Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek | Datum ondertekening |
|---|---|---|---|---|
| Ministerie van Volksgezondheid, Welzijn en Sport | Staatscourant 2022, 17026 | ander besluit van algemene strekking |
Authentieke versie (PDF)
Informatie
Printen
Delen
Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 20 juni 2022, kenmerk 3382939-1031007-WJZ, houdende wijziging van de Uitvoeringsregeling Wkkgz in verband met de beveiliging van gegevens en de wijze van pseudonimisering ten behoeve van registraties ter bevordering van de kwaliteit en veiligheid van de gezondheidszorg
De Minister van Volksgezondheid, Welzijn en Sport,
Gelet op de artikelen 4.4, onderdelen a en b, en 4.8, onderdelen a en b, van het Uitvoeringsbesluit Wkkgz;
Besluit:
ARTIKEL I
De Uitvoeringsregeling Wkkgz wordt als volgt gewijzigd:
A
In artikel 1 worden in de alfabetische rangschikking de volgende begripsomschrijvingen ingevoegd:
- NEN:
-
door de Stichting Nederlands Normalisatie-instituut uitgegeven norm;
- NEN 7510-1 en 7510-2:
-
normen betreffende het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg;
- NEN 7524:2019 en:
-
norm betreffende de pseudonimisering van gegevens in de zorg.
B
Na artikel 7 wordt een nieuw hoofdstuk ingevoegd:
Hoofdstuk 2A. Kwaliteitsregistraties
Artikel 7a
-
1. De gegevens worden enkel verwerkt en verstrekt, als bedoeld in artikel 4.4, onderdeel a, en 4.8, onderdeel a, van het Uitvoeringsbesluit Wkkgz, indien pseudonimisering als bedoeld in artikel 4, onderdeel 5, van de Algemene verordening gegevensbescherming is toegepast.
-
2. De pseudonimisering vindt zodanig plaats dat herleidbaarheid naar de persoon aan wie de gegevens toebehoren zo veel als mogelijk wordt voorkomen.
Artikel 7b
Aan artikel 7a, tweede lid, wordt in elk geval voldaan als de pseudonimisatie plaatsvindt overeenkomstig NEN 7524:2019 en, dan wel op een vergelijkbare wijze.
Artikel 7c
Passende technische en organisatorische maatregelen, als bedoeld in de artikelen 4.4, onderdeel b, en 4.8, onderdeel b, van het Uitvoeringsbesluit Wkkgz, zijn in elk geval getroffen als de beveiliging van de gegevens plaatsvindt overeenkomstig NEN 7510-1 en 7510-2, dan wel op een vergelijkbare wijze.
Artikel 7d
-
1. Voor de uitvoering van deze regeling wordt toepassing gegeven aan de laatste uitgave van de NEN 7510-1 en 7510-2.
-
2. De minister doet van een nieuwe uitgave van de genoemde NEN, mededeling in de Staatscourant. Bij die mededeling wordt bekend gemaakt op welke datum de nieuwe uitgave van toepassing wordt.
TOELICHTING
1. Algemeen
Deze ministeriële regeling wijzigt de Uitvoeringsregeling Wkkgz en is de uitwerking bij ministeriële regeling van hetgeen is bepaald in de artikelen 4.4 en 4.8 van het Uitvoeringsbesluit Wkkgz.
De reden voor de wijziging van de Wkkgz, houdende het invoegen van de nieuwe artikelen 30a en 30b1, is het opnemen van een verwerkingsgrondslag voor persoonsgegevens, waaronder gezondheidsgegevens, ten behoeve van de kwaliteitsregistraties Landelijk Alcohol en Drugs Informatie Systeem (LADIS) met gegevens over verslaving(szorg) en de Landelijke Trauma Registratie (LTR) met gegevens over traumazorg per regio en op landelijk niveau. Ook is met deze artikelen geregeld dat zorgaanbieders die verslavingszorg verlenen en zorgaanbieders die acute zorg verlenen verplicht zijn alle noodzakelijke (persoons)gegevens, waaronder gegevens over de gezondheid, voor de in de artikelen 30a en 30b opgenomen doelen te verstrekken.
Gelet op de artikelen 30a, derde lid, en 30b, vierde lid, van de Wkkgz mogen de verwerker van LTR en de verwerker van LADIS de persoonsgegevens slechts verwerken als deze gepseudonimiseerd zijn. Dit houdt in dat de verwerkers van LADIS en LTR ervoor verantwoordelijk zijn dat de persoonsgegevens worden gepseudonimiseerd.
Pseudonimisering van persoonsgegevens houdt in dat deze gegevens op zodanige wijze zijn verwerkt dat ze niet zonder het gebruik van aanvullende gegevens herleidbaar zijn tot specifieke natuurlijke personen. Dit betekent dat bij persoonsgegevens het persoonsidentificerende gedeelte (bijvoorbeeld naam, adres en woonplaats of het Burgerservicenummer (hierna: BSN) is versleuteld tot fictieve nummers, letters of andere symbolen. De betrokkene wordt vervolgens met die fictieve nummers, die letters of die symbolen aangeduid. Uit de begripsomschrijving 'pseudonimisering' in artikel 4, onderdeel 5, van de Algemene Verordening Gegevensbescherming (AVG) blijkt dat een dergelijke bewerking van persoonsgegevens als een verwerking van persoonsgegevens in de zin van die verordening geldt. De pseudonimisering van persoonsgegevens vormt een methode om de inbreuk op de bescherming van persoonsgegevens als gevolg van de verwerking zoveel mogelijk te beperken. De pseudonimisering mag ook niet ongedaan zijn gemaakt, maar moet onafgebroken worden gecontinueerd.
In de artikelen 30a en 30b van de Wkkgz is een delegatiegrondslag opgenomen voor het bepalen van de wijze van verstrekking en verwerking van gegevens. Dit gaat onder meer over de wijze van pseudonimiseren. Ook moet de wijze waarop persoonsgegevens, waaronder gezondheidsgegevens, door passende technische en organisatorische maatregelen worden beveiligd tegen verlies of onrechtmatige verwerking, worden opgenomen in lagere regelgeving. In de artikelen 4.4 en 4.8 van het Uitvoeringsbesluit Wkkgz zijn deze twee onderwerpen doorgedelegeerd naar het niveau van een ministeriële regeling.
2. Vereisten beveiliging van gegevens AVG
Artikel 5, eerste lid, onderdeel f, van de AVG bepaalt dat bij de verwerking van persoonsgegevens passende en organisatorische maatregelen moeten worden getroffen, zodat een passende beveiliging is gewaarborgd en dat persoonsgegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking. Op grond van artikel 32, eerste lid, van de AVG zijn zowel de verwerkingsverantwoordelijke als de verwerker verplicht passende technische en organisatorische maatregelen te treffen. Vervolgens is bepaald wat kan worden verstaan onder passende en organisatorische maatregelen. Eén van deze maatregelen is pseudonimisering en versleuteling van persoonsgegevens2. Uit het vorenstaande blijkt dat deze waarborg is getroffen aangezien de verwerkers van LADIS en LTR de persoonsgegevens slechts mogen verwerken als deze gepseudonimiseerd zijn.
In deze regeling wordt geen bepaalde wijze van pseudonimiseren verplicht gesteld. Wel wordt bepaald dat aan een rechtmatige verwerking van de persoonsgegevens wordt voldaan als wordt gepseudonimiseerd conform NEN 7524:2019 en (hierna: NEN 7524) of op een vergelijkbare wijze. Ook wordt in deze regeling geen bepaalde wijze van beveiliging vastgelegd. De beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking, welk vereiste is opgenomen in artikel 5, eerste lid, onderdeel f, van de AVG, is in elk geval geborgd als wordt voldaan aan NEN 7510-1:2017+A1:2020 nl (hierna: NEN 7510-1) en NEN 7510-2:2017 (hierna: NEN 7510-2) dan wel als de beveiliging plaatsvindt op een vergelijkbare wijze.
3. NEN-normen
Als er sprake is van zelfregulering, kan in een regeling worden verwezen naar een norm die niet publiekrechtelijk van aard is. Dit kunnen bijvoorbeeld normalisatienormen zijn. Van normalisatie is sprake als private partijen door tussenkomst van bijvoorbeeld het Nederlands Normalisatie-instituut NEN gezamenlijk normen voor hun handelen opstellen.
3.1. Informatiebeveiliging NEN 7510-1 en NEN 7510-2
Binnen de Nederlandse Zorg zijn NEN 7510-1 en NEN 7510-2 dé normen als het gaat om informatiebeveiliging. Deze normen dekken het hele gebied van informatiebeveiliging, zowel op technisch, als organisatorisch en procedureel niveau. NEN 7510-1 en NEN 7510-2 geven richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorgaanbieders en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. In de wet- en regelgeving wordt van zorgaanbieders in de gezondheidszorg vereist dat de informatiebeveiliging op orde is. De NEN 7510-1 en NEN 7510-2 worden daarbij als kader gehanteerd. Het Ministerie van VWS heeft een overeenkomst met NEN gesloten over de afkoop van onder andere de NEN 7510 (later NEN 7510-1 en 7510-2) per 1 november 2014, waardoor NEN 7510-1 en 7510-2 voor een ieder kosteloos digitaal beschikbaar zijn.
De primaire doelgroep van NEN 7510-1 en 7510-2 is de zorgaanbieders. Toeleveranciers van de zorg, bijvoorbeeld organisaties die patiënten informatie verwerken, maken in de praktijk echter ook gebruik van deze NEN normen.
Certificering op grond van NEN 7510-1 en 7510-2 wordt in deze regeling niet verplicht gesteld. Hetzelfde resultaat kan ook op een andere wijze worden bereikt. Dit is conform het uitgangspunt dat bij het gebruik van normen in beleid of wetgeving de toepassing van normen vrijwillig is. Er wordt gericht op een niet-dwingende wijze van verwijzen. Dit blijkt uit het kabinetsbeleid inzake de kenbaarheid van normen en normalisatie (hierna: kabinetsbeleid normen en normalisatie).3 De reden dat het dwingend opleggen van bijvoorbeeld NEN-normen minder wenselijk is dat op deze normen een auteursrecht rust en alleen tegen betaling kunnen worden verkregen. Daarbij komt dat normalisatie een vrijwillig karakter kent en om die reden niet goed valt te rijmen met het dwingend opleggen van deze normen.
In artikel 7c is bepaald dat voor de verwerking en verstrekking van gepseudonimiseerde persoonsgegevens in elk geval aan een afdoende beveiligingsniveau is voldaan als de gegevens worden verstrekt en verwerkt conform de NEN 7510-1 en 7510-2 dan wel op een vergelijkbare wijze.
3.2. Pseudonimisering NEN 7524
Pseudonomiseren op grond van NEN 7524 wordt in deze regeling niet verplicht gesteld. Hetzelfde resultaat kan ook op een andere wijze worden bereikt.
Voor de dienstverlening ten aanzien van pseudonimisering heeft NEN in juli 2019 de Nederlandse norm NEN 7524 gepubliceerd. De NEN 7524 is opgesteld door gebruikers en leveranciers van pseudonimisatiediensten. Het doel van de norm NEN 7524 is de privacy van de patiënten te respecteren en de beschikbaarheid van de gegevens over langere tijd veilig te stellen. De NEN 7524 ziet zowel op het verschaffen van zekerheid over de wijze waarop een pseudonimiseringsdienst wordt verleend, als op de kwaliteit waarmee dat gedaan wordt.
De NEN 7524 is een Nederlandse variant als aanvulling op de internationale norm ISO 25237, waarin de verschillende vormen van pseudonimisering staan opgesomd.
In artikel 7a, tweede lid, van deze regeling is de norm neergelegd dat met het pseudonimiseren van de gegevens zoveel mogelijk moet worden voorkomen dat de gegevens herleidbaar zijn naar de persoon aan wie ze toebehoren. Met het pseudonimiseren is herleidbaarheid naar de persoon niet uit te sluiten, maar wel kan met de juiste wijze van pseudonimiseren herleidbaarheid zoveel mogelijk worden voorkomen. Aan de in artikel 7a, tweede lid, neergelegde norm wordt gelet op artikel 7b in elk geval voldaan als wordt gehandeld in overeenstemming met NEN 7524 dan wel een vergelijkbare wijze van pseudonimisering wordt gehanteerd. Kortom, in deze regeling wordt verwezen naar de NEN 7524, maar de norm niet is verplichtend opgelegd. Dit is in lijn met het voorgaande.
3.3. De betrokken verwerkingsverantwoordelijke en verwerkers
3.3.1 LADIS
In onderstaande tabel zijn de partijen die betrokken zijn bij de gegevensverwerking van de persoonsgegevens in LADIS weergegeven. Dit zijn de verstrekkers van de gegevens aan LADIS (de Nederlandse zorgaanbieders die verslavingszorg bieden en apothekers die opiaatvervangende middelen registreren die zij verstrekken ten behoeve van een opiaatonderhoudsbehandeling in de verslavingszorg), de verwerker van LADIS (IVZ) en de sub verwerker (ZorgTTP).
Deze partijen moeten veiligheidseisen treffen en ervoor zorgdragen dat de pseudonimisering zodanig wordt vormgegeven dat zo veel mogelijk wordt voorkomen dat de gegevens niet meer zijn terug te leiden naar de persoon aan wie ze toebehoren.
|
Organisatie |
Rol |
Toegang vanuit LADIS database |
||||
|---|---|---|---|---|---|---|
|
Verantwoordelijke |
Verstrekker |
Verwerker |
Ontvanger |
Functionaris |
Gegevens |
|
|
Ministerie van VWS |
X |
X |
Minister |
Toegang tot geaggregeerde rapportages |
||
|
Stichting IVZ |
X |
Datamanagement medewerkers |
Toegang tot alle gegevens vastgelegd in LADIS na tweede versleuteling en geaggregeerde rapportages |
|||
|
ZorgTTP |
X |
Operationeel managers |
Toegang tot alle gegevens aangeleverd door zorgaanbieders na eerste versleuteling. De aan de bron versleutelde gegevens worden in een geautomatiseerd proces in een beveiligde omgeving verwerkt en na tweede versleuteling beschikbaar gesteld voor IVZ |
|||
|
Verslavings- zorginstellingen |
X |
X |
Datamanagement medewerkers |
Toegang tot alle gegevens van cliënten in de verslavingszorg en geaggregeerde rapportages na verwerking in LADIS. |
||
Nadere toelichting is te vinden in paragraaf 2 van de nota van toelichting bij wijziging van het Uitvoeringsbesluit Wkkgz waar4 is beschreven op welke wijze de datastroom vanuit de zorginstelling via verwerker ZorgTTP naar de verwerker van LADIS plaatsvindt.
Artikelen 7a en 7c van deze regeling zijn op deze partijen van toepassing, inhoudende dat de verstrekking en verwerking van de gegevens geschiedt overeenkomstig NEN 7510-1, NEN 7510-2 en (in geval van pseudonimisering) NEN 7524 of op vergelijkbare wijze.
Voor de kwaliteitsregistratie LADIS verwerkt de minister gepseudonimiseerde persoonsgegevens voor de in artikel 30a, eerste lid, van de wet genoemde doeleinden. De minister is de verwerkingsverantwoordelijke en maakt gebruik van een verwerker, die 7510-1 en 7510-2 NEN gecertificeerd is, en heeft hiervoor een verwerkingsovereenkomst gesloten. De verwerkers van LADIS en LTR zijn ervoor verantwoordelijk dat de gegevens worden gepseudonimiseerd.
3.3.2 LTR
In onderstaande tabel zijn de partijen die betrokken zijn bij de gegevensverwerking van de persoonsgegevens in LTR weergegeven. Dit zijn de verstrekkers van de gegevens aan LTR (ziekenhuizen met een afdeling spoedeisende hulp waar ongeval patiënten kunnen worden opgevangen en behandeld voor hun letsel en ambulancediensten die prehospitaal hulp verlenen aan ongevalpatiënten), de verwerkers van LTR (ADM LUMC en IVZ) en de sub verwerker (ZorgTTP). Deze partijen moeten veiligheidseisen treffen en ervoor zorgdragen dat de pseudonimisering zodanig wordt vormgegeven dat zo veel mogelijk wordt vooromen dat de gegevens niet meer zijn terug te leiden naar de persoon aan wie ze toebehoren.
|
Organisatie |
Rol |
Toegang vanuit LTR database |
||||
|---|---|---|---|---|---|---|
|
Verantwoordelijke |
Verstrekker |
Verwerker |
Ontvanger |
Functionaris |
Gegevens |
|
|
Ambulancedienst |
X |
Medewerker ambulancedienst |
Toegang tot alle gegevens van ongevalpatiënten vastgelegd in de LTR aangeleverd door de ambulancedienst. |
|||
|
Ziekenhuis afdeling SEH |
X |
Medewerker ziekenhuis |
Toegang tot alle gegevens van ongevalpatiënten vastgelegd in de LTR aangeleverd door het ziekenhuis. |
|||
|
Aangewezen traumacentrum |
X |
X |
Datamanager regionale traumaregistratie Medewerker landelijke traumaregistratie |
Toegang tot alle gepseudonimiseerde en overige gegevens van ongevalpatiënten vastgelegd in de LTR door de ambulancediensten en ziekenhuizen binnen het traumanetwerk van het betreffende traumacentrum. |
||
|
ADM LUMC |
X |
X |
Datamanagement medewerkers |
Toegang tot de gepseudonimiseerde en overige gegevens van ongevalpatiënten vastgelegd in de LTR. |
||
|
IVZ |
X |
X |
Medewerker |
Toegang tot set gepseudonimiseerde en overige gegevens van alle ongevalpatiënten vastgelegd in de LTR benodigd voor de vastgestelde terugkoppelrapportages. |
||
Nadere toelichting is te vinden in paragraaf 3 van de nota van toelichting bij wijziging van het Uitvoeringsbesluit waar 5 tevens is beschreven op welke wijze de datastroom vanuit de zorginstelling via verwerker ZorgTTP naar de verwerker van LTR plaatsvindt.
Artikelen 7a en 7c van deze regeling zijn op deze partijen van toepassing, inhoudende dat de verstrekking en verwerking van de gegevens geschiedt overeenkomstig NEN 7510-1, NEN 7510-2 en (in geval van pseudonimisering) NEN 7524 of op vergelijkbare wijze.
3.4. Dynamische en statische verwijzing
In het geval in een regeling wordt verwezen naar niet publiekrechtelijke normen, zoals in deze regeling, is het uitgangspunt dat naar deze normen statisch wordt verwezen. Dit betekent dat wordt verwezen naar normen zoals deze op een bepaald tijdstip moment luiden.
Conform dit uitgangspunt wordt in de regeling naar NEN 7524 statisch verwezen. In de regeling is dit ook terug te zien doordat in de begripsbepaling de versie van NEN 7524 is opgenomen.
Ondanks het voorgaande is voor de NEN 7510-1 en 7510-2 gekozen voor een dynamische verwijzing. Bij toepassing van de normen, wordt dan steeds toepassing gegeven aan de laatste versie van de betreffende norm. In dat geval moet in de Staatscourant mededeling worden gedaan van wijzigingen in de norm. In de artikelen van deze regeling wordt dan ook verwezen naar NEN 7510-1 en 7510-2 zonder dat daarbij wordt genoemd welke versie het betreft. Voorts is in artikel 7d, eerste en tweede lid, bepaald dat steeds toepassing dient te worden gegeven aan de laatst gepubliceerde versie en dat in de Staatscourant wordt gepubliceerd als sprake is van een nieuwe versie van de NEN 7510-1 en 7510-2. Ook wordt in de Staatscourant gepubliceerd op welk moment de nieuwe versie van kracht is. Eerder in deze toelichting is aangegeven welke versies van NEN 7510- en 7510-2, op het moment dat deze regeling in werking is getreden, van toepassing zijn.
De reden dat is gekozen voor een dynamische verwijzing is dat reeds op grond van artikel 7 van het Besluit elektronische gegevensverwerking door zorgaanbieders sprake is van een dynamische verwijzing van NEN 7510 (eerdere versie van de NEN 7510-1 en 7510:2). Als er sprake is van een nieuwe versie van NEN 7510-1 en 7510-2, wordt dit reeds gepubliceerd op grond van artikel 7 van dit besluit. Om die reden wordt hierbij aangesloten en is in dit geval niet gekozen voor een statische verwijzing.
4. Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) is verzocht advies uit te brengen over onderhavige regeling. In de regeling, zoals die aan de AP was voorgelegd, was opgenomen hoe in ieder geval voldaan kon worden aan artikel 5, eerste lid, onderdeel f, van de AVG, namelijk door de gegevens overeenkomstig NEN 7510-1 en NEN 7510-2, dan wel op een vergelijkbare wijze te verstrekken en verwerken. De AP heeft geadviseerd dat voorgestelde artikel (destijds artikel 7a, inmiddels artikel 7c) te schrappen. De AP stelt zich op het standpunt dat artikel 6, tweede lid, van de AVG, enige ruimte biedt om voor verwerking op grond van artikel 6, eerste lid, onderdelen c en e, van de AVG bepaalde normen uit de AVG te specificeren. Het is echter niet mogelijk om in nationale wetgeving te bepalen dat onder bepaalde voorwaarden aan artikel 5, eerste lid, onderdeel f, van de AVG is voldaan, zoals is voorgesteld in de onderhavige regeling. De AP heeft wel overwogen dat op een andere wijze kan worden gestimuleerd dat de NEN 7510-1 en 7510-2 worden toegepast.
Gelet op het voorgaande is de formulering van het nieuwe artikel 7c aangepast door de verwijzing naar artikel 5, eerste lid, onderdeel f, van de AVG te laten vervallen. Anders dan de AP stelt, is er door de verwijzing naar de NEN-normen 7510-1 en 7510-2 wel rekening gehouden met de stand van de techniek. De verwijzing naar de NEN-normen 7510-1 en 7510-2 is immers dynamisch. Zoals uit paragraaf 3.4 blijkt wordt een nieuwe versie van deze normen in de Staatscourant gepubliceerd en zijn vanaf dan ook de versie van deze NEN-normen waarvan moet worden uitgegaan. De stand van de techniek wordt bij uitstek geregeld in de NEN-norm en de NEN-norm zal dan ook worden aangepast mochten hier veranderingen in optreden.
5. Internetconsultatie
Deze regeling heeft in het voorjaar van 2022 gedurende vier weken opengestaan voor internetconsultatie welke heeft geresulteerd in één positieve reactie. Deze respondent heeft aangegeven zich te kunnen vinden in de verwijzing naar onder meer nationale normen in wet- en regelgeving.
6. Adviescollege toetsing regeldruk
Het Adviescollege toetsing regeldruk (ATR) heeft het dossier niet geselecteerd voor een formeel advies, omdat het materieel geen gevolgen voor de regeldruk heeft.
De Minister van Volksgezondheid, Welzijn en Sport, E.J. Kuipers
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2022-17026.html