Column


IT-jurist Peter van Schelven over...

Security in de zorg: kritische noot bij NEN 7510

Medewerker van een ziekenhuis of zorginstelling snuffelen niet onnodig of ongeoorloofd in het medisch dossier van een ander. Dat is niet alleen een privacyrechtelijk uitgangspunt, maar vooral ook een regel van fatsoen. Het heeft er alle schijn van dat die regel onlangs door het HagaZiekenhuis in Den Haag rondom het dossier van het tv-sterretje Barbie met voeten is getreden. Kwalijk en bedenkelijk. Falende ethiek, verziekte cultuur, mismanagement of benedenmaatse security? Of gewoon onstuitbare nieuwsgierigheid?

Er kan geen twijfel over bestaan dat de omgang met gezondheidsgegevens algemeen gesproken de grootst mogelijke zorgvuldigheid vergt. Ieder mens die zijn medische data met een arts, ziekenhuis of andere zorgverlener deelt, verdient wat dat betreft stevige bescherming. Het uitlekken van gezondheidsgegevens raakt iemand al snel in het hart van zijn of haar leven. Het kan schade of ander nadeel veroorzaken en reputaties aantasten. Fundamenteel is ook de gedachte dat een ernstig incident zoals Barbie heeft moeten ervaren, ertoe kan leiden dat een patiënt zich niet meer vrij acht om vrijuit met zijn of haar zorgverlener te praten en dat ondermijnt een goede zorgverlening.

NEN-normen in de zorg
Je moet dus van sterke huize komen om de security-eisen in de zorgsector ter discussie te stellen. Toch verdienen ontwikkelingen in de zorg wel een kritische kanttekening. Zoals bekend zijn de eisen voor de security genormaliseerd in diverse NEN-normen. De bekendste daarvan zijn NEN 7510 voor de informatiebeveiliging binnen zorginstellingen, NEN 7512 voor veilige verbindingen en NEN 7513 omtrent logging. Vooral NEN 7510 krijgt in de praktijk veel aandacht, deels omdat het gebruik ervan bij wet aan zorgaanbieders is voorgeschreven.

NEN 7510 is er in diverse versies. December vorig jaar publiceerde het Nederlands Normalisatie-instituut een nieuwe gratis versie van deze beveiligingsstandaard, de opvolger van de uit 2011 daterende versie. Tussen beide versies zitten diverse inhoudelijke verschillen en zorgaanbieders die de nieuwste versie willen implementeren, moeten daarvoor de nodige maatregelen nemen. Dat is veelal niet van de een op de andere dag gedaan. Organisaties die nu een certificaat voor de toepassing van de uit 2011 daterende versie van NEN 7510 in huis hebben, hebben dat nog niet voor de uit december 2017 stammende versie.

Verwerkerscontract
Ik zie regelmatig dat organisaties uit de zorgsector contractueel hun externe dienstverleners proberen te verplichten per onmiddellijk te voldoen aan de meest recente versie van NEN 7510. Dat geldt bijvoorbeeld voor externe hostingproviders die in opdracht van zorginstellingen gezondheidsgegevens opslaan.

Die verplichting blijkt uit het onlangs door de Brancheorganisaties Zorg (BoZ), een samenwerkingsverband van diverse koepelorganisaties, uitgegeven model voor een verwerkersovereenkomst. Dat model is gemaakt met het oog op de nieuwe spelregels uit de Algemene Verordening Gegevensbescherming. Lees je dat model, dan valt op dat de ingeschakelde externe providers toepassing moet geven aan de meest recente NEN-normen.

Met die contractuele eis miskent de zorgsector dat veel providers van naam en faam simpelweg nog niet zover zijn dat zij deze meest recente norm met concrete maatregelen hebben geïmplementeerd. Sterker nog, ook zorginstellingen zelf voldoen voor hun interne informatiebeveiliging lang nog niet allemaal aan de meest recente versie. En zullen we maar zwijgen over al die zorginstellingen die momenteel zelfs de oudere NEN-norm nog niet ten volle hebben omarmd?

Rechtspraak over security
De contractuele eis van toepassing van de meest recente NEN-norm schuurt met de binnen de rechtspraak bestaande ideeën over de toepassing van NEN-beveiligingsnormen. Ik verwijs naar een uitspraak van het College van Beroep voor het Bedrijfsleven uit november 2016 in een rechtszaak over een spraakmakend security-incident bij KPN, dat aanleiding was geweest om KPN een forse geldboete op te leggen. Het rechtscollege nam in zijn beslissing over de boete een groot aantal aspecten van de KPN-security onder de loep. Een van de opmerkelijke onderdelen uit de motivering in de uitspraak is dat het ‘niet onjuist’ was dat de toezichthouder die de boete had opgelegd niet de meest recente versie van de betrokken NEN-normen had gehanteerd.

Ik wil hier zeker niet het beeld achterlaten dat ik de laatste versie van NEN7510 niet serieus neem. Integendeel, de zorg verdient stevige security. Wel pleit ik ervoor dat IT-providers van de zorgsector niet door middel van dictaten uit een modelcontract worden opgezadeld met verplichtingen die nu – zo vlak na het verschijnen van de nieuwste beveiligingsnorm – nog niet ten volle uitvoerbaar zijn. Gelijk zorginstellingen zelf ook tijd voor implementatie nodig hebben, zo hebben hun providers dat ook. Die gedachte lijkt in het BoZ-modelcontract helaas uit het oog te zijn verloren.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over