De norm voor informatiebeveiliging in de zorg NEN 7510 wordt strikter. De richtlijnen voor autorisatie en toegangsbeheer worden aangescherpt. Dat zijn in hoofdlijnen de belangrijkste aanpassingen op de norm die in 2004 is gepresenteerd. In september 2010 wordt de revisie van de norm openbaar gemaakt. Na die publicatie hebben belangstellenden drie maanden de tijd om commentaar te leveren.
De NEN 7510 is een belangrijke norm voor de informatiebeveiliging van zorginstellingen. De richtlijnen voor informatiebeveiliging in de zorg worden genoemd in wettelijke stukken, zoals Maatregelen van Algemeen Bestuur en de Wet op het gebruik burgerservicenummer (BSN). Zorginstellingen die willen aansluiten op het Elektronisch Patiëntendossier (EPD) moeten aan de norm voldoen.
Strikter
De NEN 7510-norm is voor een groot deel gebaseerd op de algemene internationale code voor informatiebeveiliging NEN-ISO/IEC 27001, maar gaat verder. De NEN 7510 is speciaal toegespitst op zorgautomatisering. Daarbij zijn de richtlijnen voor informatiebeveiliging strikter, omdat het gaat om privacygevoelige informatie van patiënten.
Normalisatie-instituut NEN bekijkt elke vijf jaar of normen moeten worden aangepast aan de actualiteit. Voor het inzien van normontwerpen en het leveren van commentaar heeft NEN een systeem ontwikkeld, dat beschikbaar is via een website. Na registratie van e-mailadres, naam en organisatie kunnen belangstellenden het normontwerp NEN 7510 inzien en commentaar leveren.
Na de publicatie, die voor september 2010 gepland staat, kunnen belangstellenden drie maanden reageren op de nieuwe versie.
Een goede stap in de richting, maar het schiet helaas nog tekort. Wat er nog steeds ontbreekt is wie de regie over de gegevens heeft. De patient is (mede-)eigenaar van de informatie in de zorg en moet dus ook kunnen bepalen wie er gegevens in mag zien. Dat wordt in deze NEN helaas nog steeds niet geregeld. Daarmee is bijvoorbeeld het electronisch patientendossier (EPD) ook nog niet haalbaar.
@dirk: dus dan wordt je met spoed een ziekenhuis in gereden en heb jij geen toestemming gegeven en geven de artsen aldaar toch een medicijn waar jij allergisch voor bent… terwijl dat is wat ze met het EPD willen voorkomen.
Ik ben niet voor het EPD, maar meer vanwege de privacy en het feit dat de overheid de toegang tot die dossiers steeds uitgebreider maakt. Straks mag de politie zonder tussenkomst van een rechter mijn EPD inzien, dat lijkt me niet de bedoeling!
Beste dirk,
Ik ben het er mee eens dat er nog veel beter kan in de zorg. Maar ik wil je er even op wijzen dat de patient geen eigenaar is van de gegevens!
Als patient heb je natuurlijk wel een aantal rechten zoals het recht van inzage. Verder heeft de arts een meldingsplicht en beroepsgeheim.
@Dirk
Waarom een verbetering tegenhouden omdat het nog niet goed genoeg is? Zo komen we nooit ergens. Ik zou zeggen: Dit is een stap in de goede richting, laten we die zetten en ondertussen natuurlijk blijven nadenken over volgende stappen.
@Tom: dit klopt niet. In alle dossiervormen die in e-overheid onderkend worden, staat buiten kijf dat de burger de eigenaar is van gegevens. Juist dat aspect is door de bedenkers van EPD met voeten getreden. Erger: zelfs verzekeraars blijken er in het huidige ontwerp bij te kunnen… Denk eens aan de ongewenste kanten die daar aan zitten.
De NEN normering gaat verder dan alleen de vraag wie er verantwoordelijk is voor het EPD, of wie het in mag zien. Zo is het ook belangrijk dat bijvoorbeeld geprinte documenten niet meegenomen, of ingezien kunnen worden door onbevoegden. Ziekenhuizen gebruiken vaak een centrale printer. Als er een patiëntendocument met gevoelige informatie geprint wordt, mag deze er pas uitkomen als de bevoegde persoon er bij staat. Ook het digitaal archief, vol met patiëntengegevens, moet volgens de NEN norm functioneren. Indien zorgorganisaties hun dossiers digitaliseren dienen zij ervoor te zorgen dat de dossiers op een juiste, beveiligde manier worden opgeslagen. Documentmanagement omgevingen zijn speciaal ingericht om grote hoeveelheden gescande info snel en beveiligd beschikbaar te stellen. De NEN normering heeft dus invloed op meer dan alleen het patiëntendossier.
Aan allen die de norm niet hebben gelezen, en dat zijn er velen: de oude én de nieuwe NEN7510 gaat over de beveiligingsaspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid en draagt op tot een proces van risicoanalyse, maatregelselectie (uit de norm) en verantwoording over dat proces, dat continue moet doorlopen. Dat gaat over een heel breed terrein, van papieren dosiers, tot openstaande deuren, financiële gegevens en andere informaitegerelateerde zaken, waaronder ook het EPD, dat er in de meeste ziekenhuizen en inzommige regios al lang is.
Waar jullie over spreken is de toepassing van de WBP (Wet Bescherming Persoonsgegevens) die oa dingen over het patientendossier zegt. In de WBP zegt alleen artikel 13 iets over informatiebeveiliging en dat kan worden uitgewerkt in de NEN7510.
Er is dus overlap, maar de NEN7510 gaat NIET over inzagerecht van dossiers, maar over de omgeving waarbinnen dat conform de WBP moet plaatsvinden.
De nieuwe NEN7510 richt zich meer naar de ISO27001: het proces, dan naar de maatreglen, dát is het belangrijkste verschil mi.
Als een proces ongestructureerd is (en op het moment dat geen duidelijkheid is wie de eigenaar is van welke content de content en er tal van workflows adhoc gestart worden, dan dan lijkt het mij toch verstandiger om het met ICT infrastructureel te faciliteren i.p.v. het te automatiseren. Maar het lijkt alsof de halve wereld graag er een gestructureerd proces van wil maken, want dan past het makkelijker in het ICT-doosje. Ondersteunen met collaboratie software lijkt mij het divies en zorg dat de stappen adhoc stappen geaudit worden en zorg er voor dat alle relevante informatie in en uit de gestructureerde (back-office) systemen komt.
Hoeveel fouten en ongelukken kunnen per maand voorkomen worden als artsen en specialisten goed registreren en deze informatie uitwisselen met alle medisch betrokkenen?
Dit is de oorsprong van digitale dossiervorming.
Wie heeft dit volmaakt draaien? En redt mensen?
Of hebben de klagers ook geen bankrekening, want daar speelt hetzelfde probleem… en dat koppelen we gewoon aan de belastingdienst, toch.