Besluit van de Minister voor Medische Zorg van 27 juni 2019, kenmerk 1529221-190512-WJZ, houdende vaststelling van een bewaartermijn voor logging

Op grond van artikel 5, eerste lid van het Besluit elektronische gegevensverwerking door zorgaanbieders, dragen de verantwoordelijken voor zorginformatiesystemen en elektronische uitwisselingssystemen er zorg voor dat de logging voldoet aan NEN7513. In paragraaf 8.5 van NEN 7513 staat dat de verantwoordelijke voor de logging de termijnen moet vaststellen voor het bewaren van de loggegevens. Hierbij stelt NEN7513 dat de bewaartermijn minimaal 2 jaar is en maximaal de bewaartermijn van het medisch d ossier, tenzij op grond van regelgeving een andere bewaartermijn wordt vastgesteld.

Met dit besluit wordt een minimale bewaartermijn van 5 jaar voor logging vastgesteld, die start op het moment van het schrijven van de logregel. De minimale bewaartermijn betekent dat de verantwoordelijke voor een zorginformatiesysteem of een elektronisch uitwisselingssysteem zelf kan vaststellen dat hij een langere bewaartermijn hanteert. Daarbij geldt dat die bewaartermijn niet onbegrensd is. Gelet op het beginsel van minimale gegevensverwerking als vastgelegd in artikel 5, eerste lid, onderdeel c, van de AVG zou de bewaartermijn maximaal gelijk kunnen zijn aan de bewaartermijn van het medisch dossier. Ook NEN7513 stelt dit als de maximale bewaartermijn.

Aan de bewaartermijn van 5 jaar liggen de volgende overwegingen ten grondslag.

Logging van toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen is de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot die systemen met als primaire doel de controle van de rechtmatigheid ervan mogelijk te maken. De logging levert een betrouwbaar overzicht van de gebeurtenissen waarbij persoonlijke gezondheidsinformatie is verwerkt. Met de logging kan door de zorgaanbieders en verwerkingsverantwoordelijken controle worden uitgeoefend op (on)rechtmatige toegang tot persoonlijke gezondheidsinformatie en verantwoording worden afgelegd aan cliënten (die recht hebben op inzage van deze gegevens), collega’s en toezichthouders over de zorgvuldige en juiste omgang met de gezondheidsgegevens. Cliënten kunnen de loggegevens gebruiken bij een klacht over (vermeende) onrechtmatige toegang tot persoonlijke gezondheidsinformatie. De zorgaanbieder en verwerkingsverantwoordelijken kunnen de logging gebruiken voor het verbeteren van het proces van de toegangscontrole tot patiëntgegevens en zo nodig om zich te verdedigen bij aansprakelijkheidsstellingen door cliënten of anderen betrokkenen.

Volgens NEN 7513 moet de logging kunnen voorzien in informatie waardoor achteraf onweerlegbaar kan worden vastgesteld welke gebeurtenissen hebben plaatsgevonden op een patiëntendossier of op een elektronisch uitwisselingssysteem. De bewaartermijn voor de logging moet in overeenstemming zijn met beoogde gebruik van de logging, zoals hierboven beschreven.

Bij het bepalen van de bewaartermijn van logging is het van belang een zorgvuldige afweging te maken tussen de belangen van de patiënt enerzijds en de belangen van de medewerker van de zorginstelling en de gebruiker van het elektronisch uitwisselingssysteem anderzijds.

De patiënt heeft er belang bij dat de toegang tot het zorginformatiesysteem en het gebruik van een elektronisch uitwisselingssysteem tot een bepaalde termijn in het verleden wordt vastgelegd en beschikbaar is om in te kunnen zien en de rechtmatigheid van de toegang te kunnen controleren. Daarbij spelen de verjaringstermijnen van rechtsvorderingen een rol. Op grond van het Burgerlijk wetboek geldt voor de meest voorkomende rechtsvorderingen een verjaringstermijn van vijf jaar (vergoeding van schade (art. 3:310 BW), nakoming van een verbintenis uit overeenkomst (art. 3:307 BW)). De bevoegdheid tot het indienen van een klacht bij een tuchtcollege voor de gezondheidszorg vervalt door verjaring na 10 jaar. Deze termijn vangt aan op de dag na die waarop het desbetreffende handelen of nalaten heeft plaatsgevonden. De ervaring leert dat de meeste verzoeken voor inzage in de logging binnen een termijn van 5 jaar worden gedaan, en dat gevallen waar na een langere termijn een verzoek voor inzage in de logging wordt gedaan, incidenteel zijn. Daarnaast is na vijf jaar niet altijd meer gegarandeerd dat de logging onomstotelijk tot op de juiste persoon herleidbaar is. Dit komt door de minimale bewaartermijn van 5 jaar voor de verklaring loonbelasting en een kopie van het identiteitsbewijs na vertrek van een medewerker.

Ook medewerkers van de zorgaanbieder hebben er belang bij dat de logging wordt bewaard, zodat zij zich kunnen verweren bij claims van onrechtmatige toegang. Echter, op grond van de AVG gelden bij het bepalen van de bewaartermijn van logging de beginselen van gegevensminimalisatie en opslagbeperking (artikel 5, eerste lid, onderdelen c en e, AVG). Op grond hiervan worden persoonsgegevens niet langer in een tot personen herleidbare vorm bewaard dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Bij logging gaat het dan om de persoonsgegevens van de medewerkers van de zorgaanbieder op wie de logregels betrekking hebben.

Ten slotte spelen ook de kosten van logging een rol bij het vaststellen van een minimale bewaartermijn. De diverse handelingen met betrekking tot logging (opslaan, opvraagbaar stellen, vernietigen) vereisen middelen (hard- en software) en procedures waaraan kosten zijn verbonden. Omdat logging al verplicht is, zijn deze kosten in principe al gemaakt. De extra kosten vanwege een langere bewaartermijn worden beperkt geacht. Het gaat om extra data-opslag en kosten die moeten worden gemaakt om de logging, na het verstrijken van de gekozen bewaartermijn, stelselmatig te verwijderen. De inrichting van middelen en procedures voor logging varieert per type zorgaanbieder. Bij de inrichting van de procedures en middelen voor logging gelden de zekerheidseisen zoals gesteld in hoofdstuk 8 van NEN7513.