Skip to Content
NEN 7510NEN 7513: logging

NEN 7513: logging in de zorg

Elke keer dat iemand een patiëntdossier opent, moet dat worden vastgelegd. NEN 7513  is de Nederlandse norm die specificeert hoe logging in de zorg moet werken. Het is een aanvulling op NEN 7510  en sinds 2020 een wettelijke verplichting via de Wabvpz .

Waarom logging?

Stel je voor dat een bekende Nederlander in het ziekenhuis ligt. Journalisten willen weten wat er aan de hand is. Een nieuwsgierige medewerker kijkt even in het dossier, “gewoon om te zien”. Zonder logging zou niemand dit ooit weten.

Of dichter bij huis: een ex-partner werkt in de huisartsenpraktijk. Ze bekijkt je dossier om te zien of je nieuwe relatie hebt. Zonder logging geen bewijs.

Logging is de basis voor verantwoording. Het maakt controleerbaar wie wanneer toegang had tot welke patiëntgegevens. Dat is essentieel voor privacy, voor vertrouwen, en voor onderzoek als er iets misgaat.

De wettelijke basis

Sinds 1 juli 2020 hebben patiënten het recht om te weten wie hun dossier heeft ingezien. Dit staat in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) . Als een patiënt vraagt wie in zijn dossier heeft gekeken, moet je het kunnen vertellen.

NEN 7513 beschrijft hoe je dit technisch en organisatorisch regelt. De norm is niet vrijblijvend. De inspectie kan ernaar vragen. En bij een datalek of klacht heb je de logs nodig om uit te zoeken wat er is gebeurd.

Wat moet je loggen?

De kern is simpel: leg vast wie, wanneer, wat heeft gedaan met patiëntgegevens. Maar de details zijn preciezer.

Wie: welke medewerker of welk systeem. Dit moet herleidbaar zijn naar een persoon. “Gebruiker van werkplek 3” is niet genoeg. Je moet kunnen achterhalen welke medewerker op dat moment was ingelogd.

Wanneer: datum en tijd van de actie. Precies genoeg om een tijdlijn te kunnen reconstrueren.

Wat: welke actie werd uitgevoerd. Openen van een dossier, wijzigen van gegevens, exporteren, printen. Niet alleen lezen, ook andere acties.

Welke patiënt: herleidbaar naar de persoon wiens gegevens werden benaderd. Vaak via het BSN of een intern patiëntnummer.

Waarom: dit is lastiger. De reden voor toegang. Was er een behandelrelatie? Werd het dossier geopend in het kader van zorg, onderzoek, of iets anders? Sommige systemen vragen dit bij opening van een dossier.

De logging moet automatisch gebeuren. Je kunt niet vertrouwen op medewerkers die handmatig een logboek bijhouden. Het systeem registreert, de medewerker kan het niet omzeilen.

De organisatorische kant

Logging is niet alleen techniek. Je hebt ook organisatorische maatregelen nodig.

Een logverantwoordelijke. Iemand in je organisatie is verantwoordelijk voor het logbeleid. Dit hoeft geen fulltime functie te zijn, maar er moet iemand zijn die de regie heeft.

Een logbeheerder. Iemand beheert de logs: zorgt dat ze worden opgeslagen, beveiligd, en beschikbaar zijn wanneer nodig. Dit kan dezelfde persoon zijn als de logverantwoordelijke, of een IT-medewerker.

Beleid voor toegang tot logs. Wie mag de logs inzien? Dit is gevoelig. De logs zelf bevatten ook persoonsgegevens: welke medewerker welk dossier bekeek. Niet iedereen mag daar zomaar bij.

Beleid voor bewaartermijnen. Hoelang bewaar je logs? De norm en wetgeving geven richting, maar je moet keuzes maken en vastleggen.

Afspraken met leveranciers. Als je systeem in de cloud draait of door een externe partij wordt beheerd, wie bewaart dan de logs? Wat gebeurt er als het contract eindigt? Dit moet contractueel geregeld zijn.

De technische eisen

Je informatiesystemen moeten logging ondersteunen. De meeste moderne HIS-, EPD- en ECD-systemen doen dit. Maar check het.

De logging moet betrouwbaar zijn. Het mag niet mogelijk zijn om logs te wijzigen of te verwijderen zonder dat dit zichtbaar is. Integriteit is essentieel.

De logging moet volledig zijn. Alle relevante acties worden vastgelegd. Geen gaten, geen blinde vlekken.

De logging moet beschikbaar zijn. Als je de logs nodig hebt, moet je ze kunnen opvragen. Dat klinkt vanzelfsprekend, maar in de praktijk gaat dit soms mis, vooral bij systeemwisselingen of leverancierschanges.

Wat als een patiënt vraagt wie in zijn dossier keek?

Dit gebeurt. Patiënten hebben het recht en maken er gebruik van. Hoe ga je ermee om?

Je moet het verzoek kunnen honoreren. Dat betekent dat je de logs kunt raadplegen en kunt filteren op die specifieke patiënt. Je levert een overzicht van wie wanneer toegang had.

In de praktijk stellen EPD-systemen dit beschikbaar via een rapportfunctie. Soms kan de patiënt het zelfs zelf inzien via een portaal.

Bedenk wel: de logs zijn feitelijk. Ze tonen dat iemand toegang had, niet of die toegang rechtmatig was. Als een patiënt vraagt waarom zorgverlener X in zijn dossier keek, moet je dat kunnen uitleggen. “Omdat ze meedeed aan de behandeling” is een valide antwoord. “Dat weten we niet” is dat niet.

NEN 7513 is een uitwerking van een onderdeel van NEN 7510. In NEN 7510-2 staat een beheersmaatregel over logging (maatregel 8.15). NEN 7513 specificeert deze maatregel voor de zorgsector.

Als je NEN 7510 gecertificeerd wilt worden, moet je ook aan NEN 7513 voldoen. De auditor controleert of je logging op orde is. Dit is een van de zorgspecifieke onderdelen die NEN 7510 onderscheidt van ISO 27001.

Praktische aandachtspunten

Oude systemen. Niet alle systemen kunnen goed loggen. Legacy-systemen uit de jaren negentig hebben soms beperkte mogelijkheden. Dit is een risico. Overweeg vervanging of aanvullende logging-oplossingen.

Schaduw-IT. Wordt er naast de officiële systemen ook gewerkt met Excel-lijstjes, Word-documenten, WhatsApp-groepen? Die vallen buiten de logging. Dit is een reëel probleem in veel zorginstellingen.

Koppelingen. Moderne zorg werkt met gekoppelde systemen. Data stroomt tussen HIS, laboratoriumsysteem, apotheek, verwijzers. Wordt de logging consistent bijgehouden over al die systemen? Dit vraagt afstemming.

Kosten van opslag. Logging genereert data. Veel data. Als je elke actie vastlegt voor duizenden patiënten over jaren, heb je serieuze opslagcapaciteit nodig. Budget hiervoor.

Analyse. Ruwe logs zijn niet leesbaar. Je hebt tools nodig om ze te doorzoeken, te filteren, en te rapporteren. Sommige systemen bieden dit ingebouwd, soms heb je aparte software nodig.

De nieuwe NEN 7513:2024

In 2024 is NEN 7513 herzien. De nieuwe versie is gebaseerd op de internationale norm NEN-EN-ISO 27789:2021 over audit trails voor elektronische gezondheidsdossiers. Dit zorgt voor betere aansluiting op internationale standaarden.

De kernprincipes blijven hetzelfde: vastleggen wie wat wanneer deed. Maar de details zijn aangescherpt en verduidelijkt. Als je systemen nog gebaseerd zijn op de oude versie, is het tijd om te checken of aanpassing nodig is.

Checklist voor je organisatie

  • Worden alle toegangen tot patiëntdossiers automatisch gelogd?
  • Is herleidbaar wie (welke persoon) de toegang had?
  • Worden ook wijzigingen, exports en prints gelogd?
  • Is er een logverantwoordelijke aangewezen?
  • Zijn de logs beveiligd tegen ongeautoriseerde toegang en wijziging?
  • Zijn er afspraken over bewaartermijnen?
  • Kun je een patiëntverzoek om inzage honoreren?
  • Zijn er afspraken met leveranciers over logging en overdracht bij contractbeëindiging?

Als je op al deze vragen “ja” kunt antwoorden, ben je goed op weg. Zo niet, dan weet je waar je aan moet werken.

Meer lezen

RisicoanalyseVoor kleine praktijken