Home Toegang medische persoonsgegevens vereist hoog betrouwbaarheidsniveau

Lisa van Baarsel

Privacy
/

Toegang medische persoonsgegevens vereist hoog betrouwbaarheidsniveau

De Autoriteit Persoonsgegevens (AP) is in een brief aan het ministerie van VWS ingegaan op het vereiste beschermingsniveau voor digitale informatie-uitwisseling tussen zorgaanbieders en patiënten, zoals persoonlijke gezondheidsomgevingen en patiëntportalen. Boodschap: voortvarend toewerken naar een hoog betrouwbaarheidsniveau. In de tussentijd is minder dan tweefactorauthenticatie onaanvaardbaar.

Waarborgen privacy

De AP stelt voorop dat zij positief staat tegenover het gebruik van innovatieve technologie in de gezondheidszorg, omdat die kan bijdragen aan kwalitatief goede, veilige en doelmatige patiëntenzorg. Voorwaarde is wel dat de privacy van patiënten is gewaarborgd. Gegevens over gezondheid zijn per definitie privacygevoelig. Voor de bescherming van deze gegevens gelden daarom extra hoge eisen.

Hoog betrouwbaarheidsniveau

Toegang tot medische persoonsgegevens voor patiënten vereist inloggen op een hoog betrouwbaarheidsniveau. De AP dringt er dan ook op aan dat authenticatiemethoden met een passend hoog niveau beschikbaar komen.

Passende maatregelen

Op grond van de Algemene verordening gegevensbescherming (AVG) moeten passende technische en organisatorische maatregelen worden getroffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Wat een passende beveiligingsmaatregel is, kan niet in zijn algemeenheid worden gezegd. Bij de uitleg van het begrip “passend” zoekt de AP aansluiting bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging, zoals de Code voor Informatiebeveiliging of de ICT-Beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum.

NEN-normen

Daarnaast zijn concrete normen voor informatiebeveiliging opgenomen in de ISO/NEN 27001 en 27002. Voor wat betreft de zorgsector zijn deze normen uitgewerkt in NEN 7510:2017 en in aanvulling daarop NEN 7512:2015 en NEN 7513:2018. De AP ziet die normen als een beveiligingsstandaard die binnen de sector algemeen wordt geaccepteerd en die organisaties binnen de zorgsector moeten toepassen.

In de tussentijd: tweefactorauthenticatie

In afwachting van het breder beschikbaar komen van authenticatiemethoden met een passend hoog niveau, dient authenticatie in ieder geval plaats te vinden met tenminste tweefactorauthenticatie (zoals DigiD in combinatie met SMS). Een lagere betrouwbaarheid is volgens de AP niet aanvaardbaar. Randvoorwaarde daarbij is dat er zo nodig aanvullende maatregelen worden getroffen om openstaande risico’s, die niet worden weggenomen met tweefactorauthenticatie, te mitigeren.

Brief AP

Klik hier voor de brief van de AP.

Nieuwsbrief

Altijd up to date?

Blijf op de hoogte van de laatste ontwikkelingen. Schrijf je in!

Scroll naar boven