de beveiliging op de loer. Dit zorgt er voor dat artsen extra voorzichtig moeten zijn bij de inzet van deze middelen. Als patiënt vertrouwt men erop dat gezondheidsgegevens niet met iedereen worden gedeeld of kunnen worden ingekeken.

Wet- en regelgeving

In verschillende wet- en regelgeving is vastgelegd hoe de vertrouwelijkheid van gegevens kan worden gewaarborgd. De meest overkoepelende privacywetgeving in Europa is de Algemene verordening gegevensbescherming (Avg), welke alweer twee jaar van toepassing is. Hiermee wordt invulling gegeven aan het grondrecht op privacy. In de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming staan voor Nederland specifieke regels (die ook relevant zijn voor de zorg). De zorgsector kent daarnaast specifieke, in dit kader tevens relevante wetgeving, zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO), Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Beveiliging van de gezondheidsgegevens van patiënten speelt daarin altijd een belangrijke rol.

Informatiebeveiliging is een significant onderdeel van de bescherming van het recht op privacy. In dit artikel zullen we kort de belangrijkste grondbeginselen van de Avg behandelen, alvorens we dieper ingaan op de informatiebeveiliging. Met een focus op informatiebeveiliging in de zorg en meer specifiek op het meest recente normenkader dat in mei 2019 is gepubliceerd: de Nederlandse Technische Aanpak 7516, voor (met name) veilig mailen in de zorg.

Avg en de zeven vuistregels

De afgelopen jaren hebben technologische ontwikkelingen elkaar in een razend tempo opgevolgd. Hiermee heeft de verwerking van persoonsgegevens ook een vlucht genomen. Binnen de Europese Unie (EU) waren er al regels opgesteld met betrekking tot het verwerken van persoonsgegevens in Richtlijn 95/46/EG, welke in Nederland waren uitgewerkt in de Wet bescherming persoonsgegevens (Wbp). Deze regels zorgden niet voor een uniform beschermingsniveau binnen de gehele EU. Daarom is er voor gekozen om de Richtlijn om te zetten in een Verordening, zodat in de gehele EU een “coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens”[1] ontstaat.

De Avg stelt regels over het rechtmatig omgaan met persoonsgegevens (d.w.z. alle informatie die direct of indirect kan worden herleid naar een natuurlijk persoon, zoals naam, geboortedatum of BSN, maar ook gezondheidsgegevens). De Avg is van toepassing als persoonsgegevens geautomatiseerd worden verwerkt of in een bestand worden opgenomen en deze persoonsgegevens worden verwerkt door Europese partijen of (buitenlandse) partijen die gegevens van EU-burgers verwerken.

De belangrijkste bepalingen uit de Avg hebben wij (Ploum) samengevat in de volgende “zeven vuistregels”:

  1. Wettelijke grondslag – verwerk de persoonsgegevens alleen als daar een in de wet vermelde grondslag voor is;
  2. Dataminimalisatie – verzamel, gebruik en bewaar niet meer persoonsgegevens dan je nodig hebt en alleen als er geen andere manier is om hetzelfde doel te bereiken die minder belastend voor de privacy is;
  3. Doelbinding – gebruik de persoonsgegevens alleen voor het doel waarvoor je ze hebt verkregen;
  4. Informatieplicht – vertel altijd aan de betrokkene wat je doet met zijn persoonsgegevens;
  5. Gevoelige en bijzondere persoonsgegevens – hoe privacygevoeliger de informatie, hoe meer vereisten er gelden;
  6. Beveiliging – neem passende technische en organisatorische maatregelen tegen verlies, onbevoegde toegang of onbeschikbaarheid van de persoonsgegevens;
  7. Derden – regel voldoende waarborgen als je persoonsgegevens met derden uitwisselt.

In het hiernavolgende gaan we nader in op (met name) punt 6.[2]

NEN-normen

De Avg en andere wet- en regelgeving kennen vaak open normen. Met NEN-normen worden concrete handvatten gegeven om aan deze regels te voldoen. NEN-normen zijn vrijwillige afspraken tussen partijen (‘best practices’) over bepaalde producten, diensten of processen, om een bepaalde basiskwaliteit te waarborgen. Zo gelden er voor de zorg verschillende NEN-normen, zoals NEN 7510, 7512 en 7513. NEN 7510 is een algemene norm die ziet op informatiebeveiliging in de zorg en NEN 7512 en 7513 borduren daar op voort. NEN 7512 biedt handvatten bij het onderling uitwisselen van medische gegevens. NEN 7513 ziet met name op eisen aan toegangsregistraties van zorgprofessionals in elektronische patiëntendossiers (o.a. ‘loggen’).

Daarnaast zijn er ook nog internationale normen, bijvoorbeeld ISO 27001: een algemene informatiebeveiligingsnorm, die overigens niet specifiek is gericht op de zorg. Deze normen kennen een breder toepassingsgebied dan alleen de verwerking van persoonsgegevens.

NTA 7516 – veilig ‘adhoc’ communiceren

Om de zorgsector te helpen bij het voldoen aan de vereisten uit de Avg en veilig online te kunnen communiceren met patiënten, is het ministerie van Volksgezondheid, Welzijn en Sport samen met experts aan de slag gegaan om een normenkader voor ‘veilig e-mailen’ te schetsen. Daaruit is in mei 2019 de Nederlandse Technische Aanpak (NTA) 7516 voortgevloeid, welk kader handvatten biedt over het veilig online en ‘ad hoc’ communiceren in de zorg. Normale e-mailapplicaties voldoen namelijk niet aan de wettelijke verplichtingen die gelden voor de zorgsector.

Het doel van de NTA 7516 is onder andere om datalekken in de zorg te verminderen.[3] Daarnaast stelt de NTA 7516 als doel (en eis) dat verschillende systemen met elkaar kunnen ‘praten’ (interoperabiliteit), zodat gemakkelijk persoonsgegevens van het systeem van de ene zorgprofessional gemakkelijk kan worden opgeslagen in het systeem van de andere zorgprofessional.

Wat houdt de norm precies in?

De basisbestanddelen van informatiebeveiliging bestaan uit integriteit, beschikbaarheid en vertrouwelijkheid. Deze aspecten komen ook terug in de NTA 7516. Daarnaast speelt gebruiksvriendelijkheid een belangrijke rol. De gedachte hierachter is dat artsen en patiënten ook daadwerkelijk gebruik zullen maken van de veilige communicatie zoals de norm heeft beoogd.

In totaal bestaat de NTA 7516 uit 29 vereisten. De zorgprofessional moet zelf aan 5 vereisten voldoen en kan voor de overige 24 vereisten de hulp van een softwareleverancier inschakelen. De vereisten zijn onderverdeeld in de volgende zes categorieën:

  1. Beschikbaarheid
  2. Integriteit
  3. Vertrouwelijkheid
  4. Gebruiksvriendelijkheid
  5. Interoperabiliteit
  6. Overig

De vereisten die specifiek voor de zorgprofessional gelden, zien met name op het opstellen van een informatiebeveiligingsbeleid conform de vereisten van de NTA 7516, bijvoorbeeld dat is vastgesteld wie welke rechten heeft om berichten naar patiënten te mogen versturen. Leveranciers kunnen helpen bij het realiseren daarvan. In het hiernavolgende zetten wij de vereisten (op hoofdlijnen) op een rijtje.

Ad 1. Beschikbaarheid
De NTA 7516 vereist dat de software waarmee met de patiënten en anderen wordt gecommuniceerd 99,8% van de tijd beschikbaar dient te zijn. Wanneer de dienst uitvalt, mag de uitval niet meer dan 24 uur duren en voorts mogen er geen gegevens verloren gaan, tenzij de afzender (de opdrachtgever van de softwareleverancier) daarvan binnen 24 uur op de hoogte wordt gebracht.[4]

Ad 2. Integriteit
De ontvanger moet er zeker van zijn dat de afzender te vertrouwen is. Daarom dient de afzender via een meerfactorauthenticatie aan te geven wie hij is, bijvoorbeeld via een wachtwoord en een code die de zorgprofessional per SMS ontvangt. Zo is de herkomstbevestiging gewaarborgd. Dit betekent ook dat er geen wijziging van de inhoud meer mag plaatsvinden tussen het moment van verzending en ontvangst. Als het bericht van ‘inhoud’ verandert, bijvoorbeeld door een virusscanner, moeten verzender en ontvanger hiervan op de hoogte worden gebracht. Daarnaast moet bij ieder bericht de afzender zijn vermeld, ook als het bericht door een gemachtigde of secretaresse is gestuurd.

Ad 3. Vertrouwelijkheid
De opgeslagen communicatie (chat of e-mail) is alleen toegankelijk voor de afzender en ontvanger. Daarmee wordt gewaarborgd dat alleen (de gemachtigden van) de desbetreffende arts de communicatie met de patiënt kan lezen. Toegang voor partijen die geen geldige grond hebben om deze communicatie in te zien, moet onmogelijk zijn. Mocht het voorkomen dat onbevoegden toegang krijgen tot de communicatie dan moet de communicatie onleesbaar zijn.

Ook hier geldt weer dat de toegang tot de berichten alleen via een meerfactorauthenticatie mag worden verleend; dit ziet met name op communicatie waarop het wettelijk beroepsgeheim ziet (dus ook op een brief met een afspraakbevestiging of herhaalrecept). Naast dat de inhoud van het bericht niet gewijzigd mag worden tussen verzending en ontvangst, geldt ook dat de communicatie niet voor onbevoegden toegankelijk mag zijn tijdens de verzending. Als dit wel gebeurt, moet het bericht voor een onbevoegde onleesbaar zijn.

Het verzenden van e-mails en chatberichten dient met name binnen Europese Economische Ruimte (EER) te blijven, omdat daar een hoge mate van bescherming wordt geboden. Wanneer de gegevens toch buiten de EER worden gedeeld, moet dit uiteraard (ook) gebeuren in overeenstemming met de Avg. Kort gezegd betekent dit dat de zorgprofessionals passende waarborgen moeten treffen, onder andere door extra afspraken met deze buitenlandse partij te maken.

Ad 4. Gebruiksvriendelijkheid
In deze categorie zijn de meeste vereisten ondergebracht. Het gaat zowel om het gebruiksgemak van de zorgprofessional als de patiënt.

Zo moet de ontvanger visueel kunnen vaststellen of een bericht veilig is verzonden of niet, bijvoorbeeld via een bepaalde aanduiding bij het ontvangen bericht. De ontvanger moet het bericht van de zorgprofessional vervolgens veilig kunnen beantwoorden en doorsturen, zonder dat hij/zij hier een account hoeft aan te maken bij de gebruikte applicatie (bijvoorbeeld door gebruik te kunnen maken van een webapplicatie). Daarnaast moet de ontvanger het bericht en bijbehorende bijlagen kunnen opslaan op een zelf gekozen locatie.

De zorgprofessional moet er voor zorgen dat het veilig communiceren altijd aan staat en dat binnen de mogelijkheden die de software biedt voor de veiligste optie wordt gekozen.

Ad 5. Interoperabiliteit
De interoperabiliteit ziet op twee aspecten. Aan de ene kant moet ervoor worden gezorgd dat e-mailberichten van zorgprofessionals gemakkelijk kunnen worden opgeslagen in elektronische dossiers. Aan de andere kant moeten softwareleveranciers er voor zorgen dat hun diensten kunnen communiceren met die van andere softwareleveranciers die voldoen aan de NTA 7516.

Ad 6. Overig
Tot slot is het van belang dat bepaalde gebeurtenissen worden gelogd, bijvoorbeeld de toegang tot een account en het versturen van berichten naar patiënten en derden. Deze logs moeten zo goed als ‘real-time’ te kunnen worden geraadpleegd. Ons advies is om de logbestanden ook daadwerkelijk regelmatig te controleren. Naast het feit dat NEN 7510 dit voorschrijft, is ook gebleken dat de Nederlandse toezichthouder, Autoriteit Persoonsgegevens[5], hier streng op controleert.

Vanaf welk moment geldt de NTA 7516 en is het verplicht hieraan te voldoen?

De NTA 7516 is in mei 2019 gepubliceerd en gaat dan direct van kracht. In de praktijk blijkt dat leveranciers nog tijd nodig hebben om zich aan te passen aan de norm. Daarnaast is de certificeringsprocedure nog in ontwikkeling. Voor leveranciers geldt dat zij minimaal NEN 7510 of ISO 27001 gecertificeerd moet zijn om in aanmerking te komen voor NTA 7516. Daarbij geldt wel dat een leverancier niet aan alle 24 vereisten hoeft te voldoen om een certificaat te krijgen, dat kan al indien de leverancier voldoet aan twee vereisten van de NTA 7516. Voor zorgprofessionals is het dus wel belangrijk om goed te onderzoeken aan welke vereisten de softwareleverancier daadwerkelijk voldoet. Mogelijk is het dan nog nodig om een tweede softwareleverancier in te schakelen of andere maatregelen te treffen, zodat zij aan alle vereisten kan voldoen.

Het is niet verplicht om aan de NTA 7516 te voldoen, maar op het moment dat een zorgprofessional niet voldoet aan deze norm, betekent dit dat zij niet kan mailen, chatten of op een andere manier ad hoc kan communiceren met haar patiënten. Dus wil een zorgverlener op die manier communiceren met patiënten, zal het in feite toch neerkomen op een verplichting om aan deze norm te voldoen.

Zorgt de NTA 7516 nu voor een complete vernieuwing in het IT-landschap in de zorg?

Nee, want de meeste vereisten vormen een combinatie van regels uit de Avg, WGBO en (oudere) NEN-normen. Als het goed is, zullen zorgprofessionals daarom niet voor een compleet nieuwe uitdaging staan, maar nu de zorg flink innoveert is het wel verstandig om de informatiebeveiliging binnen de zorgorganisatie te controleren en waar nodig aan te scherpen. Een goed onderzoek voorafgaand aan de inzet van nieuwe technologie in samenhang met o.a. het recht op privacy is noodzakelijk.

Conclusie

Beveiliging van in de zorg gebruikte communicatie is belangrijk ter bescherming van het grondrecht op privacy van patiënten. Hierbij bieden voornoemde normenkaders de nodige handvatten. Met het voldoen aan deze normen kan de zorgprofessional laten zien dat zij voldoet aan bepaalde vereisten onder de Avg. Uiteraard moet – naast het treffen van beveiligingsmaatregelen – ook aan alle andere vereisten onder de toepasselijke wet- en regelgeving worden voldaan (zo moeten patiënten altijd goed worden geïnformeerd en moet de juiste toestemming worden verkregen. Op deze manier blijven patiënten de baas over hun eigen persoonsgegevens en blijft dit mensenrecht in de zorg gewaarborgd.

[1] Algemene verordening gegevensbescherming, considerans 10.

[2] Het treffen van beveiligingsmaatregelen houdt ook verband met de andere beginselen, zoals bijvoorbeeld onder vuistregels 2, 5 en 7 genoemd.

[3] Uit jaaroverzichten van Autoriteit Persoonsgegevens (AP) blijkt dat een aanzienlijk deel (28% in 2019, 29% in 2018) van de gemelde datalekken uit de zorgsector kwam.

[4] Onder gegevensverlies wordt niet hetzelfde als ‘datalek’ onder Avg bedoeld, maar de definitie uit de NEN 7510-2 gehanteerd. Het gaat om situaties waarbij gegevens niet bij de ontvanger aankomen of niet meer kunnen aankomen.

[5] In Nederland is de Autoriteit Persoonsgegevens belast met de handhaving onder de Avg.

Dit artikel verscheen eerder in het RGD Magazine, dat is een magazine van het Rotterdams Gezondheidsrecht Dispuut dat drie keer per jaar verschijnt. Klik hier om de rest van het magazine te lezen.

Meer informatie

Anamika Wilbrink

M +31 6 12 85 75 80
E a.wilbrink@ploum.nl

Nina Witt

M +31 6 30 29 34 05
E n.witt@ploum.nl

Print dit artikel