Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
|---|---|---|---|
| Ministerie van Volksgezondheid, Welzijn en Sport | Staatscourant 2008, 105 pagina 59 | Besluiten van algemene strekking |
Authentieke versie (PDF)
Informatie
Printen
Delen
Regeling gebruik burgerservicenummer in de zorg
Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 26 mei 2008, nr. MEVA/ICT-2838255, houdende regels omtrent het gebruik van het burgerservicenummer in de zorg (Regeling gebruik burgerservicenummer in de zorg)
De Minister van Volksgezondheid, Welzijn en Sport,
Gelet op artikel 10 van de Wet gebruik burgerservicenummer in de zorg, de artikelen 44 en 52, zevende lid, van de Algemene Wet Bijzondere Ziektekosten, de artikelen 86, 87, zesde lid, 88, vierde lid, en 89, zesde lid, van de Zorgverzekeringswet en de artikelen 3, 6, vierde lid, 19, 20, 21, 22, vijfde lid, 23, 24 en 30 van het Besluit gebruik burgerservicenummer in de zorg;
Besluit:
In deze regeling wordt verstaan onder:
a. Minister: Minister van Volksgezondheid, Welzijn en Sport;
b. wet: Wet gebruik burgerservicenummer in de zorg;
c. besluit: Besluit gebruik burgerservicenummer in de zorg;
d. NEN: door de Stichting Nederlands Normalisatie-Instituut uitgegeven norm;
e. NEN 7510: NEN 7510 en de uitwerkingen daarvan in de NEN 7511 en de NEN 7512;
f. CIBG: agentschap Centraal Informatiepunt Beroepen Gezondheidszorg, bedoeld in artikel 1 van het Instellingsbesluit agentschap Centraal Informatiepunt Beroepen Gezondheidszorg
g. CPS-ZOVAR: het Certification Practice Statement van het Centraal Informatiepunt Beroepen Gezondheidszorg inzake toegangsmiddelen ten behoeve van zorgverzekeraars;
h. CPS-UZI-register: het Certification Practice Statement van het Centraal Informatiepunt Beroepen Gezondheidszorg inzake toegangsmiddelen ten behoeve van zorgaanbieders en indicatieorganen;
i. toegangsmiddel: toegangsmiddel als bedoeld in artikel 1, onderdeel j, van het besluit.
De gegevensverwerking, bedoeld in de artikelen 8 en 9 van de wet, in artikel 52, eerste, vierde en vijfde lid, van de Algemene Wet Bijzondere Ziektekosten, in artikel 86, eerste, vierde en vijfde lid, van de Zorgverzekeringswet en in de artikelen 28, tweede lid, en 29 van het Besluit gebruik burgerservicenummer in de zorg voldoet aan de NEN 7510.
1. Bij een aanvraag als bedoeld in artikel 3 van het besluit verstrekt een zorgverzekeraar de gegevens en bescheiden bedoeld in het CPS-ZOVAR.
2. Bij een aanvraag als bedoeld in artikel 3 van het besluit verstrekt een zorgaanbieder de gegevens en bescheiden bedoeld in het CPS-UZI-register.
3. Bij een aanvraag als bedoeld in artikel 3 van het besluit verstrekt een indicatieorgaan de gegevens en bescheiden bedoeld in het CPS-UZI-register.
1. De aanvraag, de toekenning, het beheer, de beveiliging, het gebruik en de intrekking van een toegangsmiddel ten behoeve van een zorgverzekeraar geschiedt overeenkomstig de wijze zoals beschreven in het CPS-ZOVAR.
2. De aanvraag, de toekenning, het beheer, de beveiliging, het gebruik en de intrekking van een toegangsmiddel ten behoeve van een zorgaanbieder geschiedt overeenkomstig de wijze zoals beschreven in het CPS-UZI-register.
3. De aanvraag, de toekenning, het beheer, de beveiliging, het gebruik en de intrekking van een toegangsmiddel ten behoeve van een indicatieorgaan geschiedt overeenkomstig de wijze zoals beschreven in het CPS-UZI-register.
De Minister publiceert op het internet de gegevens die zijn opgenomen in verstrekte toegangsmiddelen als bedoeld in artikel 18, onderdeel a, van het besluit.
Er zal gedurende een periode van drie jaar gerekend vanaf de datum van inwerkingtreding van deze regeling geen vergoeding in rekening worden gebracht voor toegangsmiddelen, als bedoeld in artikel 18, onderdeel a, van het besluit.
De geldigheid van het toegangsmiddel is drie jaar gerekend vanaf de datum van uitgifte van het toegangsmiddel.
In artikel 2.6.9, eerste lid, onderdeel c, onder 2°, en in artikel 2.6.9, eerste lid, onderdeel f, van de Regeling subsidies AWBZ wordt ‘sociaal-fiscaalnummer’ telkens vervangen door: burgerservicenummer of, bij het ontbreken daarvan, het sociaal-fiscaalnummer.
In artikel 7.2, onderdeel b, van de Regeling zorgverzekering wordt na ‘polisnummer, ’ ingevoegd: burgerservicenummer of, bij het ontbreken daarvan, sociaal-fiscaalnummer.
Deze regeling treedt in werking op het tijdstip waarop de wet in werking treedt.
Deze regeling wordt aangehaald als: Regeling gebruik burgerservicenummer in de zorg.
Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.
Toelichting
Met de Wet gebruik burgerservicenummer in de zorg en het daarbij behorende besluit wordt het burgerservicenummer in de zorgsector geïntroduceerd. Het burgerservicenummer vervangt het sofinummer. In de Wet gebruik burgerservicenummer in de zorg en in het besluit is aangegeven dat een aantal onderwerpen bij Ministeriële regeling (kunnen) worden uitgewerkt. Deze regeling voorziet daarin.
Hoewel er geen wettelijke adviesplicht bestaat, is deze regeling toch voorgelegd aan het College bescherming persoonsgegevens (CBP). Het CBP heeft op 14 mei 2008 advies uitgebracht en aangegeven dat het advies enkel een oordeel bevat over de regeling en niet over de hieronder beschreven Certification Practice Statements (CPS) waarnaar de regeling verwijst. Hieronder wordt ingegaan op de overige opmerkingen van het CBP.
In het Besluit burgerservicenummer in de zorg is beschreven welke toegangsmiddelen het CIBG uitgeeft. Eén van de toegangsmiddelen is een zogenaamde medewerkerspas die niet op naam is gesteld. Voor zover dergelijke passen al noodzakelijk zouden zijn, adviseert het CBP de uitgifte te beperken tot bepaalde categorieën medewerkers en tot een maximum aantal per organisatie. In het bijzonder vanwege de toegang tot het elektronisch patiëntendossier (EPD) pleit het CBP voor aanvullende waarborgen omtrent het gebruik van deze passen. De medewerkerspas niet op naam is onontbeerlijk vanwege de flexibiliteit die deze biedt met het oog op wisselingen in het personeelsbestand van zorgaanbieders, indicatieorganen en zorgverzekeraars. Zij kunnen zo'n pas zelf beheren en desgewenst achtereenvolgens aan diverse personen in gebruik geven. Tijdens de consultatie van het zorgveld is dit als een belangrijk punt naar voren gekomen. Herleidbaarheid van deze pas tot de persoon dient door de abonnee zelf bijgehouden te worden. De regeling verplicht daartoe en op de naleving van die verplichting dient scherp te worden toegezien. Anders dan het CBP veronderstelt, kan met de medewerkerspas niet op naam geen toegang tot het EPD worden verkregen. Gelet op de vereiste flexibiliteit en op de beperkte mogelijkheden van de pas wordt geen aanleiding gezien om het aantal medewerkerspassen niet op naam per instelling te maximeren of tot bepaalde categorieën medewerkers te beperken.
Het CBP adviseert de NEN 7510 verplichtend op te leggen en geen ruimte te bieden om eenzelfde mate van beveiliging te bewerkstelligen als de NEN 7510. Het CBP is van mening dat dit van belang is voor de standaardisatie en samenwerking tussen instellingen. Daarbij is het CBP van mening dat ook het toezicht wordt bemoeilijkt als de NEN 7510 niet verplichtend wordt opgelegd. Gelet op bovenstaande is de regeling op dit punt aangepast.
Het CBP is verder van mening dat in de toelichting bij artikel 3 een verwijzing moet worden opgenomen naar paragraaf 4.2 en 3.2 van het CPS-UZI-register of het CPS-ZOVAR en dat het wenselijk is een overzicht van de gegevens die zijn opgenomen in verstrekte toegangsmiddelen en die gepubliceerd worden op internet in de toelichting bij artikel 5 op te nemen. Als laatste wijst het CBP erop dat de gedragscode voor verzekeraars momenteel geacualiseerd wordt. Deze opmerkingen van het advies zijn verwerkt.
De administratieve lasten zijn reeds in beeld gebracht in de memorie van toelichting bij de Wet op het gebruik burgerservicenummer in de zorg. Om die reden wordt een advies van Actal niet nodig geacht en wordt deze regeling niet aan Actal voorgelegd.
Beveiliging gegevensverwerking
Zorgaanbieders, indicatieorganen en zorgverzekeraars dienen maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking alsmede om te voorkomen dat onnodige verzameling en verdere verwerking van persoonsgegevens plaatsvindt (artikel 13 Wet bescherming persoonsgegevens). Deze maatregelen garanderen een beveiligingsniveau dat past bij de aard van de te verwerken gegevens en bij de risico's die optreden bij het verwerken van die gegevens. De maatregelen houden rekening met de stand van de techniek en de kosten van de tenuitvoerlegging. Ter uitvoering van de wettelijke plicht om de gegevensverwerking passend te beveiligen wordt door de zorgverzekeraars een gedragscode gehanteerd. Deze code wordt op dit moment aangepast en zal in gewijzigde vorm ter goedkeuring aan het CBP worden voorgelegd. Door het hele zorgveld is een standaardnorm, NEN 7510, ontwikkeld. De NEN 7510 is de zorgspecifieke bewerking van de Code voor informatiebeveiliging (NEN-ISO/IEC 17799). Deze norm is uitgewerkt in de NEN 7511 en de NEN 7512. Er is gekozen de NEN norm in deze regeling als uitgangspunt te nemen voor de beveiliging, omdat deze norm met medewerking van betrokkenen is opgesteld en daardoor goed is afgestemd op de praktijk. Normalisatie is een vorm van zelfregulering. Door deze norm ten grondslag te leggen aan een adequate beveiliging is zoveel mogelijk aangesloten bij het zelfregulerend vermogen van de sector.
De Wet gebruik burgerservicenummer in de zorg kent een register van zorgaanbieders, een register van indicatieorganen en een register van zorgverzekeraars. Het agentschap Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) verzorgt deze registers namens de Minister van Volksgezondheid, Welzijn en Sport en geeft aan geregistreerde partijen authenticatiemiddelen uit. Het register voor zorgaanbieders en indicatieorganen wordt ook wel het Unieke Zorgverlener Identificatie register (UZI-register) genoemd en het register voor zorgverzekeraars ook wel het Zorgverzekeraars Identificatie en Authenticatie Register (ZOVAR).
Betrouwbaar communiceren over internet is alleen mogelijk met voldoende zekerheden. Er bestaat een infrastructuur die betrouwbaar communiceren mogelijk maakt: public key infrastructure (PKI). PKI geeft zekerheid dat communicatie betrouwbaar verloopt. Voor het burgerservicenummer wordt door middel van UZI-passen gebruik gemaakt van PKI. Hoeksteen van de PKI voor de overheid, welke valt onder de verantwoordelijkheid van het Ministerie van Binnenlandse Zaken, is het zogeheten Programma van Eisen (PvE). Dit programma is gebaseerd op Europese standaarden en Nederlandse wetgeving. Hiermee kunnen gebruikers er op vertrouwen dat zij gebruik maken van een kwalitatief hoogwaardige en betrouwbare PKI-infrastructuur, die tevens voldoet aan internationaal geaccepteerde richtlijnen.
Een van de onderdelen van het Programma van Eisen is het Certificate Policy (CP). Het CP is een document met een benoemde verzameling eisen dat de kaders aangeeft waarbinnen het UZI-register of het ZOVAR certificaten uitgeeft. In het CP is bepaald dat certificatiedienstverleners (UZI-register en ZOVAR) een Certification Practice Statement (CPS) moeten vaststellen. Het CPS is dus een document dat de door het UZI-register of het ZOVAR gevolgde procedures en getroffen maatregelen over alle aspecten van de dienstverlening beschrijft. Het CPS beschrijft op welke wijze het UZI-register of het ZOVAR voldoet aan de eisen zoals gesteld in de Certificate Policy (CP).
Het CPS is relevant voor het leveren van de producten van het UZI-register en het ZOVAR die nodig zijn voor het raadplegen van de sectorale berichtenvoorziening voor de zorg (SBV-Z). Het CPS is de schriftelijke vastlegging van het beleid waarnaar in deze regeling wordt verwezen en ligt ter inzage bij het CIBG. Hiervoor is gekozen omdat het CPS in zijn geheel van belang is voor het gebruik van het burgerservicenummer door zorgaanbieders, indicatieorganen en zorgverzekeraars. Wijzigingen in het CPS moeten worden goedgekeurd door de Minister van VWS alvorens de beleidswijzigingen kunnen worden doorgevoerd. Op deze wijze is een zorgvuldig beheer van het CPS gegarandeerd.
Het UZI-register en het ZOVAR kennen drie typen wijzigingen in het CPS:
1. Tekstuele wijzigingen; deze wijzigingen worden niet voorgelegd aan belanghebbenden.
2. Inhoudelijke wijzigingen waar als gevolg van bijvoorbeeld gewijzigde wetgeving aan moet worden voldaan. De voorgenomen wijzigingen worden op het internet gepubliceerd en belanghebbenden hebben de mogelijkheid om te reageren.
3. Inhoudelijke wijzigingen waar het UZI-register of het ZOVAR wel zelf invloed op hebben; de voorstellen voor dergelijke wijzigingen worden in een fysieke consultatiesessie aan het zorgveld (koepels e.d.) en andere belanghebbende partijen (VWS) gepresenteerd.
Het CPS van het UZI-register en van het ZOVAR maken deel uit van de regeling.
Het CPS beschrijft hoe een register de dienstverlening uitvoert en wat de rechten en plichten van alle betrokkenen zijn. In hoofdlijnen geeft het CPS de processen, procedures en maatregelen aan voor het aanvragen, produceren, verstrekken, beheren en intrekken van certificaten. Het CPS is het belangrijkste document voor het certificeringsbeleid.
De NEN 7510 is als norm opgenomen in deze regeling. De NEN 7511 en de NEN 7512 zijn uitwerkingen van de NEN 7510 met een voorschrijvend en toetsbaar karakter. Door naleving van de NEN 7510, in combinatie met deze toetsbare voorschriften, wordt voldaan aan een passende beveiliging die is vereist voor een betrouwbare en veilige omgang met gegevens in de zorg.
De gegevens en bescheiden zoals bedoeld in artikel 3 worden beschreven in paragraaf 4.2 van versie 3.3p van het CPS-UZI-register en versie 1.1p van het CPS-ZOVAR, zoals deze luidden op 20 februari 2008.
Zoals in het algemene deel van de toelichting is opgemerkt, regelt het CPS de procedures en maatregelen over alle aspecten van het UZI-register, het ZOVAR en de verstrekking van toegangsmiddelen. Als toegangsmiddel wordt gebruikt een certificaat als bedoeld in artikel 18. De certificaten worden in detail beschreven in de paragraaf certificaatprofielen van het CPS. Het CPS regelt echter niet dat de gegevens in de verstrekte certificaten openbaar worden gemaakt. In dit artikel is bepaald dat als onderdeel van de uitgifteprocedure op het internet wordt gepubliceerd welke certificaten zijn uitgegeven en ingetrokken. Hierdoor kan de ontvanger van een bericht dat met een UZI certificaat of ZOVAR certificaat is verzonden altijd controleren of het bericht en de inhoud daarvan betrouwbaar zijn. De ontvanger weet dat het bericht echt afkomstig is van de zender en onderweg niet is veranderd. Ook bij de beveiliging van de toegang van elektronisch opgeslagen gegevens vormen de certificaten van UZI en ZOVAR goed controleerbare authenticatiemiddelen.
Indien het een zorgaanbieder betreft, worden de volgende gegevens op grond van dit artikel openbaar gemaakt:
– geslachtsnaam, geboortenaam en voornamen;
– indien de geregistreerde een rechtspersoon is: naam;
– indien de geregistreerde een zorgaanbieder is als bedoeld in artikel 1, eerste lid, onder c, sub 2°, van de Kwaliteitswet zorginstellingen: naam van de instelling;
– indien de houder een beroepsbeoefenaar is de titel in de zin de Wet op de beroepen in de individuele gezondheidszorg: titel;
– indien de houder geen titel heeft in de zin van de Wet op de beroepen in de individuele gezondheidszorg: functie;
– UZI-nummer: uniek nummer van de beroepsbeoefenaar;
– UZI-abonneenummer: uniek nummer van de zorgaanbieder.
Indien het een zorgverzekeraar betreft, worden de volgende gegevens openbaar gemaakt:
– naam van de verzekeraar;
– UZOVI-nummer; uniek nummer van de zorgverzekeraar;
– ZOVAR-nummer; zorgverzekeraars identificatie en authenticatie register;
– domeinnaam;
– aanduiding van de verantwoordelijke afdeling binnen de abonneeorganisatie.
In het Besluit is aangegeven dat de Minister de kosten voor de certificaten in eerste instantie zal dragen en dat na de introductieperiode maximaal een kostendekkende vergoeding in rekening zal worden gebracht. In artikel 6 is geregeld dat geen vergoeding in rekening zal worden gebracht voor de certificaten gedurende de eerste drie jaar. Dit is gelet op de invoering zo vastgesteld.
De geldigheid van een toegangsmiddel is bepaald op drie jaar vanaf de datum van de uitgifte. Deze termijn is door PKI Overheid vastgesteld. Voorafgaand aan de inwerkingtreding van de Wet gebruik burgerservicenummer in de zorg zijn de toegangsmiddelen door middel van overeenkomsten aan gebruikers uitgegeven. Met ingang van de inwerkingtreding van de wet, zal de uitgifte van de toegangsmiddelen publiek geregeld zijn. De reeds privaat uitgegeven middelen verliezen niet hun geldigheid, maar zijn ingevolge artikel 32, tweede lid, van het Besluit burgerservicenummer in de zorg nog steeds geldig.
De artikelen 8 en 9 bevatten de aanpassingen van de Ministeriële regelingen op het terrein van de zorg die voortvloeien uit de introductie van het burgerservicenummer ter vervanging van het sociaal-fiscaalnummer.
In de Regeling subsidies AWBZ wordt het begrip sociaal-fiscaalnummer vervangen door het burgerservicenummer. Het sociaal-fiscaalnummer is uitsluitend nog van belang voor personen die geen burgerservicenummer hebben.
Met deze regeling wordt ook een bepaling in de Regeling zorgverzekering gewijzigd. Aan artikel 7.2 van die regeling wordt het burgerservicenummer toegevoegd.
De Minister van Volksgezondheid, Welzijn en Sport,
A. Klink
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2008-105-p59-SC85884.html