De beveiliging van persoonsgegevens in de zorgsector is een gevoelig punt en vraagt om specifieke benadering van de vereisten tot beveiliging. De complexiteit van informatiebeveiliging in de zorgsector door het grote aantal partijen en disciplines en netwerken van zorginstellingen is groot. Al die activiteiten van belanghebbenden bij het verzamelen, opslaan, verwerken en transporteren, betreffen vaak bijzonder gevoelige gegevens die vragen om een adequate beveiliging. De NEN 7510 norm voor de zorg geeft een aantal organisatorische en fysieke beveiligingseisen die hier behulpzaam kunnen zijn. De vraag is hoe dwingend de in de norm vastgelegde eisen zijn.
Artikel 13 van de Wet bescherming persoonsgegevens (Wbp) stelt er passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens moeten worden genomen. Passend betekent: rekening houdend met de stand der techniek, de kosten en de aard van de gegevens.
In een aantal zaken, dat zich voornamelijk in bouwsector afspeelde, is vastgesteld dat, hoewel de NEN normen worden vastgelegd door een particuliere instelling, het Nederlands Normalisatie Instituut (NNI), de beveiligingsnormen een algemene verbindende werking kunnen hebben. Hierbij is het echter wel noodzakelijk dat in een algemeen verbindend voorschrift naar die norm wordt verwezen en dat die norm ook algemeen kenbaar moet zijn.
De vraag die daarbij overblijft, is echter of de norm letterlijk moet worden opgevolgd of dat vergelijkbare maatregelen afdoende zijn om te voldoen aan de wettelijke eisen en daarbij aan de aangegeven norm.
Uit jurisprudentie en nader onderzoek van het College bescherming persoongsgegevens en de IGZ blijkt dat de “Norm” in de zorg vooral moet worden gezien als meetlat waarlangs de te nemen maatregen moeten worden afgemeten. Daarbij zullen de te nemen organisatorische en fysieke maatregelen afhankelijk zijn van de rol en vorm van de organisatie en de aard van de gegevens van betrokkenen.
Een letterlijke invulling van normen als NEN 7510 in de dynamiek van de zorg zal al snel als te rigide en niet wenselijk worden ervaren. Het gaat om een afdoende set maatregelen ter bescherming van persoonsgegevens die afhankelijk is van de rol van de organisatie en de aard van de persoonsgegevens.
Op het ogenblijk wordt deze norm herzien. Het zou verstandig en wenselijk zijn dat hier een gedifferentieerd “dynamisch model” uit te voorschijn komt.
4 reacties
Ben het helemaal met je eens, dat dit soort normen niet te rigide moeten worden vastgesteld. Wel is het een kunst om de (meer letterlijke) invulling van de “norm” per project te realiseren. Multidisciplinaire teams met voldoende relevante (zorg-)ervaring die de norm verder inkleuren en -vullen zijn daarmee onmisbaar!
Beste Janneke,
Bedankt voor je commentaar, ben het weer helemaal met jou eens!
Rob
Het volledige artikel is verschenen in Computerrecht, Tijdschrift voor Informatica, Telecommunicatie en Recht van januari 2011 (p.21).
[…] van den Hoven van Genderen Gepubliceerd op: 11 Feb 2011 Geplaatst in: Weblog In een eerdere Blog en nader uitgewerkt in een uitgebreider artikel in het blad Computerrecht, nr. 1 januari 2011, […]