Besluit van 10 november 2017, houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders (Besluit elektronische gegevensverwerking door zorgaanbieders)

Artikel 1 In dit besluit wordt verstaan onder: elektronisch uitwisselingssysteem: Wet aanvullende bepalingen verwerking persoonsgegevens een elektronisch uitwisselingssysteem als bedoeld in dein de zorg; logging: artikel 15e van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg de stelselmatige geautomatiseerde registratie van gegevens bedoeld inalsmede de bestanden waarin die registratie is opgeslagen; NEN: een door de Stichting Nederlands Normalisatie-instituut uitgegeven norm; NEN 7510: norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg; NEN 7512: nadere invulling van NEN 7510 betreffende de veiligheid van gegevensuitwisseling tussen partijen in de zorg; NEN 7513: nadere invulling van NEN 7510 betreffende het vastleggen van acties op elektronische patiëntdossiers; zorgaanbieder: Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg zorgaanbieder als bedoeld in de; zorginformatiesysteem: Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg elektronisch systeem van een zorgaanbieder voor het verwerken van persoonsgegevens in een dossier als bedoeld in de, niet zijnde een elektronisch uitwisselingssysteem; zorgserviceprovider: netwerkleverancier van een beveiligde netwerkverbinding tussen een zorginformatiesysteem en een elektronisch uitwisselingssysteem. 2020 321 09-09-2020 31-08-2020 2020 321 09-09-2020 31-08-2020 01-10-2020

Artikel 2 Vervallen 2018 461 14-12-2018 06-12-2018 2018 461 14-12-2018 06-12-2018 15-12-2018 17-11-2018

Artikel 3 1 De verantwoordelijke voor een elektronisch uitwisselingssysteem draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van dat elektronisch uitwisselingssysteem. 2 Een zorgaanbieder draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem waarop hij is aangesloten. 3 De verantwoordelijke voor een elektronisch uitwisselingssysteem werkt met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria. 4 Een rechtspersoon, niet zijnde een zorgaanbieder, die een elektronisch uitwisselingssysteem beheert en in stand houdt, voldoet aan de volgende voorwaarden: a. een van de rechtspersoon onafhankelijke organisatie heeft na onderzoek vastgesteld dat de rechtspersoon en het systeem dat hij beheert voldoen aan het bepaalde in NEN 7510 en NEN 7512 en heeft die bevinding opgenomen in een door die organisatie ten behoeve van de rechtspersoon opgesteld audit-rapport; b. de in onderdeel a bedoelde vaststelling is niet langer dan vijf jaar geleden gedaan. 2018 461 14-12-2018 06-12-2018 2018 461 14-12-2018 06-12-2018 15-12-2018 17-11-2018

Artikel 4 Bij het vastleggen van beleid, procedures en verantwoordelijkheden als bedoeld in NEN 7510, NEN 7512 of NEN 7513 in documenten, gebruiken de verantwoordelijke voor een elektronisch uitwisselingssysteem en de zorgaanbieder de termen en definities als genoemd in NEN 7510, NEN 7512 of NEN 7513. 2017 446 28-11-2017 10-11-2017 2017 446 28-11-2017 10-11-2017 01-01-2018

Artikel 5 1 De zorgaanbieder als verantwoordelijke voor een zorginformatiesysteem en de verantwoordelijke voor een elektronisch uitwisselingssysteem dragen er zorg voor dat de logging van het systeem voldoet aan het bepaalde in NEN 7513. 2 Vertegenwoordigende organisaties van zorgaanbieders en patiënten stellen, in overleg met de Autoriteit persoonsgegevens, overeenkomstig het bepaalde in NEN 7513 de bewaartermijn voor logging vast en maken die bewaartermijn bekend in de Staatscourant binnen 6 maanden na de inwerkingtreding van dit besluit. Indien niet binnen deze termijn een bewaartermijn bekend is gemaakt, stelt Onze Minister van Volksgezondheid, Welzijn en Sport een bewaartermijn vast en maakt die bekend in de Staatscourant. 2020 321 09-09-2020 31-08-2020 2020 321 09-09-2020 31-08-2020 01-10-2020

Artikel 6 De zorgaanbieder als verantwoordelijke voor een zorginformatiesysteem en de verantwoordelijke voor een elektronisch uitwisselingssysteem, vergewissen zich steeds van de laatste stand van de wetenschap en techniek met betrekking tot informatiebeveiliging en de bescherming van persoonsgegevens, en verantwoorden zich over de toepassing daarvan bij de inrichting en het gebruik van hun systemen. 2017 446 28-11-2017 10-11-2017 2017 446 28-11-2017 10-11-2017 01-01-2018

Artikel 7 Voor de uitvoering van dit besluit wordt toepassing gegeven aan de laatste uitgave van de genoemde NEN. Onze Minister van Volksgezondheid, Welzijn en Sport doet van een nieuwe uitgave van NEN, mededeling in de Staatscourant. Bij die mededeling wordt bekend gemaakt op welke datum de nieuwe uitgave van toepassing wordt, waarbij onderscheid kan worden gemaakt tussen bestaande en nieuwe elektronische uitwisselingssystemen en zorginformatiesystemen. 2017 446 28-11-2017 10-11-2017 2017 446 28-11-2017 10-11-2017 01-01-2018

Artikel 8 Wijzigt het Besluit gebruik burgerservicenummer in de zorg. 2017 446 28-11-2017 10-11-2017 2017 446 28-11-2017 10-11-2017 29-11-2017

Artikel 9 1 artikelen 8 9, tweede lid Dit besluit treedt in werking met ingang van 1 januari 2018, met uitzondering van deen, die in werking treden met ingang van de dag na de datum van uitgifte van het Staatsblad waarin dit besluit wordt geplaatst. 2 Besluit gebruik burgerservicenummer in de zorg artikelen 2 11 15 17 17a van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg artikelen 17 21, vierde lid, van de Wet algemene bepalingen burgerservicenummer Met ingang van de dag na de datum van uitgifte van het Staatsblad waarin dit besluit wordt geplaatst, berust hetop de,,,enen deen. 2017 446 28-11-2017 10-11-2017 2017 446 28-11-2017 10-11-2017 29-11-2017

Artikel 9a artikel 15j, eerste lid, van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg Dit besluit berust op. 2018 461 14-12-2018 06-12-2018 2018 461 14-12-2018 06-12-2018 15-12-2018 17-11-2018

Artikel 10 Dit besluit wordt aangehaald als: Besluit elektronische gegevensverwerking door zorgaanbieders. 2017 446 28-11-2017 10-11-2017 2017 446 28-11-2017 10-11-2017 29-11-2017