Besluit elektronische gegevensverwerking door zorgaanbieders

Geraadpleegd op 14-12-2024.
Geldend van 01-01-2018 t/m 16-11-2018

Besluit van 10 november 2017, houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders (Besluit elektronische gegevensverwerking door zorgaanbieders)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Volksgezondheid, Welzijn en Sport, mede namens de Staatssecretaris van Veiligheid en Justitie, van 25 april 2014, kenmerk 363260-120063-WJZ;

Gelet op artikel 26 van de Wet bescherming persoonsgegevens;

De Afdeling advisering van de Raad van State gehoord (advies van 11 juli 2014, no. W13.14.0125/III);

Gezien het nader rapport van Onze Minister voor Medische Zorg van 7 november 2017, kenmerk 1243906-169427-WJZ, uitgebracht mede namens Onze Minister voor Rechtsbescherming;

Hebben goedgevonden en verstaan:

§ 1. Algemeen

Artikel 1

In dit besluit wordt verstaan onder:

Artikel 2

  • 1 De verantwoordelijke voor een elektronisch uitwisselingssysteem benoemt een functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de wet.

Artikel 3

  • 1 De verantwoordelijke voor een elektronisch uitwisselingssysteem draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van dat elektronisch uitwisselingssysteem.

  • 2 Een zorgaanbieder draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem waarop hij is aangesloten.

  • 3 De verantwoordelijke voor een elektronisch uitwisselingssysteem werkt met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria.

  • 4 Een rechtspersoon, niet zijnde een zorgaanbieder, die een elektronisch uitwisselingssysteem beheert en in stand houdt, voldoet aan de volgende voorwaarden:

    • a. een van de rechtspersoon onafhankelijke organisatie heeft na onderzoek vastgesteld dat de rechtspersoon en het systeem dat hij beheert voldoen aan het bepaalde in NEN 7510 en NEN 7512 en heeft die bevinding opgenomen in een door die organisatie ten behoeve van de rechtspersoon opgesteld audit-rapport;

    • b. de rechtspersoon heeft het College bescherming persoonsgegevens de in artikel 27 van de wet voorgeschreven melding gedaan onder overlegging van het in onderdeel a bedoelde audit-rapport dat niet ouder is dan drie maanden;

    • c. de in onderdeel a bedoelde vaststelling is niet langer dan vijf jaar geleden gedaan.

Artikel 4

Bij het vastleggen van beleid, procedures en verantwoordelijkheden als bedoeld in NEN 7510, NEN 7512 of NEN 7513 in documenten, gebruiken de verantwoordelijke voor een elektronisch uitwisselingssysteem en de zorgaanbieder de termen en definities als genoemd in NEN 7510, NEN 7512 of NEN 7513.

Artikel 5

  • 1 De zorgaanbieder als verantwoordelijke voor een zorginformatiesysteem en de verantwoordelijke voor een elektronisch uitwisselingssysteem dragen er zorg voor dat de logging van het systeem voldoet aan het bepaalde in NEN 7513.

  • 2 Vertegenwoordigende organisaties van zorgaanbieders en patiënten stellen, in overleg met het College bescherming persoonsgegevens, overeenkomstig het bepaalde in NEN 7513 de bewaartermijn voor logging vast en maken die bewaartermijn bekend in de Staatscourant binnen 6 maanden na de inwerkingtreding van dit besluit. Indien niet binnen deze termijn een bewaartermijn bekend is gemaakt, stelt Onze Minister van Volksgezondheid, Welzijn en Sport een bewaartermijn vast en maakt die bekend in de Staatscourant.

Artikel 6

De zorgaanbieder als verantwoordelijke voor een zorginformatiesysteem en de verantwoordelijke voor een elektronisch uitwisselingssysteem, vergewissen zich steeds van de laatste stand van de wetenschap en techniek met betrekking tot informatiebeveiliging en de bescherming van persoonsgegevens, en verantwoorden zich over de toepassing daarvan bij de inrichting en het gebruik van hun systemen.

Artikel 7

Voor de uitvoering van dit besluit wordt toepassing gegeven aan de laatste uitgave van de genoemde NEN. Onze Minister van Volksgezondheid, Welzijn en Sport doet van een nieuwe uitgave van NEN, mededeling in de Staatscourant. Bij die mededeling wordt bekend gemaakt op welke datum de nieuwe uitgave van toepassing wordt, waarbij onderscheid kan worden gemaakt tussen bestaande en nieuwe elektronische uitwisselingssystemen en zorginformatiesystemen.

Artikel 9

  • 1 Dit besluit treedt in werking met ingang van 1 januari 2018, met uitzondering van de artikelen 8 en 9, tweede lid, die in werking treden met ingang van de dag na de datum van uitgifte van het Staatsblad waarin dit besluit wordt geplaatst.

Artikel 10

Dit besluit wordt aangehaald als: Besluit elektronische gegevensverwerking door zorgaanbieders.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

Wassenaar, 10 november 2017

Willem-Alexander

De Minister voor Medische Zorg,

B.J. Bruins

De Minister voor Rechtsbescherming,

S. Dekker

Uitgegeven de achtentwintigste november 2017

De Minister van Justitie en Veiligheid,

F.B.J. Grapperhaus