Toegang medische persoonsgegevens vereist hoog betrouwbaarheidsniveau

Toegang tot medische persoonsgegevens voor patiënten vereist inloggen op een hoog betrouwbaarheidsniveau. Dat heeft de Autoriteit Persoonsgegevens (AP) op 4 oktober 2018 aan de zorgsector laten weten. De AP maant alle betrokken organisaties om inloggen op een hoog betrouwbaarheidsniveau snel mogelijk te maken. Organisaties die toewerken naar dit hoge niveau moeten nu in ieder geval voor het inloggen DigiD en SMS geregeld hebben en aanvullende maatregelen nemen om risico’s te beperken.

De komende jaren neemt het aanbod van onlinedienstverlening in de zorg verder toe. De AP staat in beginsel positief tegenover deze technologische ontwikkelingen. Die ontwikkelingen kunnen namelijk bijdragen aan kwalitatief goede, veilige en doelmatige zorg voor patiënten. De AP voegt daar aan toe dat patiënten erop moeten kunnen vertrouwen dat de informatie die zij met hun arts delen geheim blijft. Daarom gelden voor de bescherming van gezondheidsgegevens extra hoge eisen. En daarnaast moeten de betrokken zorgorganisaties passende maatregelen nemen en moeten zij  aan de juiste NEN-normen voldoen.

‘Passende’ maatregelen

 Op grond van privacywetgeving moet een organisatie die persoonsgegevens verwerkt ‘passende’ veiligheidsmaatregelen treffen. Wat passend precies is, hangt af van de concrete omstandigheden van het geval. De AP zoekt voor de invulling hiervan aansluiting bij algemeen geaccepteerde beveiligingsstandaarden, zoals de Code voor Informatiebeveiliging of de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum.

NEN-normen

Daarnaast wordt aansluiting gezocht bij normen voor informatiebeveiliging opgenomen in de ISO/NEN 27001 en 27002. Voor wat betreft de zorgsector zijn deze normen uitgewerkt in NEN 7510:2017 en in aanvulling daarop NEN 7512:2015 en NEN 7513:2018.

De AP ziet deze normen als een beveiligingsstandaard die organisaties binnen de zorgsector moeten toepassen.

Brief Autoriteit Persoonsgegevens, d.d. 4 oktober 2018