Wetgeving in de zorg

Wkkgz, Wegiz, Wabvpz, Begdz, NEN7510… Als zorgverlener wordt u overspoeld met wetten, besluiten en normen. Het is een alfabetsoep die voor veel ondernemers in de zorg ongrijpbaar voelt. Maar hoe hangt dit alles samen en, belangrijker nog, wat betekent dit concreet voor uw dagelijkse praktijk?

In dit artikel ontwarren we de kluwen, diepen we de belangrijkste termen uit en leggen we uit wat ‘aantoonbaar voldoen’ écht betekent.

De wettelijke basis: Wat moet u regelen?

 

Zorgverleners in Nederland moeten voldoen aan een complex stelsel van wetten. De kern is simpel: u moet ‘goede zorg’ leveren. Maar wat betekent dat digitaal?

  • De basis (Wkkgz): De Wet kwaliteit, klachten en geschillen zorg is de moeder van alle zorgwetten. Het stelt simpelweg dat u uw organisatie zo moet inrichten dat u ‘goede zorg’ kunt leveren. In het huidige digitale tijdperk betekent ‘goede zorg’ ook ‘veilige zorg’. Een datalek kan immers direct leiden tot fysieke of mentale schade bij een cliënt.

  • De digitale invulling (Wegiz & Wabvpz): Specifieke wetten geven hier handen en voeten aan. De Wegiz gaat over hoe u gegevens digitaal moet uitwisselen (zodat de juiste dokter de juiste info heeft). De Wabvpz regelt de privacy en beveiliging van die gevoelige medische dossiers.

  • De harde norm (NEN7510): Via het Besluit elektronische gegevensverwerking door zorgaanbieders (Begdz) wordt de cirkel rond gemaakt. Artikel 3.1 is kraakhelder: u bent wettelijk verplicht om uw elektronische systemen veilig te gebruiken “overeenkomstig het bepaalde in de NEN7510”.

Kortom: Een kwaliteitssysteem volgens NEN7510 is niet zomaar een norm, het is uw wettelijke fundament. Het vormt de onmisbare basis waarmee u aantoont dat u voldoet aan al die andere wetten (Wkkgz, Wegiz, Wabvpz). Zonder NEN7510 kunt u feitelijk niet bewijzen dat u digitale ‘goede zorg’ levert.

Wat is NEN7510 en een ISMS?

 

De term ‘kwaliteitssysteem‘ klinkt abstract. In het informatieveiligheidsdomein spreken we over een Information Security Management System (ISMS). Maar wat is het?

Zie een ISMS als een bedrijfsthermometer voor uw digitale veiligheid. Met behulp van het kwaliteitssysteem bepaalt u wat de gezonde ‘temperatuur’ moet zijn. Dit is onder meer uw beleid. Bijvoorbeeld: wie mag in welk dossier? Hoe sterk moeten wachtwoorden zijn? Vervolgens meet u met behulp van het kwaliteitssysteem doorlopend of u die temperatuur ook haalt. Wordt het ergens te koud (een nieuw risico, bijvoorbeeld door intreden van thuiswerken)? Dan stelt het kwaliteitssysteem u instaat direct bij te sturen (bijvoorbeeld met extra of andere maatregelen).

De NEN7510 biedt een handleiding op basis waarvan u een kwaliteitssysteem inricht. Het is een Nederlandse norm, gebaseerd op de wereldwijde norm voor informatiebeveiliging de NEN-EN-ISO27001, maar dan aangevuld met zorg specifieke eisen en aandachtspunten. Het bevat concrete adviezen en eisen waar uw thermometer aan moet voldoen om medische gegevens veilig te houden.

De ‘aantoonplicht’ uitgelegd

 

Een veel gestelde vraag is: “Moet ik me dan laten certificeren?” De wet zegt van niet.

Er staat nergens letterlijk dat een NEN7510-certificaat aan de muur verplicht is. Maar let op: de wet eist wél dat u kunt aantonen dat u ‘in overeenstemming’ met de norm werkt. Dit is een cruciaal juridisch verschil. De bewijslast ligt namelijk volledig bij u. Als het misgaat, moet u bewijzen dat u alles goed had geregeld. De Inspectie (IGJ) hoeft niet te bewijzen dat u fout zat; u moet bewijzen dat u goed zat.

Een belangrijke valkuil

Een veelgemaakte fout is denken dat de IT-leverancier dit regelt. “Zij zorgen toch voor de beveiliging?” Dat mag zo zijn, maar u blijft wettelijk eindverantwoordelijk. Bij een incident kunt u niet simpelweg naar uw leverancier wijzen. U moet zélf kunnen aantonen dat u ‘in control’ bent, óók over wat u heeft uitbesteed.

Dit is precies waarom het invoeren van een eigen ISMS zo belangrijk is. Het is uw instrument om de regie te voeren en te bewijzen dat u grip heeft op uw eigen organisatie én uw leveranciers.

Om aan deze zware bewijslast te voldoen, moet u in de praktijk hard bewijs kunnen leveren:

  1.  U moet aantonen dat uw systeem is beoordeeld tegen de strenge NEN7510-eisen.
  2. U moet aantonen dat dit is gedaan door een onpartijdige expert (iemand die niet zijn eigen huiswerk nakijkt).
  3. U moet aantonen dat deze expert voldoende kennis van zaken heeft.

Zelfs de Inspectie adviseert daarom een “onafhankelijke beoordeling”. Certificeren is dus niet verplicht, maar het laten valideren door een externe specialist is vaak de enige werkbare manier om aan uw zware bewijslast te voldoen.

Hoe wij u hierbij helpen 

 

Deze wettelijke eisen klinken zwaar. Het gevaar is dat u dit ‘ook maar’ delegeert aan een leverancier, waarmee u het probleem slechts verplaatst. Crucialis gelooft daarom niet in ‘u vraagt, wij draaien’. Wij geloven in partnerschap. Wij nemen uw verantwoordelijkheid niet over – dat kan wetstechnisch ook niet – maar we helpen u wél om die verantwoordelijkheid te dragen.

  • Samen de regie voeren: Als uw ‘virtuele security officer’ (vCISO) staan we naast u. We helpen u de juiste vragen te stellen aan uw IT-leverancier en de regie terug te pakken.
  • Samen het systeem bouwen: Met ons platform richten we samen uw ISMS in. Geen papieren tijger, maar een werkbaar systeem waarmee u aantoonbaar ‘in control’ bent.
  • Onafhankelijke toetsing: Wij fungeren als de kritische, onpartijdige expert die uw interne audits uitvoert, precies zoals de wet dat graag ziet.

Zo zorgen we er samen voor dat u niet alleen op papier, maar ook in de praktijk voldoet. U behoudt de focus op goede zorg, wij helpen u met de grip op veiligheid.