Privacy in de zorg (deel 3): logging verplicht?

Logging voorziet in een stelselmatige geautoriseerde registratie van gegevens rondom de toegang tot het (elektronisch) patiëntdossier. Dit is nodig vanwege het belang van de integriteit van de gegevens in het elektronisch patiëntendossier en de aanwezigheid van bijzondere persoonsgegevens. In het elektronisch patiëntendossier worden immers gegevens omtrent de gezondheid van de patiënt opgeslagen. Deze gegevens kwalificeren als bijzondere persoonsgegevens. Het is dan ook van belang te kunnen achterhalen wie toegang heeft gehad tot het dossier, of deze toegang wel rechtmatig was en welke acties in het dossier zijn uitgevoerd. Om dit te kunnen vaststellen is logging noodzakelijk.

NEN 7513 biedt aanwijzingen voor het loggen en het gebruik van logging om te voldoen aan wettelijke verplichtingen en levert ontwikkelaars van informatiesystemen een aantal eisen waaraan hun informatiesystemen moeten voldoen. Gegevens die tenminste bijgehouden moeten worden om logging mogelijk te maken zijn:

• de gebeurtenis die plaatsgevonden heeft;
• het tijdstip waarop de betreffende gebeurtenis heeft plaatsgevonden;
• welke cliënte dit betrof’
• wie de betreffende gebruiker van het elektronisch uitwisselingssysteem was die de gebeurtenis heeft laten plaatsvinden;
• namens welke verantwoordelijke de betreffende gebruiker optrad.

In het Besluit elektronische gegevensverwerking door zorgaanbieders is vastgelegd dat vertegenwoordigende organisaties van zorgaanbieders en patiënten in overleg met de Autoriteit Persoonsgegevens, een bewaartermijn moeten vaststellen en bekend maken. Deze bewaartermijn moet voor 1 juli 2018 bekend worden gemaakt in de Staatscourant. Ook in de NEN 7513 is opgenomen dat het in beginsel aan patiënten, zorgaanbieders en toezichthouders is om termijnen overeen te komen voor het bewaren van loggegevens. De reden hiervoor is een praktische. De algemene bewaartermijn van medische gegevens is immers 15 jaar. Een bewaartermijn van 15 jaar voor loggegevens zou echter een bulk aan data opleveren dat volgens de wetgever op praktische bezwaren kan stuiten. Tot 1 juli 2018, de datum waarop de bewaartermijn van loggegevens bekend wordt gemaakt, doen zorgaanbieders er echter goed aan de bewaartermijn van 15 jaar aan te houden.

Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity