Proces van regelgeving naar norm en toetscriterium

Transcriptie

1 Proces van regelgeving naar norm en toetscriterium Dr. William Goossen Voorzitter NEN normcommissie informatievoorziening in de zorg

2 Opbouw presentatie Uitgangspunt Informatievoorziening: exponentiële groei Wet- en regelgeving, iedere burger hoort Proces van normalisatie? Inzoomen op normen informatiebeveiliging! Beveiligingsmaatregelen? Toepassing van de normen voor EPD.

3 Uitgangspunt Een patiënt die bij een zorgaanbieder komt heeft recht op juiste en veilige zorg Accent op één aspect van veilige zorg: kwaliteit van informatie/ informatiebeveiliging In de context van zorgverlening... Gelukkig breekt de nood de wet.

4 Waarom digitaliseren? Problemen met de huidige informatie Individualiseren van zorg bij standaarden Communicatie / beschikbaarheid van data Ontwikkelingen in behandeling en dus gegevens Evidence nodig op de plaats van zorg Papier: missende gegevens, onleesbaar, te uitvoerig, veel dubbel en niet accuraat; dokters handschrift is dodelijk Behoefte aan Zorggegevens Verbeterde toegang tot informatie Bewaken van de gezondheid (statistiek) Kwaliteit & Effectiviteit: nieuwe evidence Resultaatgericht zorgen en behandelen Financiering van zorg Transparantie als nagel aan de doodskist

5 Wet- en regelgeving Europese dataprotectierichtlijn (95/46 EG) Wet Bescherming persoonsgegevens (WBP) Wet Geneeskundige BehandelingsOvereenkomst (WGBO) Wet Beroepsuitoefening Individuele Gezondheidszorg (BIG) WBP; artikel 13 beveiligingsplicht, artikel 21 gezondheidsgegevens, artikel 7, 454 BW dossierplicht, incl bewaartermijn, artikel 7, 457 BW medisch beroepsgeheim Wet BSN in de zorg (2008) Wet op het EPD (neeee... die kwam er niet)

6 Europese dataprotectierichtlijn (95/46 EG) Persoonsgegevens moeten worden beschermd met redelijke beveiligingsmaatregelen tegen verlies van of ongeoorloofde toegang tot gegevens alsmede tegen ongeoorloofde vernietiging, gebruik, verandering of uitlekken daarvan Gelet moet worden op: mate van gevoeligheid van gegevens, mate waarin toegang tot gegevens binnen een organisatie beperkt dient te worden, behoefte aan bewaren van gegevens gedurende langere tijd

7 Uit: Bakker, A.R., (1990). Voor's en tegen's van het systematisch opslaan van patiëntengegevens. B oon, L., (red.). privacy in de gezondheidszorg. Amstelveen, Stichting Sympoz.

8 Toezicht door IGZ en CBP (Jan Vesseur, Inspectie voor de gezondheidszorg, nov. 2006) Toezicht houden op basis van wettelijke voorschriften IGZ hanteert state of the art als toezichtsnorm IGZ toetst implementatie NEN 7510, samen met College Bescherming Persoonsgegevens (CBP) Opnemen in kwaliteitsjaarverslag / maatschappelijk verantwoordingsdocument NEN 7510 gezien als veldnorm

9 Informatie uitwisseling Informatie moet op steeds meer plaatsen beschikbaar zijn (ketenzorg, transmurale zorg, waarneemdossier huisartsen, EMD) Patiënt krijgt in toenemende mate zelf toegang tot zijn medische gegevens Zorgaanbieder gaat steeds meer gegevens aanleveren voor kwaliteitscontrole en benchmark Er worden dus in toenemende mate eisen gesteld aan betrouwbaarheid en privacy bescherming En dus zijn normen nodig.=>

10 ISO TC 215 Chair CAG 1 Executive council and operations Secretariat WG1 Architecture, frameworks & models JWG1 Traditional Chinese medicine informatics WG2 Systems and device interoperability WG 3 Semantic content WG 4 Security, safety, & privacy WG 6 Pharmacy and medicines business JWG 7 IEC/SC 62A Risk management info@results4care.n

11 CEN TC 251

12 Spiegelen van CEN/TC 251 en ISO 215 'Health informatics': Werkwijze: 1. De normcommissie identificeert Europese / internationale projecten en identificeert Nederlands belang en stemt; 2. Normcommissieleden kunnen zich aanmelden als expert vanuit Nederland om aan een Europees of internationaal project mee te werken; 3. Parallel: de normcommissie stemt op CEN & ISO work items vanuit Nederlands belang.

13 Nationale normalisatie Nationaal: Starten van nieuwe nationale normalisatieprojecten; Toezicht op lopende nationale normalisatieprojecten; Onderhoud en beheer van bestaande nationale normen. Uitgangspunten: Landelijke beleidsprioriteiten: EPD en AORTA structuur; Prioriteit voor normen met verplichte toepassing; Normontwikkeling mede naar behoefte van zorgpartijen. Nieuw werk: Projectvoorstellen: uitwerken en polsen veld.

14 Werkwijze projectvoorstellen De normcommissie identificeert problemen uit het nationale en internationale veld waarvoor normalisatie mogelijk een uitkomst kan bieden. Het veld kan ook zelf potentiële projecten bij de normcommissie indienen; De normcommissie schrijft een projectvoorstel waarin een financieringsvoorstel voor het project is opgenomen; Het plan voorzien van inhoud en financiële onderbouwing wordt ter goedkeuring ingebracht in de beleidscommissie; Het project wordt door een werkgroep onder de normcommissie uitgevoerd; De normcommissie stelt het eindproduct vast conform statuten en huishoudelijke reglement, De beleidscommissie geeft finaal akkoord

15 Bedreigingen voor de informatievoorziening Intern Extern Onopzettelijk Onnadenkende medewerkers vormen een bedreiging. Bijv. een medewerker die ongemerkt een virus binnenhaalt, koffie knoeien over de computer. Calamiteiten zoals brand, waterschade, stroomstoring. Opzettelijk Gevaar uit onverwachte hoek: eigen personeel. Een boze medewerker die bestanden kopieert of wist. Of doorspelen van patiëntengegevens aan derden. Inbraak om gegevens te stelen, hackers, opzettelijk verspreiden. Goossen, 2004

16 Noodzaak van informatiebeveiliging Belang van eenduidige en betrouwbare informatieoverdracht in de keten ICT is niet meer weg te denken uit het primaire proces Het gaat niet alleen om techniek, maar juist ook over organisatie en menselijk handelen Informatie is vaak letterlijk van levensbelang in het primaire proces Zorg kan niet zonder aandacht voor kwaliteit. Kwaliteit in de zorg betekent aandacht voor de patiëntveiligheid en informatiebeveiliging

17

18 Beveiligingsmaatregelen Deze moeten gebaseerd zijn op gangbare methoden en technieken van gegevensbeveiliging. Gangbaar: hangt af van de stand van zaken van de techniek (algemene privacybeginselen, Raad van Europa 1981)

19 Beheersing van de toegang tot zorggegevens Toegangscontrole Identificatie Functionele rol Authenticatie Autorisatieprotocol Toestemmingsprofiel Logging

20 Aangrijpingspunten voor informatiebeveiliging Beveiliging bij het invoeren, vastleggen en verwerken van gegevens Beveiliging van de opslag van gegevens Beveiliging bij gebruik van gegevens

21 Toegang voor de patiënt tot zijn EPD IPZorg, 2000: intentieverklaring: patient toegang tot eigen elektronische gegevens Nictiz, 2006: Samen met de NPCF en het ministerie van VWS start NICTIZ met een project dat tot doel heeft voor de patiënt toegang tot zijn eigen elektronisch patiëntendossier (EPD) mogelijk te maken. NL, 2014: Persoonlijke Gezondheidsdossiers? Heeze, 2015: project met medicatieviewer. HIMSS EMRAN level 1 voor patiënten dus

22 Maatregelen op hoofdlijnen Wettelijke bescherming Regels en procedures: NEN serie Persoonlijke regelingen, zoals identificatie, autorisatie, Beveiliging van de omgeving Beveiliging van gegevens, pseudonimisatie Beveiliging van hard- en software en netwerk Goossen, 2004

23 Praktijk: functionele eisen EPD De opbouw adhv ISO/TS (requirements for an electronic health record architecture) Inhoud functionele specificaties: gegevensspecificatie, procesweergave, HL7 v3 berichtenverkeer, ethiek, rol patient, etc NEN , 7513 als basis voor hoofdstuk over informatiebeveiliging en samen met en eisen landelijke infrastructuur (NICTIZ) omzetten naar specificaties De wetgeving wordt in de specificaties meegenomen en aangepast aan de sector (Vooral WBP )

24 EPD HL7 EHR Functioneel Model Overkoepelend Zorgverlening Ondersteuning van zorgverlening Ondersteuning van volksgezondheid Administratieve ondersteuning Dossier Infrastructuur Beveiligings infrastructuur

25 ReLifE ecosystem Specialist GP Health Coach Social Care

26 2015 NEN NTA 7515? = Certificeren tegen de NEN 7510 Leverancier wilt u svp even certificeren tegen NEN Tja Houden we de verantwoordelijkheden nog wel zuiver? Certificeren instellingen en instellingen eisen maatregelen van de leveranciers. Maar we kunnen ook te ver gaan met wetten, regels en normen.

27 2015 gaat de annalen in als het afscheid van Thijs Namens NEN (en alle patiënten hoop ik) hartelijk dank voor het maken van normen die er toe doen op een manier dat ze werkbaar zijn!