ICT in de zorg Over de impact van wet- en regelgeving
Impact van weten regelgeving op ICT in de zorg Voldoen aan wet- en regelgeving is voor ICT-afdelingen in de zorgsector een steeds vaker terugkerend thema. De wet- en regeldruk neemt toe bijvoorbeeld door striktere vereisten rond het opslaan en bewaren van patiëntgegevens. Deze en andere ontwikkelingen hebben veel impact op de inzet van ICT in de zorg. Voor ICT-afdelingen in de zorg groeit het belang om te weten welke regels voor hun organisatie specifiek van toepassing zijn. Maar ook hoe deze in hun ICT-systemen geborgd zijn. Zo is er de wettelijk vereiste dat medische gegevens over patiënten alléén toegankelijk zijn voor zorgverleners die rechtstreeks bij de behandeling van die patiënten betrokken zijn. Hoe heeft u dat in de systemen geborgd? En hoe voldoet de organisatie aan de dossierplicht of aan wettelijk gestelde bewaartermijnen? In deze whitepaper beschrijven we relevante wet- en regelgeving voor de zorgsector en de mogelijke impact op uw ICT-organisatie.
2
Bescherming van informatie Voor de bescherming van informatie zijn er verschillende wetten en richtlijnen. Dit zijn de Wet Geneeskundige Behandelingsovereenkomst (WGBO), de algemene Wet Bescherming Persoonsgegevens (WBP) en de Nederlandse Archiefwet. Deze wetten zijn er om patiënten én hun informatie te beschermen. Voldoet uw organisatie aan deze wetten, dan geeft dat patiënten (en het bredere publiek) een waarborg dat u goed met hun informatie omgaat. Verderop leest u welke NEN-normen er zijn, waarmee u uw organisatie zo inricht dat u voldoet aan deze wetten. 1. Wet Geneeskundige Behandelingsovereenkomst (WGBO) Op het moment dat een zorgverlener medische hulp biedt aan een patiënt, ontstaat een behandelingsovereenkomst. En geldt de WGBO. Onderdeel van de WGBO is de dossierplicht: het registreren van patiëntgegevens. Voor ICT zijn hierbij twee belangrijke vragen Ten eerste: wat is de bewaartermijn? Deze verschilt per ‘soort’ patiënt. En ten tweede de toegankelijkheid van de informatie: wie mag waar bij? Bewaartermijnen van gegevens De standaard bewaartermijn van data is 15 jaar (voor academische ziekenhuizen geldt een andere termijn, zie 3. Nederlandse archiefwet). Daarna moeten de patiëntgegevens direct verwijderd worden. Uitzonderingen op deze bewaartermijn zijn: - wanneer een arts alleen goede zorg kan verlenen als de gegevens langer bewaard blijven (bijvoorbeeld bij een chronische ziekte) - wanneer een patiënt minderjarig is – pas als hij of zij 18 is, gaat de bewaartermijn van 15 jaar in (dus tot het 34e jaar óf wanneer hij of zij eerder overlijdt) - wanneer het om keuringsgegevens gaat – deze mogen alleen bewaard blijven zolang ze noodzakelijk zijn voor de betreffende keuring (meestal korter dan 15 jaar, soms langer)
- wanneer in een familie erfelijke ziektes spelen – de familie geeft dan (schriftelijk) toestemming voor langere bewaring - wanneer het voor een arts zelf juridisch relevant is (bijvoorbeeld bij een claim) - wanneer de patiënt speciaal hierom vraagt, kunnen de gegevens ook eerder worden vernietigd - wanneer de gegevens geanonimiseerd worden voor wetenschappelijk onderzoek – dan mogen gegevens langer bewaard worden Voor ICT geldt dat zowel de ICT-systemen als de werkprocessen op deze uitzonderingen ingericht moeten zijn. Een flexibele digitale markering is van belang, natuurlijk inclusief slimme veiligheidsprocedures. Ook is het voor ICT belangrijk om rekening te houden met het feit dat tijdens de behandeling de bewaartermijn kan veranderen. Daarnaast kan de standaard bewaartermijn in de toekomst veranderen: men verwacht bijvoorbeeld dat dit 30 jaar gaat worden in plaats van de huidige 15 jaar. Toegankelijkheid van gegevens Zorgverleners mogen alleen patiëntgegevens doorgeven met toestemming van de patiënt – het beroepsgeheim geldt volgens de WGBO voor elke zorgverlener. Maar ook hierop zijn uitzonderingen. Wanneer er een behandelrelatie ontstaat met andere zorgverleners, bijvoorbeeld. Denk aan teams van specialisten en hulpverleners, die samen een patiënt behandelen. Kunnen zij niet bij de relevante patiëntgegevens, dan kunnen zij geen adequate zorg verlenen. Voor ICT is het daarom van belang om de systemen zo in te richten, dat daarin verschillende rollen gedefinieerd kunnen worden met bijbehorende rechten. Inclusief registratie van wie wanneer ingelogd is geweest, zodat altijd terug te halen is wie de gegevens heeft ingezien. 2. Wet Bescherming Persoonsgegevens (WBP) De manier waarop persoonsgegevens verwerkt moeten worden is vastgelegd in de WBP. Deze wet gaat over álle vormen van dataverwerking – op papier en digitaal. Belangrijk is dat er een duidelijke reden is om de persoonsgegevens op te slaan. Voor de zorgsector is die reden eenvoudig: die is
3
gebaseerd op de dossierplicht uit de WGBO. Voor ICT is er een duidelijke beperking van belang. Dit is het verbod op de verwerking van bijzondere persoonsgegevens, zoals godsdienst, ras, politiek, vakbondslidmaatschap en seksuele geaardheid. Gezondheidsgegevens mogen ook niet opgeslagen worden. Een uitzondering hierop zijn personen die vanuit hun ambt of een wettelijk voorschrift geheimhoudingsplicht hebben. Zij mogen dus wel gezondheidsgegevens opslaan. Wanneer u voldoet aan de NEN-normen (zie verderop), voldoet u ook aan de WBP. Recente acties van het College Bescherming Persoonsgegevens (CBP) laten zien dat het volgen van NEN-normen niet voor niets is. Meerdere zorginstellingen voldeden niet aan de NEN-normen, waarop een stevige berisping van het CBP volgde. Zij krijgen nog de gelegenheid om aanpassingen door te voeren. Blijkt bij een volgende controle dat ze nog steeds niet aan de normen voldoen, dan kan een boete volgen. 3. De Nederlandse Archiefwet In de Nederlandse Archiefwet – alleen van toepassing op overheidsinstanties – staat dat academische ziekenhuizen de gegevens die over erfelijkheid gaan, 115 jaar moeten bewaren. Voor ICT-afdelingen binnen academische ziekenhuizen betekent deze wet dus nog een extra uitzondering op de reguliere bewaartermijnen (zie ook 2. WGBO).
informatiebeveiliging te verbeteren Deze norm is gebaseerd op ISO 27002, waarin staat wat de standaard is voor de juiste inrichting van Informatiebeveiligingsprocessen (in het algemeen, niet alleen voor de zorg). 2. NEN 7512 – informatie-uitwisseling In NEN 7512 staat hoe organisaties die onderling medische gegevens uitwisselen, deze gegevens zo goed mogelijk kunnen beveiligen. NEN 7512 is een aanvulling op NEN 7510, gericht op risicoclassificatie van identificatie- en authenticatieprocessen. In elke risicoklasse staan minimale beveiligingseisen voor authenticatie. Deze eisen zijn geordend naar de gegevensbron, het transportkanaal en de ontvanger van de gegevens. 3. NEN 7513 – toegang tot informatie In NEN 7513 staat hoe u de toegangsregistratie van zorgverleners tot elektronische patiëntendossiers goed organiseert. Zo is het de bedoeling dat álle acties van zorgverleners in een systeem worden ‘gelogd’, oftewel: vastgelegd. Daarmee kan het College Bescherming Persoonsgegevens (CBP) de rechtmatigheid van de toegang tot (bijvoorbeeld) een patiëntendossier controleren. Zorgaanbieders kunnen daarnaast deze loggegevens gebruiken om te laten zien dat ze zorgvuldig omgaan met medische gegevens. En om te laten zien dat ze voldoen aan wettelijke verplichtingen.
Werkprocessen op orde Om te voldoen aan de genoemde wet- en regelgeving, bestaat er al een duidelijk houvast. Dit houvast bestaat uit drie NEN-normen, een gedragscode en een ISO-standaard. Voldoet u hieraan, dan heeft u uw zaken op orde. En zijn uw werkprocessen compliant ingericht. Er zijn verschillende instanties die cursussen en opleidingen aanbieden, waarmee u zelf leert hoe u uw processen volgens de normen inricht. Of u kiest ervoor om uw ICT-dienstverlening – van outsourcing tot hosting – onder te brengen bij dienstverleners die kunnen aantonen dat ze voldoen aan deze normen. 1. NEN 7510 – informatiebeveiliging In NEN 7510 staat hoe informatiebeveiliging goed – organisatorisch én technisch – door zorginstellingen ingericht kan worden. Centraal in de norm staan het managementsysteem en de risicoanalyse voor informatiebeveiliging. De aanpak is gebaseerd op een continue plan-do-check-act-cyclus: Plan: stel doelstellingen, processen en procedures vast die relevant zijn voor de informatiebeveiliging Do: implementeer de maatregelen voor de informatiebeveiliging én oefen ze uit Check: toets de genomen maatregelen aan de gestelde doelstellingen Act: neem corrigerende maatregelen om de
4
4. Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) EGiZ biedt praktische richtlijnen voor de verwerking van persoonsgegevens via landelijke of regionale online voorzieningen, zoals portals. Denk aan het huisartsenportaal, het Landelijk Schakelpunt (LSP) of de ringen van het Open Zorg Informatie Systeem (OZIS) voor het downloaden van dossiers. EGIZ geldt voor álle online voorzieningen waarin landelijke en regionale zorginformatiesystemen aan elkaar gekoppeld worden en waar persoonsgegevens gedeeld en uitgewisseld worden. De gedragscode helpt u om aan regelgeving te voldoen: het bevat geen nieuwe regels, maar geeft overzicht en praktische richtlijnen waarmee u makkelijker aan bestaande regelgeving kunt voldoen.
KPN en ICT in de zorg Steeds meer organisaties in de zorg maken gebruik van onze ICT-oplossingen. Daar zijn we trots op. Wij werken er hard aan om deze oplossingen steeds te laten voldoen aan de meest recente wetten, regels, richtlijnen en normen. Zodat onze opdrachtgevers erop kunnen vertrouwen dat wanneer ze hun kostbare patiënteninformatie aan ons toevertrouwen, die ook echt goed beveiligd is. Zo zorgen we er niet alleen voor dat de beveiliging technisch goed geregeld is, maar ook organisatorisch.
Richtlijnen en standaarden waar onze oplossingen aan voldoen, zijn: ISO 27001/27002 (standaard voor inrichting processen rond informatiebeveiliging) NEN 7510 (gebaseerd op implementatie ISO 27002), NEN 7512 en NEN 7513 Nictiz-certificatie voor ons KPN Zorgconnect netwerk als Zorg Service Provider
Over KPN KPN biedt wereldwijd telecommunicatie- en ICT-diensten. We bedienen meer dan 44,5 miljoen klanten met mobiele en vaste telefoonaansluitingen, internet en televisie. In de zakelijke markt ondersteunen we onze klanten met volledig beheerde telecommunicatie- en ICT-oplossingen.
Nictiz-norm voor Goed Beheerd Zorgsysteem Veelgebruikte oplossingen in de zorgsector CloudNL Zeer betrouwbare cloud-oplossing, met opslag en applicaties op Nederlandse bodem. Kiest u voor CloudNL, dan voldoet u aan alle regelgeving rond gegevensopslag en privacy. Sinds kort bieden we namelijk met de CloudNL-oplossing ook een online control- & auditmethode. Deze hebben we samen met Deloitte ontwikkeld en maakt de inzet van CloudNL volledig compliant.
Meer informatie George Hilterhaus Solution Sales Manager
[email protected] 06-10 72 83 59
Digitaal Zorgarchief (DZA) Slimme dataopslag, speciaal gericht op behoeftes in de zorg. Denk aan zo voordelig en veilig mogelijke opslag, ook voor zeer grote bestanden met lange bewaartermijn, zoals röntgenfoto’s. Bestandsformaten worden automatisch vernieuwd, zodat data ook na lange tijd nog toegankelijk zijn. De infrastructuur van DZA bestaat uit het gecertificeerde KPN Zorgconnect netwerk. Onze datacenters Wanneer u uw patiëntgegevens aan ons toevertrouwt, komen ze terecht in datacenters die gegarandeerd in Nederland gevestigd zijn. Dat betekent dat ze onder de relatief strenge Nederlandse privacywetten vallen én onder de binnenkort aangescherpte Europese regelgeving. Oktober 2013
5
kpn.com/itsolutions