Veiligheid en privacy van elektronische patiëntgegevens Opleiding IT-auditing VU Scriptienummer: 916 drs M.H.T. van Loo- van den Brink RA studentnummer 1752456
Voorwoord In het kader van de Postgraduate IT Audit opleiding aan de Vrije Universiteit Amsterdam heb ik een scriptieonderzoek uitgevoerd over veiligheid en privacy van elektronische patiëntgegevens. Het idee voor de scriptie is ontstaan door de publiciteit rond de invoering van het landelijk elektronische patiëntendossier. Hierbij vroeg ik mij af in hoeverre er al een normenkader aanwezig was voor de zorgverleners die mee moeten gaan doen aan het landelijk elektronisch patiëntendossier. Tevens was ik benieuwd naar de mate waarin zij nu al voldoen aan wet- en regelgeving voor de interne elektronische patiëntendossiers. Met deze scriptie wil ik dan ook inzicht geven in de bestaande wet- en regelgeving en de mate waarin zorgverleners daaraan voldoen. Door de Vrije Universiteit Amsterdam is als mijn begeleider Cees Coumou toegewezen. Hem wil ik bedanken voor de opbouwende kritiek en zijn hulp om mij op het juiste pad te houden. Ook mijn bedrijfscoach Fou-Khan Tsang wil ik danken voor zijn steun bij het schrijven van deze scriptie. Verder wil ik alle contactpersonen en geïnterviewden die hebben bijgedragen aan het onderzoek oprecht bedanken voor hun inbreng en tijd. Daarnaast bedank ik de (gast)docenten voor de colleges van de afgelopen jaren die hebben bijgedragen aan het verbreden van onze vakkennis. Tenslotte wil ik mijn man, familie en vrienden bedanken voor de ondersteuning tijdens de studie en bij het schrijven van deze scriptie. Ermelo, maart 2009 Mariëtte van Loo van den Brink Mariëtte van Loo Pagina 2 28 maart 2009
Inhoudsopgave Voorwoord... 2 Inhoudsopgave... 3 1. Inleiding... 4 2. Probleemstelling... 5 3. Wet- en regelgeving in de zorg... 6 3.1 Wetgeving... 6 3.1.1 Wet Bescherming Persoonsgegevens... 6 3.1.2 Wet Geneeskundige BehandelOvereenkomst... 8 3.1.3 Wet Gebruik Burgerservicenummer in de Zorg... 9 3.2 Regelgeving...10 3.2.1 NEN 7510 Informatiebeveiliging binnen de zorgsector...10 3.2.2 NEN 7511-1 Medische informatica- Informatiebeveiliging in de zorg Toetsbaar voorschrift bij NEN 7510 voor complexe organisaties...13 3.2.3 NEN 7512 Medische informatica Informatiebeveiliging in de zorg Vertrouwensbasis voor gegevensuitwisseling...14 3.2.4 Van Wet naar Praktijk. Implementatie van de WGBO...15 3.2.5 Bedrijfsarchitectuur AORTA, Informatiearchitectuur AORTA en Technische architectuur AORTA...17 3.3 Conclusie onderzoek wet- en regelgeving...25 3.3.1 Relevante wet- en regelgeving...25 3.3.2 Aandachtsgebieden van belang bij de bescherming van patiëntgegevens...27 3.3.3 Te nemen maatregelen...29 4. Praktijk...30 4.1 Opzet onderzoek...30 4.2 Bevindingen onderzoek...32 4.3 Relatie te nemen maatregelen en praktijk...34 5. Analyse/Conclusie...37 Bijlage 1: Literatuurlijst...39 Bijlage 2: Gebruikte afkortingen...40 Bijlage 3: Beslissingsmatrix toestemming patiënt...41 Bijlage 4: Beslissingsmatrix verstrekken gegevens...42 Bijlage 5: Dienstenmodel AORTA...43 Mariëtte van Loo Pagina 3 28 maart 2009
1. Inleiding Door de stichting het Nationaal ICT Instituut in de Zorg (NICTIZ) wordt gewerkt aan de invoering van het landelijk elektronisch patiëntendossier. Via een landelijk schakelpunt moeten verschillende zorgverleners toegang krijgen tot gegevens van de patiënt, die bij andere instellingen / zorgverleners bekend zijn. Dit schakelpunt en de deelname aan de uitwisseling is ontworpen om te voldoen aan de eisen van de WGBO (de wet geneeskundige behandelovereenkomst) waarin de rechten en plichten van zorgverlener en patiënt vastgelegd zijn. Met mijn onderzoek beoog ik een bijdrage te leveren waaraan de verschillende betrokken partijen de maatregelen voor bescherming van privacy kunnen toetsen. NICTIZ werkt onder meer aan de ontwikkeling van een landelijke basisinfrastructuur in de zorg (AORTA genaamd) die mogelijk moet maken dat zorgaanbieders, en later ook zorgverzekeraars en patiënten, ten behoeve van verschillende zorgtoepassingen op landelijke schaal patiëntgegevens kunnen uitwisselen. Centraal in AORTA staat de zorginformatiemakelaar (ZIM), die wordt geëxploiteerd door het landelijke schakelpunt (LSP). Daarop kunnen zorgaanbieders hun bestaande zorginformatiesystemen (ook wel XIS en genoemd) aansluiten, mits zij voldoen aan de eisen van een goed beheerd zorgsysteem (GBZ). Die aansluiting vindt plaats via datacommunicatienetwerken (DCN), die worden geëxploiteerd door zorgserviceproviders (ZSP). De onderstaande figuur toont op vereenvoudigde wijze hoe zorgaanbieders met hun XIS via het DCN van een ZSP worden aangesloten op de ZIM van het LSP, zodat zorgverleners en hun medewerkers vanuit hun eigen XIS op landelijke schaal patiëntgegevens kunnen uitwisselen met andere zorgaanbieders. Figuur 1 : opzet landelijk schakelpunt Mariëtte van Loo Pagina 4 28 maart 2009
2. Probleemstelling Het is van belang dat voldoende waarborgen bestaan (toestemming van patiënten, voorlichting aan patiënten, mogelijke clausulering van de toegang tot patiëntengegevens, regulering van de toegang tot patiëntengegevens, klachtenmogelijkheden, controle op de toegang tot patiëntengegevens, heldere richtlijnen voor de praktijk en onafhankelijk toezicht op de naleving van richtlijnen en andere regelingen) die ertoe kunnen bijdragen dat patiëntengegevens met het oog op het verlenen van kwalitatief goede zorg kunnen worden uitgewisseld, met inachtneming van de regels voor geheimhouding. Voor mijn scriptie wordt de volgende probleemstelling onderzocht: In hoeverre voldoet een ziekenhuis aan privacyeisen van wet- en regelgeving op het gebied van de elektronische patiëntgegevens? Om te komen tot het beantwoorden van de probleemstelling zal ik de volgende subvragen beantwoorden: - Welke wet- en regelgeving is van toepassing? - Welke aandachtsgebieden zijn van belang bij de bescherming van patiëntgegevens? - Welke concrete maatregelen, op het gebied van informatiebeveiliging, moet een ziekenhuis treffen om aan de wet- en regelgeving en patiëntenrechten te voldoen? - In welke mate heeft het ziekenhuis de benoemde maatregelen ingevoerd? In hoofdstuk 3 zal ik de van toepassing zijnde wet- en regelgeving en de ontwerpdocumentatie inzake het landelijk elektronisch patiëntendossier bestuderen. Hierbij zal ik de voor deze scriptie relevante aspecten behandelen. Zaken die geen betrekking hebben op privacy en beveiliging zullen buiten beschouwing worden gelaten. In hoofdstuk 4 zal verslag worden gedaan van de informatie uit de praktijk. Door middel van interviews en verzamelen van documentatie ten aanzien van de geselecteerde zorgverleners zal ik nagaan welke maatregelen de ziekenhuizen hebben ingevoerd. Tot slot zal in hoofdstuk 5 de probleemstelling worden beantwoord. Mariëtte van Loo Pagina 5 28 maart 2009
3. Wet- en regelgeving in de zorg 3.1 Wetgeving Bij het verzamelen van de van toepassing zijnde wet- en regelgeving wordt in de eerste plaats gekeken naar de voor alle organisaties geldende wetgeving en naar de wetgeving die specifiek voor de gezondheidszorg van toepassing is. In paragraaf 3.2 zal aanvullende regelgeving worden beschouwd. In paragraaf 3.3 zal een samenvattende conclusie worden gegeven van de relevante aspecten die in de wet- en regelgeving worden besproken. Tijdens de uitvoering van het onderzoek naar wet- en regelgeving is mij gebleken dat er weinig wetten en regels specifiek voor de gezondheidszorg zijn op het gebied van de beveiliging van de informatievoorziening en de privacy. De wetten die voor alle organisatie gelden zijn vanzelfsprekend eveneens van toepassing voor de gezondheidszorg. In het kader van deze scriptie gaat het dan om de Wet Bescherming Persoonsgegevens. De Wet Geneeskundige Behandelovereenkomst is bedoeld voor de inrichting van de rechtsverhoudingen in de gezondheidszorg. Hierin worden eveneens aanwijzingen opgenomen ten aanzien van informatie die wordt verkregen tijdens het verlenen van zorg. Recent is de Wet burgerservicenummer in de Zorg uitgevaardigd die het gebruik van het burgerservicenummer in de zorg mogelijk maakt. 3.1.1 Wet Bescherming Persoonsgegevens In Nederland is ten aanzien van persoonsgegevens de belangrijkste wet, de Wet Bescherming Persoonsgegevens (WBP). Hierin wordt een persoonsgegeven gedefinieerd als: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Ook de verwerking van persoonsgegevens is in deze wet gedefinieerd als: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Betrokkene is degene op wie de persoonsgegevens betrekking hebben. De WBP stelt in artikel 8 een aantal eisen aan het verwerken van gegevens. Deze mogen slechts worden verwerkt indien: - de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend; - de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst; - de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is; - de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; - de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of - de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden Mariëtte van Loo Pagina 6 28 maart 2009
verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. In artikel 9 lid 4 wordt hieraan nog toegevoegd dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Deze scriptie gaat over vastleggingen die worden verricht door zorgverleners met betrekking tot een patiënt. Op grond van artikel 16 van de Wet Bescherming Persoonsgegevens is het onder andere verboden om gegevens omtrent de gezondheid van betrokkene vast te leggen. Echter in artikel 21 wordt dit verbod niet van toepassing verklaard voor onder andere hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. Voorwaarde hiervoor is dat de gegevens alleen mogen worden verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien persoonsgegevens worden verkregen bij de betrokkene, deelt, op grond van artikel 33 WBP, de verantwoordelijke vóór het moment van de verkrijging de betrokkene mede wat zijn identiteit is en voor welke doeleinden de verwerking van de gegevens zijn bestemd. In artikel 35 wordt de betrokkene het recht gegeven om te vernemen of de hem betreffende gegevens worden verwerkt. Indien een dergelijk informatieverzoek wordt ontvangen door de verantwoordelijke dient deze tevens een volledig overzicht van de gegevens in begrijpelijke vorm alsmede een omschrijving van het doel of de doeleinden van de verwerking te geven. Degene aan wie kennis is gegeven van de hem betreffende persoonsgegevens kan op grond van artikel 36 WBP de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Mariëtte van Loo Pagina 7 28 maart 2009
3.1.2 Wet Geneeskundige BehandelOvereenkomst Zoals in de voorgaande paragraaf is vastgesteld mogen vastleggingen alleen plaatsvinden indien men tot geheimhouding verplicht is op basis van beroep of overeenkomst. Voor de vastlegging van patiëntgegevens is dan de eerste vraag die naar voren komt: op welke basis worden deze vastleggingen verricht?. In de WGBO (de wet geneeskundige behandelovereenkomst) wordt in artikel 454 aangegeven dat de zorgverlener een dossier in moet richten met betrekking tot de behandeling van de patiënt. De behandeling is gebaseerd op de overeenkomst inzake geneeskundige behandeling. Volgens artikel 446 van de WGBO is de overeenkomst inzake geneeskundige behandeling de overeenkomst waarbij een natuurlijke persoon of een rechtspersoon, de hulpverlener, zich in de uitoefening van een geneeskundig beroep of bedrijf tegenover een ander, de opdrachtgever, verbindt tot het verrichten van handelingen op het gebied van de geneeskunst, rechtstreeks betrekking hebbende op de persoon van de opdrachtgever of van een bepaalde derde. Wie is een patiënt? In artikel 446 van de WGBO staat dat degene op wiens persoon de handelingen rechtstreeks betrekking hebben wordt aangeduid als patiënt. De WGBO regelt verder in artikel 457 dat aan anderen dan de patiënt geen inlichtingen worden verstrekt dan met toestemming van de patiënt. In het tweede lid van dit artikel is beschreven dat onder anderen dan de patiënt niet zijn begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en de vervanger van de hulpverlener. Uit dit artikel volgt dat indien de informatie in het patiëntendossier met derden wordt gedeeld dit uitsluitend kan indien dit voor de behandelingovereenkomst noodzakelijk is danwel met toestemming van de patiënt. Wanneer is dan sprake van rechtstreeks betrokkenen? Door de toenmalige Registratiekamer (nu College Bescherming Persoonsgegevens geheten) is in het rapport Medicatiebewaking door centrale patiëntenregistraties (27 oktober 1998, 95.O.27) een aantal criteria geformuleerd op grond waarvan men de kring van rechtstreeks betrokkenen kan bepalen. Deze criteria zijn de volgende: - Is het gebruikelijk in de beroepsgroep om deze andere hulpverlener op deze wijze bij de behandelingsovereenkomst te betrekken? - Zijn er redelijke alternatieven? - Heeft de hulpverlener zelf voldoende zeggenschap? - Zijn privacybeschermende maatregelen getroffen? - Is deze werkwijze kenbaar bij de patiënt? - Is deze werkwijze in het belang van de patiënt? - Is de omvang van de samenwerking voldoende beperkt? Mariëtte van Loo Pagina 8 28 maart 2009
3.1.3 Wet Gebruik Burgerservicenummer in de Zorg In de Wet Bescherming Persoonsgegevens beschrijft artikel 24: een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Voor het landelijk EPD zal gebruik gemaakt worden van het burgerservicenummer (BSN). Bij Wet Gebruik Burgerservicenummer in de Zorg van 10 april 2008 is het gebruik van het burgerservicenummer toegestaan. Hierbij bestaat de verplichting voor de zorgverlener om het nummer in het EPD op te nemen nadat afdoende identificatie van de patiënt heeft plaatsgevonden. Een zorgaanbieder die contact heeft met een patiënt/cliënt, zal die patiënt/cliënt derhalve moeten identificeren door het bepalen van diens landelijke patiëntnummer (BSN) en zonodig authenticeren door het controleren van diens Wettelijk Identificatie Document (WID). Bij het eerste contact na de invoering van het BSN zal de zorgaanbieder extra controles moeten of willen uitvoeren: - het BSN opvragen of verifiëren bij het landelijke patiëntenregister, - het WID controleren op gelijkenis met de patiënt/cliënt, - het WID controleren op geldigheidsdatum, - het WID controleren op echtheid, - het patiëntdossier inhoudelijk controleren met de patiënt/cliënt, - de identificerende gegevens zonodig bijwerken. Uit de wettekst blijkt dat met ingang van 1 juni 2009 het gebruik van het burger service nummer verplicht zal worden gesteld. Mariëtte van Loo Pagina 9 28 maart 2009
3.2 Regelgeving Na een inventarisatie van de wetgeving die relevant is voor deze scriptie zal in deze paragraaf worden onderzocht welke regelgeving aanvullende aanwijzingen geeft. De code voor informatiebeveiliging (NEN/ISO 27001) wordt hierbij buiten beschouwing gelaten. De reden hiervoor is dat NEN 7510 een uitwerking is van de code voor informatiebeveiliging die specifiek is voor de zorgsector. De richtlijnen NEN 7511-1 en NEN 7512 gaan op sommige relevante aspecten dieper in dan NEN 7510 en zijn daarom in deze scriptie behandeld. Tevens is het handboek Van Wet naar Praktijk, Implementatie van de WGBO behandeld. In dit handboek worden concrete aanwijzingen gegeven voor de implementatie van de WGBO. Tot slot is de regelgeving van het NICTIZ behandeld. De aanleiding voor deze scriptie is immers de invoering van het landelijk patiëntendossier waarbij NICTIZ een centrale rol speelt. In de voorgeschreven architecturen van NICTIZ worden de vereiste maatregelen rond beveiliging en privacy voor deelnemers aan het landelijk patiëntendossier nader uitgewerkt. 3.2.1 NEN 7510 Informatiebeveiliging binnen de zorgsector Naast de, in de vorige paragraaf genoemde, wetgeving is sprake van regelgeving die van toepassing is op de instellingen in de zorg. Één daarvan is de norm NEN 7510 informatiebeveiliging binnen de zorgsector. In deze norm wordt allereerst voorgeschreven dat de instelling een beleidsdocument voor informatiebeveiliging dient op te stellen waarin een, voor de betreffende instelling passende, opsomming van het beleid en de te nemen maatregelen moet zijn opgenomen. Tevens dienen de verantwoordelijken te worden aangewezen. Vervolgens wordt in de norm beschreven hoe de interne organisatie rond de implementatie van de maatregelen voor informatiebeveiliging dient te worden ingericht. De implementatie omvat de volgende aspecten: - bestuurlijke verankering (voor welke zaken dient goedkeuring van de leiding te worden verkregen; - coördinatie van de informatiebeveiliging (toezicht op daadwerkelijke implementatie); - toewijzing en vastlegging van verantwoordelijkheden voor informatiebeveiliging; - goedkeuring van middelen voor de informatievoorziening (alleen nieuwe middelen in gebruik nemen die zijn goedgekeurd); - contact met officiële instanties (procedures rond welke instanties in te lichten bij overtredingen van wet- en regelgeving inclusief de verantwoordelijken die een dergelijke melding moeten doen); - samenwerking bij informatiebeveiliging; - onafhankelijke beoordeling van informatiebeveiliging. Indien ook externe partijen fysieke en logische toegang tot de middelen van de instelling hebben dienen hiervoor aanvullende maatregelen te worden getroffen. Als basis voor deze maatregelen kunnen in de contracten met de externe partijen clausules worden opgenomen die bepalen dat al hetgeen wat men met het informatiebeveiligingsbeleid wil bereiken, ook (actief) door externe partijen wordt gedaan. Het volgende aspect dat in NEN7510 wordt behandeld is beveiligingseisen ten aanzien van personeel. Beveiligen is mensenwerk. Het gaat dan zowel om personeel dat in dienst is van de zorginstelling als uitzendkrachten of personeel van leveranciers. - Screening bij sollicitatieprocedures; - In taak- en functieomschrijvingen beveiligingsaspecten adresseren; - Ook bij het houden van functioneringsgesprekken zullen dergelijke aspecten een plaats moeten krijgen; - Opleiding; Mariëtte van Loo Pagina 10 28 maart 2009
- Bewustwording t.a.v. informatiebeveiliging; - Disciplinaire maatregelen; - Zwijgplicht en geheimhoudingsverklaring; - Maatregelen bij vertrek van medewerkers. Naast de eisen ten aanzien van inrichting van de organisatie en personeel komen ook de eisen ten aanzien van de fysieke beveiliging aan de orde. Het gaat dan om: - beveiliging van ruimten (fysieke toegangsbeveiliging); - beveiliging van apparatuur (stroomvoorziening, kabels, onderhoud); - algemene maatregelen (clear desk). De eisen met betrekking tot toegangsbeveiliging zijn verschillend voor verschillende gegevensklassen. Met classificeren van gegevens wordt bereikt dat per gegeven (gegevensgroep, gegevenssoort) wordt aangegeven hoe belangrijk het gegeven is voor de bedrijfsprocessen. Ter illustratie kan worden gedacht aan de volgende tabel (uit Handboek NEN 7510): vertrouwelijkheid medisch administratief beschikbaarheid geen vertraging toelaatbaar cruciaal nvt uren vertraging toelaatbaar vertrouwelijk belangrijk dagen vertraging toelaatbaar Nvt normaal Tabel 1: relatie beschikbaarheid/vertrouwelijkheid In pren 13606-4 Health informatics Electronic health record communication Part 4: Security requirements and distribution rules, annex B worden de volgende classificaties genoemd gevoeligheid Personal care (5) Privileged care (4) Clinical care (3) Clinical management (2) Care management (1) Tabel 2: overzicht gevoeligheid gegevens Beschrijving Gegevens door de patiënt te delen met één of twee personen die hij volledig vertrouwd, of die alleen voor hem toegankelijk zijn (en voor anderen slechts op basis van een eenmalige toestemming). Toegang voorbehouden aan kleine groep mensen die direct betrokken zijn bij de hulpverlening aan de patiënt. Standaardniveau voor toegang tot klinische gegevens, passend bij hulpverleners die bij de zorg aan de patiënt betrokken zijn en toegang moeten hebben tot nagenoeg het gehele dossier. Minder gevoelige gegevens, die mogelijk voor een grotere groep gebruikers toegankelijk moeten zijn die niet noodzakelijk betrokken zijn bij hulpverlening aan de patiënt (bijvoorbeeld radiologiemedewerkers). Gegevens die toegankelijk moeten zijn voor een hele reeks aan administratieve medewerkers die zorgdragen voor administratieve afwikkeling van de hulpverlening aan de patiënt. Uit bovenstaande tabellen blijkt dat de inhoud van de taak- en functieomschrijvingen en de diagnose van de patiënt bepalen welke personen toegang tot de gegevens kan worden verleend. Mariëtte van Loo Pagina 11 28 maart 2009
Bij toegangsbeveiliging draait het naast het verlenen van toegang, om identificatie en authenticatie van gebruikers. Elke geregistreerde gebruiker dient een unieke gebruikersidentificatie te krijgen, die slechts persoonsgebonden dan wel persoonlijk mag worden gebruikt. Groepsaccounts en dergelijke zijn dus verboden! Met authenticatie kan een gebruiker bewijzen dat hij degene is, die hij claimt te zijn. Er bestaan sterkere en zwakkere vormen van authenticatie. De norm vereist ten minste een wachtwoordsysteem als authenticatie. Nieuwe vormen van authenticeren zijn de laatste jaren volop in ontwikkeling (UZI-pas). Hardware tokens zijn vrij veilig maar kunnen aan anderen worden overgedragen. Biometrie kan niet worden overgedragen, maar is niet altijd even betrouwbaar of even gebruiksvriendelijk. Mariëtte van Loo Pagina 12 28 maart 2009
3.2.2 NEN 7511-1 Medische informatica- Informatiebeveiliging in de zorg Toetsbaar voorschrift bij NEN 7510 voor complexe organisaties De norm NEN 7511-1 is een nadere uitwerking van de norm NEN 7510. De norm is met name gericht op complexe organisaties en geeft invulling aan de meer algemeen geformuleerde normen in NEN 7510. Voor deze scriptie is met name relevant de nadere uitwerking van voorschriften inzake het operationeel beheer van informatie- en communicatievoorzieningen en toegangsbeveiliging. Voorschriften voor operationeel beheer van informatie- en communicatievoorzieningen omvat ondermeer: - bedieningsprocedures; - beheer van wijzigingen; - functiescheiding; - scheiding van omgevingen; - maatregelen tegen kwaadaardige programmatuur; - beheer van verwijderbare media; - beleid voor gegevensuitwisseling; - publiek toegankelijke informatie. Voorschriften voor toegangsbeveiliging omvat ondermeer: - registratie van gebruikers; - identificatie; - authenticatiewijze; - beheer van identificatie-/authenticatiesystemen; - inlogprocedures; - identificatie van apparatuur; - onbeheerde gebruiksapparatuur - controle op toegangsrechten; - beveiliging van netwerken; - telewerken. In de bijlage bij deze norm wordt het verband gelegd met het goed beheerd zorgsysteem (GBZ) zoals gedefinieerd door NICTIZ. De normen van NICTIZ worden beschreven in paragraaf 3.2.5. Mariëtte van Loo Pagina 13 28 maart 2009
3.2.3 NEN 7512 Medische informatica Informatiebeveiliging in de zorg Vertrouwensbasis voor gegevensuitwisseling Deze norm geeft nadere invulling aan de vertrouwensbasis voor gegevensuitwisseling in de zorg. De mate van vertrouwen die nodig is, houdt verband met het risico dat misplaatst vertrouwen met zich meebrengt. De risico s die met een informatie- en communicatieproces in de zorg zijn verbonden, hangen af van de aard van de gegevens en van de impact van de mogelijke gevolgen van een incident. Voor de impact van de mogelijke gevolgen wordt de volgende klassenindeling gehanteerd: - Hinderlijk (eenvoudig herstelbaar); - Ernstig (moeilijk herstelbaar); - Zeer ernstig (niet herstelbaar); - Fataal (voor de patiënt); - Catastrofaal (fataal voor meer patiënten). NEN 7512 richt zich op bedreigingen van de integriteit en van de vertrouwelijkheid van gegevens die worden uitgewisseld. Zowel voor het beschermen van de integriteit van de gegevens, als voor het handhaven van de vertrouwelijkheid is voldoende zekerheid nodig met betrekking tot de identiteit van de communicatiepartner. Om de communicatie tussen meerdere partijen te stroomlijnen is het instellen van een vertrouwende instantie van belang. Deze vertrouwende instantie levert diensten zoals het registreren van partijen, voorzieningen en transacties. Bij elektronische interactie kan, afhankelijk van de soort op te vragen gegevens, de identificatie op vier niveaus worden bepaald. - 0: geen controle van gegevens, eigen opgave; pseudoniem is mogelijk; - 1: controle van de opgegeven identiteit met gegevens uit erkend register; - 2: herleidbaar naar verantwoordelijke; - 3: directe controle (face to face) aan de hand van een document volgens artikel 3 van de Wet Identificatie bij Dienstverlening. Om de kwaliteit van de informatie te beoordelen is het voor de gebruiker van de informatie van belang te weten wie de informatie heeft opgesteld. Dit kan worden vastgelegd door middel van ondertekening. Hier zijn drie zekerheidsniveau s te onderscheiden: eenvoudige ondertekening, elektronische handtekening, geavanceerde elektronische handtekening. Van een geavanceerde elektronische handtekening is sprake als aan de volgende eisen is voldaan: - Zij is gebaseerd op een gekwalificeerd certificaat; - Zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen. In de bijlage A van de norm worden communicatiescenario s in de zorg uitgewerkt. Hierbij wordt per scenario het volgende aangegeven: - Vertrouwende partij (vraagt informatie) - Te vertrouwen partij (verstrekt informatie) - Bedreiging (risico dat wordt gelopen bij foute informatie) - Impact (gevolgen als de bedreiging zich voordoet) - Kans (de kans dat de bedreiging zich zal voordoen) - Registratieniveau (niveau van identificatie: zie hierboven) - Authenticatieniveau (niveau van de sterkte van de authenticatie) - Versleuteling (beveiliging van communicatie) - Ondertekening (niveau van zekerheid t.a.v. ondertekening) Mariëtte van Loo Pagina 14 28 maart 2009
3.2.4 Van Wet naar Praktijk. Implementatie van de WGBO Door de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst is een handboek geschreven ter ondersteuning van artsen bij de invoering van de WGBO. Dit handboek bestaat uit vier delen. Voor deze scriptie is slechts één deel van toepassing: Van wet naar praktijk. Implementatie van de WGBO. Deel 4 Toegang tot patiëntengegevens. Het gaat over de toegang tot patiëntengegevens binnen de gezondheidszorg. Dit onderdeel van het Implementatieprogramma is in samenwerking met het NICTIZ ontwikkeld. Dit handboek dient als normenkader voor de implementatie van de WGBO en dient derhalve als aanvulling op deze wet. Het handboek gaat in op de mogelijkheden en beperkingen van het verlenen van toegang tot patiëntengegevens. Het verlenen van toegang bestaat in dit verband niet alleen uit het verstrekken van patiëntengegevens, maar meer in het algemeen: het bekend maken of ter beschikking stellen van patiëntengegevens. Een belangrijke conclusie is, dat het verlenen van toegang tot patiëntengegevens voor curatieve zorgdoeleinden in veel situaties is toegestaan op grond van de veronderstelde toestemming van de patiënt. Medische dossiers bestaan nog vaak en in vele varianten in papieren vorm. Een kenmerkend verschil tussen de papieren en elektronische medische dossiers is, dat toegang tot de gegevens in een papieren dossier bestaat uit het brengen van de gegevens door de verstrekker, terwijl de toegang tot gegevens in een elektronisch dossier bestaat uit het halen daaruit door de ontvanger. Bij het brengen van patiëntengegevens beslist de geheimhoudingsplichtige in een concreet geval over de aard en de omvang van de ter beschikking te stellen gegevens, terwijl bij het halen de geheimhoudingsplichtige in abstracto beslist (ontsluiting van de gegevens voor raadpleging), dan wel in handen legt van de raadpleger die zich op grond van goed hulpverlenerschap moet beperken tot de gegevens die voor hem noodzakelijk zijn. Iedere individuele hulpverlener heeft op grond van artikel 7:457 BW een zwijgplicht op grond waarvan deze geen informatie over een patiënt aan derden mag verstrekken. Een derde is in dit verband ieder ander dan de individuele hulpverlener of de patiënt. Op deze zwijgplicht bestaan enkele uitzonderingen: - als gegevensverstrekking wettelijk verplicht is; - als gegevens worden verstrekt aan degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst; - als de gegevens worden verstrekt aan degene die optreedt als vervanger van de hulpverlener; - als gegevens worden verstrekt aan een vertegenwoordiger van de patiënt; - als de patiënt toestemming heeft verleend voor de gegevensverstrekking; of - als er sprake is van een conflict van plichten. In het rapport wordt het begrip toestemming van de patiënt onderverdeeld in impliciete en expliciete toestemming. Toestemming van de patiënt voor de verstrekking van zijn patiëntengegevens mag worden verondersteld onder de volgende voorwaarden: - de toegang wordt verleend in een concrete situatie (inclusief spoedeisende zorg); - de patiënt kan redelijkerwijs verwachten dat toegang tot zijn patiëntengegevens wordt verleend (kenbaarheid); - gegevens voor zorgdoeleinden worden verstrekt (inclusief overdracht van zorg, zorgondersteuning zoals dossierbeheer, financiële afwikkeling en dergelijke); - de patiënt daartegen geen bezwaar heeft gemaakt; en - de gegevensverstrekking beperkt blijft tot hetgeen noodzakelijk is voor de ontvanger. Mariëtte van Loo Pagina 15 28 maart 2009
Van de patiënt moet expliciet om toestemming voor de verstrekking van diens patiëntengegevens worden gevraagd, wanneer: - patiëntengegevens worden verstrekt aan een andere hulpverlener met het oog op een nieuwe behandelepisode; - patiëntengegevens worden verstrekt naar buiten de gezondheidszorg (politie, justitie, werkgever, advocaat) en - patiëntengegevens worden verstrekt voor wetenschappelijk onderzoek (tenzij vragen om toestemming niet mogelijk is of niet kan worden verlangd). Voor patiënten moet het mogelijk zijn om gedeeltelijk toestemming te verlenen voor de verstrekking van hun patiëntengegevens. Het verlenen van geclausuleerde toestemming is met name aan de orde in de elektronische omgeving van een EPD, waarbij gegevens worden verstrekt door aan andere hulpverleners toegang te verlenen tot patiëntengegevens. Het blokkeren van de toegang voor bepaalde (groepen) personen of tot bepaalde gegevens in het patiëntendossier, noemen we clausulering van de toegang. In een elektronische omgeving kan tussen twee benaderingen voor clausulering worden gekozen. In de eerste benadering kunnen patiënt en hulpverlener er vooraf voor kiezen of bepaalde gegevens wel of niet toegankelijk zullen zijn voor anderen. In de tweede benadering heeft de patiënt de hoogstpersoonlijke mogelijkheid om ervoor te kiezen dat bepaalde reeds vastgelegde gegevens worden afgeschermd voor toegang door (bepaalde) anderen. Deel 4 van het rapport introduceert het concept van generieke toestemming. Dit houdt in dat patiënten toestemming geven voor de toegang tot hun patiëntengegevens op een moment waarop nog niet in concreto is te voorzien wanneer die toegang noodzakelijk zal zijn. Door vooraf aan de burger te vragen of deze toestemming geeft aan alle hulpverleners om aan alle andere hulpverleners informatie te verstrekken wordt toegang tot een landelijk elektronisch patiëntendossier zonder beperkingen mogelijk gemaakt. De bezwaren tegen generieke toestemming zijn de volgende: - bij het verlenen van generieke toestemming zou niet duidelijk zijn voor de patiënt waarvoor hij toestemming geeft; - het valt te betwijfelen of van de patiënt mag worden verwacht dat hij (nog) weet dat hij ooit toestemming heeft gegeven; - niet duidelijk is of de toestemming regelmatig bevestigd moet worden; - niet duidelijk is hoe dat vorm wordt gegeven; - niet duidelijk is hoe de uitzonderingen worden vastgelegd en geïnterpreteerd; - niet duidelijk is of van de patiënt kan worden verwacht dat hij zich van te voren realiseert wie mogelijk toegang tot zijn gegevens kunnen krijgen; - niet duidelijk is of de patiënt voldoende vrij is in het verlenen c.q. weigeren van zijn toestemming. Overigens moet er altijd voor de patiënt de mogelijkheid bestaan om achteraf bepaalde (of alle) gegevens te blokkeren. In de bijlagen van deel 4 van het rapport is een beslissingsschema opgenomen inzake de te nemen beslissingen door de zorgverlener. Het gaat om de vragen: moet ik toestemming vragen aan de patiënt voor het toegang geven aan derden tot de patiëntgegevens? en zal ik de gevraagde gegevens verstrekken?. In Bijlage 3: Beslissingsmatrix toestemming patiënt en Bijlage 4: Beslissingsmatrix verstrekken gegevens zijn deze beslissingsschema s overgenomen. Mariëtte van Loo Pagina 16 28 maart 2009
3.2.5 Bedrijfsarchitectuur AORTA, Informatiearchitectuur AORTA en Technische architectuur AORTA Het Nationaal ICT Instituut In de Zorg (NICTIZ) beschrijft in de Bedrijfsarchitectuur AORTA het werkgebied van AORTA in termen van: - de partijen in de zorg en de wijze waarop zij zijn georganiseerd; - de diensten die zij elkaar leveren en de daaraan verbonden rechten en plichten; - de wijze waarop zij samenwerken en de informatie die zij uitwisselen. In de Informatiesysteemarchitectuur AORTA wordt bepaald welke ICT-voorzieningen de verschillende partijen in de zorg nodig hebben om informatie te kunnen vastleggen en uitwisselen met elkaar. De volgende aspecten komen aan de orde: - de applicaties die de verschillende gebruikers nodig hebben; - de gebruiksscenario s die door die applicaties ondersteund moeten worden; - de objecten zoals die voor de gebruikers zichtbaar zijn: - de interacties die de objecten onderling hebben. In de Technische architectuur AORTA wordt tenslotte het werkgebied van AORTA beschreven in termen van: - de ICT-voorzieningen die de basisinfrastructuur gaan vormen: de SBV-Z, het UZIregister, de ZIM, de RF en de DCN en; - de ICT-voorzieningen van de afzonderlijke zorgpartijen: de GBZ en met de XISapplicaties; - de ICT-technologie die gebruikt wordt voor de communicatie tussen al die ICTvoorzieningen:HL7v3, Web Services, etc. Schematisch kunnen de partijen in de zorg als volgt worden weergegeven: Zorg partij Patiënt/ cliënt Zorg aanbieder Figuur 2 : partijen in de zorg Zorg verzekeraar Een zorgaanbieder is een zorgpartij die zorg aanbiedt en verleent aan patiënten/cliënten. Een zorgaanbieder kan zowel één persoon als een hele organisatie omvatten. Mariëtte van Loo Pagina 17 28 maart 2009
In paragraaf Mariëtte van Loo Pagina 18 28 maart 2009
3.1.2 Wet Geneeskundige BehandelOvereenkomst staat beschreven dat informatie uit het patiëntendossier kan worden gedeeld met rechtstreeks betrokkenen bij de behandelovereenkomst. Als gevolg van de zorgrelatie tussen patiënt en zorg aanbieder kunnen de volgende gegevens worden benoemd. Zorg relatie leidt tot Persoonlijke gegevens Logistieke gegevens Medische gegevens Financiële gegevens Zijn alle Patiënt stuk Dossier Zijn onderdeel van Figuur 3 : gegevens a.g.v. zorgrelatie Het patiëntendossier zal deze gegevens bevatten of er nu sprake is van een papieren dossier, een digitaal dossier of een virtueel dossier. Een virtueel dossier wordt door NICTIZ omschreven als de verzameling van organisatorisch en geografisch verspreide patiëntendossiers die zodanig toegankelijk zijn, als waren zij één groot patiëntendossier. De patiënt/cliënt heeft ten aanzien van zijn patiëntdossier bij zijn zorgaanbieder wettelijk recht op: - inzage: wanneer een patiënt/cliënt dat wenst, dient de zorgaanbieder inzage in zijn patiëntdossier te geven. Alleen de persoonlijke werkaantekeningen van de zorgaanbieder vallen buiten het inzagerecht; - afschrift: wanneer een patiënt/cliënt dat wenst, dient de zorgaanbieder een afschrift van zijn patiëntdossier te geven; - aanvulling: wanneer een patiënt/cliënt het niet eens is met een constatering van een zorgaanbieder die is vastgelegd in zijn patiëntdossier, heeft hij het recht zijn mening daarover toe te voegen aan het patiëntdossier; - vernietiging: wanneer een patiënt/cliënt wenst dat bepaalde patiëntgegevens worden vernietigd, zou dit kunnen leiden tot een inconsistent dossier. Dit is medisch niet aanvaardbaar. Wel kan het gehele dossier van een patiënt/cliënt bij een zorgaanbieder worden vernietigd. Deze rechten kan de patiënt/cliënt niet zelfstandig uitoefenen, hij zal zich moeten wenden tot de verantwoordelijke zorgaanbieder. In de toekomst moet de patiënt/cliënt ook rechtstreeks inzage en afschrift kunnen krijgen. Het is echter niet wenselijk dat de patiënt/cliënt zonder tussenkomst van de zorgaanbieder zijn patiëntdossier kan vernietigen. Nu er is vastgesteld wat de relaties zijn tussen de verschillende partijen in een zorgrelatie en hoe deze partijen moeten/kunnen omgaan met gegevens komt het NICTIZ met de introductie van de structuur die nodig is om patiëntgegevens op te vragen. Om toegang tot andermans patiëntdossier te krijgen, zou de andere zorgaanbieder zich rechtstreeks moeten wenden tot de verantwoordelijke zorgaanbieder. Echter, vaak is bij de Mariëtte van Loo Pagina 19 28 maart 2009
ene zorgaanbieder niet eens bekend welke andere zorgaanbieders gegevens over een bepaalde patiënt/cliënt hebben. Daarom is er behoefte aan: - een verwijsindex die aangeeft welke gegevens over een patiënt/cliëntbeschikbaar zijn en uit welk dossier die opgevraagd kunnen worden; - een schakelpunt als centraal toegangspunt voor patiëntgegevens uit alle aangesloten dossiers. Schematisch kan dit als volgt worden weergegeven: Verantwoordelijke zorgaanbieder Patiënt/cliënt Andere zorgaanbieder Verwijs index Opvragen eigen gegevens Aanmelden patiëntengege vens Bijhouden patiëntengege vens Aanmelden dossier Schakel punt Patiënten dossier Opzoeken dossiers Opvragen uit vermelde dossiers Virtueel patiëntendossier Figuur 4 : opzet landelijk schakelpunt Wanneer een andere zorgaanbieder patiëntgegevens wil opvragen, moet de voor die patiëntgegevens verantwoordelijke zorgaanbieder strikt genomen voor individuele gevallen persoonlijk bepalen: - heeft de andere zorgaanbieder een behandelrelatie? - is de andere zorgaanbieder rechtstreeks betrokken? - is er toestemming of bezwaar van de patiënt/cliënt? - is het noodzakelijk de patiëntgegevens in te zien? - is de privacy van een derde in het geding? - is er sprake van een noodsituatie? In de praktijk is zo n persoonlijke controle per keer onwerkbaar: de opvragende zorgaanbieder zal geen direct antwoord krijgen als de verantwoordelijke zorgaanbieder niet bereikbaar is. Daarom is het wenselijk deze controle zoveel mogelijk automatisch te laten verlopen. Daarvoor is het in theorie nodig dat de verantwoordelijke zorgaanbieder elk van de bovenstaande criteria vooraf vastlegt. Echter, in de dynamische praktijk van de zorg kan een zorgaanbieder niet altijd van tevoren bepalen wélke andere zorgaanbieders zullen worden betrokken, vooral wanneer de patiënt/cliënt zelf zijn zorgaanbieders wil kiezen. Voor het goed laten verlopen van de informatie-uitwisseling is het van belang om zowel patiënten als zorgaanbieders te kunnen identificeren. Mariëtte van Loo Pagina 20 28 maart 2009
Patiënten kunnen aan de hand van het Burger Service Nummer (BSN) worden geïdentificeerd. Voor de zorgaanbieders is de Unieke Zorgverleners Identificatie pas (UZIpas) geïntroduceerd. Het UZI-register hanteert strenge voorwaarden voor de uitgifte van UZI-passen. Er worden zowel passen op naam als passen niet op naam uitgegeven. Het vertrouwensniveau van UZI-passen niet op naam ligt lager dan die van de UZI-passen op naam. Als een zorgverlener een medewerker wil mandateren voor het uitwisselen van patiëntgegevens heeft de laatste een UZI-pas op naam nodig. De samenwerking tussen de verschillende partijen en de wijze waarop autorisatie en logging worden vormgegeven kan worden weergegeven in het dienstenmodel AORTA. Dit model is in Bijlage 5: Dienstenmodel AORTA weergegeven. Om zorgaanbieders zoveel mogelijk te ondersteunen bij het uitwisselen van patiëntgegevens, zijn specifieke zorgaanbiederapplicaties nodig voor de verschillende doeleinden. De onderstaande figuur geeft een overzicht: Figuur 5 : interactie applicaties Daarnaast dienen er applicaties te zijn die de patiënt toegang geven tot zijn gegevens om hem in staat te stellen zijn rechten, op basis van de Wet Bescherming Persoonsgegevens, uit te oefenen. Wanneer een zorgverlener/medewerker via een applicatie op een werkplek gebruik wil maken van zijn bevoegdheden tot het landelijk uitwisselen van patiëntgegevens, dient hij zich eerst te identificeren en authenticeren. Afhankelijk van de vertrouwensniveaus van de informatie (zie ook 3.2.1 NEN 7510 Informatiebeveiliging binnen de zorgsector) zal de procedure rond de authenticatie verschillen: - Voor het vertrouwensniveau laag is zwakke authenticatie aan het begin van een sessie voldoende, dan wel normale of sterke authenticatie aan het begin van een werkdag. Mariëtte van Loo Pagina 21 28 maart 2009
- Voor het vertrouwensniveau midden is het nodig dat voor iedere sessie sterke authenticatie plaatsvindt en vervolgens voor iedere landelijke uitwisseling van patiëntgegevens normale authenticatie plaatsvindt. - Voor het vertrouwensniveau hoog is het nodig dat voor iedere landelijke uitwisseling van patiëntgegevens sterke authenticatie plaatsvindt. Voor het uitloggen is geen vertrouwensmiddel vereist, zoals dat voor inloggen wel vereist is. Wanneer een zorgverlener allerlei patiëntstukken toevoegt aan zijn dossier, kan hij besluiten deze patiëntstukken te publiceren, opdat deze beschikbaar komen voor landelijke opvraag door andere zorgverleners. Ook in latere instantie kan hij besluiten bepaalde patiëntstukken alsnog vrij te geven, dan wel weer af te schermen. Wanneer een zorgverlener allerlei patiëntstukken verwijdert uit zijn dossier, zijn deze uiteraard niet langer beschikbaar voor opvraag. Vrijgeven van een patiëntstuk betekent ook dat het moet worden aangemeld bij de verwijsindex. Anders blijft voor andere zorgverleners onbekend dat de zorgverlener patiëntstukken beschikbaar heeft gesteld voor opvraag. Voor het ter beschikking stellen van gegevens dienen deze te worden opgenomen in een autorisatieprotocol. Hierbij moet onderscheid gemaakt worden tussen: - een algemeen autorisatieprotocol, waarin de bevoegdheden van alle zorgpartijen grofmazig staan vermeld, per gegevensklasse. - een medisch autorisatieprotocol, waarin de bevoegdheden nader zijn uitgesplitst naar de functie van de zorgaanbieders en de gegevenssoort binnen de klasse van medische gegevens. Het autorisatieprofiel van een patiënt/cliënt bestaat uit: - een vlag om aan te geven of de patiënt/cliënt überhaupt akkoord gaat met elektronische, landelijke uitwisseling van zijn patiëntgegevens, - nadere wensen om bepaalde zorgpartijen uit te sluiten van inzage, als inperking op het generieke autorisatieprotocol, - vlaggen om aan te geven of de patiënt/cliënt akkoord gaat met elektronisch inkijken in zijn autorisatieprofiel, toegangslog resp. elektronisch wijzigen van zijn autorisatieprofiel. Voor de beveiliging van de landelijke uitwisseling van patiëntgegevens zijn de volgende zaken van belang: - beveiliging tussen GBZ-gebruikers en de ZIM, - beveiliging tussen GBZ-dossiers/postbussen en de ZIM, - beveiliging tussen GBZ-applicaties en de ZIM, - beveiliging tussen registers en de ZIM, - interne beveiliging GBZ, inclusief lokaal inloggen, - interne beveiliging ZIM. Om de keten gesloten te houden, moet worden voorkomen dat patiëntgegevens die verkregen zijn door landelijke uitwisseling, vervolgens lokaal te gemakkelijk benaderd kunnen worden. Ook de toegang tot lokale tabellen die betrekking hebben op landelijke uitwisseling zijn gevoelig. Wanneer een zorgverlener inlogt met een UZI-pas om landelijk patiëntgegevens te kunnen uitwisselen, kunnen de zorgverlener en de ZIM elkaar authenticeren met behulp van SSL/TLS. Na die tweezijdige authenticatie begint een sessie waarbinnen meerdere SSLverbindingen kunnen worden opgezet. Voor iedere afzonderlijke GBZ-gebruiker wordt een aparte SSL-sessie opgezet vanaf het GBZ naar de ZIM op basis van de persoonlijke UZI-pas, zoals de onderstaande figuur toont Mariëtte van Loo Pagina 22 28 maart 2009
in geval van een client/server-gebaseerde GBZ-applicatie. De figuur toont daarbij een applicatie met een thin client, waarbij de HL7-berichten op de server worden aangemaakt en aldaar een SSL-sessie wordt gestart, waarbij de juiste UZI-pas op de client wordt aangesproken door middel van authentication forwarding. Figuur 6 : interactie applicaties Om te voorkomen dat een ander dan de geauthenticeerde zorgverlener zijn sessie kan overnemen, moet de sessie automatisch en definitief worden beëindigd in de volgende gevallen: - nadat de GBZ-gebruiker zijn UZI-pas heeft verwijderd, - wanneer de GBZ-gebruiker meer dan 8 uur gebruik maakt van de sessie, waarbij een eventueel lopende HL7-interactie eerst wordt voltooid, maar een opvraagsessie bestaande uit meerdere HL7-interacties kan dus worden afgebroken, - wanneer de GBZ-gebruiker gedurende 30 minuten geen gebruik heeft gemaakt van de sessie, - wanneer de GBZ-gebruiker gedurende 15 minuten geen gebruik heeft gemaakt van zijn applicatie. De interne beveiliging van een GBZ is hier van belang, voor zover het de landelijke uitwisseling van patiëntgegevens betreft. Het is moeilijk hieraan algemene eisen te stellen, omdat de situatie per zorgaanbieder enorm kan verschillen. Vanuit het vertrouwensmodel gezien is een GBZ idealiter een gesloten systeem dat slechts openingen biedt aan gebruikers met UZI-passen en aan de ZIM. Bij een zorgaanbieder met meerdere medewerkers is echter al gauw sprake van een gedistribueerd zorgsysteem met clients op de werkplek en servers in een aparte ruimte. Daarbij gaat het niet altijd alleen om ICT-voorzieningen binnen de zorgaanbieder. Wanneer een zorgaanbieder reeds patiëntgegevens uitwisselt met andere zorgaanbieders, bijvoorbeeld via regionale voorzieningen, bestaat het risico dat patiëntgegevens die netjes via de ZIM zijn verkregen, onbedoeld bij andere zorgaanbieders terechtkomen. Daarom zal per zorgtoepassing ernaar gestreefd moeten worden alle uitwisseling van patiëntgegevens landelijk via de ZIM te laten verlopen. Voor het overige is de interne beveiliging vooral een zaak voor de zorgaanbieder zelf, hoewel de NEN 7510 naar verwachting algemeen verplicht zal worden, ongeacht of de zorgaanbieder deelneemt aan landelijke uitwisseling van patiëntgegevens. Zo verplicht de NEN 7510 een zorgaanbieder tot een risico-analyse op alle externe verbindingen en maatregelen voor alle risico s. Op deze wijze kan voorkomen worden dat een GBZ voldoet Mariëtte van Loo Pagina 23 28 maart 2009
aan de GBZ-eisen terwijl de veiligheid wordt ondermijnd door een aspect dat niet expliciet door de GBZ-eisen wordt afgedekt. Mariëtte van Loo Pagina 24 28 maart 2009
3.3 Conclusie onderzoek wet- en regelgeving In dit hoofdstuk van mijn scriptie geef ik antwoord op de eerste drie subvragen van de probleemstelling: - Welke wet- en regelgeving is van toepassing? In paragraaf 3.3.1 worden de wetten en regels beschreven die voor het onderwerp van deze scriptie relevant zijn. - Welke aandachtsgebieden zijn van belang bij de bescherming van patiëntgegevens? In paragraaf 3.3.2. zijn de relevante aandachtsgebieden beschreven die volgen uit de in paragraaf 3.3.1 geselecteerde wetten en regels. De aandachtsgebieden zijn te herleiden uit hetgeen in paragrafen 3.1 en 3.2 is beschreven. - Welke concrete maatregelen, op het gebied van informatiebeveiliging, moet een ziekenhuis treffen om aan de wet- en regelgeving en patiëntenrechten te voldoen? De maatregelen die ik heb aangetroffen in en afgeleid uit de wet- en regelgeving worden beschreven in paragraaf 3.3.3. 3.3.1 Relevante wet- en regelgeving Bij het onderzoek naar wet- en regelgeving heb ik moeten vaststellen dat er relatief weinig wetten en regels zijn voor informatiebeveiliging en privacy zowel binnen als buiten de zorg. De voor deze scriptie relevante algemene wetgeving is de Wet Bescherming Persoonsgegevens. Dit is een algemene wet die voor iedereen, die persoonsgegevens vastlegt, geldt. De rechten en plichten van organisaties en burgers (in casu patiënten) zijn hierin beschreven. De Wet Geneeskundige Behandelovereenkomst is een voor de zorg specifieke wet die de verplichtingen vaststelt die gelden voor zorgaanbieders. Hoewel deze wet niet specifiek is bedoeld voor informatiebeveiliging en privacy worden in deze wet tevens regels omtrent de vastlegging en verstrekking van patiëntgegevens gegeven. In 2008 is de Wet Burger Service Nummer in de zorg van kracht geworden. Door middel van deze wet wordt het gebruik van het burger service nummer in de zorg toegestaan c.q. verplicht gesteld. Naast de bovengenoemde wetgeving is sprake van regelgeving voor informatiebeveiliging en privacybescherming. De NEN/ISO 27001 Code voor Informatiebeveiliging is in deze scriptie niet behandeld. Hoewel deze code voor alle organisaties relevant is, heb ik ervoor gekozen NEN 7510 Informatiebeveiliging in de zorgsector te behandelen. Op basis van de (algemene) code voor informatiebeveiliging is de NEN 7510 opgesteld als toegepaste norm voor informatiebeveiliging voor de zorg. Daarnaast is NEN 7511-1 Medische informatica Informatiebeveiliging in de zorg Toetsbaar voorschrift bij NEN 7510 voor complexe organisaties besproken. Deze norm is een nadere invulling van de norm 7510 voor complexe organisaties zoals ziekenhuizen. Als derde NEN-norm is gekozen voor NEN 7512 Medische informatica Informatiebeveiliging in de zorg Vertrouwensbasis voor gegevensuitwisseling. In deze norm wordt aandacht besteed aan de gegevensuitwisseling tussen partijen in de zorg. Met de invoering van een landelijk patiëntendossier zal de beveiliging van gegevensuitwisseling tussen partijen in de zorg nog belangrijker worden. Mariëtte van Loo Pagina 25 28 maart 2009