Informatiearchitectuur en informatiebeveiliging, NEN 7510

Deze maand:

De Europese Privacy Verordening, stand van zaken en gevolgen voor de zorg

Europese vlagBegin 2012 heeft de Europese Commissie een voorstel ingediend voor een Europese Privacy Verordening. Men heeft er vier doelstellingen mee:

  1. Meer zeggenschap voor de burger over de eigen gegevens zoals het recht om te worden vergeten.
  2.  Versterken van de handhaving met onder andere hogere boetes en meer verplichtingen op het gebied van de informatiebeveiliging.
  3. Meer samenhang tussen de regels van de lidstaten en goed gecoördineerde handhaving waarbij is gekozen voor een wet op het niveau van de Europese Unie (Verordening) in plaats van nationale wetgeving met alle varianten van dien. 
  4. Nieuwe regels en nieuwe mogelijkheden voor de grensoverschrijdende doorgifte van gegevens, iets waar bijvoorbeeld de Facebooks en Googles van deze wereld mee te maken gaan krijgen.

Inmiddels wordt de Verordening in derde lezing behandeld door deRaad Justitie en Binnenlandse Zaken’ (JBZ  Raad) van de Europese Unie die bestaat uit de ministers van de lidstaten op dit terrein.  Zij zijn begonnen nadat het Europees Parlement de Verordening in maart 2014 met grote meerderheid had geaccepteerd. Er zijn nog discussiepunten, zoals de manier waarop de toezichthouders in de Europese Unie gaan samenwerken. Consensus ligt binnen handbereik en al met al lijken de moeilijkste hobbels genomen.

De vraag wat deze Verordening gaat betekenen voor de Nederlandse Gezondheidszorg is actueel. Er komen belangrijke verplichtingen aan zoals het instellen van een ‘Data Protection Officer, de verplichting ‘to demonstrate that the processing of personal data is performed in compliance with this Regulation’ en de verplichting van ‘Data protection by design en by default’, een hooggestemd maar niet erg duidelijke artikel dat de Raad aanzienlijk heeft verduidelijkt. 

Vooral de ziekenhuizen hebben al veel gedaan aan risicoanalyses en informatieveiligheidsbeleid en hebben vaak een Functionaris Gegevensbescherming aangesteld. Zij staan voor de  opgave om verdere concrete maatregelen te implementeren. Zo wordt er in de zorg nog steeds massaal gebruik gemaakt van onbeveiligde e-mail ondanks het verbod daarop in de norm voor informatiebeveiliging in de zorg, de NEN 7510. 

Een unieke kans om bijgepraat te worden door gerenommeerde deskundigen! Op 29 april aanstaande in het Koninklijk Instituut in de Tropen vindt hierover een congres plaats. Schrijf in op: http://nvma.nl/evenementen/congres-privacybescherming-en-informatiebeveiliging-2015/