Gezondheidsgegevens beveiligen

Het verwerken van gezondheidsgegevens brengt hoge risico’s met zich mee voor de privacy van patiënten. Daarom moeten zorgaanbieders deze gegevens voldoende beveiligen. Zowel op technisch als organisatorisch niveau. Speciale normen helpen om aan de regels te voldoen. 

Op deze pagina

Wettelijke normen voor beveiligen gezondheidsgegevens

NEN 7510 is een voorbeeld van een norm voor informatiebeveiliging in de zorg. De Autoriteit Persoonsgegevens (AP) of bijvoorbeeld de rechter kan toetsen aan deze norm.

Dan kijkt de AP of de rechter of zorgaanbieders voldoende beveiligingsmaatregelen treffen. Goede beveiliging is een wettelijke plicht (artikel 32 van de Algemene verordening gegevensbescherming (AVG)).

Andere voorbeelden van normen voor informatiebeveiliging in de zorg zijn:

  • ISO 9001;
  • HKZ Zorg en welzijn;
  • HKZ Kleine organisaties.

In wetgeving zijn specifieke verplichtingen te vinden. Bijvoorbeeld:

  • Artikel 10 van de Wet aanvullende bepalingen verwerking persoonsgegevens zorg (Wabvpz) bevat de mogelijkheid om bij ministeriële regeling de beveiligingseisen vast te stellen bij verwerking van het burgerservicenummer (BSN) door zorgaanbieders.
  • In artikel 3 van het Besluit elektronische gegevensverwerking door zorgaanbieders is bepaald dat een zorgaanbieder NEN 7510, NEN 7512 en NEN 7513 moet volgen bij het gebruik van een zorginformatiesysteem en een elektronisch uitwisselingssysteem.

Gezondheidsgegevens in de cloud

Er is geen toestemming nodig van patiënten om hun gegevens in de cloud op te slaan. Wel zijn er dingen waar u als zorgaanbieder extra op moet letten:

  • Wees kritisch op welke cloudprovider u kiest.
  • Maakt u gebruik van een cloudprovider buiten de Europese Unie (EU)? Dan gelden er speciale regels.
  • Maak vooraf afspraken met de cloudprovider om ervoor te zorgen dat u ook toegang houdt tot de gegevens als de provider wordt overgenomen, failliet gaat of als u de samenwerking wilt stopzetten.
  • Blijf de cloudprovider monitoren wanneer de gegevens eenmaal in de cloud staan.

Voor meer informatie, zie: Praktijkgids 'Patiëntgegevens in de cloud'.

Gezondheidsgegevens delen via e-mail

Gezondheidsgegevens via e-mail delen is niet verboden. Maar er zijn voldoende andere, veiligere mogelijkheden om gegevens uit te wisselen met andere zorgaanbieders.

Kiest u toch voor e-mail? Dan moet u dit goed kunnen verantwoorden. Ook moet u zorgen voor voldoende beveiliging. De beveiligingsplicht geldt namelijk ook voor deze gegevensuitwisseling.

Algemene regels voor goede beveiliging

Naast bewust omgaan met bovenstaande aandachtspunten moet u als zorgaanbieder voldoen aan de algemene regels voor beveiliging die in de AVG staan.