Notitie inzake het gebruik van BSN in de zorg en beoogde waarborgen

Transcriptie

1 Notitie inzake het gebruik van BSN in de zorg en beoogde waarborgen Van: Werkgroep Sectorale Vertrouwensf unctie in de zorg * Aan: het College Bescherming Persoonsgegevens Datum: Status: Definitief Inhoudsopgave Inleiding pag Het burgerservicenummer (BSN) pag Het BSN-stelsel pag Het BSN in de zorg: doel en domein pag Uitgangspunten BSN in de zorg pag Waarborgen inzake privacy en bedoeld gebruik BSN pag Algemene waarborgen en maatregelen bij gegevensverwerking in de zorg pag. 10 A. Goed Beheerde Zorgsystemen pag. 10 B. Identificatie en authenticatie pag. 11 C. Autorisatie pag. 12 D. Privacykader Zorgverzekeraars Nederland pag. 13 E. Informatiebeveiliging NEN 7510 pag Specifieke waarborgen m.b.t. het gebruik van het BSN in de zorg pag. 15 A. de Wet gebruik BSN in de zorg pag. 15 B. de sectorale beheervoorziening zorg (BVZ) pag. 16 C. Transparantie BSN in de zorg pag. 18 D. Ombudsfunctie BSN pag Reactie op uitgangspunten CBP pag. 20 Bijlage 1: Concept Wet Gebruik BSN in de zorg inclusief artikelsgewijze toelichting pag. 23 * Aan de werkgroep sectorale vertrouwensfunctie in de zorg hebben de volgende partijen deelgenomen: NICTIZ, CIBG, ZN, NPCF, NEN, CVZ, KNMP, BZK/ICTU en VWS (vz).

2 Inleiding Om te kunnen komen tot betrouwbare en doelmatige elektronische uitwisseling van gegevens in de zorgsector wordt gewerkt aan een identificerend stelsel van patiënten, zorgaanbieders en zorgverzekeraars. Een identificerend stelsel in de zorg is een belangrijke randvoorwaarde om adequaat en betrouwbaar ICT-toepassingen te kunnen doorvoeren. Met de inzet van ICT moet de kwaliteit, maar ook de doelmatigheid en fraudebestrijding in de zorg verbeterd worden. Drie belangrijke initiatieven, te weten: het landelijk elektronisch medicatiedossier, het landelijk elektronisch declaratieverkeer en de elektronische waarneeminformatie voor huisartsen zijn in voorbereiding en zullen in 2006 operationeel worden. De introductie van een uniek identificerend nummer voor patiënten als een van de onderdelen van het identificerende stelsel - is één van de randvoorwaarden om tot betrouwbare en efficiënte gegevensverwerking in de zorg te komen. Daarnaast zijn adequate informatiebeveiliging en een zorgvuldige omgang met persoonsgegevens (conform WBP en WGBO) randvoorwaarde voor betrouwbare gegevensverwerking. Ten aanzien van zo n uniek identificerend nummer voor patiënten/burgers is de brief d.d.14 mei van de minister voor BVK en de minister van VWS 1 van belang. Hierin wordt gemeld dat a) 1 januari 2006 een burgerservicenummer (BSN) wordt ingevoerd en b) het BSN ook in de zorg wordt ingevoerd mits voldaan kan worden aan privacyeisen en waarborgen. De afgelopen maanden heeft de verdere juridische, technische en inhoudelijke uitwerking van de consequenties van de invoering van het BSN in de zorg plaatsgevonden. In de werkgroep Sectorale Vertrouwensfunctie in de zorg 2 zijn beoogde waarborgen uitgewerkt. In deze notitie worden op hoofdlijnen de beoogde waarborgen beschreven om te kunnen voldoen aan de uitgangspunten met betrekking tot de bescherming van persoonsgegevens bij de invoering van het BSN in de zorg. Deze notitie wordt ter advisering voorgelegd aan het College Bescherming Persoonsgegevens (CBP). De verdere detaillering en uitwerking van de beoogde waarborgen zal na advies van het CBP plaatsvinden. Verwerking 3 van persoonsgegevens in de zorg gaat uiteraard verder dan de introductie van het BSN. In deze notitie staan de specifieke waarborgen die voorzien zijn in verband met het gebruik van het BSN in de zorg en de toegang van de zorgsector tot het BSN-stelsel centraal. Daarmee is deze notitie afgebakend: het gaat om de waarborgen met betrekking tot het gebruik van het nummer bij de verwerking van gegevens en de toegang tot het nummerstelsel voor opvraging en verificatie. Ten aanzien van verdergaande gegevensverwerking in de zorg gaan we uit van vigerende wet- en regelgeving in het kader van persoonsgegevens (met name de WBP en de WGBO) en maatregelen die getroffen zijn in verband met de bescherming van persoonsgegevens. Omdat de introductie van het BSN uiteraard bedoeld is met het oog op de invoering van een aantal nieuwe ICT toepassingen (bijvoorbeeld het EPD), zal vooruitlopend op de daarbij behorende formele trajecten - hier wel ingezoomd worden op maatregelen die in dat kader beoogd zijn om op een vertrouwde wijze gegevens uit te wisselen. Met name gaat het dan om identificatie, authenticatie en autorisatie bij (processen van) informatie-uitwisseling in de zorg. Deze maatregelen kunnen ook een extra waarborg bieden bij toegang tot en het gebruik van het BSN. Deze notitie gaat tevens in op de waarborgen en maatregelen die relevant zijn in het kader van informatiebeveiliging en zorgvuldige omgang met 1 Tweede Kamer, vergaderjaar , , nr 15 2 Aan de werkgroep sectorale vertrouwensfunctie in de zorg hebben de volgende partijen deelgenomen: NICTIZ, CIBG, ZN, NPCF, NEN, CVZ, KNMP, BZK/ICTU en VWS. Mede richtinggevend voor deze notitie is de brief van het CBP gericht aan de werkgroep d.d. 24 september Overeenkomstig de WBP wordt onder de verwerking van persoonsgegevens verstaan: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Kort gezegd: alle handelingen van verzamelen tot en met vernietigen. 2

3 persoonsgegevens in het algemeen. De contouren hiervan zijn vooral opgenomen in de notitie omdat zij nader inzicht geven in de wijze waarop het BSN onderdeel uitmaakt van gegevensverwerking in de zorg. Kort samengevat dient dus een onderscheid gemaakt te worden tussen maatregelen met betrekking tot (de invoering van) het BSN die hier voor advies worden voorgelegd, en maatregelen die beoogd zijn met betrekking tot ontwikkelingen op het gebied van ICT (en op een nader te bepalen moment formeel in procedure worden gebracht). Deze notitie kent de volgende opbouw. Om de positionering van het BSN in de zorg te kunnen weergeven zal eerst ( 1) kort worden ingegaan op het BSN in algemene zin en het daarbij bijbehorende stelsel ( 2) zoals dat voorzien is door het ministerie van BZK. Vervolgens zal in paragraaf 3 ingegaan worden op het gebruik van het BSN in de zorg als identificerend nummer voor de zorgconsument in relatie tot het identificerende stelsel van zorgaanbieders en zorgverzekeraars. Het domein van zorg en de afbakening daarvan komt hierbij aan de orde. In paragraaf 4 worden de uitgangspunten met betrekking tot het BSN in de zorg beschreven. In paragraaf 5 worden de algemene maatregelen in het kader van betrouwbare verwerking van gegevens beschreven om vervolgens in te gaan op de specifieke waarborgen gericht op de invoering van het BSN in de zorg. Ten slotte zal ingegaan worden op de zes uitgangspunten van het CBP zoals beschreven in de brief aan de werkgroep sectorale vertrouwensfunctie d.d. 24 september 2004 ( 6). 3

4 1. Het BurgerServiceNummer (BSN) Het BSN is een uniek identificerend nummer voor iedere burger waarmee de burger bij elk (digitaal) loket in de publieke sector terecht kan. Het BSN speelt binnen de gegevenshuishouding van de overheid een spilfunctie: met dit persoonsnummer kunnen persoonsgebonden gegevens doelmatig en, indien met het oog daarop passende voorzieningen zijn getroffen, betrouwbaar uitgewisseld worden. Iedere burger krijgt een BSN. Basis voor het BSN is het sofi -nummer, dat hebben alle Nederlandse burgers immers al 4. Een BSN wordt verstrekt aan een persoon, als die persoon goed te identificeren is en een relatie heeft met de Nederlandse overheid. Ook niet-ingezetenen, die rechtmatig in Nederland verblijven en contacten hebben met de overheid, kunnen een BSN krijgen als er voldoende garanties zijn voor betrouwbaar gebruik. Daarbij gaat het bijvoorbeeld om vreemdelingen die nog in procedure zijn ter verkrijging van een verblijfsvergunning, ingezetenen van EU lidstaten die hier werken en grensarbeiders. Uitgangspunt van het BSN is dat het nummer voldoet aan de volgende karakteristieken: - informatieloosheid - uniciteit - zonder rechtsgevolg. Het BSN is betekenisloos: het krijgt pas betekenis als het in een sector wordt gebruikt volgens de regels die de betreffende sector voor het gebruik ervan stelt. Daarbij ligt de verantwoordelijkheid voor het gebruik van de nummers in de verschillende publieke domeinen (sofi, veiligheid, zorg, onderwijs etc.) bij de verantwoordelijke ministers. Invoering van het BSN in de zorg betekent een beleidswijziging met betrekking tot een eerder ingezette lijn om te kiezen voor een apart identificatienummer voor zorgconsumenten, het zogenaamde zorgidentificatienummer (ZIN). De reden voor deze keuze staat beschreven in volgende passage uit de genoemde brief van 14 mei Invoering van het BSN per 1 januari 2006 betekent dat er - in tegenstelling tot de eerder ingezette lijn - voor gekozen kan worden het BSN ook in de zorg te gaan gebruiken. Dit heeft namelijk een aantal voordelen ten opzichte van een apart nummer voor de zorgsector, te weten: de burger wordt niet opgezadeld met meerdere nummers, er hoeven niet twee nummergenerators opgetuigd te worden, voor de noodzakelijke gegevensuitwisseling hoeft de zorgsector niet te worden belast met omnummering en er hoeft derhalve ook geen omnummerfabriek BSN-ZIN opgetuigd te worden. Kortom, een BSN in de zorg levert doelmatigheid op en voorkomt extra administratieve lasten voor burger, overheid en zorgsector. De komende periode zal worden bezien wat de precieze technische en inhoudelijke gevolgen zijn van het invoeren van een BSN in de zorg. Hiertoe wordt een gezamenlijke projectorganisatie opgezet. Daarnaast is een goede uitwerking van de privacy aspecten van belang. Verwerking van en toegang tot zorginhoudelijke gegevens vraagt om een strikt en zorgvuldig beleid, adequate regelgeving en handhaving daarvan. De vertrouwelijkheid van patiëntgegevens dient gewaarborgd te blijven. In wetgeving (wet op het gebruik van BSN in de zorg) moet duidelijk aangegeven worden wie van het nummer gebruik kan maken en wanneer en waarvoor het nummer gebruikt kan worden. Het gebruik van de persoonsgegevens van de betrokkenen zal omgeven moeten worden met waarborgen vanuit het oogpunt van regelgeving, techniek en infrastructuur. Zo zullen de 4 De verschillen tussen deze twee nummers zijn de regelgeving voor gebruik ervan en de beheerprocessen rondom de nummers. Het Sofi-nummer is een sectornummer voor in eerste instantie het sociaal-fiscaal domein, het BSN is daarentegen een bovensectoraal nummer. 5 Tweede Kamer, vergaderjaar , , nr 15 4

5 zorgverzekeraars bijvoorbeeld de reeds geldende gedragscodes inzake het gebruik van persoonsgegevens bezien en waar nodig aanpassen en uitbreiden. Het BSN zal in de zorg gebruikt gaan worden indien aan deze voorwaarden is voldaan. De afgelopen maanden is conform deze passage gewerkt aan de verdere juridische, technische en inhoudelijke uitwerking van het BSN in de zorg. Hierbij is (en wordt) aangesloten op de voornemens en ontwikkelingen ten aanzien van het BSN-stelsel van het ministerie van BZK. 2. Het BSN-stelse l Het BSN-stelsel bestaat uit voorzieningen voor het beheer en gebruik van het BSN en die zorgen voor vertrouwen in het stelsel. Hiervoor wordt een Overkoepelende Beheervoorziening (OBV) en een Nationale Vertrouwensfunctie (NVF) ingericht. Ook komt er een Wet algemene bepalingen voor het BSN die zorgt voor de juridische verankering van het BSN stelsel. De architectuur van het BSN stelsel kent drie niveau s: een nationaal, een sectoraal en een lokaal niveau zoals weergegeven in onderstaande figuur. NVF OBV Berichtenverkeer Berichtenverkeer SBV SVF SVF SBV Berichtenverkeer Berichtenverkeer Berichtenverkeer Berichtenverkeer LVF LVF LVF LVF LBV LBV LBV LBV Identificatie Identificatie Identificatie Identificatie Loket Loket Loket Loket Burger Figuur 1. BSN-stelsel Op nationaal niveau is de overkoepelende beheervoorziening het technische hart van het BSNstelsel. De Overkoepelende BeheerVoorziening (OBV) neemt binnen het BSN-stelsel een belangrijke plaats in. De OBV draagt zorg voor de volgende functionaliteiten: generatie en distributie van BSN-nummers; registratie van uitgifte van BSN-nummers; matching (mechanisme ter voorkoming van dubbele inschrijvingen); transparante (gebruikers-)toegang tot de OBV voor andere overheidsinstellingen; centraal aanspreekpunt voor het aanmelden van fouten met BSN s. Naast deze functionaliteiten bestaat de OBV uit een standaard uitgifteproces, een blokkeringproces, een berichtenstructuur en een aantal interfaces met externe gegevensbronnen (Gemeentelijke Basis Administratie (GBA) /Landelijk Raadpleegbare Deelverzameling (LRD) en de Algemene Registratie Niet Ingezetenen (ARNI). Om de invoering van het BSN te laten slagen, is het belangrijk dat tegenover de burger privacybescherming kan worden gegarandeerd. Burgers moeten het vertrouwen hebben dat op een zorgvuldige wijze met hun persoonsgegevens wordt omgegaan. De nationale vertrouwensfunctie (NVF) moet dit waarborgen door onder andere het inrichten van een ombudsfunctie voor burgers, het opstellen en toegankelijk maken van een landkaart met gegevensuitwisselingen met het BSN en door het maken van afspraken over het (intersectorale) berichtenverkeer. Daarnaast zal een algemeen beleids- en toetsingskader gevormd worden waarbinnen sectoren hun eigen beleid kunnen vormgeven. De NVF heeft tenslotte een rol bij het proces van goedkeuring van gegevensuitwisseling met het BSN tussen sectoren. 5

6 Gebruik van het BSN in een bepaalde sector valt onder de verantwoordelijkheid van de verantwoordelijke minister. Dit betekent dat - conform de architectuur van het BSN-stelsel ook op sectoraal niveau een beheervoorziening (SBV) en vertrouwensfunctie ingericht wordt. De SBV in de zorg draagt zorg voor de routering en kwaliteitsbewaking van opvragingen en verificaties van BSN s door zorgaanbieders en zorgverzekeraars. Vanuit de sectorale vertrouwensfunctie wordt onder meer zorggedragen voor authenticatie en autorisatie met betrekking tot het ophalen en controleren van het nummer (de toegang tot het BSN stelsel). Daarnaast worden de functies faciliteren inzagerecht, serviceverlening, logging en informatie verstrekken vanuit deze sectorale vertrouwensfunctie gerealiseerd. Volgens de BSN-architectuur moet op lokaal niveau vervolgens voorzien worden in een lokale beheervoorziening binnen de organisatie. Op lokaal niveau (bijvoorbeeld een ziekenhuis, een zorgverzekeraar, een huisartsenpost) zullen, in het kader van een betrouwbare gegevensuitwisseling, in de zorg maatregelen worden getroffen. Het gaat daarbij zowel om informatiebeveiliging (waarbij de NEN-7510 norm uitgangspunt vormt), om het zorgvuldig omgaan met persoonsgegevens (waarbij standaardvoorzieningen en gedragscodes een rol spelen), als om procedures en controles om te bewaken dat persoonsgegevens ook daadwerkelijk op de betrokken persoon (BSN) betrekking hebben Het BSN in de zorg: doel en domein Rekening houdend met de architectuur van het BSN-stelsel is het van belang in te zoomen op het beoogde gebruik van het BSN in de zorg. Het doel van het gebruik van het BSN in de zorg door zorgaanbieders en zorgverzekeraars is om te waarborgen dat de in het kader van zorg en verzekering van die zorg verwerkte persoonsgegevens op de betrokken cliënt betrekking hebben. Het gebruik van het nummer wordt verplicht voorgeschreven: bij de verwerking van gegevens van een cliënt waarbij gegevensverstrekking plaatsvindt door een zorgaanbieder of zorgverzekeraar aan een andere zorgaanbieder of zorgverzekeraar, moet steeds het BSN van de betrokken cliënt worden vermeld. Het domein van zorg waarop het verplichte gebruik van het BSN van toepassing is, wordt afgebakend. Onder zorg wordt in dit verband verstaan: a) gezondheidszorg verleend in het kader van een beroep als bedoeld in de artikelen 3 of 34 van de Wet BIG, b) gezondheidszorg verleend door een zorgaanbieder als bedoeld in de Kwaliteitswet zorginstellingen en c) activiteiten van het indicatieorgaan als bedoeld in artikel 9a van de AWBZ, voor zover noodzakelijk voor het besluit of een persoon is aangewezen op een van de krachtens dat artikel aangewezen vormen van zorg. Eventueel aangevuld met (d) andere partijen/activiteiten die in een ministeriële regeling zijn vastgelegd. Benadrukt wordt dat het gaat om de verwerking van gegevens in het kader van de zorg én de financiële en administratieve afhandeling daarvan. Grofweg zijn verschillende gegevensstromen te duiden voor verschillende doeleinden: een zorg-inhoudelijke gegevensstroom, een financiële gegevensstroom en een administratieve gegevensstroom. In het hier volgende plaatje zijn de verschillende gegevensstromen geschetst: 6 In opdracht van VWS wordt deze norm door NEN toetsbaar gemaakt. 6

7 Verwijsindex Authenticatie Autorisatie Logging OBV SBV SSC zorgverzekeraar zorgaanbieder2 Check bij sbv administratief Zorgaanbieder 1 zorginhoudelijk zorgconsument financieel figuur 2. gegevensstromen in de zorg De zorginhoudelijke verwerking en de financiële en administratieve afhandeling daarvan zijn weliswaar onderscheidenlijke gegevenstromen, maar tegelijkertijd nauw aan elkaar verwant. Er is sprake van processen rondom één en dezelfde patiënt. Voorbeeld 7 van zo n proces (op hoofdlijnen): Afspraak maken door cliënt bij zorgaanbieder met vermelding van BSN 8 >controle op verzekeringsrecht > voorbereiding door arts/inzien in dossier> opvragen dossier via de verwijsindex bij het Shared Service Centre (SSC), inclusief authenticatie met UZI-pas, autorisatie en logging, 9 >diagnose door arts op basis van andere dossiers> behandeling vastleggen in dossier> doorverwijzen met verwijsbrief> terugrapporteren aan zorgaanbieder 1> factureren/declareren> ontvangen betaling. Binnen het aangegeven doel en het afgebakende zorgdomein worden drie partijen geduid: zorgconsument, de zorgaanbieder (inclusief indicatiesteller) en de zorgverzekeraar. Voor zorgverzekeraars en zorgaanbieders die gegevens uitwisselen en verwerken in het kader van zorg zoals hierboven omschreven geldt dus dat dit gepaard moet gaan met een BSN. Ook bij de uitwisseling tussen de zorgsector en andere sectoren zoals bijvoorbeeld met de sociale zekerheid, belastingdienst, zal uitwisseling plaats moeten vinden aan de hand van het BSN. Om een betrouwbaar en gesloten systeem te maken wordt er een register van zorgaanbieders en een register van zorgverzekeraars gemaakt. De minister van VWS bepaalt de voorschriften met betrekking tot de inschrijving in de registers, de gegevens die in de registers worden opgenomen, het beheer van de registers en het toezicht op de registers. Er worden op basis van inschrijvingen in die registers certificaten verstrekt waarmee partijen zich kunnen identificeren/authenticeren bij de opvragingen en verificaties van het BSN. 7 NB: dit is een voorbeeld, er zijn uiteraard ook andere voorbeelden volgorde van processen aan te geven. 8 In dit voorbeeld is er vanuit gegaan dat de cliënt eerder bij arts is geweest en BSN reeds in de administratie is opgenomen. 9 Deze onderwerpen zijn uitgewerkt in paragraaf 5. 7

8 4. Uitgangspunten BSN in de zorg. Zoals gezegd: een uniek landelijk patiëntennummer is een randvoorwaarde voor de verbetering van ICT-toepassingen in de zorg. Het specifieke doel is dat door het gebruik van een nummer door zorgaanbieders en zorgverzekeraars zoveel mogelijk gewaarborgd wordt dat de in het kader van zorg en verzekering van die zorg verwerkte persoonsgegevens op de betrokken cliënt betrekking hebben. Het gepaard laten gaan van de verwerking van die gegevens met een landelijk uniek nummer leidt er toe dat op een eenduidige, betrouwbare en eenvoudige manier kan worden vastgesteld dat het over dezelfde persoon gaat. Het landelijke uniek nummer zal ook een belangrijk element gaan vormen in het elektronisch patiëntendossier. Het nummer is de spil voor het betrouwbaar samenbrengen van medische gegevens van één patiënt die verspreid zijn opgeslagen bij verschillende zorgaanbieders. Invoering van een landelijk uniek nummer moet er toe leiden dat met zekerheid gesteld kan worden dat de betreffende gegevens van verschillende zorgaanbieders bij één en dezelfde persoon hoort. Het nummer heeft een identificerende functie. Door de invoering van het BSN kunnen ook de administratieve lasten voor de zorgaanbieders en de zorgverzekeraars worden teruggedrongen. Opgemerkt wordt dat op dit moment reeds in bepaalde administratieve en financiële processen gebruikt wordt gemaakt van een uniek landelijk nummer met een wettelijke basis: het sofi-nummer. Bijvoorbeeld in het kader van de eigenbijdrage heffing in de AWBZ en het vaststellen van de verzekeringsgerechtigdheid in het kader van de Zfw. Bij de keuze voor een nummer waarvan gebruik gemaakt kan worden spelen de voordelen van het gebruik van het BSN in de zorg ten opzichte van de introductie van een nieuw apart zorgidentificatienummer een belangrijke rol. Extra bureaucratie en administratieve last wordt zo voorkomen. De burger wordt zo niet opgezadeld met meerdere nummers en in de zorg hoeft geen eigenstandig zorgconsumenten-register opgetuigd te worden. Een ander bijkomend voordeel is dat de procedure om te controleren of het nummer ook bij betreffende de persoon hoort eenvoudiger en betrouwbaarder kan wanneer gebruik wordt gemaakt van een BSN: immers bij identificatie van de persoon kan gebruik gemaakt worden van het WID-document waar het BSN op vermeld zal staan 10. Hiermee wordt dan aangesloten op de fraudebestrijding zorgverzekeringswetten 11. Uiteraard is van belang dat de privacy van de patiënt conform de WBP en de WGBO niet wordt aangetast. Het gebruik maken van een landelijke uniek nummer heeft tot doel dat betrouwbaarder maar ook efficiënter gegevens gekoppeld kunnen worden. Voor zover dit een bijdrage voor de kwaliteit van de zorg en het verlichten van de administratieve last in de zorg betreft is dit ook juist het doel. Met technische en organisatorische maatregelen moet voorkomen worden dat onbedoeld en onrechtmatig (neven-)gebruik plaatsvindt (door zowel aanbieder, verzekeraar als cliënt). Voorbeeld van onbedoeld en onrechtmatig gebruik van het nummer is bijvoorbeeld het koppelen van ziektegegevens van een zorgconsument bij een hypotheekaanvraag door een verzekeraar. Om onbedoeld en onrechtmatig gebruik te voorkomen moeten daarom waarborgen getroffen worden. Eén van de waarborgen is dat zorgverzekeraars in hun gedragscode (zie paragraaf 5.2 onder D) en de bijbehorende maatregelen bedoeld misbruik uitsluiten. Ten aanzien van het gebruik van het BSN in de zorg zijn de volgende uitgangspunten gedefinieerd: 10 Het sofi-nummer staat nu reeds als persoonsnummer vermeld op het paspoort en het rijbewijs. 11 Wijzing van de AWBZ, de Wtz en de Zfw 1998 en de Zfw ivm invoering van een identificatieplicht bij het verkrijgen van zorg, invoering Sofi-nummer in de Wtz 1998, elektronisch berichtenverkeer in de Zfw en enige ander wijzigingen (fraudebestrijding zorgverzekeringswetten). 8

9 Voor wat betreft het gebruik van het BSN in het kader van zorg wordt een hoog betrouwbaarheidsniveau van het nummer vereist. Dit stelt eisen aan nummerbeheer van de OBV en het nummerregister. Het gebruik van het BSN in de zorg moet verplicht worden voorgeschreven. Zonder verplichting van het gebruik voor alle bij wet voorgeschreven partijen is het systeem immers niet sluitend. Dit zou kunnen leiden tot onvolledige informatie en daarmee verkeerde veronderstellingen bij het proces van zorg. De beschikbaarheid van het nummer, c.q. de toegang tot het BSN-stelsel ivm verificatie van het BSN moet 7x24 uur beschikbaar zijn. Zorgverlening laat zich immers niet binden aan kantoortijden. Het BSN in de zorg moet betekenisloos en informatieloos zijn. Een BSN op zich zelf verschaft de houder geen recht op zorg. Het BSN verschaft ook geen toegang tot persoons/patiëntgegevens en/of dossiers. Het gebruik van het BSN in de zorg moet transparant zijn. Ondermeer moet helder gemaakt worden in welke administratieve en zorginhoudelijke processen gebruik gemaakt wordt van het BSN. Tevens moet door middel van logging worden bijgehouden wie welk BSN heeft opgevraagd. Om de betrouwbaarheid van het BSN in het zorgstelsel te garanderen dient een zorgaanbieder en zorgverzekeraar die voor de eerste maal een cliënt in zijn administratie opneemt, de identiteit van de cliënt vast te stellen. Vervolgens vraagt de zorgaanbieder of zorgverzekeraar het BSN van een cliënt op, of controleert het door de cliënt opgegeven BSN bij de OBV (via de SBV). Alleen daartoe bevoegde zorgaanbieders en zorgverzekeraars kunnen toegang krijgen tot het BSN-stelsel (voor het opvragen en verificatie bij de OBV via de SBV). Hiertoe worden juridische en technische maatregelen getroffen. De identificatie van de bevoegde gebruikers van het BSN is gewaarborgd in daartoe ingestelde registers. Voor de vulling van deze registers wordt gebruik gemaakt van de authentieke bronnen die rollen en verantwoordelijkheden van actoren in de zorg(verzekering) regelen. Voorbeelden van deze authentieke bronnen zijn het BIG-register, register van toegelaten instellingen, register van toegelaten zorgverzekeraars, enz. De opvraging en controle van het BSN moet gebruiksvriendelijk zijn. Het recht op zorg staat voorop: hoewel het gebruik van het BSN verplicht wordt voorgeschreven mag dit - onder voorwaarden- geen belemmering zijn voor het verlenen van zorg (in bijvoorbeeld acute situaties). De invoering van het BSN in de zorg moet zo min mogelijke last met zich meebrengen voor zorgaanbieders en zorgverzekeraars. Deze uitgangspunten zijn richtinggevend voor de sectorale maatregelen die getroffen zullen worden gericht op het ordentelijke en betrouwbare gebruik van het BSN in de zorg. In de volgende paragraaf worden deze uitgangspunten beschreven. 5. Waarborgen inzake privacy en bedoeld gebruik BSN 9

10 In de eerste plaats wordt opgemerkt dat deze notitie zich primair richt op specifieke waarborgen ten aanzien van het gebruik van het BSN. Onderkend wordt dat door het gebruik van het BSN een breder onderwerp geraakt wordt, te weten: betrouwbare gegevensverwerking in de zorg. Hierbij gaat het over zaken als toegang tot patiëntendossiers, informatie-uitwisseling in relatie tot de WGBO en de WBP. Zoals opgemerkt in de inleiding gaan we in deze notitie uit van vigerende wet- en regelgeving in het kader van de persoonsgegevens en maatregelen die getroffen zijn in verband met de bescherming van persoonsgegevens. Omdat de introductie van het BSN uiteraard bedoeld is met het oog op de invoering van een aantal nieuwe ICT toepassingen (bijvoorbeeld het EPD), zal - vooruitlopend op de daarbij behorende formele trajecten - hier wel ingezoomd worden op maatregelen die in dat kader beoogd zijn om op een vertrouwde wijze gegevens te verwerken. Het gaat dan om identificatie, authenticatie en autorisatie. Maatregelen op dit punt vormen ook een waarborg bij opvraging en verificatie van het BSN. Daarnaast gaat het om maatregelen met betrekking tot de zorgvuldige omgang met persoonsgegevens en om maatregelen in het kader van informatiebeveiliging. 5.1 Algemene waarborgen en maatregelen bij gegevensverwerking in de zorg De noodzaak van een brede en effectieve toepassing van ICT in de zorg wordt alom onderkend. De noodzakelijke kwaliteit en effectiviteit van de gezondheidszorg en het voorkomen van onnodige fouten kan in de toekomst niet worden gegarandeerd indien hierin geen doorbraak wordt bereikt. De noodzakelijke verbreding van de beschikbaarheid van cliëntgegevens in de zorg dient echter gepaard te gaan met (veel) betere waarborgen voor vertrouwelijke verwerking van gegevens. Daarom worden er de komende periode tot 2006 gewerkt aan professionele maatregelen om de bescherming van persoonsgegevens te verbeteren, in het bijzonder bij de opslag, het transport en de toegang tot en het gebruik van gegevens. De beoogde landelijke infrastructuur 12 vereist wat betreft de opslag van gegevens dat iedere aangesloten zorgpartij een Goed Beheerde Zorgsysteem heeft. Dit begrip wordt onder A toegelicht. Wat betreft het transport en de toegang tot gegevens geldt de vertrouwensketen als uitgangspunt bestaande uit drie stappen: identificatie, authenticatie en autorisatie. Dat betekent dat in alle processen van gegevensuitwisseling deze drie stappen moeten worden doorlopen. Dat geldt voor het bevragen van het BSN-gegevens op operationeel niveau, maar ook voor het bevragen van zorggegevens door zorgaanbieders of het uitwisselen van persoonsgegevens met zorgverzekeraars. Uitwerking hiervan vindt plaats via het AORTA programma van NICTIZ. Identificatie en authenticatie worden in onderdeel B beschreven en autorisatie in onderdeel C. In het verlengde hiervan worden in de onderdelen D en E twee generieke maatregelen beschreven gericht op de omgang met persoonsgegevens en informatiebeveiliging in de zorg. Onderdeel D gaat over de specifieke, aanvullende maatregelen bij zorgverzekeraars en onderdeel E gaat over de NEN norm inzake informatiebeveiliging in de zorg. A. Goed Beheerde Zorgsystemen De basisinfrastructuur voor de zorg is ontworpen om een veelheid aan applicaties in de zorg te ondersteunen. Deze applicaties draaien op zorginformatiesystemen. Zorginformatiesystemen mogen alleen op de basisinfrastructuur van de zorg worden aangesloten indien wordt voldaan aan een aantal eisen. Een Goed Beheerd Zorgsysteem (GBZ) is een ICT-voorziening van een zorgpartij die voldoet aan deze eisen. De eisen die aan een GBZ zullen over het algemeen per type applicatie verschillen. Voor de applicatie Medicatieoverzicht zijn de eisen reeds verwoord in de Specificaties voor de basisinfrastructuur voor de zorg, versie 2.0 (zie Eisen aan overige applicaties zijn voor wat betreft de zorgaanbieders in een aantal gevallen al in een vergaand stadium van voorbereiding. 12 Zie voor meer informatie de architectuur en de specificaties van de landelijke basisinfrastructuur van NICTIZ, die te vinden zijn via: 10

11 Naast specifieke eisen per applicatie zijn er ook algemene eisen waar ieder zorgsysteem aan dient te voldoen. Deze zijn met name gebaseerd op bestaande normen zoals de Code voor informatiebeveiliging (ISO IEC 17799), de norm voor informatiebeveiliging in de zorg (NEN 7510) en het beveiligingsadvies van het CBP. Wat betreft de applicaties van zorgverzekeraars kan in aanvulling op deze algemene normen die ook op hen van toepassing zijn, nog de gedragscode voor zorgverzekeraars genoemd worden (zie onderdeel D). Ook treffen zorgverzekeraars autorisatiemaatregelen (zie C.) B. Identificatie en authenticatie Identificatie behelst een tweetal zaken: identificatie van de communicerende partijen te weten zorgaanbieders en zorgverzekeraars (hulpmiddel hierbij zijn de reeds eerder genoemde certificaten) en de identificatie van de cliënt. Dit geschiedt met behulp van een BSN en indien noodzakelijk (zoals o.a. bij eerste contact) aan de hand van een WID document. Met behulp van nog uit te werken procesbeschrijvingen zullen de noodzakelijke controles worden bepaald en met alle partijen worden overeengekomen. Voor wat betreft de opvragingen en verificaties van het BSN is de identificatie hiervoor voldoende toegelicht. Identificatienummers zijn weliswaar betrouwbaarder bij gegevensverwerking dan NAW-gegevens, maar bij elektronische communicatie is het vervolgens van groot belang dat iemand daadwerkelijk degene is die hij zegt te zijn. Vast kunnen stellen dat iemand daadwerkelijk degene is die hij zegt te zijn wordt authenticatie genoemd. De authenticiteit van iemand vaststellen kan door het gebruik van digitale certificaten op basis van de zogenaamde Public Key Infrastructure (PKI). PKI is een internationaal erkend stelsel (op een hoog betrouwbaarheidsniveau) van organisatorische en technische regels waar authenticatie een belangrijk onderdeel van uitmaakt, aangevuld met de mogelijkheid om gegevens te versleutelen (waarborgt de vertrouwelijkheid) en de mogelijkheid om een elektronische handtekening te plaatsen (waarborgt de onweerlegbaarheid en de integriteit van verzonden informatie). Per en zoveel eerder als mogelijk moeten alle zorgaanbieders en alle zorgverzekeraars zich voor hun elektronische communicatie identificeren en authenticeren met behulp van een PKI certificaat. Deze zullen alleen worden verstrekt aan in de relevante registers opgenomen partijen. Hieronder worden zowel UZI als UZOVI nader toegelicht. Unieke Zorgverlener Identificatie (UZI) Voor de unieke identificatie en authenticatie van zorgaanbieders richt het CIBG momenteel het Unieke Zorgverlener Identificatie register (UZI-register) in. Op 1 januari 2005 staat het UZI-register klaar om de UZI-passen uit te geven. De UZI-pas kan verschillende functies vervullen in de elektronische communicatie. Zo kunnen zorgaanbieders zich met de UZI-pas identificeren en authenticeren, dat wil zeggen dat zij hun identiteit kunnen bewijzen. Wanneer een huisarts toegang zoekt tot een informatiesysteem of webapplicatie van bijvoorbeeld een ziekenhuis dan moet het ziekenhuis er zeker van kunnen zijn dat het daadwerkelijk de betrokken huisarts is die toegang zoekt. Andersom wil de huisarts met zekerheid kunnen vaststellen dat het informatiesysteem waartoe hij toegang zoekt daadwerkelijk tot het ziekenhuis behoort. Met behulp van UZI-passen voor de zorgverlener en het systeem in de zorginstelling kan de benodigde zekerheid met betrekking tot authenticatie worden verkregen. Naast authenticatie vervult de UZI-pas een rol bij het zeker stellen van de vertrouwelijkheid van de communicatie. Wanneer zorginhoudelijke gegevens van een zorgconsument worden uitgewisseld tussen de huisarts en het ziekenhuis, is er zekerheid gewenst dat alleen de huisarts zelf en niemand anders de gegevens kan lezen die het ziekenhuis toestuurt. Door gebruik van de UZI-passen kan de zekerheid worden verkregen dat niemand de gegevens tijdens verzending van het ziekenhuis naar de huisarts kan lezen of wijzigen. Ten slotte kan de UZIpas worden gebruikt om onweerlegbaarheid te garanderen. Dat wil zeggen dat de huisarts bijvoorbeeld een recept, verwijzing of contract kan voorzien van een elektronische handtekening. De elektronische handtekening die de huisarts met een UZI-pas kan zetten, heeft in principe juridisch dezelfde waarde als een handtekening die de huisarts op papier zet. De mogelijkheid van een 11

12 rechtsgeldige elektronische handtekening geldt alleen voor de UZI-passen die op naam door het register van zorgaanbieders zijn uitgegeven. De minister van VWS zal de voorwaarden omschrijven waaronder opname in het publiek geregeld register van zorgaanbieders geregeld wordt (zie ook par. 5.2 wet gebruik BSN in de zorg). UZOVI Voor de zorgverzekeraars wordt voorzien in het UZOVI: de Unieke ZorgVerzekeraarsIdentificatie. Deze identificatie is per januari 2004 reeds als nummer opgenomen in het zogenaamde UZOVIregister dat bij Vektis, standaardisatieorganisatie voor de zorgverzekeraars, is ondergebracht. De minister van VWS zal de voorwaarden omschrijven waaronder opname in het publiek geregeld register van zorgverzekeraars geregeld wordt (zie ook par. 5.2 wet gebruik BSN in de zorg). Het UZOVI-register is tevens de basis voor de afgifte van certificaten door een partij die garandeert dat alleen de in het register voorkomende verzekeraars een erkend certificaat krijgen. De certificaten zullen uiterlijk 1 januari 2006 beschikbaar komen. C. Autorisatie Autorisatie gaat over de vraag wie, onder welke voorwaarde, toegang mag krijgen tot de beschikbare cliëntengegevens. Ook gaat het om de vraag tot welke gegevens men toegang mag krijgen. De implementatie van autorisatie in de basisinfrastructuur, in eerste instantie beperkt tot autorisatie aangaande het landelijk elektronisch medicatiedossier en elektronische dienstwaarneming bij huisartsen, staat onder leiding van een stuurgroep met vertegenwoordigers van de NPCF, de KNMG, de KNMP, NEN en de voormalige projectleider van het WGBO-implementatieprogramma, onder voorzitterschap van de directeur van NICTIZ. De stuurgroep autorisatie houdt zich niet bezig met autorisatie bij zorgverzekeraars. Maar ook zorgverzekeraars hebben autorisatieregelingen opgesteld overeenkomstig de eisen die wat dat betreft aan zorgverzekeraars worden gesteld in de WBP, specifieke wetten voor zorgverzekeraars, de door het CBP goedgekeurde Gedragscode Verwerking Persoonsgegevens Financiële Instellingen etc. In aanvulling op de genoemde gedragscode wordt door ZN samen met de NPCF en CBP en gewerkt aan een aanvulling op deze gedragscode. Zie ook onderdeel D. Genoemde stuurgroep autorisatie zorgt er, ten aanzien van het landelijk elektronisch medicatiedossier en elektronische dienstwaarneming huisartsen voor dat op projectmatige basis eerder vastgestelde autorisatievoorwaarden 13 in de praktijk ingevoerd worden. Die voorwaarden zijn: Voor de cliënt moet het helder zijn hoe met diens gegevens wordt omgegaan en voldaan wordt aan de rechten van de cliënt overeenkomstig de WGBO en de WBP; Toegang 14 tot opgeslagen cliëntengegevens (in casu het medicatiedossier of het waarneemdossier van de huisarts) heeft de zorgverlener alleen als dat noodzakelijk is voor de behandeling van de cliënt. Ook dient de zorgverlener daarbij de UZI-pas te gebruiken; Zo mogelijk vooraf en anders achteraf moet vastgesteld kunnen worden of de toegang tot de cliëntengegevens noodzakelijk is geweest voor de behandeling van de cliënt. Misbruik wordt gestraft. Dankzij de UZI-certificaten en geavanceerde logging, wordt het beter dan ooit te voren mogelijk oneigenlijke toegang tot gegevens op te sporen; 13 Zie onder andere de modelrichtlijn van de taakgroep Toegang tot patiëntgegevens van het WGBOimplementatieprogramma, in het boekje Toegang tot patiëntgegevens dat 16 juni jl. in opdracht van VWS en NICTIZ tot stand is gekomen met medewerking van vele koepelorganisaties en externe deskundigen in de zorgsector. Zie onder AORTA / Beveiliging en autorisatie. 14 Dit laat onverlet dat een zorgverlener bijvoorbeeld wel cliëntgegevens (waar onder zorginhoudelijke gegevens) mag verstrekken aan een zorgverzekeraar, voorzover dat noodzakelijk is voor het betalen van een declaratie of een rechtmatigheidcontrole overeenkomstig de geldende zorgverzekeringswet- en regelgeving. 12

13 De zorgaanbieder is verantwoordelijk voor autorisatie (inclusief logging) in zijn eigen organisatie. Landelijk worden daar uniforme standaarden en adviezen voor aangereikt. Tot op heden zijn de wensen en ervaringen van patiënten, zorgverleners en regio s en de voorwaarden op basis van de Wet geneeskundige behandelingsovereenkomst (WGBO) inzake autorisatie onderzocht. Het vervolgprogramma dat nu volop aan de gang is, is enerzijds gericht op het treffen van voorbereidingen voor adequate autorisatie op landelijk niveau en anderzijds op het ondersteunen en stimuleren van een uniforme autorisatie op lokaal niveau. Het in praktijk brengen van de autorisatievoorwaarden wordt in eerste instantie uitgewerkt in concrete activiteiten voor de projecten dienstwaarneming huisartsen en het elektronisch medicatiedossier. Ook verzekeraars zullen erop moeten toezien dat de door hen geadministreerde gegevens niet ongeautoriseerd kunnen worden gebruikt of ingezien. Gebruik en/of inzage zal worden gerelateerd aan de taken van verzekeraars en via interne autorisatie-richtlijnen zal onbevoegd gebruik cq. inzage worden tegengegaan. Het eerder genoemde traject rondom de gedragscode en de bijbehorende maatregelen geeft hier nadere invulling aan. D. Privacy kader Zorgverzekeraars Nederland (ZN) Op lokaal niveau moeten partijen zorgvuldig omgaan met de persoonsgegevens die zij in verband met de hen opgelegd taken verwerken en zij moeten misbruik ervan voorkomen. Aan de zijde van de zorgverzekeraars wordt momenteel in dit verband nader uitwerking gegeven aan: - aanpassen/uitbreiden van de door het CBP goedgekeurde gedragscode Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, met speciale bepalingen over omgang met gezondheidsgegevens, risicoselectie et cetera; - invoeren van aanvullende maatregelen bij de gedragscode waaronder maatregelen met betrekking tot invoering van de code voor informatiebeveiliging en afspraken met betrekking tot de implementatie van die maatregelen.; - verantwoording ten aanzien van naleving van de gedragscode met betrekking tot het gebruik van persoonsgegevens. Over deze uitwerking vindt nadere afstemming plaats met NPCF en CBP. Volgens planning zal medio 2005 deze uitwerking zijn afgerond. Vervolgens zal op lokaal niveau volgens deze uitwerking worden gehandeld. 13

14 E. Informatiebeveiliging NEN 7510 De elektronische uitwisseling van gegevens in de zorg neemt toe. Een passend beveiligingsniveau is een vereiste om deze gegevens uit te wisselen. Als uitgangspunt daarvoor zal de recent uitgebrachte norm voor informatiebeveiliging in de zorg gaan gelden, de NEN In het rapport ICT in ziekenhuizen van de Inspectie voor de Gezondheidszorg wordt nadrukkelijk gewezen op het gewenste gebruik van de NEN 7510 bij het implementeren van de informatiebeveiliging in de zorg. De NEN normcommissie Informatiebeveiliging in de Zorg is in opdracht van het Ministerie van VWS een project gestart, waarin nadere uitwerking van de NEN 7510 met een voorschrijvend, toetsbaar karakter per type organisatie in de zorg wordt opgesteld. De voorschriften krijgen een verplichtend en toetsbaar karakter. Volgens de regels die NEN hanteert zullen alle belanghebbende partijen bij dit proces betrokken worden. Het op te leveren resultaat is een stelsel van toetsbare voorschriften dat aansluit bij de verschillende organisatievormen in de zorg. Dit stelsel wordt in samenspraak met de belanghebbende partijen gerealiseerd vóór De toetsbare voorschriften zullen verschijnen in de vorm van normatieve documenten. Bij naleving van deze documenten kan redelijkerwijs verwacht worden dat aan de NEN 7510 en passende beveiliging rondom het gebruik van het BSN in de zorg wordt voldaan. In de beoogde wet gebruik BSN in de zorg zal naar alle waarschijnlijkheid voor wat betreft het opvragen en verifiëren van het BSN voor de ingeschrevenen uit de registers van zorgaanbieders en zorgverzekeraars bij lagere regelgeving (AMvB) verwezen worden naar deze norm (in artikel 7). Het project is opgedeeld in drie fasen: Resultaat fase 1 - Opstellen generiek gedeelte Het opstellen van een generiek toetsingskader. Dit kader zal het algemene toetsingskader beschrijven, dat van toepassing is voor het gehele zorgveld. Tevens worden hier aanzetten voor clusterspecifieke toetsbare voorschriften gemaakt. Resultaat fase 2 - Uitwerken voor clusters De vastgestelde generieke inhoud van het toetsbare voorschrift uit fase I toesnijden op clusters van organisaties, ingedeeld naar zorgfunctie, organisatievorm en complexiteit van de informatievoorziening. In fase II worden de gemaakte aanzetten van cluster toetsbare voorschriften aangevuld en passend gemaakt met de beroepsorganisaties uit de clusters zelf. Er wordt allereerst uitgegaan van vijf clusters. Resultaat fase 3 - Uitwerken voor specifieke beroepsgroepen Al naar gelang de specifieke en relevante behoefte van de beroepsgroep zal een verdere uitwerking van het gestelde toetsingskader uitgewerkt worden. De relevantie van een uitwerking wordt bepaald door onder meer het zoeken naar aansluiting op bestaande richtlijnen en handboeken van een beroepsorganisatie en/of de uniciteit van een bepaalde beroepsgroep. De totale diversiteit zal worden ingedamd door enerzijds mogelijkheden tot clustering en anderzijds een zeer kritische beschouwing van nut en noodzaak tot een specifieke invulling. 14

15 5.2 Specifieke waarborgen met betrekking tot het gebruik van het BSN in de zorg. In deze paragraaf zullen de maatregelen en waarborgen met betrekking tot het opvragen, de verificatie en het gebruik van het BSN in de zorg aan de orde komen. A. de Wet gebruik BSN in de zorg In aansluiting op de voorgenomen Wet algemene bepalingen BSN van de minister van BVK, zal er onder verantwoordelijkheid van de minister van VWS een Wet gebruik BSN in de zorg moeten komen. Om alvast een indruk te geven over de contouren van deze wet is de concept wettekst en de concept memorie van toelichting ter informatie als bijlage 2 bijgevoegd. Het is het voornemen om in deze wet het volgende, samengevat, te regelen: Het domein waarop de wet van toepassing is. Hiermee wordt een afbakening gemaakt van het gebied dat het BSN verplicht volgens bepaalde voorwaarde moet gaan gebruiken. Omschreven wordt wat onder zorg in deze wet verstaan wordt: In deze wet en de daarop berustende bepalingen wordt verstaan onder zorg: - gezondheidszorg verleend in het kader van een beroep als bedoeld in de artikelen 3 of 34 van de Wet op de beroepen in de individuele gezondheidszorg; - gezondheidszorg verleend door een zorgaanbieder als bedoeld in de Kwaliteitswet zorginstellingen; - activiteiten van het indicatieorgaan als bedoeld in artikel 9a van de Algemene Wet Bijzondere Ziektekosten, voor zover noodzakelijk voor het besluit of een persoon is aangewezen op een van de krachtens dat artikel aangewezen vormen van zorg; - andere activiteiten die door Onze minister bij ministeriële regeling zijn aangewezen. Het doel van het BSN, te weten: waarborgen dat de in het kader van de zorg en de verzekering van die zorg verwerkte persoonsgegeven betrekking hebben op de betrokken cliënt. Het verplichte gebruik van het BSN: bij verwerking van gegevens van een cliënt waarbij gegevensverstrekking plaatsvindt door een zorgaanbieder of zorgverzekeraar aan een andere zorgaanbieder of zorgverzekeraar, wordt steeds het BSN van de betrokken cliënt vermeld. Primair bij een 'eerste contact' staat de identificatie van de betrokkene en de verificatie van het in de administratie op te nemen BSN. Dit kan gebeuren met behulp van een document als bedoeld in artikel 1 van de Wet op de identificatieplicht. De zorgaanbieder en zorgverzekeraar dienen bij 'eerste contact' het BSN van een betrokkene op te vragen of de juistheid van een verstrekt BSN te verifiëren. Voor zover dit echter reeds heeft plaatsgevonden door een zorgaanbieder of zorgverzekeraar hoeft dit echter niet meer te geschieden. Hierbij wordt opgemerkt dat in het kader van de werkgroep SVF de komende periode vanuit het perspectief van zorgverzekeraars en vanuit het perspectief van zorgaanbieders de verschillende processen (in front-office en backoffice) in kaart gebracht om zonodig aanvullende maatregelen te treffen. In de praktijk va n alle dag zullen zich steeds situaties voordoen waarin een betrokkene zich meldt die geen BSN heeft of waarvan dit niet kan worden vastgesteld. Voor zover in verband met de verlening van zorg opname in de administratie plaatsvindt, zal dit moeten geschieden zonder BSN. Omtrent de wijze waarop dat dient te geschieden kunnen nadere regels worden gesteld. Het hier beschrevene is overigens niet van toepassing in situaties waarin de verlening van zorg acuut nodig is en er geen tijd is om eerst het BSN op te vragen of te verifiëren. In zo'n situatie zal op grond van artikel 11 van de wet eerst zorg worden verleend en pas later het BSN in de administratie worden opgenomen. Het register van zorgaanbieders en het register van zorgverzekeraars die toegang krijgen tot het BSN-stelsel. De minister zal de voorwaarden voor opname in de registers regelen (bij AmvB). Bij of krachtens algemene maatregel van bestuur worden voorschriften gesteld met betrekking tot de inschrijving in het register van zorgaanbieders onderscheidenlijk zorgverzekeraars, de gegevens 15

16 die in de registers worden opgenomen, het beheer van de registers, in ieder geval wat betreft de beveiliging van persoonsgegevens, en het toezicht op het functioneren van de registers. De sectorale BeheerVoorziening Zo rg (BVZ) 15 die ressorteert onder Onze Minister. De BVZ heeft tot taak het autoriseren en doorgeleiden van verzoeken van zorgaanbieders en zorgverzekeraars bij het opvragen van een BSN of het controleren van een BSN bij de OBV. De wijze van verzoek opvragen/check van een BSN via BVZ: een zorgaanbieder of een zorgverzekeraar die met het oog op de opname van een cliënt in zijn administratie het BSN wil opvragen of controleren, dient daartoe een verzoek in bij de BVZ. Deze geleidt het verzoek uitsluitend door indien het geschiedt door een zorgaanbieder of zorgverzekeraar die is ingeschreven in het register van zorgaanbieders of het register van zorgverzekeraars en indien het verzoek voldoet aan de daaraan op grond van deze wet en de Wet algemene bepalingen burgerservicenummer gestelde eisen. Over de wijze waarop een verzoek bij de BVZ wordt ingediend, daaronder begrepen de waarborgen te beveiliging van de persoonsgegevens, kan Onze minister bij ministeriële regeling regels stellen. Zoals gezegd wordt met de wet beoogd om te waarborgen dat de in het kader van zorg en verzekering daarvan verwerkte persoonsgegevens op de betrokken cliënt betrekking hebben, om die reden is het gebruik ervan dan ook in beginsel verplicht bij iedere ve rwerking ervan. Deze verplichting kan tijdelijk uitzondering leiden zo lang dit voor de verlening van goede zorg noodzakelijk is. Hierbij kan in eerste instantie worden gedacht aan de (al onder artikel 4, vierde lid,) beschreven acute situaties waarin onverwijld dient te worden gehandeld. Daarnaast is het mogelijk dat zorg moet worden verleend aan een persoon die geen BSN heeft noch dit zal krijgen, bijv. omdat er geen zinnig doel mee zal worden gediend Toezicht door IGZ en CTZ. Met het toezicht op de uitvoering van de wet zijn belast, voor zover het betreft de uitvoering door zorgaanbieders, de door Onze minister aangewezen ambtenaren van de Hoofdinspectie voor de Gezondheidszorg en voor zover het betreft de uitvoering door zorgverzekeraars, de door het College van toezicht op de zorgverzekeringen, bedoeld in de Ziekenfondswet, aangewezen ambtenaren.vooruitkijkend naar de ontwikkelingen met betrekking tot de voorgenomen zorgverzekeringswet en de wet op de Zorgautoriteit, ligt het in de rede te bezien hoe de Zorgautoriteit een functie in dit kader kan gaan vervullen. Bovendien heeft het CBP daarnaast als algemene toezichthouder voor de bescherming van persoonsgegevens ook een toezichthoudende functie. Deze wet zal vooraf ter beoordeling aan het CBP en ACTAL worden voorgelegd. B. Sectorale Beheervoorziening Zorg (BVZ) Conform de architectuur van het BSN-stelsel zal er een sectorale beheervoorziening in de zorg worden ingericht. Aan het agentschap van VWS, het CIBG, is gevraagd een ontwerp te maken voor een dergelijke voorziening in de zorg. Het doel van de BVZ is zorg te dragen voor beveiligd, betrouwbaar, ordentelijk en transparant gebruik (opvragen en verificatie) van het BSN in de zorg. De sectorale beheervoorziening is een centrale organisatie die zal worden ingericht binnen het publiek domein. Concreet betekent dit dat het voornemen is de BVZ onder te brengen bij het CIBG. De BVZ valt daarmee onder de verantwoordelijkheid van de minister van VWS. Het ontwerp van de BVZ met de daarbij behorende functionaliteiten ziet er als volgt uit: De BVZ in de zorg draagt zorg voor de routering en kwaliteitsbewaking van opvragingen en verificaties van BSN s door zorgaanbieders en zorgverzekeraars. Vanuit de vertrouwensfunctie wordt zorggedragen voor de identificatie, authenticatie en autorisatie. Daarnaast worden de functies faciliteren inzagerecht, serviceverlening en informatie verstrekken onderkend. Aan de hand van onderstaand schema zal dit kort worden toegelicht. 15 Omdat ook in andere sectoren een sectorale beheervoorziening (SBV) ingesteld zal worden, is het voornemen in de zorg te spreken over de BeheerVoorziening Zorg (BVZ). 16

17 Verwerken vraag: het identificeren, authentiseren, autoriseren en routeren van enkelvoudige en meervoudige vragen (opvragingen/verificaties) van ingeschrevenen in het register van zorgaanbieders en zorgverzekeraars; Authenticatie (door benadering van de BVZ-website) vindt plaats middels het authenticaatscertificaat van de UZI- of UZOVI-pas. Alle wettelijke pastypen worden ondersteund. Bij een vraag (aanlevering via HTTP en FTP) wordt tevens een beveiligde verbinding (SSL) opgezet die de authenticiteit garandeert en secure is. Alvorens autorisatie plaatsvindt wordt op de Certificaat Revocatie Lijst (CRL) van UZI/UZOVI gecontroleerd of het betreffende certificaat niet is ingetrokken. Een administratie (uit een van beide registers) kan een enkele vraag stellen (enkelvoudig) of meervoudige vragen (groepsgewijs in een bestand) aanleveren. Bij de BVZ wordt de vraag gevalideerd, alvorens deze wordt doorgestuurd naar de OBV. Hierbij wordt gecontroleerd op gestelde eisen, zoals het correcte (bestands)formaat en volledigheid van de gegevens. Indien wordt geconstateerd dat routering (doorlevering) aan de OBV geen kans van slagen heeft, wordt de vraag niet doorgestuurd, maar het (negatieve) resultaat direct teruggemeld aan de zorgaanbieder of zorgverzekeraar. Alvorens het ontvangen antwoord van de OBV wordt doorgestuurd, wordt gecontroleerd of het opgevraagde/geverifieerde BSN correct is bevonden. Zo ja, dan wordt dit geregistreerd teneinde inzagerecht mogelijk te maken. Hiermee ontstaat logging met minimale gegevens, te weten: (de identificatie van) de betreffende administratie; of het een opvraging of verificatie betreft; de datum/tijdstip van opvraging of verificatie; het BSN. Indien de OBV aangeeft dat het BSN niet klopt wordt dit doorgegeven en start de foutafhandelingsprocedure van de OBV en de BVZ. In schema ziet dat er als volgt uit: 17

18 Faciliteren inzage: het verschaffen van inzage voor zorgconsumenten en eventueel administraties van de opvragingen en verificaties door administraties; Op nationaal niveau wordt geen inzagerecht op het gegevensverkeer voorzien. Dit is alleen op globaal niveau inzichtelijk middels de landkaart. Deze taak ligt op sectoraal niveau. Op grond van de WBP en wensen vanuit het veld (NPCF) wordt hierin voorzien door ontsluiting van de gelogde gegevens. Op grond van een (vooralsnog) schriftelijk verzoek worden de loggingsgegevens verstrekt. Verlenen service: het ondersteunen van administraties uit een van de registers bij het gebruik van de BVZ; Deze service houdt in dat de BVZ middels een helpdeskfunctie de administraties ondersteunt bij het beantwoorden van vragen en het oplossen van problemen inzake het correct indienen van opvragingen en verificaties van het BSN. Specifieke problemen bij bepaalde typen zorgverleners/zorgverzekeraars/softwareleveranciers kunnen op deze manier tevens in kaart worden gebracht. Verstrekken informatie: het verstrekken van informatie aan zorgconsumenten en administraties over de BVZ. Tot slot heeft de BVZ een functie in beantwoorden van informatieve vragen in zijn algemeenheid gesteld door zorgconsumenten en administraties van zorgaanbieders en zorgverzekeraars. Er wordt voorzien dat met name ten tijde van de initiële implementatie van het BSN in de zorg er extra behoefte aan informatie en ondersteuning zal zijn. C. Transparantie BSN in de zorg In de NVF/landkaart worden de processen van het gebruik van het BSN aangegeven. De Landkaart maakt voor de burger inzichtelijk wie en waarvoor het BSN mogen gebruiken in hun gegevensverwerking. In de landkaart welke in het kader van de nationale vertrouwensfunctie gestalte wordt gegeven zullen de processen van het gebruik van het BSN in de zorg op hoofdlijnen worden weergegeven. Bij de BVZ wordt inzagerecht voor de cliënt gefaciliteerd: bij de BVZ wordt bijgehouden (logging) welke zorgaanbieder en zorgverzekeraar welk BSN wordt opgevraagd. 18

19 D. Ombudsfunctie BSN Ten aanzien van de ombudsfunctie zal aansluiting worden gezocht bij de ombudsfunctie van de NVF. Afhankelijk van de ontwikkelingen van de werkgroep NVF zal nader bezien worden of de functionaris van de gegevensbescherming van het ministerie van VWS een rol krijgt in een sectorale ombudsfunctie. 19

20 6. Reactie op de uitgangspunten van het CBP zoals weergegeven in de brief d.d. 24 september 2004 aan de werkgroep inzake waarborgen rond de invoering van een BSN in de zorg. Vanuit de algemene maatregelen die getroffen worden in de zorg met betrekking tot de informatiebeveiliging en de specifieke waarborgen met betrekking tot het gebruik van het nummer zal puntsgewijs ingegaan worden op de door het CBP genoemde aspecten die hieronder cursief zijn weergegeven. 1. Gewaarborgd dient te zijn dat slechts de personen die overeenkomstig de WGBO en andere wetgeving toegang mogen hebben tot medische gegevens, daar toegang toe hebben. De toegang moet dus per concreet geval, dat wil zeggen per hulpverlener en per behandelingsrelatie, geregeld worden, niet slechts per functie. Dit stelt eisen aan de omgeving van het elektronisch patiënten-/medicatiedossier. Anonimiteit of pseudonimiteit in situaties waarin het voor het uit te voeren werkproces of deel van een werkproces niet nodig is dat de identiteit van de burger bekend is kan daaraan bijdragen (zie ook het advies van de Tafel Van Thijn). Reactie: In de omgeving van het elektronisch patiënten-/medicatiedossier wordt door de combinatie van identificatie en authenticatie van zorgaanbieders (UZI-certificaten), autorisatiemaatregelen in het kader van het autorisatieprogramma van NICTIZ, de inrichting van goedbeheerde zorgsystemen en maatregelen in het kader van de norm voor informatiebeveiliging wordt gewaarborgd dat slechts de personen die overeenkomstig de WGBO en andere wetgeving toegang mogen hebben tot medische gegevens, daar toegang toe hebben. Door een combinatie van landelijke maatregelen (verwijsindex, autorisatieprotocol, logging en toezicht) en aanvullende lokale maatregelen en procedures (onder andere door technisch en/of organisatorisch na te gaan of er sprake is van een behandelrelatie) wordt dit gerealiseerd en daarmee een enorme verbetering gerealiseerd ten opzichte van de huidige situatie. 2. Er dienen voldoende voorzieningen te zijn getroffen om te waarborgen dat nevengebruik van gegevens slechts plaatsvindt voor zover toegestaan. Bij nevengebruik dient onder meer gedacht te worden aan de stelselontwikkelingen in de zorg. Die hebben tot gevolg dat (groepen van) verzekeraars steeds meer taken krijgen, waardoor het eenvoudiger en aantrekkelijker wordt om risicoselectie toe te passen. Reactie: In de gehele zorg en in het bijzonder bij zorgverzekeraars zijn en worden voorzieningen getroffen om te waarborgen dat nevengebruik van gegevens slechts plaatsvindt voor zover toegestaan. Het CBP heeft een aantal jaren geleden bij financiële conglomeraten onderzocht in hoeverre de zogenaamde Chinese wall tussen zorgverzekeraars en overige dienstverleners in financiële conglomeraten gerealiseerd is. Hoewel de uitkomst van dit onderzoek aangaf dat de administratieve organisatie bij de financiële conglomeraten functioneerde overeenkomstig de wettelijke vereisten zijn toch nog nadere spelregels vastgelegd in de Gedragscode verwerking persoonsgegevens financiële instellingen dat door het CBP vorig jaar is goedgekeurd. En in aanvulling daarop is Zorgverzekeraars Nederland (ZN) samen met de NPCF en het CBP bezig om, waar nodig, bedoelde spelregels aan te scherpen en op branche-nveau ook concrete maatregelen af te spreken. Onder andere om onbedoeld nevengebruik en misbruik, in strijd met het beginsel van doelbinding, te voorkomen. 20