In dit hoofdstuk staat een overzicht van de NEN-normen die van toepassing zijn op het beschikbaar stellen en uitwisselen van gezondheidsgegevens. Per onderdeel is een samenvatting opgenomen van de inhoud. Tevens is aangeduid per norm op welke manier het Twiin Afsprakenstelsel invulling geeft aan de norm.
Normenkader informatiebeveiliging
Om veilig met elektronische medische gegevens om te gaan, heeft het Nederlands Normalisatie-instituut (NEN) een aantal normen ontwikkeld. De eerste norm die is ontwikkeld is de NEN 7510, de norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op de Code voor Informatiebeveiliging, de ISO-27000-serie. De reden om deze NEN-norm op te stellen is dat er zorgspecifieke aandachtspunten zijn, met name het belang van de vertrouwelijkheid en integriteit van persoonlijke gezondheidsinformatie. De NEN 7510 is voor de zorg aangevuld met NEN 7512 vertrouwensbasis voor gegevensuitwisseling en de NEN 7513 logging. Zorgaanbieders zijn verplicht om NEN 7510 toe te passen bij de verwerking van BSN en alle drie de normen bij gebruik van een elektronisch uitwisselingssysteem.
NEN 7510, informatiebeveiliging in de zorg (NEN 7510-1&2:2017+A1:2020)
De NEN 7510 bestaat uit twee onderdelen. NEN 7510-1 beschrijft de eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging.
NEN 7510-2 voorziet in richtlijnen voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie over hoe het beste de beschikbaarheid, integriteit en vertrouwelijkheid van dergelijke informatie kan beschermen.
NEN 7512, vertrouwensbasis voor gegevensuitwisseling (NEN 7512:2022)
In de NEN 7512 is een methodiek uitgewerkt voor het classificeren van risico's en het vaststellen van beheersmaatregelen bij de uitwisseling van gegevens. Deze norm bepaalt dat authenticatie van gebruikers van uit te wisselen persoonlijke gezondheidsinformatie in overeenstemming met eIDAS moet zijn, waarbij het betrouwbaarheidsniveau ‘hoog’ moet worden gebruikt.
De norm verplicht ook ondertekening van het uitgewisselde met een elektronische handtekening op het juiste eIDAS betrouwbaarheidsniveau. In de norm staat hierover het volgende: “Ondertekening bij uitwisseling dient twee doelen. Ten eerste de toegenomen zekerheid omtrent de integriteit van de uitgewisselde gegevens en ten tweede de zekerheid omtrent de afzender. Immers, veel instellingen hebben grote hoeveelheden medewerkers en voorkomen behoort te worden dat een niet daartoe geautoriseerde medewerker de indruk kan wekken dat een onjuiste uitwisseling eigenlijk een goede uitwisseling is.”
NEN 7513, logging (NEN 7513:2018)
Deze norm bepaalt:
-
welke gegevens in de logging aanwezig moeten zijn
-
welke gebeurtenissen moeten worden gelogd
-
welke gegevens van die gebeurtenissen moeten worden vastgelegd
-
aan welke kwaliteitseisen het loggen en de logbestanden moeten voldoen
Verder biedt de norm houvast aan zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie over het verstrekken van informatie over wie toegang heeft gehad tot haar of zijn elektronisch cliëntdossier.
Toepassing op het Twiin Afsprakenstelsel
De Voorwaarden Twiin Deelnemer verplichten de Twiin Deelnemer aantoonbaar te zorgen voor een veilig en zorgvuldig gebruik van het eigen zorginformatiesysteem en een veilig en zorgvuldig gebruik van het uitwisselingssysteem, overeenkomstig het bepaalde in NEN 7510, NEN 7512 en NEN 7513. De normen zijn toegepast in het vertrouwensmodel en dan met name in de onderdelen authenticatie, autorisatie en logging en ook in de uitwerking van die functies in de technische kern.
Generieke functies
De normen voor generieke functies zijn nog in ontwikkeling. Het gaat om toestemming (NEN 7517), identificatie en authenticatie (NEN 7518), lokalisatie (NEN 7519) en autorisatie (NEN 7520).
Toepassing op het Twiin Afsprakenstelsel
Twiin volgt de ontwikkeling van de NEN-normering van generieke functies. Als één of meer van deze normen zijn vastgesteld, zullen de relevante onderdelen van het vertrouwensmodel zo nodig worden aangepast.
Specifieke gegevensuitwisselingen
NEN 7503, Voorschrijven en ter handstellen medicatie (NEN 7503:2022)
NEN 7503 specificeert de use cases voor het voorschrijven en het ter hand stellen van medicatie en de daarvoor benodigde verwerking en uitwisseling van medicatiegegevens. NEN 7503 formuleert eisen voor zorgaanbieders om hiervoor de gecertificeerde informatiesystemen zorgvuldig in te zetten en te beheren. NEN 7503 specificeert daarnaast de eisen waaraan informatiesystemen en de elektronische berichtuitwisseling tussen voorschrijvers van medicatievoorschriften en verstrekkers van geneesmiddelen moeten voldoen.
Toepassing op het Twiin Afsprakenstelsel
Twiin wil in de toekomst ook voor deze gegevensuitwisselingen een implementatiewijzer opstellen.
NEN 7540, Basisgegevensset Zorg (NEN 7540:2024)
NEN 7540 specifieert twee use cases voor de uitwisseling van de BgZ tussen instellingen voor medisch specialistische zorg. De twee use cases zijn: uitwisseling BgZ bij verwijzing of overdracht en opvraging BgZ bij eerdere behandelaar. NEN 7540 formuleert eisen voor zorgaanbieders om hiervoor de gecertificeerde zorginformatiesystemen en elektronische uitwisselingssystemen zorgvuldig in te zetten en te beheren.
Toepassing op het Twiin Afsprakenstelsel
Twiin heeft een implementatiewijzer opgesteld voor de Basisgegevensset Zorg.
NEN 7541, Beeldbeschikbaarheid
De norm voor beeldbeschikbaarheid is nog in ontwikkeling. Twiin volgt de ontwikkeling van de NEN-normering en zal de implementatiewijzer Beeldbeschikbaarheid aanpassen waar nodig om in lijn te blijven met deze norm. Ook draagt de Twiin Organisatie bij aan de ontwikkeling van deze norm met kennis en expertise.
Toepassing op het Twiin Afsprakenstelsel
Twiin heeft een implementatiewijzer opgesteld voor Beeldbeschikbaarheid.
NEN 7542, Medicatiegegevens, NEN 7545, eOVerdracht, NEN 7546, Acute zorg
Deze normen zijn in ontwikkeling.
Toepassing op het Twiin Afsprakenstelsel
Twiin wil in de toekomst ook voor deze gegevensuitwisselingen een implementatiewijzer opstellen.