Besluit van 9 juli 2014, houdende wijziging van het Besluit burgerservicenummer in de zorg in verband met de aanwijzing van verantwoordelijken voor elektronische gegevensuitwisseling als zorgaanbieder

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Volksgezondheid, Welzijn en Sport van 3 juli 2014, kenmerk 629453-122996-WJZ;

Gelet op artikel 2, eerste en tweede lid, van de Wet gebruik burgerservicenummer in de zorg;

De Afdeling advisering van de Raad van State gehoord (advies van 11 juni 2014, no. W13.14.0127/III);

Gezien het nader rapport van Onze Minister van Volksgezondheid, Welzijn en Sport van 3 juli 2014, kenmerk 629453-122996-WJZ;

Hebben goedgevonden en verstaan:

ARTIKEL I

Het Besluit gebruik burgerservicenummer in de zorg wordt gewijzigd als volgt:

A

Onder vervanging van de punt door een puntkomma aan het slot van onderdeel j, wordt aan artikel 1 een onderdeel toegevoegd, luidende:

k. elektronisch uitwisselingssysteem:

een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier.

B

Aan artikel 2 worden drie leden toegevoegd, luidende:

  • 3. Het beheren en in stand houden van een elektronisch uitwisselingssysteem waarin het burgerservicenummer is opgenomen, wordt aangewezen als zorg in de zin van de wet.

  • 4. Een rechtspersoon die een elektronisch uitwisselingssysteem beheert en in stand houdt, niet zijnde een zorgaanbieder als bedoeld in artikel 1, onderdeel c van de wet, is aangewezen als zorgaanbieder in de zin van de wet zolang voldaan wordt aan elk van de volgende voorwaarden:

    • a. een van de rechtspersoon onafhankelijke organisatie heeft na onderzoek vastgesteld dat de rechtspersoon en de voorziening voldoen aan de door de Stichting Nederlands Normalisatie-Instituut uitgegeven norm 7510:2011 en heeft die bevinding opgenomen in een door die organisatie ten behoeve van de rechtspersoon opgesteld auditrapport;

    • b. de rechtspersoon heeft het College bescherming persoonsgegevens de in artikel 27 van de Wet bescherming persoonsgegevens voorgeschreven melding gedaan onder overlegging van het in onderdeel a bedoelde audit-rapport dat niet ouder is dan drie maanden;

    • c. de in onderdeel a bedoelde vaststelling is niet langer dan vijf jaar geleden gedaan.

ARTIKEL II

Indien het bij Koninklijk Besluit van 21 december 2012 ingediende voorstel van wet houdende wijziging van de Wet cliëntenrechten zorg, de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens) (kamerstukken 33 509) tot wet wordt verheven, vervalt dit besluit met ingang van de dag waarop die wet in werking treedt.

ARTIKEL III

Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van het Staatsblad waarin het wordt geplaatst.

Wassenaar, 9 juli 2014

Willem-Alexander

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers

Uitgegeven de achttiende juli 2014

De Minister van Veiligheid en Justitie, I.W. Opstelten

NOTA VAN TOELICHTING

Op grond van de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) zijn zorgaanbieders verplicht in het kader van verlening van zorg aan een cliënt bij de verwerking van persoonsgegevens over deze cliënt, zijn burgerservicenummer (hierna: bsn) te gebruiken met als doel te waarborgen dat de persoonsgegevens inderdaad op deze cliënt betrekking hebben.

Om goede zorg te kunnen verlenen, zijn in het land verschillende regionale en landelijke initiatieven ontstaan om elektronische systemen te gebruiken die bedoeld zijn om zorgverleners toegang te verschaffen tot de door een andere zorgaanbieder vastgelegde zorggegevens van een cliënt. Bij een dergelijke gegevensuitwisseling dienen de aangesloten zorgaanbieders op grond van de Wbsn-z het bsn te gebruiken. Alleen zo is gewaarborgd dat de medische gegevens op de juiste persoon betrekking hebben.

Voor het beheren van elektronische uitwisselingssystemen, sluiten zorgaanbieders vaak overeenkomsten met een derde partij die gespecialiseerd is in het beheren van dit soort elektronische systemen. De beheerder van zo’n systeem zal voor het betrouwbaar functioneren van dat systeem het bsn van cliënten moeten verwerken om op een betrouwbare manier de medische persoonsgegevens van een cliënt bij verschillende zorgaanbieders aan elkaar te kunnen koppellen. De beheerder is op grond van de Wbp – indien hij zelf het doel en de middelen voor de verwerking van persoonsgegevens heeft vastgesteld – aan te merken als verantwoordelijke voor de verwerking van persoonsgegevens.

Voor het verwerken van het bsn door een beheerder dient een wettelijke grondslag aanwezig te zijn. Met deze wijziging van het Besluit gebruik burgerservicenummer in de zorg (Besluit bsn-z) wordt daarin voorzien, mits de beheerder aan een aantal in artikel 2, vierde lid, opgenomen voorwaarden voldoet.

Gelet op de wettelijke eisen die gelden voor de toegang tot medische persoonsgegevens (art. 7:457 BW (Wet geneeskundige behandelingsovereenkomst) heeft de beheerder geen recht op inzage in de medische gegevens.

De onderhavige wijziging van het Besluit bsn-z steunt op artikel 2, tweede lid, van de Wbsn-z.

Op grond van die bepaling kunnen bij algemene maatregel van bestuur handelingen die rechtstreeks verband houden met zorg, worden aangewezen als zorg in de zin van die wet, waarbij uitvoerders van die handelingen kunnen worden aangewezen als zorgaanbieders in de zin van de Wbsn-z.

Het nieuwe artikel 2, derde lid, van het Besluit bsn-z bepaalt dat het beheren en in stand houden van een elektronisch uitwisselingssysteem waarmee zorgaanbieders persoonsgegevens van cliënten, waaronder gegevens betreffende de gezondheid, aan elkaar beschikbaar te stellen, wordt aangewezen als zorg in de zin van de wet, indien in dat elektronisch uitwisselingssysteem het bsn van cliënten wordt gebruikt. Het gebruik van het bsn en het kunnen leveren van kwalitatief goede zorg zijn immers, zoals hiervoor beschreven, onlosmakelijk aan elkaar verbonden. Opgemerkt wordt dat de aanwijzing van het beheren en in stand houden van een elektronisch uitwisselingssysteem als zorg en de beheerder van dat systeem als zorgaanbieder, niet betekent dat deze beheerder daarmee zorgaanbieder is in de zin van de Kwaliteitswet zorginstellingen of de Wet BIG. De aanwijzing van de beheerder als zorgaanbieder leidt slechts tot het recht en de plicht het bsn ter verwerken.

Om duidelijk te maken wat onder een elektronisch uitwisselingssysteem wordt verstaan, is in artikel 1 een definitie opgenomen. Deze definitie sluit aan bij de definitie die is opgenomen in de nota van wijziging bij het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens (kamerstukken II, 33 509, nr. 8). Het betreft een systeem waarmee verschillende zorgaanbieders langs elektronische weg, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgverleners raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder voor het bijhouden van een elektronisch dossier.

Zodra het genoemde wetsvoorstel in werking treedt, zal het bepaalde in dit besluit komen te vervallen, omdat de bevoegdheid tot het verwerken van het burgerservicenummer door de beheerder van een elektronisch uitwisselingssysteem, dan bij wet geregeld zal zijn.

Waarborgen voor een zorgvuldig gebruik van het bsn

Het aan artikel 2 toegevoegde vierde lid stelt een aantal voorwaarden aan de beheerder van het elektronisch uitwisselingssysteem, om te bewerkstelligen dat het recht en de verplichting op grond van artikel 4 van de Wbsn-z om het bsn te gebruiken alleen bestaat, als een beheerder aan de relevante veiligheidseisen voldoet. Die voorwaarden zijn:

  • 1. De beheerder is een rechtspersoon die een elektronisch uitwisselingssysteem in stand houdt, maar is geen zorgaanbieder als bedoeld in artikel 1, onderdeel c, van de wet (een zorginstelling of een individuele zorgaanbieder).

  • 2. Een onafhankelijk auditor heeft in een rapport vastgesteld dat zowel de organisatie van de beheerder als het elektronisch uitwisselingssysteem zelf voldoen aan norm 7510 van het Nederlands normalisatie instituut. Deze norm strekt ertoe optimale waarborgen voor zorgvuldige gegevensverwerking te bieden.

  • 3. De beheerder heeft overeenkomstig artikel 27 van de Wbp melding gedaan van geautomatiseerde verwerking van het bsn, onder overlegging van het actuele auditrapport.

    Hierdoor beschikt het Cbp als toezichthouder over de noodzakelijke informatie om zo nodig een onderzoek in te stellen.

  • 4. De audit en de melding op grond van artikel 27 Wbp dienen periodiek (eens per 5 jaar) herhaald te worden.

    Hierdoor wordt bevorderd dat er bij de beheerder en de aangesloten zorgverleners constante aandacht is voor een optimale beveiliging en het blijven voldoen aan de wettelijke eisen.

  • 5. Om vast te stellen of de beheerder voldoet aan norm 7510, dient de beheerder op grond van bovengenoemde voorwaarden eens per 5 jaar een onafhankelijke audit te laten uitvoeren. In norm 7510 is vastgelegd dat een organisatie bij voortduring moet waarborgen aan die norm te blijven voldoen. Op grond van artikel 13 Wbp moet de beheerder als verantwoordelijke in de zin van de Wbp passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. In de praktijk wordt binnen de zorg norm 7510 gebruikt om aan te tonen dat aan artikel 13 Wbp wordt voldaan.

Als de rechtspersoon die de voorziening beheert aan alle eisen voldoet, en blijft voldoen, is hij van rechtswege aangewezen als zorgaanbieder in de zin van de wet, zonder dat daar een nader besluit van de minister of het College bescherming persoonsgegevens voor is vereist. Vanaf het tijdstip dat niet meer wordt voldaan aan een of meer voorwaarden, vervalt de aanwijzing van rechtswege en daarmee het recht en de plicht om het bsn te verwerken. Mocht een aangewezen rechtspersoon zich bij de verwerking van persoonsgegevens schuldig maken aan overtreding van het bij of krachtens de Wbp bepaalde, staan het Cbp handhavingsmogelijkheden ten dienste (artikelen 65 en 66 Wbp). Overigens is het zo dat de beheerder als verantwoordelijke voor de verwerking van persoonsgegevens geheel aan de Wbp moet kunnen voldoen en zodoende het elektronische uitwisselingssysteem daarop moet inrichten. Omdat een beheerder die niet voldoet aan NEN7510 niet alleen niet voldoet aan het bepaalde in dit besluit maar tevens niet voldoet aan artikel 13 Wbp, kan het Cbp in een dergelijk geval handhavend optreden. Voor zorgaanbieders geldt ook dat het Cbp handhavend kan optreden wegens het niet voldoen aan artikel 13 Wbp indien zij gebruik maken van een elektronisch uitwisselingssysteem dat niet voldoet aan NEN 7510. Daarnaast kan ook de Inspectie voor de gezondheidszorg handhavend optreden op grond van de Kwaliteitswet zorginstellingen of de Wet BIG tegen een zorgaanbieder die gebruik maakt van een elektronisch uitwisselingssysteem dat niet voldoet aan NEN7510 uit het oogpunt van verantwoorde zorg.

Privacy

Het verwerken van het burgerservicenummer is op grond van artikel 24 van de Wbp toegestaan voor de doeleinden neergelegd in de Wet gebruik burgerservicenummer in de zorg. Voor het verwerken van persoonsgegevens betreffende de gezondheid, in een elektronisch uitwisselingssysteem, geldt dat dat alleen is toegestaan met uitdrukkelijke toestemming van de cliënt (art. 7:457 BW en art. 23 Wbp). In het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens (kamerstukken 33 509, nr.2) worden de cliëntenrechten die hierbij gelden, uitgebreid vastgelegd. Voor dit wetsvoorstel is een privacy impact assessment uitgevoerd. In paragraaf 1.8 van de memorie van toelichting bij het genoemde wetsvoorstel wordt dit toegelicht. Uit dat privacy impact assessment is gebleken dat er geen sprake is van een beperking van de persoonlijke levenssfeer.

Gevolgen voor regeldruk

Dit besluit heeft geen gevolgen voor administratieve lasten. Er is wel sprake van nalevingskosten, omdat beheerders van elektronische uitwisselingssystemen die het bsn verwerken, op grond van artikel 2, vierde lid, iedere vijf jaar een audit moeten laten uitvoeren om te kijken of de organisatie en het systeem nog voldoen aan de voorwaarden van NEN 7510. Deze audit kost een beheersorganisatie maximaal € 6.000 per audit, wat neerkomt op € 1.200 per jaar per beheerder. Uitgaande van ongeveer vijf beheerders van elektronische uitwisselingssystemen worden de totale effecten geraamd op maximaal € 30.000. Omdat de frequentie eens per vijf jaar is, betekent het een toename van nalevingskosten van € 6.000 per jaar.

Consultatie

Het College bescherming persoonsgegevens (Cbp) heeft bij brief van 5 december 2013 advies uitgebracht over deze wijziging van het Besluit bsn-z. Het advies van het Cbp had betrekking op de voorwaarden die aan een beheerder worden gesteld, de grondslag voor het gebruik van het bsn en de betekenis van de aanwijzing van de beheerder als zorgaanbieder. De aanbevelingen van het Cbp zijn in dit besluit overgenomen.

Inwerkingtreding

In plaats van een vast moment van inwerkingtreding (1 juli of 1 januari), treedt dit besluit in werking met ingang van de dag na de datum van uitgifte van het Staatsblad waarin het besluit is gepubliceerd. Deze uitzondering wordt gemaakt omdat de doelgroep is gebaat bij een spoedige inwerkingtreding. Zodra dit besluit in werking is getreden, kunnen beheerders van elektronische uitwisselingssystemen aan de voorwaarden voor het gebruik van het bsn voldoen.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers


XHistnoot
histnoot

Het advies van de Afdeling advisering van de Raad van State wordt niet openbaar gemaakt op grond van artikel 26, zesde lid jo vijfde lid van de Wet op de Raad van State, omdat het uitsluitend opmerkingen van redactionele aard bevat.

Naar boven