C.2.1 NEN 7510:2017 nl – Informatiebeveiliging in de zorg

Het patiëntendossier vormt een wezenlijk onderdeel van de veilige zorg aan de patiënt. De beveiliging van elektronische dossiers behoeft aandacht in het kader van de privacy van de patiënt en de geheimhoudingsplicht van de fysiotherapeut. In 2004 publiceerde het Nederlands Normalisatie Instituut (NEN) de eerste norm ‘Informatiebeveiliging in de zorg’ (NEN 7510:2004 nl) en is herzien in 2011 (NEN, 2011). De norm is in 2017 geactualiseerd en geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening (NEN, 2017).

De organisaties waarop de norm zich richt, variëren van individuele zorgverleners tot grote zorginstellingen en andere organisaties die bij de informatievoorziening in de gezondheidszorg zijn betrokken, zoals netwerkorganisaties en zorgverzekeraars. Het toepassingsgebied omvat de beveiliging van alle typen informatie in en tussen genoemde organisaties en alle mogelijke vormen waarin de informatie wordt weergegeven, vastgelegd en overgedragen.

Om te bepalen wat de vereisten zijn voor het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie, is een risicobeoordeling nodig. Risicobeoordeling is onderdeel van de eerste fase in de cyclus voor het beheersen van de informatiebeveiliging. Door implementatie van de beheersmaatregelen kan een organisatie voldoen aan de eisen die in een risicobeoordeling zijn vastgesteld. De NEN 7510 bestaat uit twee delen, een deel over informatiebeveiliging van het managementsysteem en een deel over beheersmaatregelen.

C.2.2 NEN 7512:2015 nl – Vertrouwensbasis voor gegevensuitwisseling

NEN 7512:2015 nl is van toepassing op de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg zijn betrokken (NEN, 2015). Deze norm richt zich in de eerste plaats op de zekerheden die partijen elkaar moeten bieden als voorwaarde voor vertrouwde gegevensuitwisseling. Ten tweede levert deze norm een nadere invulling voor een aantal richtlijnen van NEN 7510.

C.2.3 NEN 7513:2018 nl – Logging – Vastleggen van acties op elektronische patiëntendossiers

Het patiëntendossier vormt een wezenlijk onderdeel van de veilige zorg aan de patiënt. Voor veilige zorg is het essentieel dat gegevens in het dossier integer zijn (NEN, 2013). Daarbij bevat het dossier in de aard van de registratie zeer privacygevoelige gegevens. Om deze twee redenen, vastgelegd in wettelijke bepalingen, is het van belang te allen tijde te kunnen achterhalen wie toegang heeft gehad tot het dossier, volgens welke regels hij die toegang heeft gekregen en welke acties hij daarop heeft uitgevoerd. De in deze norm beschreven logging voorziet in de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot het patiëntendossier, die controle van de rechtmatigheid ervan mogelijk maakt. Deze norm biedt zorgaanbieders aanwijzingen voor het loggen en het gebruik van de logging om te voldoen aan wettelijke verplichtingen en levert ontwikkelaars van informatiesystemen een aantal eisen waaraan hun systemen zullen moeten voldoen. Op zorgverleners rust een dossierplicht. 

Patiënten moeten worden geïnformeerd en hebben recht op inzage in het dossier waarin de gegevens over hun behandeling zijn gedocumenteerd. Wanneer, zoals meestal het geval is, verschillende zorgverleners op verschillende momenten bij de zorg aan een patiënt worden betrokken, vormt het dossier een van de schakels in de communicatie. In het kader van deze norm wordt onder een elektronisch patiëntendossier de totale verzameling verstaan van alle elektronisch vastgelegde gegevens die de zorg en medische en paramedische behandeling van een bepaalde persoon documenteren. Een elektronisch patiëntendossier in deze zin, zal dus meestal delen omvatten die op verschillende tijdstippen, in verschillende systemen, door verschillende personen zijn vastgelegd. In deze norm wordt hiervoor het begrip ‘informatiedomein’ gebruikt.

• Nederlands Normalisatie Instituut (NEN). NEN 7510:2011. Delft: NEN; 2011.

• Nederlands Normalisatie Instituut (NEN). NEN 7510:2017. Delft: NEN; 2017.

• Nederlands Normalisatie Instituut (NEN). NEN 7512:2015. Delft: NEN; 2015.

• Nederlands Normalisatie Instituut (NEN). NEN 7513:2010. Delft: NEN; 2013.