AVG, wet cliëntenrechten en NEN-normen in samenspel : voldoen aan cliëntgerichte wet- en regelgeving in de zorgsector

(1)

AVG, wet cliëntenrechten en

NEN-normen in samenspel

(2)

(3)

AVG, wet cliëntenrechten en

NEN-normen in samenspel

Voldoen aan cliëntgerichte wet- en regelgeving in de zorgsector

Afstudeerscriptie aan de

Universiteit van Amsterdam

Amsterdam Business School

IT-audit programme

December 2017

door

(4)

Titel: AVG, wet cliëntenrechten en NEN-normen in samenspel

Ondertitel: Voldoen aan cliëntgerichte weten regelgeving in de zorgsector Studente: Drs. Bianca Mariël Steentjes RO

Studentnummer: 11639431

Opleiding: Universiteit van Amsterdam Amsterdam Business School

Studierichting: Amsterdam IT-audit programme (AITAP) Begeleider: Pieter van Houten RE

(5)

Voorwoord

Deze scriptie is geschreven ter afsluiting van mijn postdoctorale opleiding IT-auditing. De afronding brengt een opgelucht gevoel met zich mee. Door omstandigheden heb ik ervoor gekozen om de scriptie gelijk met het laatste collegeblok af te ronden. Een bewuste keuze, maar ik raad het andere studenten niet aan. Ondanks de dubbele belasting is het mij waard geweest, omdat ik nu extra tijd heb voor belangrijke personen om mij heen.

De opleiding is voor mij een aanvulling op mijn vakgebied als operational auditor. IT is immers een niet weg te denken onderdeel bij het uitvoeren van interne audits. Ik heb de opleiding met veel plezier gevolgd. Het bezig zijn met nieuwe onderwerpen, ontwikkelingen en het contact met mijn medestudenten zal ik gaan missen.

Het onderwerp van deze scriptie is tot stand gekomen door een combinatie van factoren. In 2014 ben ik door mijn werkgever betrokken bij een project over informatiebeveiliging en aanverwant de Wet datalekken en de bewerkersovereenkomst. Vervolgens mocht ik het vak informatiebeveiliging, gegeven door Pieter van Houten, volgen. Dit in combinatie met het belang van de weten regelgeving omtrent privacy, leidt tot een prachtig onderwerp. Binnen (zorg)organisaties wordt mijn inziens het belang van informatieveiligheid te weinig gezien. Waarom gaan organisaties pas aan de slag als het bijna te laat is. Kriebels die hebben geleid tot het onderwerp van deze scriptie.

De scriptie had aan alle kanten verder uitgewerkt kunnen worden. Meer facetten van de Algemene verordening gegevensbescherming (AVG), meer diepgang met betrekking tot de aanpak op gebied van privacy en informatiebeveiliging inclusief de IT-componenten. Iets fantastisch om te doen, maar als auditor weet ik dat het belangrijk is om bij de scope te blijven. Misschien iets voor de toekomst.

Door deze scriptie ben ik gaan onderzoeken of een functie als Functionaris Gegevensbescherming iets is voor mij. De functie combineert kennis van de organisatie, recht en IT met elkaar. Met mijn opleiding HEAO-MER en Bedrijfskunde, na twijfel voor Rechten, en mijn opgedane kennis van IT een ideale combinatie.

Ter afsluiting wil ik Pieter bedanken voor de begeleiding, mede door zijn ondersteuning is het gelukt om deze scriptie tijdig af te ronden. Daarnaast wil ik alle mensen bedanken die mij gedurende de totstandkoming van deze scriptie en het voltooien van mijn opleiding hebben bijgestaan.

(6)

Samenvatting

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking die op Europees niveau de gemeenschappelijke normen op het gebied van privacy en gegevensbescherming borgt. Voor de zorgsector zijn naast de AVG specifieke wetten en regelgeving van toepassing, die betrekking hebben op cliëntgegevens en daarmee aansluiten bij het aandachtsgebied van de AVG. Per 1 juli 2017 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg in werking getreden. Een aantal aanvullende bepalingen treedt echter pas op 1 juli 2020 in werking (wet cliëntenrechten). Aanvullend is voor de zorgsector een drietal NEN-nomen (7510, 7512 en 7513) voor informatiebeveiliging in de zorg opgesteld. Deze scriptie heeft tot doel de overlap in kaart te brengen.

Voor de AVG heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen om te voldoen aan de AVG op een rij gezet. In deze scriptie wordt aandacht geschonken aan twee van deze 10 stappen, namelijk recht van betrokkene en de toestemming van betrokkene.

Om als IT- auditor een oordeel te kunnen geven over de voortgang, de invoering en/of de naleving van weten regelgeving is een norm als vertrekpunt nodig. Op basis van literatuurstudie is de overlap tussen het recht van betrokkene en de toestemming van betrokkene (uit de AVG), de wet cliëntenrechten en de NEN7510, 7512 en 7513 verwerkt in een raamwerk. Het raamwerk zou gebruikt kunnen worden als norm voor een audit en om efficiënter met weten regelgeving om te gaan.

In deze scriptie wordt de volgende hoofdvraag beantwoord:

‘Houden zorginstellingen bij de invoering van het recht van betrokkene en de toestemming van betrokkene (vanuit de AVG) rekening met de wet cliëntenrechten en de verplichting tot

naleving van de NEN-normen?’

Het raamwerk is gevalideerd. Via een praktijkonderzoek / casestudy is onderzocht of de drie onderzochte zorginstellingen gestart zijn met de invoering van de AVG en rekening houden met de wet cliëntenrechten en de NEN-normen. Tevens is beoordeeld of het opgestelde raamwerk waarde heeft of kan hebben voor deze organisaties en de auditors.

Geconcludeerd kan worden dat alle drie organisaties uit het onderzoek inzicht hebben in de aankomende weten regelgeving, echter niet altijd gericht op het recht van betrokkene en de toestemming. De drie organisaties passen de NEN7510 (of ISO 27001) toe. Bij twee van de drie organisaties is nog onvoldoende aandacht is voor de wet cliëntenrechten en de NEN7512 en 7513. Uit het onderzoek is gebleken dat het raamwerk behulpzaam is voor het efficiënt oppakken van de onderdelen waaraan minder aandacht is besteed.

De auditfuncties hebben aangegeven dat het raamwerk bruikbaar is om de overlap tussen de AVG, wet cliëntenrechten en NEN-normen inzichtelijk te hebben. Tevens kan het raamwerk gebruikt worden voor het opstellen van het normenkader. Omdat het opgestelde raamwerk een gedeelte van de AVG afdekt, kan het (nog) niet één op één gebruikt worden als normenkader.

(7)

Inhoudsopgave

1 Onderzoeksopzet ... 8

1.1 Inleiding ... 8

1.2 Context van het onderzoek ... 8

1.3 Probleemstelling ... 10 1.4 Werkwijze ... 10 1.4.1 Onderzoekswijze ... 10 1.4.2 Onderzoeksmodel ... 12 1.5 Scope ... 13 1.6 Leidraad ... 14 1.7 Afsluiting ... 14 2 Wet- en regelgeving ... 15 2.1 Inleiding ... 15

2.2 Wet- en regelgeving en normen... 15

2.2.1 Algemene verordening gegevensbescherming ... 16

2.2.2 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg ... 16

2.2.3 NEN-normen (NEN7510, 7512 en 7513) ... 17

2.3 Aandachtspunten uit Algemene verordening gegevensbescherming ... 18

2.3.1 Recht van betrokkene... 19

2.3.2 Toestemming van betrokkene ... 22

2.4 Afsluiting ... 22

3 Raamwerk uitgaande van recht van betrokkene en de toestemming ... 23

3.1 Inleiding ... 23

3.2 Doel van het raamwerk ... 23

3.3 Opbouw van het raamwerk en validatie ... 23

3.3.1 Opbouw van het raamwerk ... 23

3.3.2 Validatie ... 24

3.4 Definitieve raamwerk ... 25

(8)

4 Toepassing raamwerk binnen zorginstellingen ... 27

4.1 Inleiding ... 27

4.2 Opzet van praktijkonderzoek ... 27

4.3 Praktijkonderzoek ... 28 4.3.1 Zorginstelling A ... 28 4.3.2 Zorginstelling B ... 30 4.3.3 Zorginstelling C ... 31 4.4 Resultaat ... 32 4.5 Afsluiting ... 34 5 Afsluiting / Conclusie ... 35 5.1 Inleiding ... 35 5.2 Conclusie ... 35

5.3 Rol van IT-auditor ... 36

5.4 Aanbeveling ... 37 5.5 Reflectie ... 38 Bijlagen ... 39 Bijlage 1: Onderzoeksmodel ... 40 Bijlage 2: Begrippenlijst ... 41 Bijlage 3: Raamwerk ... 42 Literatuurlijst ... 46 Figuren en tabellen ... 47 Ondersteunende literatuur ... 47

(9)

8

1 Onderzoeksopzet

1.1 Inleiding

In hoofdstuk 1 wordt de onderzoeksopzet beschreven die de basis vormt voor deze scriptie. In de tweede paragraaf van dit hoofdstuk is een beschrijving van de context van het onderzoek opgenomen. In de derde paragraaf worden de probleemstelling en de deelvragen weergegeven gevolgd door de werkwijze in de vierde paragraaf. In paragraaf vijf is de scope opgenomen. In paragraaf zes is de leidraad voor de verdere scriptie beschreven.

1.2 Context van het onderzoek

In organisaties zijn nagenoeg alle processen, producten en diensten afhankelijk van gegevens en gegevensuitwisseling. Daarbij gaat het steeds meer om gegevens die betrekking hebben op personen. De verwerking en uitwisseling van (persoons)gegevens vraagt om een kader met betrekking tot weten regelgeving die de privacy en veiligheid van personen waarborgen. In Nederland waren deze eisen vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG)1_{in werking die}

op Europees niveau de gemeenschappelijke normen op het gebied van privacy en gegevensbescherming borgt (Versmissen, Terstegge en Krijgsman, 2017). De AVG vervangt vanaf dat moment de Wbp. De AVG betreft de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. De AVG vraagt aandacht van organisaties omtrent de manier waarop zij omgaan met gegevens die betrekking hebben op personen. Ten opzichte van de Wbp wordt de lat voor organisaties een stuk hoger gelegd (Hutter, Katus, Terstegge en Versmissen, 2015). Voor de zorgsector gelden naast de AVG ook specifieke wetten, die betrekking hebben op cliëntgegevens en daarmee aansluiten bij het aandachtsgebied van de AVG. Per 1 juli 2017 zijn de wet cliëntenrechten bij elektronische verwerking van gegevens (wet cliëntenrechten) en het Besluit elektronische gegevensverwerking door zorgaanbieders in werking getreden. Deze nieuwe weten regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. Omdat, volgens de minister, een en ander technisch nog niet uitvoerbaar zou zijn gaan sommige regels in de zorg vanaf 1 juli 2020 gelden (Eefsting, 2017).

1_{In Europa weergegeven als de General Data Protection Regulation}_{(GDPR). In deze scriptie wordt in navolging van de}

(10)

9

In artikel 2 van de Algemene Maatregel van Bestuur (AMvB) die behoort bij de Wet voor het gebruik van het Burgerservicenummer (BSN) in de zorg, is de verplichting om te voldoen aan de NEN7510, opgenomen. Aanleiding is dat voor zorginstellingen de verplichting bestaat dat bij het leveren van verantwoorde zorg de patiëntgegevens op adequate wijze moeten worden beveiligd. De NEN7510, die in 2017 wordt vernieuwd, kan hiervoor een aangewezen middel zijn (NEN, 2017). Het eerder genoemde Besluit elektronische gegevensverwerking bepaalt dat zorgaanbieders ook moeten voldoen aan de NEN7512 (vertrouwensbasis voor gegevens-uitwisseling) en NEN7513 (logging).

Bovenstaande geeft aan dat continue regelgeving op de zorgsector afkomt, waarbij een deel van de regelgeving overlapt. In deze scriptie wordt toegewerkt naar een raamwerk waar de overlap tussen de AVG, wet cliëntenrechten en de NEN7510, 7512 en 7513 is weergegeven. Door de overlap gelijktijdig in te regelen kan efficiënter gewerkt worden. In paragraaf 1.4.1 is dit verder uitgelegd.

De NEN7510 kan gezien de doelstelling ook helpen bij het invoeren en voldoen aan de AVG. De NEN7510-1 geeft aan dat “de beheersmaatregelen in de NEN7510-1 en NEN7510-2 onder andere geschikt zijn om de vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke gezondheidsinformatie in de zorg te beschermen en ervoor te zorgen dat de toegang tot dergelijke informatie gecontroleerd en verantwoord kan worden”. Verder wordt in de NEN7510-1 nog een aantal overwegingen genoemd die de doelen van informatiebeveiliging in de zorg vorm geven. De onderstaande overwegingen hebben betrekking op de invoering en naleving van de AVG, waaronder:

a. aan wettelijke verplichtingen voldoen, die zijn vervat in de toepasselijke weten regelgeving inzake gegevensbescherming die het recht op privacy van een cliënt beschermt;

b. gevestigde ‘best practices’ op het gebied van privacy en beveiliging binnen de gezondheidsinformatica handhaven;

c. aan de beveiligingsbehoeften voldoen die in alledaagse situaties in de zorg worden geïdentificeerd (NEN, 2017).

De NEN7512 en NEN7513 kunnen een middel zijn voor de naleving van de elektronische verwerking van gegevens in de zorg (wet cliëntenrechten), eveneens een aandachtspunt binnen de AVG met betrekking tot de cliëntgegevens.

(11)

10

Als internal auditor werkzaam in de caresector2_{ben ik geïnteresseerd in de mate waarin}

zorginstellingen, waar veel persoonsgegevens en in het bijzonder cliëntgegevens worden verwerkt, aandacht hebben voor het recht van betrokkene en de toestemming van betrokkene voor het gebruik van persoonsgegevens en of bij de invoering van wijzigingen om te voldoen aan de AVG rekening wordt gehouden met:

 de wet cliëntenrechten per 1 juli 2020 en

 de verplichting te voldoen aan de NEN7510, NEN7512 en NEN7513.

Aangezien zowel bij het voldoen aan het recht van betrokkene als bij toestemming van betrokkene sprake is van IT componenten is het tevens interessant te kijken of en zo ja welke rol is weggelegd voor de IT-auditor.

Bovenstaande heeft geleidt tot het schrijven van deze scriptie, getiteld ‘AVG, wet cliëntenrechten en NEN-normen in samenspel’.

1.3 Probleemstelling

De context heeft geleid tot de volgende hoofdvraag: ‘Houden zorginstellingen bij de invoering van het recht van betrokkene en de toestemming van betrokkene (vanuit de AVG) rekening met de wet cliëntenrechten en de verplichting tot naleving van de NEN-normen?’

De hoofdvraag zal beantwoord worden aan de hand van de onderstaande vijf deelvragen. 1. Wat zijn de uitgangspunten met betrekking tot het recht van betrokkene en de

toestemming van betrokkene?

2. Welke eisen stellen de AVG, de wet cliëntenrechten en de NEN-normen (7510, 7512 en 7513) ten aanzien van het recht van betrokkene en de toestemming van betrokkene? 3. Is sprake van overeenkomsten tussen de AVG, de wet cliëntenrechten en de NEN-normen?

Zo ja welke?

4. Op welke manier hebben zorgorganisaties in de caresector bij de implementatie van het recht van betrokkene en de toestemming van betrokkene (uit de AVG) rekening gehouden met de wet cliëntenrechten en de NEN-normen (7510, 7512 en 7513)?

5. In hoeverre is een rol weggelegd voor de IT-auditor?

1.4 Werkwijze

1.4.1 Onderzoekswijze

Om de deelvragen te kunnen beantwoorden is gekozen voor een combinatie van literatuurstudie en praktijkgericht onderzoek. De literatuurstudie is uitgevoerd in de vorm van een bureauonderzoek, waarbij uitsluitend gebruik wordt gemaakt van documenten. De documenten zullen worden verkregen door gebruik te maken van catalogussen van bibliotheken en van het internet (De Leeuw,1996). Doordat sprake is van een relatief nieuw onderwerp zijn nog geen wetenschappelijke artikelen beschikbaar.

2_{De zorgsector is te onder te verdelen naar de care en cure sector. Tot de care sector behoren de verpleging en verzorging,}

gehandicaptenzorg, thuiszorg. Tot de cure sector worden gerekend ziekenhuizen, medische specialisten en vrije beroepen en de geestelijke gezondheidszorg.

(12)

11

De in deze scriptie van toepassing zijnde wetten en normen hebben allen betrekking op gegevens van cliënten c.q. gegevensuitwisseling van cliëntinformatie, waardoor een overlap tussen de wetten te verwachten is. Het doel van de literatuurstudie is om in eerste instantie te beoordelen of/en in hoeverre het recht van betrokkene en de toestemming van betrokkene (verder: toestemming) zoals benoemd in de AVG ook benoemd worden in de wet cliëntenrechten, de NEN7510, NEN7512 en NEN7513. De tweede stap van de literatuurstudie is om op basis van de eerste resultaten te beoordelen in hoeverre sprake is van overlap / aansluitingen tussen de AVG, wet cliëntenrechten en de benoemde NEN-normen. Het resultaat is een raamwerk waarin de uitgangspunten met betrekking tot het recht van betrokkene en de toestemming uit de AVG geconfronteerd zijn met de wet cliëntenrechten en de NEN-normen zodat de overlap in beeld is (zie figuur 1).

Figuur 1. Overlap AVG, wet cliëntenrechten en NEN-normen.

Door kennis te hebben van / rekening te houden met de overlap kan de aanpassing van de processen en/of werkwijze mijn inziens efficiënter uitgevoerd worden. Daarnaast kan het raamwerk door IT- auditors gebruikt worden als normenkader bij de beoordeling van de voortgang en/of naleving van weten regelgeving.

Het raamwerk voortgekomen uit de literatuurstudie wordt als conceptraamwerk voorgelegd aan een ervaringsdeskundige, als security officer werkzaam binnen een gehandicapten-zorginstelling. Doel van deze fase is om te beoordelen of het raamwerk volledig is en als standaard bruikbaar is in de huidige praktijk van een zorginstelling.

In het praktijkgerichte onderzoek zal beoordeeld worden of zorginstellingen in de caresector bij het invoeren van de eisen met betrekking tot het recht van betrokkene en de toestemming uit de AVG rekening hebben gehouden met de vereisten uit de wet cliëntenrechten en de NEN-normen. Tevens zal gekeken worden of en in hoeverre het raamwerk waarde heeft / kan hebben voor organisaties en de auditfunctie.

(13)

12

Het praktijkonderzoek zal plaatsvinden in de vorm van casestudies bij drie zorginstellingen. Bij twee organisaties zal een semigestructureerd groepsgesprek plaatsvinden. Deze organisaties zijn actief in de gehandicaptenzorg. Bij de derde organisatie, actief in de ouderen-, jeugd- en gehandicaptenzorg, zullen interviews worden gehouden, eveneens semigestructureerd. De resultaten van de gesprekken zullen met de auditor van de desbetreffende zorginstelling worden afgestemd en gevalideerd.

1.4.2 Onderzoeksmodel

Het onderzoek is opgebouwd volgens het onderzoeksmodel van Verschuren en Doorewaard (1998), zoals in figuur 2 afgebeeld. Het onderzoeksmodel (nogmaals opgenomen in bijlage 1) geeft een schematische weergave van het doel van het onderzoek en de stappen om dit doel te bereiken.

Figuur 2. Onderzoeksmodel met betrekking tot cliëntgegevens.

Het doel van het onderzoek is, om aan de hand van het opgestelde raamwerk, te beoordelen of zorginstellingen bij de invoering van de AVG met betrekking tot het recht van betrokkene en de toestemming al rekening hebben gehouden met de vereisten die de wet cliëntenrechten stelt per 1 juli 2020 en de aansluitende punten uit de NEN-normen. Eveneens wordt onderzocht of en in hoeverre het raamwerk hieraan kan bijdragen.

(14)

13

Om te komen tot een onderbouwde conclusie is het onderzoek opgebouwd uit de volgende fasen:

 Confrontatie AVG versus wet cliëntenrechten, NEN7510, NEN7512 en NEN7513 (met betrekking tot recht van betrokkene en toestemming)

 Opstellen van een raamwerk (met overeenkomsten);  Validatie van het raamwerk;

 Aanscherping van het raamwerk;

 Toetsing in praktijk en toepassing raamwerk;  Bepaling rol van IT-auditor.

1.5 Scope

De zorgsector heeft te maken met meerdere persoonsgegevens. De gegevens van de cliënten en de gegevens van het personeel. In deze scriptie is enkel uitgegaan van de gegevens van cliënten.

Vanwege het feit dat ik werkzaam ben in de caresector (ouderen-, jeugd- en gehandicaptenzorg) heb ik ervoor gekozen om in deze scriptie uit te gaan van caresector en de curesector (o.a. ziekenhuizen) buiten beschouwing te laten.

Deze scriptie richt zich in bijzonder op de rechten van betrokkene en de toestemming (van cliënten). Zowel de AVG als de wet cliëntenrechten hebben aandacht voor de manier waarop omgegaan wordt met cliëntgegevens. De autoriteit persoonsgegevens (AP) beschrijft de 10 belangrijkste stappen voor de invoering van de AVG (Autoriteit Persoonsgegevens,2017). Door de keuze voor twee van de onderwerpen, zoals genoemd in de 10 stappen van het AP kan meer diepgang bereikt worden. De 10 stappen zijn weergegeven in paragraaf 2.3.

De keuze voor het recht van betrokkene en de toestemming komt voor uit het feit dat deze onderwerpen impact hebben binnen zorginstellingen. Daarnaast hebben beide onderwerpen evenals de AVG in combinatie met de Wet cliëntrechten te maken met uitwisseling van gegevens, een onderwerp voor een IT-auditor bij de controlewerkzaamheden in het kader van de IT beheersing.

In bijlage 2 zijn een aantal van belang zijnde termen uitgelegd. De termen cliënt en patiënt worden, ondanks een nuance verschil, in deze scriptie door elkaar heen worden gebruikt.

(15)

14

1.6 Leidraad

In het volgende hoofdstuk is algemene uitleg over de AVG, wet cliëntenrechten en de NEN7510, 7512 en 7513 weergegeven. Tevens is een verdieping opgenomen over het recht van betrokkene en de toestemming. In hoofdstuk drie is de confrontatie tussen de twee wetten en de benoemde NEN-normen inclusief de validatie opgenomen, resulterend in het raamwerk. In het vierde hoofdstuk volgt de toets in de praktijk. In het afsluitende hoofdstuk wordt antwoord gegeven op de hoofdvraag en de rol van de IT-auditor.

1.7 Afsluiting

In het eerste hoofdstuk is de context van het onderzoek weergegeven. Gevolgd door de probleemstelling en de werkwijze. Het onderzoeksmodel geeft het totaalbeeld van het onderzoek.

(16)

15

2 Wet- en regelgeving

2.1 Inleiding

In dit hoofdstuk wordt ingegaan op de voor deze scriptie relevantie weten regelgeving. Gestart wordt met de Algemene verordening gegevensbescherming (AVG), gevolgd door de wet cliëntenrechten en de NEN-normen (NEN7510, NEN7512 en NEN7513). In de derde paragraaf wordt verder ingegaan op het recht van de betrokkene en de toestemming, waardoor antwoord wordt gegeven op de eerste deelvraag ‘Wat zijn de uitgangspunten met betrekking tot recht van betrokkenen en de toestemming van betrokkene?’ Tevens wordt de keuze voor het recht van betrokkene en de toestemming aangestipt.

2.2 Wet- en regelgeving en normen

Voor de zorgsector is een veelheid van wetten en regelingen van toepassing met betrekking tot onder andere de zorgverlening, gegevensgebruik en gegevensuitwisseling. Per 25 mei 2018 komt daar de AVG bij. De AVG geldt voor alle organisaties in Europa, dus ook voor zorginstellingen. Per 1 juli 2017 zijn de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het Besluit elektronische gegevensverwerking door zorgaanbieders van kracht geworden. Een aantal artikelen uit de Wet aanvullende bepaling, artikelen 15a t/m 15i met betrekking tot de elektronische verwerking van gegevens, treedt op 1 juli 2020 in werking (ofwel wet cliëntenrechten)3_.

Voor de opvolging van de wetten is het van belang te weten, dat een specifieke wet bij de naleving / uitvoering voor gaat op een algemene wet, zoals de AVG. Een besluit en een Algemene Maatregel van Bestuur (AMvB) geven de materiele invulling van de wet, goedgekeurd door de Tweede Kamer der Staten Generaal.

Voor de zorgsector heeft de NEN een drietal NEN-normen voor informatiebeveiliging in de zorg opgesteld. Het betreffen de NEN7510, 7512 en 7513. Voor deze NEN-normen geldt, zoals aangegeven in de context van deze scriptie, dat hieraan verplicht moet worden voldaan op basis van artikel 2 van de AMvB die behoort bij de Wet voor het gebruik van het Burgerservicenummer (BSN) in de zorg respectievelijk het Besluit elektronische gegevensverwerking door zorgaanbieders.

Certificering voor de NEN-normen is (nog) geen verplichting voor zorgorganisaties, het gaat om het toepassen. Diverse partijen werkzaam binnen de informatiebeveiliging voor de zorgsector hebben aangegeven dat zij verwachten dat certificering op termijn wel verplicht gesteld wordt. Aanvullend geeft KPMG aan dat NEN7510-certificering op de nominatie staat om verplicht te worden gesteld (KPMG,2013).

3_{De wet cliëntenrechten bij elektronische verwerking van gegevens is officieel geen wet (maar wordt zo}

genoemd), maar onderdeel van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (dit is een zogeheten raamwet).

(17)

16

2.2.1 Algemene verordening gegevensbescherming

De Algemene verordening gegevensbewerking (AVG)4_{treedt zoals aangegeven op 25 mei}

2018 in werking. Op dat moment geldt dezelfde privacywetgeving in de hele Europese Unie. De AVG zorgt onder meer voor (1) versterking en uitbreiding van privacyrechten, (2) meer verantwoordelijkheden voor organisaties en (3) dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen (Autoriteit Persoonsgegevens,2016-2017).

De AVG:

 Stelt regels vast betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.

 Beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

 Zorgt dat vrije verkeer van persoonsgegevens in de Unie noch beperkt noch verboden wordt om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.

2.2.2 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Op 4 oktober 2016 heeft De Eerste Kamer ingestemd met het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens5_{(wet cliëntenrechten). Het gaat hier om de}

artikelen 15a t/m 15i uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg die aandacht besteden aan de elektronische verwerking van gegevens (Overheid, n.d.). De wet is op 1 juli 2017 in werking getreden. Een aantal bepalingen treden, zoals eerder beschreven, pas vanaf 1 juli 2020 in werking. Dit betreft de eis van gespecificeerde toestemming (artikel 15a, 2e lid), de registratie van de gespecificeerde toestemming (artikel 15c, 2e lid), het recht op elektronische inzage en afschrift (artikel 15d) en het recht op een elektronisch afschrift van de logging (artikel 15e). De verplichting om toestemming te vragen voor het raadplegen van gegevens (artikel 15b) zal uiteindelijk niet in werking treden (Huizinga, 2017).

De wet cliëntenrechten legt uit wat er verstaan wordt onder een elektronisch uitwisselingssysteem en welke plichten de zorgaanbieders hebben bij het gebruik ervan. Daarnaast worden de rechten beschreven van de patiënten bij de uitwisseling van hun gegevens.

4_{AVG - VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de}

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming)

5_{In de literatuur, ook door het ministerie van Volksgezondheid, Welzijn en Sport, wordt gesproken over de wet}

cliëntenrechten bij elektronische verwerking van gegevens in de zorg. Eigenlijk is sprake van een hoofdstuk 3a uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

(18)

17

Concreet regelt de wet cliëntenrechten:

 betere bescherming van privacy van cliënten in de zorg;

 meer rechten voor cliënten op inzage in de eigen medische gegevens;  meer regie voor cliënten over hun medische gegevens.

Voor de zorgverlener betekent dit dat: (1) de cliënt toestemming wordt gevraagd welke gegevens hij voor welke zorgverlener voor inzage beschikbaar stelt, (2) een registratie wordt bijgehouden van de toestemmingen die een cliënt aan de zorgverlener heeft gegeven en (3) dat een cliënt als die er om vraagt, gratis elektronische inzage krijgt in of een digitaal afschrift krijgt van het eigen medische dossier.

2.2.3 NEN-normen (NEN7510, 7512 en 7513)

NEN7510 Medische informatica - Informatiebeveiliging in de zorg

Eind 2017 is de NEN75106_{aangepast en opgesplitst in twee delen. Het eerste deel}

(NEN7510-1) is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Het tweede deel (NEN7510-2) beschrijft de beheersmaatregelen en voorziet in richtlijnen voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie. Beide delen richten zich op de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke gezondheidsinformatie in de zorg (NEN, 2017).

De norm geeft richtlijnen en uitgangspunten met betrekking tot: 1. informatiebeveiligingsbeleid;

2. organiseren van informatiebeveiliging; 3. veilig personeel;

4. beheer van bedrijfsmiddelen; 5. toegangsbeveiliging;

6. cryptografie;

7. fysieke beveiliging en beveiliging van de omgeving; 8. beveiliging bedrijfsvoering;

9. communicatiebeveiliging;

10. acquisitie, ontwikkeling en onderhoud van informatiesystemen; 11. leveranciersrelaties;

12. beheer van informatiebeveiligingsincidenten;

13. informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer; 14. naleving.

6_{Deel 1 bevat de normatieve voorschriften voor het managementsysteem volgens}

NEN-ISO/IEC 27001+C11:2014+C1:2014+C2:2015 (nl). Deel 2 vormt de Nederlandse weergave van de Europese en internationale norm NEN-ISO/IEC 27002+C1+C2:2015 (nl) en NEN-EN-ISO 27799:2016 (en).

(19)

18

NEN7512 Medische informatica – Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling

De NEN7512 heeft betrekking op de elektronische communicatie in de zorg, en wel tussen zorgverleners en zorginstellingen onderling, met patiënten en cliënten, met zorgverzekeraars en met andere partijen die bij de zorg zijn betrokken (NEN, 2015). Vanuit de weten regelgeving worden er eisen gesteld aan de beveiliging van deze gegevensuitwisseling (NEN, 2017). Daarnaast levert de norm een nadere invulling voor een aantal van de beheersmaatregelen van de NEN7510. De NEN7512 gaat niet in op de vraag of deze uitwisseling noodzakelijk of geoorloofd is.

NEN7513 Medische informatica - Logging - Vastleggen van acties op elektronische patiëntdossiers

De NEN7513 is een ontwerp van de logging-norm. Het doel van loggen van acties op elektronische patiëntdossiers is om een betrouwbaar overzicht te kunnen leveren van de gebeurtenis waarbij zorggegevens over een persoon zijn verwerkt. Zorgaanbieders hebben de logging nodig om zich te kunnen verantwoorden tegenover hun patiënten, collega’s en anderen, over de zorgvuldigheid waarmee zij met zorggegevens omgaan.

Bij de beheersing van toegang tot zorggegevens vormt de logging, als vastlegging van feitelijke gebeurtenissen, een belangrijke schakel. Het loggen moet verantwoording en controle achteraf mogelijk maken. Analyse van de logging vormt een aanvulling op de controle en bevoegdheden die door de informatiesystemen wordt uitgevoerd, maar vervangt deze niet (NEN, 2010).

2.3 Aandachtspunten uit Algemene verordening gegevensbescherming

Voor de invoering van de AVG heeft de Autoriteit Persoonsgegevens (AP) de 10 belangrijkste stappen op een rijtje gezet, die een organisatie (niet specifiek gericht op de zorgsector) kan ondernemen om klaar te zijn voor de AVG (Autoriteit Persoonsgegevens, 2017). De stappen luiden als volgt:

 Stap 1: Bewustwording

 Stap 2: Rechten van betrokkene  Stap 3: Overzicht verwerkingen

 Stap 4: Data protection impact assessment (DPIA)  Stap 5: Privacy by design & privacy by default  Stap 6: Functionaris voor de gegevensbescherming  Stap 7: Meldplicht datalekken

 Stap 8: Bewerkersovereenkomsten  Stap 9: Leidende toezichthouder  Stap 10: Toestemming

(20)

19

Zoals eerder aangestipt is gekozen om in deze scriptie alleen aandacht te besteden aan het recht van betrokkene en de toestemming. Het recht van betrokkene en de toestemming vragen van de instellingen aanpassingen in de processen, zowel organisatorisch als op IT-gebied. De andere onderwerpen zullen in dezelfde periode / gelijktijdig door zorgorganisaties opgepakt moeten worden. Stap 7 en 8 krijgen, vanwege eerdere wetgeving, al langer de aandacht binnen zorgorganisaties. Stap 6 is relatief makkelijk in te regelen. De stappen 3 t/m 5 hadden ook een keuze kunnen zijn, maar de combinatie met de wet cliëntenrechten en de mogelijkheid om efficiëntie te bereiken is interessant voor een IT- auditor. Stap 9 is voor zorgorganisatie (over algemeen werkzaam binnen Nederland) niet van toepassing. Stap 1 is misschien de belangrijkste stap, maar heeft relatief weinig aansluiting met IT.

In de onderstaande deelparagrafen zijn het recht van betrokken en de toestemming als aandachtspunten in deze scriptie verder uitgelegd.

2.3.1 Recht van betrokkene

Wanneer een organisatie persoonsgegevens verwerkt, moet de organisatie passende maatregelen nemen om de rechten van de betrokkene (degene van wie de persoonsgegevens worden verwerkt) te beschermen. Op basis van eigen analyse (Europa decentraal,2017 en Autoriteit Persoonsgegevens, 2016-2017) is op te maken dat het recht van betrokken bestaat uit:

 Recht op inzage  Recht op correctie

 Recht om vergeten te worden (vergetelheid)  Recht van verzet

 Recht op dataportabiliteit

Het recht van betrokkene bepaalt dat op tijd en op de juiste manier op verzoeken gereageerd wordt. De AVG (art. 5 AVG) zegt verder dat de persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

Transparantie houdt in dat het voor de betrokkene duidelijk is dat zijn persoonsgegevens verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt worden, waarom en door wie. Transparantie hangt dus nauw samen met het recht op informatie van de betrokkene en met de verantwoordingsplicht. De organisatie moet verantwoording kunnen afleggen aan de betrokkene door hem informatie te verstrekken (Nederlandict, 2017). Het afleggen van verantwoording moet in duidelijke eenvoudige taal en op een toegankelijke en begrijpelijke manier afgestemd zijn op de doelgroep. Verwerkt de organisatie persoonsgegevens van kinderen, dan zal de organisatie dus nog eenvoudiger taal moeten gebruiken (art. 12 AVG).

(21)

20

Een organisatie kan persoonsgegevens ontvangen van de betrokkene (art. 13 AVG) of van een ander dan de betrokkene (art. 14 AVG). Als een organisatie persoonsgegevens niet rechtstreeks van de persoon heeft ontvangen, die het betreft, dan moet de desbetreffende informatie alsnog gegeven worden aan deze persoon. Tevens moet uitgelegd worden om welke soort persoonsgegevens het gaat (welke categorieën van persoonsgegevens?) en hoe komt de organisatie eraan komt (wat is de bron?).

De informatie hoeft niet verstrekt te worden als de betrokkene al over de informatie beschikt, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken, als informeren de doeleinden van de verwerking vrijwel onmogelijk maakt of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven.

Recht op inzage

Betrokkenen hebben het recht om van een organisatie te horen of zijn persoonsgegevens verwerkt worden (art. 15 AVG). Wanneer de persoonsgegevens verwerkt worden, dan heeft de betrokkene recht op informatie over deze gegevens. Een reden voor een inzageverzoek hoeft niet gegeven te worden.

Vraagt iemand om inzage, dan moet de organisatie diegene op een duidelijke en begrijpelijke manier laten weten of de organisatie zijn persoonsgegevens gebruikt, en zo ja:

 om welke gegevens het gaat;  wat het doel is van het gebruik;

 aan welke organisatie/persoon de organisatie de gegevens eventueel heeft verstrekt;  wat de herkomst is van de gegevens, als deze bekend is;

 de opslagperiode van de gegevens.

Het recht op inzage betreft alleen inzage in iemands eigen gegevens. Betrokkenen hebben dus geen recht op informatie over anderen. Verder dient vermeld te worden:

 het feit dat betrokkene het recht heeft om een verzoek tot rectificatie in te dienen, een verzoek tot het wissen of beperken van de gegevens en het recht om bezwaar te maken;  het feit dat de betrokkene een klacht kan in dienen.

Recht op correctie

Betrokkenen hebben het recht om een organisatie te vragen om hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dit moet zonder onredelijke vertraging gebeuren (art. 16 AVG). Iemand kan om correctie vragen als zijn persoonsgegevens:  feitelijk onjuist zijn;

 onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;  op een andere manier in strijd met een wet worden gebruikt.

(22)

21

Het correctierecht is niet bedoeld voor het corrigeren van professionele indrukken, meningen en conclusies waarmee iemand het niet eens is, voor zover deze ter zake doen. Wel mag de desbetreffende persoon van de organisatie verwachten dat de organisatie in ieder geval de schriftelijke mening van de persoon toevoegt aan het dossier. Dat kan vooral een oplossing bieden bij situaties waarbij het om niet objectief vast te stellen feiten gaat.

Recht om vergeten te worden

Betrokkenen hebben in sommige gevallen het recht om verwijdering van persoonsgegevens te krijgen (art. 17 AVG). Het recht om vergeten te worden ook wel recht van vergetelheid, lijkt op het huidige recht op correctie en verwijdering, maar is breder. Het recht is niet meer beperkt tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of gegevens die niet ter zake doen. De organisatie / degene die de gegevens verwerkt moet redelijke maatregelen nemen om de gegevens te verwijderen, maar ook om iedere koppeling naar, kopie of reproductie te wissen.

Een organisatie moet een dergelijk verzoek inwilligen als één van de volgende gevallen van toepassing is:

 de gegevens zijn niet langer nodig in verband met de doelen waarvoor zij zijn verzameld;  de betrokkene trekt de gegeven toestemming in, en er is geen andere rechtsgrond voor

de verwerking;

 de betrokkene maakt bezwaar tegen de verwerking;  de gegevens zijn onrechtmatig verwerkt;

 de gegevens moeten worden gewist om te voldoen aan een wettelijke verplichting krachtens Unierecht of nationaal recht.

Persoonsgegevens hoeven niet gewist te worden wanneer zij bijvoorbeeld nodig zijn voor het uitoefenen van het recht op vrijheid van meningsuiting, wanneer er sprake is van een wettelijke verplichting of een taak van algemeen belang of om redenen van algemeen belang op het gebied van de volksgezondheid (art. 17 lid 3 AVG).

Recht van verzet

Betrokkenen hebben het recht aan een organisatie te vragen hun persoonsgegevens niet meer te gebruiken. Het is ten eerste van toepassing als een organisatie persoonsgegevens gebruikt voor marketingdoeleinden. Dit onderdeel is niet tot zeer beperkt van toepassing voor zorginstellingen. Ten tweede kan iemand ook om bijzondere persoonlijke redenen van het recht van verzet gebruikmaken.

Naast het recht van verzet is sprake van recht op beperking van de verwerking. Een betrokkene heeft het recht om beperking van de verwerking te verkrijgen, wanneer bijvoorbeeld de juistheid van de gegevens door de betrokkene wordt betwist. Of wanneer de persoonsgegevens niet meer nodig zijn voor de doelen van de verwerking, maar de betrokkene ze nodig heeft voor de instelling, uitoefening of verdediging van een rechtsvordering (art. 18 AVG).

(23)

22

Recht op dataportabiliteit

Dataportabiliteit oftewel overdraagbaarheid van persoonsgegevens houdt in dat betrokkenen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van de betrokkene heeft. Vervolgens kunnen betrokkenen deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook mag betrokkene deze gegevens doorgeven aan een andere organisatie (art. 20 AVG). De organisatie die de gegevens verstrekt, mag betrokkene hierin niet tegenwerken. En moet ervoor zorgen dat de betrokkene zijn gegevens makkelijk kan krijgen en doorgeven.

Aanvullend op de bovengenoemde rechten is nog sprake van kennisgevingsplicht. Mochten de persoonsgegevens verbeterd, verwijderd of beperkt worden, dan moet de betrokkene dit aan de ontvanger / organisatie aan wie de gegevens zijn verstrekt melden. Wanneer dit onmogelijk blijkt of onevenredig veel inspanning kost, dan hoeft dit niet (art. 19 AVG).

2.3.2 Toestemming van betrokkene

Een verwerking van persoonsgegevens kan rechtmatig zijn wanneer er toestemming gegeven is door de betrokkene. Dit moet aan een aantal voorwaarden voldoen (art. 6 AVG).

De organisatie c.q. de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene, dus diegene van wie de persoonsgegevens verwerkt worden, toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens (art. 7 AVG). Het verzoek om toestemming moet in begrijpelijke en gemakkelijke toegankelijke vorm aangeboden worden, én in duidelijke en eenvoudige taal. Daarnaast kan de betrokkene de toestemming ieder moment intrekken.

De toestemming dient te worden gegeven door middel van een duidelijke actieve handeling. Dit kan bijvoorbeeld met een schriftelijke verklaring, met elektronische middelen, of een mondelinge verklaring. Hieruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt (rechtsoverweging 32 AVG).

De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden hebben. Wanneer er meerdere doelen zijn voor de verwerking van gegevens, moet toestemming voor elk van deze doelen verleend worden.

2.4 Afsluiting

In dit hoofdstuk is kort ingegaan op de weten regelgeving waaraan zorginstellingen per 25 mei 2018 respectievelijk 1 juli 2020 moeten voldoen. Daarnaast is ingezoomd op de begrippen recht van betrokkene en de toestemming, die centraal staan in deze scriptie. Beide begrippen zijn door het de Autoriteit Persoonsgegevens (AP) opgenomen in het rijtje van de 10 belangrijkste stappen die een organisatie helpen om voorbereid te zijn op de AVG.

(24)

23

3 Raamwerk uitgaande van recht van betrokkene en de toestemming

3.1 Inleiding

In dit hoofdstuk wordt het raamwerk uitgaande van het recht van betrokkene en de toestemming weergegeven. In paragraaf 3.2 is het doel van het raamwerk beschreven. In de volgende paragraaf is weergegeven op welke manier het raamwerk is opgebouwd aangevuld met de wijzigingen op basis van de validatie. Het resultaat is het definitieve raamwerk zoals opgenomen in bijlage 3. Dit raamwerk geeft tevens antwoord op de tweede en derde deelvraag zoals benoemd in de probleemstelling in paragraaf 1.3.

3.2 Doel van het raamwerk

In de context van deze scriptie (paragraaf 1.2) is aangegeven dat een overlap te verwachten is tussen het recht van betrokkene en de toestemming uit de AVG met de wet cliëntenrechten en de NEN-normen. Om deze overlap inzichtelijk te maken, wordt een raamwerk opgesteld. Het doel van het raamwerk is in eerste instantie het in beeld te brengen van de eisen die genoemde wetten stellen ten aanzien van het recht van betrokkene en de toestemming. Ten tweede inzicht in de overlap tussen genoemde wetten en NEN-normen op genoemde onderwerpen. In de derde plaats om een organisatie inzicht te geven in de mogelijkheid om onderdelen gelijktijdig op te pakken. Daarnaast kan het raamwerk gaan dienen als normenkader voor de IT-auditor bij de toetsing aan de weten regelgeving.

Door het inzichtelijk maken van deze overlap is het voor zorgorganisaties mogelijk om aanpassingen gelijktijdig op te pakken, waardoor efficiëntie bereikt kan worden. Het gelijktijdig oppakken kan er evenwel voor zorgen dat de impact groter is, maar naar verwachting kunnen de eventuele volgtijdelijke consequenties beter overzien worden. Daarnaast wordt bij gezamenlijke aanpak tijdig aan de wet cliëntenrechten voldaan.

3.3 Opbouw van het raamwerk en validatie

In de eerste fase is het raamwerk opgebouwd uitgaande van het recht van betrokkene en de toestemming uit de AVG. Na afronding van het conceptraamwerk is deze versie voorgelegd aan een expert en door een internal auditor aangescherpt. Voor de volledigheid is de aangepaste versie nog voorgelegd aan een andere interne (IT-)auditor werkzaam bij een gehandicaptenzorginstelling.

3.3.1 Opbouw van het raamwerk

Het raamwerk is opgebouwd door de artikelen met betrekking tot het recht van de betrokkene en de toestemming uit de AVG, zoals in paragraaf 2.3 beschreven, te koppelen aan de wet cliëntenrechten en de NEN-normen 7510, 7512 en 7513.

(25)

24

Bij het opzetten van het raamwerk is gestart met de AVG (Europese Unie, 2016). In eerste aanzet zijn de artikelen met betrekking tot het recht van betrokkene opgenomen in het raamwerk. Hoofdstuk 3 van de AVG is geheel gewijd aan de rechten van de betrokkene, de artikelen sluiten aan bij de eerder benoemde elementen met betrekking tot het recht van betrokkene in paragraaf 2.3.1. Het betreffen de artikelen 12 tot en met 20.

Vervolgens is in lijn met de afbakening van het onderzoek de toestemming van betrokkene toegevoegd. De artikelen met betrekking tot de toestemming, zijn opgenomen in hoofdstuk 2 (beginselen) van de AVG. Het betreffen de artikelen 6, 7 en 8. De basis is de rechtmatigheid van de verwerking, aangevuld met voorwaarden voor toestemming.

In de tweede stap is de wet cliëntenrechten gekoppeld aan het recht van de betrokkene en de toestemming. Deze wet is opgesteld ten behoeve van de (elektronische) uitwisseling van gegevens van cliënten. De wet cliëntenrechten en het recht van betrokkene en de toestemming sluiten met betrekking tot transparante informatie, recht op inzage en voorwaarden voor toestemming op elkaar aan.

De derde stap is het koppelen van de NEN-normen. In het raamwerk is gestart is met de NEN7510 gevolgd door de NEN7512 en NEN7513. Deze volgorde is aangehouden omdat de NEN7512 een nadere invulling levert voor een aantal beheersmaatregelen van NEN7510 (NEN,2015) en de NEN7513 een uitwerking betreft van het hoofdstuk Toegangsbeveiliging uit de NEN7510 (NEN,2010). In de normen staan richtlijnen, uitgangspunten en beheersmaatregelen.

Het verschil tussen een wettekst en een norm maakte het lastig om de overlap in kaart te brengen. De wet geeft de eisen weer waaraan voldaan moet worden, zonder aan te geven hoe dit ingeregeld dient te worden. De NEN-norm geeft een invulling, onder ander aan de hand van beheersmaatregelen, aan. Bij het bestuderen van de wetten en NEN-normen is naar voren gekomen dat de NEN-normen zich grotendeels richten op informatiebeveiliging en minder op de privacy, de hoofdlijn van de AVG.

3.3.2 Validatie

De eerste validatie is uitgevoerd met de eerder genoemde expert / ervaringsdeskundige in de zorgsector. De expert merkte op dat in 2017 de ontwerpversie van de NEN7510, gesplitst in de NEN7510-1 en 7510-2, is opgesteld. In de conceptversie van het raamwerk was gebruik gemaakt van de NEN7510:2011. Besloten is om verder te werken met de NEN7510:2017 ontwerpversie. De reden om gebruik te maken van de nieuwe ontwerpversie is om beter aan te sluiten bij de actualiteit. Veel organisaties zijn immers nog bezig met de invoering en ook zij zullen de nieuwe norm hanteren.

Tevens heeft de expert aangegeven dat het model vooral een mapping van artikelen uit verschillende bronnen betreft. Van een raamwerk en toepassing zou de expert meer diepgang verwachten, ook met betrekking tot werkzaamheden voor IT. Deze reactie heb ik als gegeven aangenomen gezien de hoofdvraag van deze scriptie.

(26)

25

Omdat mijn inziens de reactie van de expert inhoudelijk te minimaal was heb ik het conceptmodel extra voorgelegd aan een auditmanager van een gehandicapteninstelling, die betrokken was bij één van de twee groepsgesprekken. De auditmanager heeft opgemerkt dat de toets op de volledigheid lastig is ofwel dekt het raamwerk het geheel af? . Aan de hand van de geselecteerde wetten, heb ik het conceptraamwerk nogmaals beoordeeld op volledigheid. Bij de beoordeling is gebleken dat, in tegenstelling tot eerste analyse, overlap aanwezig is tussen de wet cliëntenrechten en de NEN7512. Deze overlap is toegevoegd aan het definitieve raamwerk en hiermee is het raamwerk verder verrijkt.

In de eerste versie van het raamwerk was het tevens onduidelijk of het een opsomming is vanuit de wet cliëntenrechten per 1 juli 2017 of ook per 1 juli 2020. In het definitieve raamwerk is dit wel duidelijk aangegeven. Gekozen is om de kolom ingegaan per 1 juli 2017 niet op te nemen, omdat dit in de brochure ‘Elektronische gegevensuitwisseling in de zorg’ (Ministerie van VWS,2017) duidelijk is weergegeven.

De vernieuwde versie van het raamwerk is hierna voorgelegd aan de interne IT-auditor van een andere gehandicaptenzorginstelling. De reactie luidt: ‘Aangezien de implementatie van de AVG bij onze organisatie wordt ingestoken vanuit de NEN7510 geeft dit raamwerk goed inzicht in welke aspecten van de AVG naast de NEN7510 nog aandacht behoeven. In dat opzicht heeft het raamwerk toegevoegde waarde. Hiermee kan ook het gesprek aangegaan worden binnen de organisatie. Gebleken is dat voor de juridische aspecten zoals de rechtmatigheid van verwerking, recht op overdraagbaarheid van gegevens, recht op rectificatie, etc. minder aandacht is als de implementatie van de AVG wordt aangevlogen vanuit informatiebeveiliging’. Gezien de bovenstaande reactie, heb ik geen aanpassingen meer gedaan aan het raamwerk.

Bij de validatie is het conceptraamwerk aan drie verschillende personen voorgelegd. De eerste twee personen hebben gereageerd op de eerste versie van het raamwerk. De derde persoon op de vernieuwde versie na de eerste validatie. Zo hebben er dus in totaal drie validatie stappen plaatsgevonden.

3.4 Definitieve raamwerk

Bij het opstellen van het raamwerk is geconcludeerd dat sprake is van enige overlap tussen het recht van betrokkene en de toestemming uit de AVG met de wet cliëntenrechten en de NEN-normen. Het definitieve raamwerk is weergegeven in bijlage 3.

Zichtbaar is dat de wet cliëntenrechten zich richt op de transparantie en het recht op inzage van de eigen informatie. Andere onderdelen van het recht van de betrokkene hebben geen aansluiting met de wet cliëntenrechten. Meer aansluiting is te vinden met de toestemming en de daarbij behoorde voorwaarden. Dit komt overeen met de theorie beschreven in paragraaf 2.2.2.

(27)

26

De NEN7510 dekt een groot deel van de genoemde artikelen uit de AVG af. Geen maatregelen zijn genoemd met betrekking tot recht op rectificatie, recht op beperking van de verwerking en recht op overdraagbaarheid van gegevens (dataportabiliteit) en rechtmatigheid van verwerking. De NEN7512 heeft aandacht voor kennisgevingsplicht en recht op overdraagbaarheid van gegevens (dataportabiliteit). De NEN7513 heeft daarentegen aandacht voor recht op inzage en recht op beperking van verwerking. De NEN7512 en 7513 hebben beide aandacht voor de voorwaarden bij toestemming. De NEN7512 schrijft ook over recht van verwerking.

3.5 Afsluiting

In dit hoofdstuk is op basis van de literatuurstudie in hoofdstuk 2, na validatie een definitief raamwerk opgesteld. Het definitieve raamwerk is weergegeven in bijlage 3.

(28)

27

4 Toepassing raamwerk binnen zorginstellingen

4.1 Inleiding

Het raamwerk is beschreven in hoofdstuk 3 en weergegeven in bijlage 3. In paragraaf 4.2 wordt de opzet van het praktijkonderzoek verwoord. In de volgende paragraaf wordt de werkwijze met betrekking tot de (nieuwe) wetgeving uitgaande van de AVG binnen een drietal zorginstellingen7_{inclusief de reactie van de auditfunctie beschreven. Deze paragraaf geeft}

tevens antwoord op de deelvraag ‘Op welke manier hebben zorgorganisaties in de caresector bij de implementatie van het recht van betrokkene en de toestemming van betrokkene rekening gehouden met de wet cliëntenrechten en de NEN-normen. In de paragraaf vier wordt de confrontatie tussen de praktijk en het raamwerk weergegeven.

4.2 Opzet van praktijkonderzoek

Om te onderzoeken hoe ver zorgorganisaties zijn met het invoeren van de AVG, wet cliëntenrechten en NEN-normen en/of het raamwerk behulpzaam kan zijn voor de organisatie of IT-auditor is gekozen voor case studies:

 Twee groepsgesprekken met zorginstellingen werkzaam in de gehandicaptenzorg.

 Interviews binnen één organisatie werkzaam in de ouderen-, jeugd- en gehandicaptenzorg8_.

De reden voor de groepsgesprekken is dat aanwezigen op elkaar kunnen reageren (Verschuren en Doorewaard, 1998), waardoor inzicht verkregen wordt in de kennis van de aanwezigen over het onderwerp en de mate waarin onderdelen van de organisatie bezig zijn met de invoering van de weten regelgeving.

Het uitgangspunt van deze semigestructureerde groepsgesprekken was de mate waarin de ondervraagde organisaties bezig zijn om te voldoen aan de AVG, in hoeverre specifiek aandacht is voor het recht van betrokkene en toestemming en of zij hierbij rekening hebben gehouden met de wet cliëntenrechten en NEN-normen. Tijdens deze groepsgesprekken hebben de aanwezige elkaar aangevuld en zijn discussies gevoerd over de gezette en nog te zetten stappen. Het raamwerk is tijdens de groepsgesprekken als leidraad gebruikt om te zorgen voor gelijke kennis van exacte punten met betrekking tot het recht van betrokkene en de toestemming.

Bij de derde organisatie is gekozen voor individuele gesprekken, omdat ik bij deze organisatie als internal auditor werkzaam ben. De gesprekken hadden een open wijze van vraagstelling. Ofwel de meest vrije vorm van interviewen volgens Verschuren en Doorewaard (1998). Als voormalig projectleider informatieveiligheid is de van belang zijnde kennis aanwezig. De interviews zorgen voor volledigheid en juistheid van de aanwezige kennis, bij mij als de internal auditor.

7_{In deze scriptie is, op verzoek van de zorginstellingen, ervoor gekozen om de zorginstellingen niet bij naam te}

noemen. Gekozen is voor de zorginstelling A, B en C. Een lijst met namen en functies is op verzoek verkrijgbaar.

(29)

28

Tijdens de groepsgesprekken is specifiek aan de auditors gevraagd of het gevalideerde raamwerk van toegevoegde waarde is of kan zijn om de overlap tussen de wet en normen gecombineerd op te pakken.

4.3 Praktijkonderzoek 4.3.1 Zorginstelling A

Binnen deze landelijke instelling voor gehandicaptenzorg is een aantal medewerkers, gezamenlijk, bezig met privacy & informatiebeveiliging en de bijhorende wetten. Een groepsgesprek heeft plaatsgevonden met een viertal medewerkers, te weten:

 twee juristen van de afdeling Bestuursondersteuning,

 CISO,

 auditmanager.

Beide juristen waren bij het gesprek aanwezig, omdat zij een toetsingskader AVG hebben opgesteld, dat gebruikt is / gaat worden door internal audit. De CISO, organisatorisch

medewerker van de directie Informatie & Organisatie, was aanwezig als verantwoordelijke

voor het maken van beleid op het gebied van informatiebeveiliging.

De juristen hebben aan de hand van de AVG een toetsingskader met normen gemaakt op basis waarvan Internal Audit in december 2017/januari 2018 een nulmeting uitvoert binnen de organisatie. Het toetsingskader betreft alleen de artikelen uit de AVG die ook van

toepassing zijn op de eigen organisatie (soort van maatwerk). Daarnaast is een plan van aanpak opgesteld om te beoordelen of al voldaan wordt aan de Wet elektronische

gegevensverwerking door zorgaanbieders (wet cliëntenrechten), die deels per 1 juli 2017 en deels per 1 juli 2020 in werking treedt. Het toetsingskader AVG en het plan van aanpak elektronische gegevens uitwisseling zijn ontvangen en gebruikt bij het formuleren van de conclusie.

Door de organisatie is geconcludeerd dat op dit moment voldaan wordt aan de geldende weten regelgeving ten aanzien van de Wet elektronische gegevensverwerking door zorgaanbieders. Voor de bepalingen die op 1 juli 2020 in werking treden is nog voldoende tijd om de voorgestelde acties uit te voeren en de processen en systemen van de organisatie in lijn te brengen met de nieuwe wetgeving.

Vanuit juridisch oogpunt wordt aandacht besteed aan de volgorde van de wetten waarbij (zorg)specifieke wetten boven de algemene wetten gaan. Tevens is het uitgangspunt dat de tijdsvolgorde waarop de wetten van kracht worden van belang is. Tijdens het groepsgesprek is gediscussieerd over ‘wat mag je verwerken’ en ‘wanneer moet je hoe, welke toestemming vragen aan de cliënten’. Evenals over de toestemming, die eerder ook al vastgelegd is in het gezondheidsrecht.

De organisatie heeft zich primair gericht op de NEN7510. Een externe organisatie heeft de zwakke plekken beoordeeld. De CISO en een IT-auditor in opleiding zijn hierbij betrokken. In een volgende fase zal aandacht besteedt worden aan de NEN7512 en 7513. Voor de CISO is het van belang of vanuit IT gezien voldaan wordt aan de wetgeving. Een uitdaging is bijvoorbeeld de logging, waarvoor contact gezocht is met de leveranciers van de systemen.

(30)

29

Tijdens het groepsgesprek heeft de CISO aangegeven het onderstaande figuur (KPMG) in ogenschouw te nemen bij de uitvoering van zijn rol. Het figuur geeft het onderscheid tussen privacy, security en de overlap weer. De CISO geeft aan verantwoordelijk te zijn voor het security-gedeelte, dat in zijn woorden wordt afgedekt door de NEN-normen. Het privacy-gedeelte, ofwel de basis voor de AVG, is binnen deze organisatie belegd bij de Functionaris Gegevensbescherming. Over het overlappende gedeelte zal in de loop van de tijd steeds meer afstemming plaatsvinden tussen de CISO en de Functionaris Gegevensbescherming, mede doordat de taken pas recent verdeeld zijn.

Figuur 3. Privacy vs. Security.

De auditfunctie is betrokken bij de 0-meting op de AVG en heeft het normenkader voor de AVG, zoals opgesteld door de juristen, (mede) beoordeeld vanuit de auditoptiek. De wet cliëntenrechten is niet meegenomen in het normenkader, mede door de tijdsdruk. Gekozen is voor een gefaseerde aanpak. Na de 0-meting zullen, aan de hand van het normenkader, ook een tussentijdse en een compliance toets worden uitgevoerd. Bij de uitvoering van de nulmeting (in december 2017) door de auditafdeling is gemerkt dat de wetten in de praktijk niet altijd strikt te scheiden zijn en dat het handiger is om het meer integraal te bekijken. Ook bij de uitvoering is dit efficiënter.

Een tweede taak van de auditfunctie is een maandelijkse toets op een thema binnen de NEN7510, waarbij de aansluiting met de AVG (als toets) wordt meegenomen. Bij dit onderzoek naar de NEN7510 is het kijken naar de AVG aanvullend, ook wordt niet gekeken naar de mate van implementatie. Een certificeringorganisatie gaat de organisatie beoordelen in het kader van de certificering voor de NEN7510.

De auditfunctie heeft aangegeven dat de overlap zoals weergegeven in het raamwerk een bruikbaar overzicht geeft als norm voor toetsing. Helaas dekt het raamwerk niet de volledige AVG af. Het raamwerk geeft voor de benoemde elementen inzicht in de overlap tussen de regels en normen. De auditfunctie heeft deze overlap zelf nog onvoldoende in kaart.

(31)

30

4.3.2 Zorginstelling B

Binnen deze zorginstelling landelijk actief in de gehandicaptenzorg is recent gestart met de voorbereiding om te voldoen aan de AVG.

Een groepsgesprek heeft plaatsgevonden met een drietal medewerkers, te weten:  Secretaris Raad van Bestuur en tevens Functionaris Gegevensbescherming,  ICT Architect en tevens Security Functionaris,

 Hoofd internal audit.

De Functionaris Gegevensbescherming is de eerst verantwoordelijke voor de uitvoering van de AVG. De Security Functionaris is de intern projectleider van het project dat de voorbereiding voor de AVG ter hand neemt. De auditor zal de AVG en de naleving gaan toetsen.

De organisatie heeft een eerste inventarisatie uitgevoerd. Het inzicht in de rechten van de betrokkene en de benodigde toestemming moet nog verder uitgezocht worden. Doordat de organisatie zich gericht heeft op de ISO 27001-certificering (ISO standaard voor informatiebeveiliging), heeft de voortgang met betrekking tot de AVG stil gelegen. Om de voortgang vlot te trekken heeft de Security Functionaris een externe medewerker aangetrokken die er samen met de organisatie voor moet gaan zorgen dat de organisatie op tijd klaar is voor de AVG. Het voorstel voor de ondersteuning om AVG compliant te worden is samen met het stappenplan AVG ontvangen en gebruikt bij het formuleren van de conclusie. De keuze voor de certificering op informatiebeveiliging komt voort uit de eis van de gemeenten. Door aan de slag te gaan met ISO 27001 verwacht de organisatie om meer proactief dan reactief te reageren.

Een deel van de verplichtingen in de AVG heeft zijn basis in de Wbp of geldende kwaliteitskaders, waardoor naar verwachting reeds voldaan wordt aan een aantal uitgangspunten. Op dit moment wordt aan cliënten toestemming gevraagd voor het gebruik van foto’s. Bij de inrichting van de EPD (Elektronisch Patiënten Dossier) is ingeregeld dat cliënten een (geprint) afschrift van hun dossier kunnen krijgen.

De wet cliëntenrechten is zowel bij de Functionaris Gegevensbescherming als de Security Functionaris bekend, maar er is niet specifiek gekeken of in deze wet nog zaken zitten die naast de vereisten van de AVG tot acties leiden. De organisatie gaat er min of meer vanuit dat bij hen alleen sprake is van elektronische uitwisseling van cliëntgegevens met zorgkantoren en gemeenten. Deze uitwisseling vindt plaats op basis van de geldende wetten. Verwachting is dat door aanvullend op de ISO 27001 te kijken naar de ISO 27002 ook de NEN7512 en NEN7513 zijn meegenomen.

De auditfunctie is niet betrokken bij de AVG, maar wel bij de certificering voor ISO 27001. Voor de uitvoering van een interne audit heeft de auditfunctie gebruik gemaakt van de door de externe partij gesignaleerde aandachtspunten bij de certificering. In 2018 gaat de auditfunctie een audit op de privacy uitvoeren. Het raamwerk is een hulpmiddel bij het opstellen van de norm.

(32)

31

De organisatie heeft aangegeven het raamwerk interessant te vinden om in beeld te hebben bij welke elementen sprake is van overlap met de wet cliëntenrechten. Indien van toepassing dan kan dit nog tijdig ingeregeld worden. Op dit moment is de organisatie nog niet zover om het raamwerk daadwerkelijk toe te passen.

4.3.3 Zorginstelling C

Deze zorginstelling is werkzaam, in de ouderen-, jeugd- en gehandicaptenzorg, in een drietal provincies in Nederland. In 2014 is, onder leiding van de internal auditor, een project gestart ten behoeve van het informatieveiligheidsbeleid en de te zetten stappen om te gaan voldoen aan de AVG. De NEN7510 is gebruikt als uitgangspunt, maar niet met als doel om gecertificeerd te worden. In de loop van de tijd is de aandacht verslapt voor het onderwerp. Binnen deze zorginstelling heeft, zoals aangeven, geen groepsgesprek plaatsgevonden. Door aanvullende gesprekken is ervoor gezorgd dat de kennis van de auditor (weer) volledig en juist is met betrekking tot de AVG, wet cliëntenrechten en de NEN-normen. Gekozen is voor een gesprek met het Hoofd ICT om te beoordelen in hoeverre aanvullende stappen met betrekking tot security zijn gezet in het kader van de AVG. Verder is informatie gebruikt, verkregen tijdens reguliere vergaderingen over de AVG en de te nemen stappen. Bij deze gesprekken waren de bestuurssecretaris, als portefeuillehouder AVG, de beleidsmedewerker en de internal auditor als adviseur aanwezig. De benoemde functionarissen hebben allen een rol bij het (blijven) voldoen aan de AVG.

In principe zou de zorginstelling voor de uitwisseling van cliëntgegevens met gemeenten reeds moeten voldoen aan de NEN7510. Het betreft de doorvertaling van de eis van de gemeenten naar de zorginstellingen waar gegevens mee worden uitgewisseld. Toentertijd is besloten geen stappen te zetten richting certificeren, maar alleen de nodige aansluiting met de NEN7510 te realiseren.

Een beleidsmedewerker is aangewezen om een aantal onderdelen, zoals de meldplicht datalekken en bewerkersovereenkomsten in combinatie met bewustwording, uit de AVG op te pakken. De bestuurssecretaris is portefeuillehouder AVG, waarmee de verantwoordelijkheid voor de AVG bij hem is belegd. Het hoofd ICT is voornemens om een medewerker op te leiden voor de rol van security officer vanuit ICT. De organisatie heeft als uitgangspunt om pragmatisch met de wet om te gaan en alleen te doen wat echt moet. Vanuit Informatiemanagement zijn nog geen stappen gezet.

Recent is een externe partij gevraagd om de organisatie te begeleiden en zijn informatiesessies opgezet. De NEN7510 zal hierbij aandacht krijgen. De aansluiting met de wet cliëntenrechten en/of NEN7512 en 7513 zit niet in de scope voor de aanpassingen ten behoeve van de AVG. Verwacht wordt dat op basis van eerder geldende weten regelgeving voldaan wordt aan een (groot) gedeelte van de AVG en de wet cliëntenrechten.

(33)

32

Aansluitend is vanuit ICT ook besloten een externe medewerker met technische kennis aan te trekken in de rol van TISO (technische informatie security officer), omdat de opleiding van de eigen medewerkers een aantal jaren gaat duren. De TISO zal het proces om te voldoen aan de AVG gezien vanuit IT moeten gaan oppakken. Welke uitgangspunten daarbij betrokken worden, moet nog beoordeeld worden. Een aansluiting met de wet cliëntenrechten is niet meegenomen. Vanuit ICT is (nog) niet gesproken over de NEN7510, 7512 en 7513. Momenteel wordt bij aanpassingen binnen IT, gekeken naar de regels met betrekking tot de AVG. Waar van toepassing wordt hier rekening mee gehouden.

De auditfunctie is in 2014 betrokken geweest bij het project. In eerste aanleg is nagedacht om de rol van CISO binnen de auditfunctie te beleggen. In de recente ontwikkelingen is de auditfunctie niet meer betrokken geweest. Voor 2018 is een privacy-audit opgenomen in het auditjaarplan. Het raamwerk zal gebruikt worden bij het opmaken van het normenkader. Daarnaast zal de auditfunctie de organisatie vanuit de natuurlijke adviesfunctie meenemen in de overeenkomsten en mogelijkheden van het raamwerk.

Gezien de fase waarin de organisatie zich nu bevindt kan het raamwerk een nuttig hulpmiddel zijn om te beoordelen of bij het voldoen aan de elementen uit de AVG, soms met een kleine extra stap, ook aan de wet cliëntenrechten of NEN-normen voldaan kan worden (in bijzonder vanuit IT). De organisatie zelf is op dit moment niet zo ver dat zij het raamwerk al kunnen toepassen.

4.4 Resultaat

Voor de geïnterviewde organisaties geldt dat zij al lang in de zorgsector werkzaam zijn en de reeds geldende weten regelgeving naleven. De aandachtspunten uit de AVG die zijn opgenomen in de Wet bescherming persoonsgegevens (Wbp) of andere wetgeving worden daarmee op hoofdpunten nageleefd. Het gaat om de details die de aandacht vergen. Een voorbeeld is de EPD die, door alle drie de organisaties, voor dezelfde werkzaamheden wordt gebruikt.

Op basis van de interviews en onderliggende documenten, zoals projectplannen / toetsingskader AVG kan onderstaande per zorginstelling geconcludeerd worden. De beoordeling is afgestemd met de auditors van de zorginstellingen.

Zorginstelling A is redelijk ver met de voorbereiding op de AVG, tevens hebben de juristen inzicht in de aanpalende wet cliëntenrechten. De nadruk ligt op het voldoen aan de AVG, waarvoor het toetsingskader is opgesteld. De organisatie is wel bezig om ook te gaan voldoen aan de wet cliëntenrechten. In dit kader is er wel steeds meer aandacht voor toestemming

en rechten van de betrokkene. Echter door tijd is ervoor gekozen om volgtijdelijk de

aanpassingen als gevolg van de AVG en wet cliëntenrechten door te voeren, waarbij overlap aanwezig is. Vanuit de andere afdelingen, dan de juristen, was de aansluiting tussen de wetten minder bekend. De AVG en de NEN7510 worden vanuit een ander speelveld opgepakt. Door de geplande maandelijkse toets op een thema uit de NEN7510 door de auditfunctie en de audits op de AVG komen de NEN7510 en de AVG bij elkaar. De andere NEN-normen volgen op een later moment.