AVG en NEN 7510: samenhang in de zorg
Gezondheidsgegevens zijn de meest gevoelige persoonsgegevens die er bestaan. De Algemene verordening gegevensbescherming (AVG) kwalificeert ze als bijzondere persoonsgegevens en legt strenge eisen op aan de verwerking ervan. NEN 7510 vult die eisen in voor de Nederlandse zorgsector. De twee zijn geen alternatieven maar aanvullende kaders. Samen beschrijven ze wat passende beveiliging van patiëntgegevens betekent.
AVG artikel 9: bijzondere persoonsgegevens
Artikel 9 van de AVG verbiedt de verwerking van bijzondere categorieën persoonsgegevens. Gezondheidsgegevens vallen in die categorie. Verwerking is alleen toegestaan als een specifieke uitzondering van toepassing is.
Voor zorgorganisaties geldt doorgaans de uitzondering voor gezondheidszorg: verwerking is toegestaan wanneer dat noodzakelijk is voor medische diagnoses, het verstrekken van gezondheidszorg of het beheer van zorgstelsels (artikel 9 lid 2 sub h). Die uitzondering is een noodzakelijke maar geen voldoende voorwaarde. U moet ook voldoen aan het beginsel van artikel 32 AVG: passende technische en organisatorische beveiliging.
De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de AVG in Nederland. Bij een datalek met gezondheidsgegevens kan zij onderzoek doen en boetes opleggen. NEN 7510-certificering is een aantoonbaar bewijs van passende beveiliging.
Wat voegt NEN 7510 toe aan de AVG?
De AVG stelt de eis van “passende beveiliging” maar legt niet precies uit wat dat betekent voor zorgorganisaties. NEN 7510 vult die open norm in.
Dat werkt als volgt. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) verwijst via het Besluit elektronische gegevensverwerking door zorgaanbieders naar NEN 7510. Daarmee is de norm de concrete invulling van “passende maatregelen” in de zorgsector.
Als er iets misgaat, bijvoorbeeld een datalek of een ransomware-aanval, kijken toezichthouders naar NEN 7510. Voldeed u eraan? Kunt u dat aantonen? Certificering is dan het sterkste bewijs.
| Aspect | AVG | NEN 7510 |
|---|---|---|
| Wat het is | Europese verordening, rechtstreeks van toepassing | Nederlandse norm, niet automatisch verplicht maar sterk aanbevolen |
| Wat het vraagt | Passende technische en organisatorische maatregelen | Uitwerking van die maatregelen voor de zorgsector |
| Toezichthouder | Autoriteit Persoonsgegevens | IGJ en AP samen |
| Sancties bij niet-naleving | Boetes tot 4% van wereldwijde jaaromzet | Verlies certificaat, toezicht, schade bij incidenten |
| Meldplicht datalekken | Ja, binnen 72 uur bij AP | Ondersteunt naleving via incidentenbeheerproces |
De meldplicht: AVG en NEN 7510 in de praktijk
Wanneer er een datalek is met patiëntgegevens, wordt de samenhang tussen AVG en NEN 7510 concreet.
De AVG verplicht u een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens, als het risico voor betrokkenen niet verwaarloosbaar is. Bij datalekken met gezondheidsgegevens is dat risico vrijwel altijd aanwezig. U moet ook de betrokkenen (patiënten) informeren als het datalek hoge risico’s meebrengt voor hun rechten en vrijheden.
NEN 7510 ondersteunt dit via het incidentenbeheerproces. U heeft een incidentenregister, een procedure voor het afhandelen van beveiligingsincidenten, en duidelijke rollen voor wie wat doet bij een incident. Dat maakt het mogelijk om snel te handelen, te beoordelen of er sprake is van een meldplichtig datalek, en de melding op tijd te doen.
Een organisatie zonder goed incidentenbeheerproces mist vaak de 72-uurs termijn voor de AVG-melding. Niet omdat ze niet willen melden, maar omdat ze niet snel genoeg kunnen achterhalen wat er precies is gebeurd en hoeveel mensen zijn geraakt.
Rechten van patiënten: AVG én NEN 7513
Patiënten hebben rechten onder de AVG: inzagerecht, recht op rectificatie, recht op vergetelheid (in beperkte mate in de zorg). Maar ze hebben ook het recht te weten wie hun dossier heeft ingezien. Dat laatste recht is vastgelegd in de Wabvpz en wordt technisch ingevuld door NEN 7513.
Als een patiënt vraagt wie in zijn dossier heeft gekeken, moet u dat kunnen vertellen. Dat vergt logging die voldoet aan NEN 7513: automatisch, volledig, met persoonsgebonden registratie van elke toegang. Dat is niet alleen een NEN 7513-verplichting; het is ook de manier waarop u het inzagerecht uit de AVG in de zorg invult.
Verwerkersovereenkomsten: AVG artikel 28 en NEN 7510
De AVG verplicht u een schriftelijke overeenkomst te sluiten met elke partij die namens u persoonsgegevens verwerkt. Dat zijn uw verwerkers: de EPD-leverancier, de hostingpartij, de IT-beheerder.
NEN 7510 stelt aanvullende eisen aan de inhoud van die afspraken. Ze moeten ook de informatiebeveiligingsverplichtingen bevatten: welke maatregelen treft de verwerker? Hoe gaat hij om met incidenten? Heeft hij zelf een NEN 7510 of ISO 27001 certificaat?
In de praktijk gebruikt u bij voorkeur één gecombineerde overeenkomst die zowel de AVG-verwerkersafspraken als de NEN 7510-beveiligingseisen dekt.
Functionaris gegevensbescherming (FG)
Veel zorgorganisaties zijn verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Dat zijn organisaties die op grote schaal bijzondere persoonsgegevens verwerken, wat voor vrijwel alle zorgaanbieders geldt.
De FG bewaakt de naleving van de AVG binnen uw organisatie. In de NEN 7510-context werkt de FG nauw samen met de informatiebeveiligingsfunctionaris (CISO of vergelijkbaar). Bij kleine organisaties is dat soms dezelfde persoon, of een extern ingehuurde adviseur die beide rollen invult.
Wat NEN 7510 niet is: een privacynorm
Een veelgemaakt misverstand: NEN 7510 regelt alles over privacy. Dat is niet zo. NEN 7510 gaat over informatiebeveiliging: beschikbaarheid, integriteit en vertrouwelijkheid van gezondheidsinformatie. Privacy is breder dan beveiliging.
De AVG gaat ook over rechtmatigheid van verwerking, dataminimalisatie, bewaartermijnen en rechten van betrokkenen. Die onderwerpen vallen buiten NEN 7510. U heeft dus beide nodig: NEN 7510 voor de beveiliging, en een goed privacybeleid en -register voor de bredere AVG-naleving.
Gegevensuitwisseling en de AVG
Elke keer dat u patiëntgegevens uitwisselt met een andere zorgorganisatie, stelt u zich bloot aan risico’s. De AVG vereist dat die uitwisseling rechtmatig is en beveiligd. NEN 7512 beschrijft hoe die uitwisseling technisch en organisatorisch beveiligd wordt. NEN 7512 is daarmee ook een instrument voor AVG-compliance op het gebied van beveiligde gegevensoverdracht.
Meer lezen
- NEN 7510 eisen - De beveiligingseisen van de norm in detail
- NEN 7513 logging - Logging van toegang tot patiëntdossiers
- NIS2 en de Cyberbeveiligingswet - De nieuwe cyberbeveiligingswetgeving voor de zorg
- Autoriteit Persoonsgegevens - Toezichthouder voor privacy in Nederland
- Wabvpz op wetten.overheid.nl - De wet die naar NEN 7510 verwijst