Blog: Per 1 januari verplicht: de FG en de NEN 7510

Het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ is van kracht. Het verplicht zorgorganisaties voor 1 januari aanstaande nog wat zaken te regelen.

Op 28 november jongstleden is in het staatsblad het besluit ex art 26 Wet bescherming persoonsgegevens (Wbp) gepubliceerd: het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’.
Dit besluit kan u gemakkelijk ontgaan zijn. Er staan echter een paar dingen in waar u rekening mee moet houden.

Eerder verplicht

Voor zorginstellingen is per 1 januari 2018 (art. 9) een functionaris voor de gegevensbescherming (FG) verplicht (art. 2). Dacht u dat het pas, vanwege de invoering van de Europese Algemene Verordening Gegevensbescherming, op 25 mei verplicht zou worden? Dit besluit trekt die verplichting een stuk naar voren.

Overigens vermeldt de site van de Autoriteit Persoonsgegevens hierover op dit moment nog niets. Dat kan natuurlijk komen doordat de webbouwer al op kerstvakantie is, maar misschien melden ze met opzet niets over die FG. Als de AVG van toepassing wordt, is dit onderdeel van het besluit namelijk overbodig. En bij de Autoriteit Persoonsgegevens houden ze er, terecht, niet van om iets dat in de wet verplicht is nogmaals in een besluit te verplichten.

Voldoen aan NEN 7510, NEN 7512 en NEN 7513

Het Besluit draagt de verantwoordelijke op ervoor te zorgen dat het zorginformatiesysteem voldoet aan de NEN 7510 en dat de informatiesystemen waarmee zorginformatie uitgewisseld wordt, voldoen aan de NEN 7510, NEN 7512 en NEN 7513.

Fijn, nu net op 7 december de nieuwe NEN 7510 is gepubliceerd en de NEN 7513 in revisie is gegaan en ook dit voor 1 januari aanstaande geregeld moet zijn! Zorginstellingen die vanwege de internationale uitstraling liever de ISO27001 / 2 gebruiken, moeten nu ook de NEN7510 gebruiken. Veel werk is dat overigens niet want die normen lijken sterk op elkaar, de NEN7510 is een zorgspecifieke aanvulling.

Niet 1 juli 2017 maar 1 januari 2018

Hadden ze daar nou niet eerder mee kunnen komen? Ja en nee. Door de lange duur van de kabinetsformatie was de ondertekening van het besluit blijven liggen en in plaats van de beoogde 1 juli 2017 is het dus 1 januari 2018 geworden. Dus in plaats van mopperen dat het zo kort dag is, wordt verondersteld dat u erop gerekend had voor afgelopen 1 juli alles al op orde te hebben. U heeft dus een half jaar uitstel van de verplichting mogen genieten.

Uitvoeringswet

Dit ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ is gebaseerd op art. 26 Wbp. De Wbp, en daarmee dit besluit, komt echter te vervallen op 25 mei als de AVG in werking treedt.

En daarna? Wellicht dat de Uitvoeringswet voor de AVG het mogelijk maakt dit besluit te handhaven. Die Uitvoeringswet wordt op dit moment aangepast aan de flinke lijst met commentaar die de Autoriteit Persoonsgegevens had op onder andere de doublures met de AVG. Mogelijk had de Raad van State ook nog commentaar, maar dat is in dit stadium van de wetgevingsprocedure geheim. Die wet moet dan nog een keer langs de Autoriteit Persoonsgegevens, de Raad van State en vervolgens door de Tweede en Eerste Kamer geloodst.

De overheid is hard aan het werk om alle vertraagde regelgeving voor 25 mei volgend jaar af te hebben, maar voorlopig mag de zorg in paniek zijn met dit besluit.

Ik wens u fijne feestdagen.

Berend de Vries, managing partner Comfort-IA

Geef je reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.