Over loggen bij het verwerken van gezondheidsgegevens 

Een ‘passend’ beveiligingsniveau [1] om persoonsgegevens te verwerken gaat niet alleen over het afschermen van informatie. Het gaat ook over controle op wie gegevens heeft gezien, aangepast of verwijderd. Logging voorziet in gegevens om die controle uit te voeren: daarmee leg je naast allerlei technische zaken ook vast wie op welk moment gegevens inziet en wie er veranderingen in aanbrengt. In sommige gevallen zelfs waarom. Het is een ‘essentieel onderdeel’ van informatiebeveiliging [2], maar lijkt in de zorg soms onderbelicht. Hieronder geef ik in vier stappen handvatten die je op weg helpen om te bepalen of je logging moet bijhouden en controleren als je met gegevens over gezondheid werkt [3], en hoe je met die verplichting om kunt gaan. 

Stap 1: Zoek uit of logging in jouw organisatie verplicht is

Wie zich ooit in de sectorale wetten en regels rond de zorg heeft verdiept, snapt de uitdrukking ‘door de bomen het bos niet meer zien’. Is loggen in jouw organisatie nu wel of niet verplicht? In het algemeen is het niet te zeggen, maar er zijn wel aanknopingspunten. 
 
In ieder geval verplicht de wet alle zorgverlenende organisaties die hun medische dossiers elektronisch bijhouden om logging op die dossiers bij te houden en te controleren (zie stap 4) [4]. Dit geldt trouwens ook voor ook solistisch werkende zorgverleners. Dat is ook wel logisch: binnen zorginstellingen worden gegevens vaak niet afgeschermd tot alleen de directe behandelaren, omdat anderen moeten kunnen bijspringen als dat nodig is. Daarover zegt de Autoriteit Persoonsgegevens (AP): “Naarmate de beheersing van de toegang tot patiëntgegevens minder technologisch wordt afgedwongen, is het des te belangrijker om achteraf goed te controleren wie op welk moment welke gegevens heeft geraadpleegd.” [5] Dat bleek duidelijk toen medewerkers van een ziekenhuis ongeoorloofd in het dossier van een bekende Nederlander hadden gekeken. 
 
Het kan ook zijn dat je logging moet hebben voor een passend beveiligingsniveau als je organisatie geen zorg verleent, maar wel gegevens over de gezondheid verwerkt. Gezondheidsgegevens zijn namelijk ‘bijzondere persoonsgegevens’ in de zin van artikel 9 AVG. De AP heeft aangegeven dat voor gezondheidsgegevens een ‘hoog beschermingsniveau’ vereist is [6]. Daarvoor kun je beveiligingsstandaarden gebruiken, zoals de NEN7510 voor gezondheidsgegevens [7]. Aan de hand van die redenering legde de AP kortgeleden last onder dwangsom op aan twee zorgverzekeraars, onder andere vanwege het feit dat ze geen logging bijhielden en dus niet konden controleren of medewerkers onterecht informatie over klanten hadden ingezien. 
 
Werk je met persoonsgegevens over gezondheid, zoals medische gegevens? Dan moet je een hoog beveiligingsniveau hebben en er is een redelijke kans dat logging daarbij hoort.  

Stap 2: Geen smoesjes verzinnen 

De tweede stap bij verplichtingen is bedenken waarom de verplichting voor jou niet geldt of waarom je het onredelijk vindt. In het geval van logging is dat al geprobeerd, en de AP heeft in 2013 de meeste excuses al weerlegd [8]. Dat het te duur zou zijn, dat ICT-leveranciers het niet (willen) implementeren, dat medewerkers al geheimhoudingsverklaringen tekenen of gedragscodes hebben, of dat logging controleren teveel menskracht kost is allemaal al tevergeefs aangevoerd [9]. 
 
Stop daarom niet teveel moeite in deze stap. Die energie kun je beter gebruiken voor stap 3 en 4. Wat je wél kunt doen, is de tijd nemen om dit goed te regelen. De AP heeft begrip voor het feit dat logging implementeren kostbaar en moeilijk kan zijn. Daarom valt er altijd te praten over fasering en redelijke termijnen. Zolang je maar voortvarend stappen zet. 

Stap 3: Breng de juiste mensen samen

Informatiebeveiliging, ICT en gegevensbescherming hangen nauw samen maar zijn echt aparte takken. Ik ken de AVG, maar kan geen regel code lezen. Mijn collega kan van wal steken over de beginselen van versleuteling (en lachend 6 uur doorpraten) en ik zit al na 25 seconden als een schaap voor me uit te kijken. 
 
Ga een project als logging dan ook niet in je eentje te lijf, of je nu privacyjurist bent of informatiebeveiliger. Er komen verschillende werelden samen en het is de kunst om daarvoor ook de juiste mensen bij elkaar te krijgen. Dat zal overleg vergen met collega’s, je ICT-leverancier, en misschien zelfs andere partijen in jouw branche om overleg met leveranciers en de toezichthouder te stroomlijnen. 

Stap 4: Zorg dat het proces in alle vereisten voorziet

Logging gaat niet alleen over het vastleggen van toegang en mutaties. Volgens de NEN7510 moet er ook controle op die logging plaatsvinden [10]. De AP zegt daarover dat die controle ‘intelligent’ moet zijn, oftewel risicogericht [11]. Zo was een aselecte steekproef op 6 dossiers per jaar voor het HagaZiekenhuis bepaald niet voldoende, omdat het geen rekening hield met de risicovolle dossiers van bijvoorbeeld BN’ers of eigen personeel. Zorg dus dat er niet alleen regelmatige controle plaatsvindt, maar ook intelligente controle: met extra aandacht voor de ‘gevoeligere’ dossiers, en ook voor uitschieters zoals een opvallend hoge inzage of mutaties door onverwachte personen. 
 
De AVG geeft betrokkenen het recht op inzage. De Raad van State heeft in 2011 bepaald dat dat recht ook inzage in logging op hun dossier omvat. De wetgever bevestigde dit in 2012-2013 toen zij de Wabvpz behandelde [12]. Op 1 juli 2020 treedt een wet in werking waarin uitdrukkelijk is opgenomen dat betrokkenen kosteloos elektronisch inzage kunnen krijgen in logging bij elektronische uitwisselingssystemen. Dit is relevant wanneer er bijvoorbeeld medische fouten of andere ongeregeldheden plaatsvinden, en betrokkenen willen uitzoeken wat er is gebeurd. Het blijkt dat dat in de praktijk niet altijd lukt
 
Zorg er dus voor dat je logging niet alleen voor interne verantwoording bijhoudt, maar dat je de gegevens of gedeelten ervan ook met betrokkenen kunt delen. De privacy van je werknemers mag hierin als factor worden meegewogen, maar die wint het lang niet altijd van het belang van de betrokkene. 
 
Loggegevens op zorgdossiers moeten minstens 5 jaar worden bewaard. Die termijn is voor nu gebaseerd op het feit dat een aantal rechtsvorderingen na 5 jaar verjaart en de praktijk dat loggegevens doorgaans binnen die termijn worden opgevraagd. Daarnaast levert een langere termijn meer kosten op voor bijvoorbeeld data-opslag en de beveiliging van al die extra data. 
 
De Autoriteit Persoonsgegevens heeft geadviseerd dat het belang om de rechtmatigheid van toegang tot dossiers te toetsen leidend moet zijn in de termijn, en niet economische belangen. Waarom zou je wel 20 jaar je dossier in kunnen zien, maar alleen van de laatste 5 jaar wie erin heeft gekeken en mutaties heeft verricht? 

Sluit je aan bij de huidige wet door logging in ieder geval 5 jaar te bewaren, maar weet dat er discussie wordt gevoerd over die termijn en houd de ontwikkelingen in de gaten. 

Wilt u meer weten over logging in uw organisatie? Neem dan contact met ons op.

Referenties

[1] 1 Artikelen 5(1)(f) en 32 AVG geven aan dat je beveiligingsniveau moet passen bij de risico’s van je verwerking. 

[2] 12.4.1 NEN7510-2:2017

[3] Logging is niet alleen relevant voor werken met gezondheidsgegevens. In Richtlijn 2016/680/EU over het verwerken van persoonsgegevens in het kader van strafrecht staat in artikel 25 sommige van dat soort verwerkingen altijd gelogd moeten worden.

[4] Art. 15j Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en artikel 5 lid 1 Besluit elektronische gegevensverwerking door zorgaanbieders, en voor de definities: art 1 sub j) en m) Wabvpz en artikel 1 lid 1 Wet kwaliteit, klachten en geschillen zorg.

[5] CBP ‘Toegang tot digitale patiëntendossiers binnen zorginstellingen’ (CBP is de vorige naam van de AP), p. 10. Zie ook 0.4 NEN7510-1:2017. Het College Bescherming Persoonsgegevens is de vorige naam van de Autoriteit Persoonsgegevens.

[6] CBP Richtsnoeren: ‘Beveiliging van persoonsgegevens’, p. 17. Het komt ook terug in de doelstellingen NEN-normen: 0.1 NEN7510-1:2017

[7] De NEN7510-2:2017 zijn bijvoorbeeld ‘best practices’ en stelt ook voor dat je ontwikkelingen in beveiligingsstandaarden moet bijhouden, zie bijvoorbeeld 6.1.4 NEN7510-2:2017.

[8] CBP ‘Toegang tot digitale patiëntendossiers binnen zorginstellingen’, p. 13-15. Ook de wetgever heeft in de Memorie van Toelichting bij de Wabvpz aangegeven dat ze logging mogelijk vinden en daarom verplicht stellen, zie Kamerstukken TKII, vergaderjaar 2012–2013, 33 509, nr. 3, p. 7.

[9] Logging controleren kan namelijk ook (gedeeltelijk) geautomatiseerd. Bijvoorbeeld een automatisch signaal naar de informatiebeveiliging als een grenswaarde van inzagen binnen een bepaalde wordt overschreden.

[10] 12.4.1 NEN7510-1:2017.

[11] Risicogestuurde bescherming is zowel in de AVG als de NEN-normen het uitgangspunt.

[12] Kamerstukken TKII, vergaderjaar 2017-2018, 34 851, nr. 3, p. 7 & 18


Terug naar het overzicht