Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ, houdende regels omtrent het gebruik van het burgerservicenummer in de jeugdzorg (Regeling gebruik burgerservicenummer in de jeugdzorg)

De Staatssecretaris van Volksgezondheid, Welzijn en Sport,

Gelet op artikel 2w van de Wet op de jeugdzorg, de artikelen 24 en 24b, derde lid, van het Uitvoeringsbesluit Wet op de jeugdzorg en de artikelen 19, 20, 22, vijfde lid, 23 en 24 van het Besluit gebruik burgerservicenummer in de zorg;

Besluit:

Artikel 1

In deze regeling wordt verstaan onder:

besluit:

Besluit gebruik burgerservicenummer in de jeugdzorg;

BIR:

Baseline Informatiebeveiliging Rijksdienst;

CPS-UZI-register:

het Certification Practice Statement van het Centraal Informatiepunt Beroepen Gezondheidszorg inzake toegangsmiddelen ten behoeve van zorgaanbieders en indicatieorganen;

Minister:

Minister van Volksgezondheid, Welzijn en Sport;

NEN 7510:

NEN 7510 en de uitwerking daarvan in de NEN 7512, uitgegeven door de Stichting Nederlands Normalisatie-Instituut;

toegangsmiddel:

toegangsmiddel als bedoeld in artikel 1, onderdeel j, van het Besluit gebruik burgerservicenummer in de zorg;

wet:

Wet op de jeugdzorg.

Artikel 2

De gegevensverwerking, bedoeld in de artikelen 2r en 2v van de wet, voldoet aan de BIR voor zover zij wordt uitgevoerd door de stichtingen en aan de NEN 7510 voor zover zij wordt uitgevoerd door de jeugdzorgaanbieders.

Artikel 3

Bij een aanvraag als bedoeld in artikel 24 van het besluit verstrekt een bureau jeugdzorg of jeugdzorgaanbieder de gegevens en bescheiden, bedoeld in het CPS-UZI-register.

Artikel 4

De aanvraag, de toekenning, het beheer, de beveiliging, het gebruik en de intrekking van een toegangsmiddel ten behoeve van een jeugdzorgaanbieder of een stichting geschieden zoals beschreven in het CPS-UZI-register.

Artikel 5

De geldigheid van het toegangsmiddel is drie jaar gerekend vanaf de datum van uitgifte van het toegangsmiddel.

Artikel 6

Deze regeling treedt in werking op het tijdstip dat het besluit in werking treedt.

Artikel 7

Deze regeling wordt aangehaald als: Regeling gebruik burgerservicenummer in de jeugdzorg.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Staatssecretaris van Volksgezondheid, Welzijn en Sport, M.J. van Rijn

TOELICHTING

Algemeen

Met de Wet gebruik burgerservicenummer in de jeugdzorg (hierna: wet) en het Besluit tot wijziging van het Uitvoeringsbesluit Wet op de jeugdzorg (hierna: besluit) wordt het gebruik van het burgerservicenummer in de jeugdzorgsector verplicht. In de wet en het besluit is aangegeven dat een aantal onderwerpen bij ministeriële regeling (kunnen) worden uitgewerkt. Deze regeling voorziet daarin.

Jeugdzorgaanbieders en bureaus jeugdzorg dienen maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking alsmede om te voorkomen dat onnodige verzameling en verdere verwerking van persoonsgegevens plaatsvindt (artikel 13 Wet bescherming persoonsgegevens). Deze maatregelen garanderen een beveiligingsniveau dat past bij de aard van de te verwerken gegevens en bij de risico’s die optreden bij het verwerken van die gegevens. De maatregelen houden rekening met de stand van de techniek en de kosten van de tenuitvoerlegging.

Ter uitvoering van de wettelijke plicht om de gegevensverwerking passend te beveiligen is voor het zorgveld als standaardnorm NEN 7510 ontwikkeld. De NEN 7510 is de zorgspecifieke bewerking van de Code voor informatiebeveiliging (NEN ISO/IEC 17799). Deze norm is uitgewerkt in de NEN 7512. Er is gekozen deze NEN-norm in deze regeling als uitgangspunt te nemen voor de beveiliging, omdat deze norm voor de zorg ook goed past bij de praktijk van de jeugdzorgaanbieders. Door deze norm ten grondslag te leggen aan een adequate beveiliging is zoveel mogelijk aangesloten bij het zelfregulerend vermogen van de sector.

De wet regelt een autorisatielijst (een register) van jeugdzorgaanbieders. Het agentschap Centraal Informatiepunt Beroepen Gezondheidszorg (bedoeld in artikel 1 van het Instellingsbesluit agentschap Centraal Informatiepunt Beroepen Gezondheidszorg) beheert dit register namens de Minister van Volksgezondheid, Welzijn en Sport en geeft aan geregistreerde partijen authenticatiemiddelen uit. Het register voor jeugdzorgaanbieders wordt ook wel het Unieke Zorgverlener Identificatie register (UZI-register) genoemd.

Het Certification Practice Statement (hierna te noemen: CPS) van het UZI-register (www.zorgcsp.nl/cps/ActueelCPS.aspx) maakt deel uit van deze regeling. Het CPS beschrijft hoe het UZI-register de dienstverlening uitvoert en wat de rechten en plichten van alle betrokkenen zijn. In hoofdlijnen geeft het CPS de processen, procedures en maatregelen aan voor het aanvragen, produceren, verstrekken, beheren en intrekken van toegangsmiddelen.

Artikelsgewijs

Artikel 1

De NEN7512 is een uitwerkingen van de NEN 7510 met een voorschrijvend en toetsbaar karakter. Door naleving van de NEN 7510, in combinatie met deze toetsbare voorschriften, wordt voldaan aan een passende beveiliging die is vereist voor een betrouwbare en veilige omgang met gegevens in de zorg. Jeugdzorgaanbieders kunnen ook aan deze norm voldoen.

Artikel 2

Het CBP adviseerde eerder bij de Regeling gebruik bsn in de zorg de NEN 7510 verplichtend op te leggen en geen ruimte te bieden om eenzelfde mate van beveiliging te bewerkstelligen als de NEN 7510. Het CBP is van mening dat dit van belang is voor de standaardisatie en samenwerking tussen instellingen. Daarbij is het CBP van mening dat ook het toezicht wordt bemoeilijkt als de NEN 7510 niet verplichtend wordt opgelegd. Met artikel wordt op analoge wijze bij dit advies aangesloten.

Bijkomend voordeel van NEN 7510 is dat deze voor de jeugdzorgaanbieders die reeds zijn aangesloten op SBV-Z al geldt. Daarmee wordt voorkomen dat er straks in deze sector twee naast elkaar staande normen van toepassing zijn. Eén normenkader voor de gehele sector schept duidelijkheid en transparantie.

Artikel 3

De gegevens en bescheiden, bedoeld in artikel 3, worden beschreven in hoofdstuk 3 van het CPS-UZI-register.

Artikel 4

Aanvraag en toekenning

Voordat toegangsmiddelen kunnen worden aangevraagd, dient de jeugdzorgaanbieder of het bureau jeugdzorg als abonnee te zijn ingeschreven in het UZI-register. Na een positieve identificatie en authenticatie vindt registratie plaats en kunnen de volgende certificaten worden aangevraagd:

  • certificaten voor zorgverleners

  • certificaten voor medewerkers op naam

  • certificaten voor medewerkers niet op naam

  • certificaten voor systemen, databases en websites.

Hiertoe moet, via een aanvraagformulier, een aanvraag worden ingediend bij het UZI-register, zie website www.uziregister.nl.

Een aanvraag van toegangsmiddelen dient te worden gedaan door de abonnee of een gemachtigde.

Nadat het aangevraagde toegangsmiddel is geproduceerd, wordt het conform de in het CPS-UZI-register genoemde technische of functionele specificaties geleverd aan de jeugdzorgaanbieder of het bureau jeugdzorg. Binnen drie maanden na ontvangst van het toegangsmiddel neemt de abonnee het in gebruik.

Beheer en beveiliging

Het UZI-register geeft op het hoogste vertrouwensniveau garanties over de gegevens die op de toegangsmiddelen zijn opgenomen. Om dit te waarborgen voldoet de dienstverlening van het UZI-register aan een aantal strenge eisen.

  • Voor alle toegangsmiddelen moet een zorgvuldig registratie- en uitgifteproces worden doorlopen voordat het product daadwerkelijk gebruikt kan worden. Voordat een zorgaanbieder of organisatie wordt ingeschreven, controleert het UZI-register of deze voldoet aan alle criteria.

  • De productie van de UZI-pas vindt plaats in een streng beveiligde omgeving.

  • Voordat het UZI-register een toegangsmiddel uitgeeft, controleert het de fysieke en de wettelijke identiteit van de aanvrager. Een beoogd pashouder moet een UZI-pas persoonlijk afhalen en zich daarbij legitimeren. Ook de aanvrager van een UZI-servercertificaat moet zich legitimeren voor uitgifte van het servercertificaat.

  • Het UZI-register maakt openbaar welke toegangsmiddelen zijn uitgegeven en welke producten niet langer actueel zijn. Hierdoor kan de ontvanger van een bericht dat met gebruik van het toegangsmiddel is verzonden altijd controleren of hij het bericht en de inhoud daarvan kan vertrouwen.

  • Het UZI-register voldoet bij de uitvoering van zijn taken aan de relevante Europese en nationale regelgeving. Daarnaast zijn er op verschillende terreinen, bijvoorbeeld de techniek, op internationaal en Europees niveau diverse standaarden ontwikkeld die het UZI-register als norm hanteert.

  • Het UZI-register is gecertificeerd. Een onafhankelijke auditor stelt periodiek vast of aan de gestelde normen en standaarden wordt voldaan.

  • De toegangsmiddelen worden uitgegeven onder verantwoordelijkheid van de Staat der Nederlanden.

Gebruik

Een servercertificaat mag niet op ieder systeem worden geïnstalleerd. Niet alleen het systeem zelf, maar ook de omgeving van het systeem moet aan voorschriften voldoen. Voor jeugdzorgaanbieders en bureaus jeugdzorg die met servercertificaten willen gaan werken, zijn factsheets beschikbaar waarin wordt uiteengezet wat die voorschriften zijn. Ook voor het gebruik van UZI-passen bestaan voorschriften.

Intrekking

Een verzoek tot intrekking kan worden gedaan door de abonnee of door de houder van het toegangsmiddel, of door het UZI-register. Het CPS-UZI-register beschrijft wanneer een verzoek tot intrekking kan worden gedaan.

Artikel 5

Dit artikel regelt de geldigheid van toegangsmiddelen. Een toegangsmiddel is drie jaar geldig, gerekend vanaf de datum van uitgifte van het toegangsmiddel.

Artikel 6

Artikel 6 regelt de inwerkingtreding van de regeling. Met het oog op de gewenste spoed om het bsn te kunnen gaan gebruiken en omdat de doelgroepen bij een spoedige inwerkingtreding gebaat zijn, wordt toepassing gegeven aan het beleid van de bijzondere inwerkingtredingsbepalingen zoals opgenomen in Aanwijzing 180 van de Aanwijzingen voor de regelgeving.

De Staatssecretaris van Volksgezondheid, Welzijn en Sport, M.J. van Rijn

Naar boven