Op 4 oktober jl. heeft de Eerste Kamer ingestemd met het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens. De Wet treedt in werking op 1 juli 2017. De Wet regelt onder meer een verbod op toegang van zorgverzekeraars tot elektronische uitwisselingssystemen van zorgaanbieders en bevat verder randvoorwaarden voor het gebruik van elektronische uitwisselingssystemen in de zorg. De Wet stelt het gebruik van een elektronisch uitwisselingssysteem niet verplicht, maar wanneer u zo’n systeem heeft dient u te voldoen aan hetgeen in deze wet is vastgelegd.
Een aantal bepalingen uit dit wetsvoorstel treden pas na drie jaar in werking. Dit betreft de eis van gespecificeerde toestemming (artikel 15a, tweede lid), de registratie van de gespecificeerde toestemming (artikel 15c, tweede lid), het recht op elektronische inzage en afschrift (artikel 15d) en het recht op een elektronisch afschrift van de logging (artikel 15e). Daarnaast zal de minister de verplichting om toestemming te vragen voor het raadplegen van gegevens (artikel 15b), helemaal niet in werking laten treden. Belangrijke reden om deze artikelen nu al in de wet op te nemen is dat zorgaanbieders daarmee tijd krijgen om zich voor te bereiden op deze toekomstige verplichting.
Besluit elektronische verwerking door zorgaanbieders
Tegelijkertijd met de Wet zal het Besluit elektronische gegevensverwerking door zorgaanbieders (het Besluit) in werking treden. Dit Besluit kent als verwachte ingangsdatum eveneens 1 juli 2017. Voor zorgaanbieders geldt in het kader van de verwerking van het burgerservicenummer al sinds 26 mei 2008 de verplichting te voldoen aan NEN 7510, 7511 en 7512. Deze verplichting is vastgelegd in artikel 2 van de Regeling gebruik burgerservicenummer in de zorg. Het Besluit bepaalt dat zorgaanbieders ook moeten voldoen aan de NEN 7513. Deze norm betreft een verdere invulling van de NEN 7510 wat betreft het begrip ‘logging’. Logging voorziet in de stelselmatige geautomatiseerde registratie van gegevens rondom de toegang tot het elektronisch patiëntendossier.
De Minister van VWS heeft de normen afgekocht zodat deze kosteloos beschikbaar zijn. U kunt deze normen gratis downloaden vanuit de webwinkel van NEN. Daarnaast regelt het Besluit dat een aanbieder waarop de Wet kwaliteit klachten en geschillen zorg (Wkkgz) van toepassing is met het inwerking treden van het Besluit een Functionaris voor de Gegevensbescherming (FG) moet hebben.
Het Besluit is formeel nog in behandeling in de Eerste Kamer, maar wij verwachten niet dat dit tot fundamentele wijzigingen zal leiden. Door deze informatie nu al beschikbaar te stellen kunnen zorgaanbieders zich voorbereiden op deze toekomstige verplichting.
Ondersteuning vanuit de VGN
Hoewel er voor zorgaanbieders aan de feitelijke verplichting om te voldoen aan de normen voor informatiebeveiliging in de zorg weinig verandert, verwachten wij dat het aannemen van deze wet de aandacht voor gegevensbeveiliging en privacy in de zorg zal versterken. Wij kunnen ons goed voorstellen dat het aannemen van deze wet aanleiding is om deze onderwerpen opnieuw over het voetlicht te brengen in uw organisatie. Binnen de VGN verkennen wij momenteel de mogelijkheden om u daarbij ondersteuning te bieden. Over de invulling van deze ondersteuning zullen wij u binnenkort nader informeren.
Europese Algemene Verordening Gegevensbescherming
Naast deze wet treedt op 25 mei 2018 de door het Europees Parlement vastgestelde Algemene Verordening Gegevensbescherming in werking. Deze verordening heeft directe werking en zal de huidige Wet bescherming persoonsgegevens vervangen. Wij zullen u komend voorjaar informeren over de mogelijke gevolgen van deze Verordening voor zorgorganisaties en de ondersteuning die de VGN zal bieden bij het voldoen aan de Verordening.
