Skip to main content
Skip table of contents

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

Het gebruik van het BSN

De Wabvpz bevat verplichtingen over het gebruik van het BSN. Om patiënten in de zorg op een betrouwbare manier te kunnen identificeren, moeten zorgaanbieders, indicatieorganen en zorgverzekeraars het BSN verplicht gebruiken in hun administratie en bij de onderlinge communicatie over patiënten. Om geen twijfel te laten bestaan over de correctheid van het BSN worden er twee acties uitgevoerd: BSN-verificatie en BSN-validatie. 

BSN-verificatie

Bij de BSN-verificatie verifieert de zorgaanbieder dat bepaalde persoonskenmerken, waaronder naam, geslacht en geboortedatum), bij een BSN horen. Als persoonskenmerken en BSN bij elkaar horen, spreken we van een ‘geverifieerd BSN’.

Voor de verificatie gebruikt de zorgaanbieder de interfaces van de SBV-Z (Sectorale Berichten Voorziening in de Zorg) die zorgen voor de ontsluiting van het BSN register en het Registratie Niet-ingezetenen.

BSN-validatie

Zodra de nieuwe patiënt voor het eerst in het ziekenhuis komt, wordt aan de hand van een geldig Wettig Identiteits Document (WID: paspoort, rijbewijs, ID-kaart) gecontroleerd of de persoon voor de balie inderdaad degene is die is- of wordt ingeschreven in het EPD. Hierdoor is vanaf dat moment sprake van een ‘gevalideerd BSN’.

Optioneel is het ook mogelijk de geldigheid van het identiteitsbewijs elektronisch te laten controleren m.b.v. een (tweede) koppeling met het SVB-Z voor de WID-controle. Dit kan men bijvoorbeeld doen als er twijfels zijn aan de geldigheid van het identiteitsbewijs. Om een BSN te valideren is deze controle stap echter niet vereist en niet alle zorgaanbieders hebben de koppeling in gebruik.

Het kan voorkomen dat het BSN van een patiënt wel bekend is binnen een ziekenhuis-informatiesysteem, maar dat deze nog niet is gevalideerd. Bijvoorbeeld als een patiënt zich nog niet heeft geïdentificeerd met een identiteitsbewijs.

Gebruik BSN in de praktijk

Voor gebruik van het BSN bij uitwisseling van gegevens tussen verschillende zorgaanbieders, moeten zorgaanbieders aan de volgende regels voldoen:

  • Voordat de zorgverlener/zorgaanbieder gegevens van een patiënt mag delen met een andere zorgaanbieder, moet de brondossierhouder een gevalideerd BSN van de patiënt hebben. Dat wil dus zeggen dat de patiënt fysiek in de zorginstelling is geweest en dat de identiteit van de patiënt is vastgesteld aan de hand van een wettig identiteitsdocument. (NB dit staat los van het feit dat de patiënt daarnaast toestemming moet hebben gegeven voor het delen van zijn gegevens).
  • Voor het raadplegen en overhalen van gedeelde patiëntgegevens van een andere zorgaanbieder, is het voldoende dat de patiënt in de eigen organisatie bekend is met een geverifieerd BSN. De patiënt hoeft hiervoor dus nog niet fysiek aanwezig geweest te zijn.

In sommige gevallen, zoals bij een spoedverwijzing of een intercollegiaal consult, kan het voorkomen dat de patiënt nog niet bekend is in de zorginstelling die een gegevensopvraging doet. Uitgangspunt is in deze gevallen dat men erop kan vertrouwen dat de zorginstelling die de medische gegevens heeft vastgelegd en aangemeld voor delen buiten de zorginstelling, het BSN heeft geverifieerd. 

Het proces van validatie van het BSN in de opvragende zorginstelling blijft bestaan. De eerste keer dat een patiënt daar fysiek aanwezig is, geldt de reguliere validatieprocedure.

Elektronisch uitwisselingssysteem

De Wabvpz regelt de voorwaarden voor het gebruik van een elektronisch uitwisselingssysteem. Dit is een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken.

De belangrijkste rechten van de patiënt die in de Wabvpz geregeld worden, zijn:

  • Het recht op (kosteloos) elektronische inzage in zijn dossier;
  • Het recht op een (kosteloos) elektronisch afschrift van zijn dossier;
  • Sinds juli 2020: het recht op een (kosteloos) elektronisch overzicht wie bepaalde informatie in een elektronisch uitwisselingssysteem beschikbaar heeft gesteld en op welke datum en wie informatie heeft ingezien of opgevraagd en op welke datum.

De Wabvpz doet geen afbreuk aan de privacy-rechten van betrokken op basis van de AVG.

De belangrijkste plichten van een zorgaanbieder bij (elektronische) gegevensuitwisseling zijn:

  • De plicht de patiënt te informeren over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen, de werking van het elektronisch uitwisselingssysteem en welke zorgaanbieders zijn aangesloten op het systeem;
  • De plicht om zijn patiënt uitdrukkelijke toestemming te vragen voor het beschikbaar stellen van de patiëntgegevens via een elektronisch uitwisselingssysteem;
  • De patiënt te informeren als nieuwe categorieën zorgverleners aansluiten bij het elektronisch uitwisselingssysteem;

Besluit elektronische gegevensverwerking door zorgaanbieders (Begdz)

De Begdz bepaalt onder andere dat een zorgaanbieder moet zorgen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en van het elektronisch uitwisselingssysteem waarop hij is aangesloten, conform NEN 7510 en NEN 7512 en dat de logging voldoet aan NEN 7513.

De Beggdz verplicht de verantwoordelijke voor een elektronisch uitwisselingssysteem om te werken met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria. Een zorgserviceprovider is een netwerkleverancier van een beveiligde netwerkverbinding tussen een zorginformatiesysteem en een elektronisch uitwisselingssysteem.

Ook verplicht de Begdz de rechtspersoon die een elektronisch uitwisselingssysteem beheert en in stand houdt, om eens in de vijf jaar door middel van een audit te laten vaststellen dat het systeem voldoet aan NEN 7510 en NEN 7512 en daarnaast om te borgen dat de logging van het systeem voldoet aan NEN 7513.

Overigens is de Begdz niet de enige wet die naleving van een NEN norm vereist. De Regeling gebruik burgerservicenummer in de zorg verplicht dat gegevensverwerking van het BSN voldoet aan NEN7510. 

Normen – NEN 7510, 7512, 7513

Om veilig met elektronische medische gegevens om te gaan heeft het Nederlands Normalisatie-instituut (NEN) een aantal normen ontwikkeld. De eerste norm die is ontwikkeld is de NEN 7510, de norm voor Informatiebeveiliging in de zorg. Deze norm is gebaseerd op de Code voor Informatiebeveiliging, de ISO- 27000-serie. Voor de zorgsector is een aangepaste versie van deze norm opgesteld. De reden hiervoor is dat er zorg-specifieke aandachtspunten zijn, met name het belang van de vertrouwelijkheid en integriteit van persoonlijke gezondheidsinformatie. De NEN 7510 is voor de zorg aangevuld met NEN 7512 vertrouwensbasis voor gegevensuitwisseling en de NEN 7513 logging. Zorgaanbieders zijn verplicht om NEN 7510 toe te passen bij de verwerking van BSN en alledrie de normen bij gebruik van een elektronisch uitwisselingssysteem.

NEN 7510, informatiebeveiliging in de zorg (NEN 7510:2017)

De NEN 7510 bestaat uit twee onderdelen. NEN 7510-1 beschrijft de eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. NEN 7510-2 voorziet in richtlijnen voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie over hoe met het beste de beschikbaarheid, integriteit en vertrouwelijkheid van dergelijke informatie kan beschermen.

NEN 7512, Vertrouwensbasis voor gegevensuitwisseling (NEN 7512:2015)

In de NEN 7510 is een risicoclassificatie uitgewerkt. In de NEN 7512 zijn voor de verschillende risicoklassen minimale eisen opgesteld ten aanzien van authenticatie en identificatie. De eisen hebben betrekking op:

  • De zender (entiteit: persoon, organisatie of de informatiesystemen waarmee de informatie wordt verzonden);
  • Het medium;
  • De ontvanger.

Het beveiligingsniveau van de gehele keten is bepalend voor de veiligheid waarmee de informatie uitgewisseld wordt.

NEN 7513, logging (NEN 7513:2018)

Deze norm bepaalt welke gegevens in de logging aanwezig moeten zijn, welke gebeurtenissen moeten worden gelogd, welke gegevens van die gebeurtenissen moeten worden vastgelegd en aan welke kwaliteitseisen het loggen en de logbestanden moeten voldoen. Ook bepaalt de norm hoe lang de logbestanden moeten worden bewaard. Verder biedt de norm houvast aan zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie over het verstrekken van informatie over wie toegang heeft gehad tot haar of zijn elektronisch patiëntdossier.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close