Logging op medische dossiers – samenvatting NEN7513
| Jelle Hoekstra |
Security
Het loggen van gebeurtenissen in cliënt- en patiëntdossiers van zorginstellingen is een belangrijke veiligheidsmaatregel. Om de technische acties en processen op een goed niveau te brengen is de Nederlandse norm NEN7513 in het leven geroepen, meest recente versie uit 2018. Het belang van logging omtrent patiëntendossiers kwam in 2018 extra aan het licht bij een ziekenhuisopname van een BN’er. Achteraf bleek namelijk dat 85 medewerkers onterecht in haar dossier hadden gekeken. Logging is dus erg belangrijk, maar welke eisen stelt de norm eigenlijk NEN7513 aan zorgorganisaties? In deze blog geven we een samenvatting.
NEN7510 en NEN7513
Eerder schreven we al een blog over NEN 7510, vanuit die norm worden ook al eisen gesteld aan logging onder verslaglegging en monitoren in sectie (A)12.4. Zo moet je logbestanden van gebeurtenissen registreren, bewaren en regelmatig beoordelen. De normen NEN7510-1 en NEN7510-2 geven echter geen antwoord op de vraag hoe die logging precies ingeregeld moet worden. NEN7513 geeft wél een antwoord op die vraag, met de vijf punten die hieronder staan opgesomd. NEN7513 is dus een aanvulling op NEN7510.
Het inregelen van logging is iets dat veel zorgorganisaties uitbesteden aan hun softwareleveranciers. Het is echter niet juist om te denken dat je als zorgorganisatie zelf niks meer hoeft te regelen. NEN7513 schrijft voor:
- welke informatie uit logbestanden gehaald moet kunnen worden (informatiebehoeften);
- welke gebeurtenissen gelogd moeten worden (te loggen gebeurtenissen);
- welke gegevens per gebeurtenis precies geregistreerd moeten worden (gegevensvelden in de logging);
- dat logging betrouwbaar is en zorgvuldig beheerd wordt (zekerheidseisen);
- op welke manier de logging getoond wordt (weergave).
Op bovenstaande vijf punten gaan we hieronder dieper in.
1. Informatiebehoeften
Logging moet achteraf helder laten zien wat er gebeurd is in een dossier van cliënt of patiënt. Systemen die onderdeel zijn van zulke dossiers moeten tenminste bijhouden:
- welke gebeurtenis heeft plaatsgevonden;
- datum en tijdstip van die gebeurtenis;
- welke cliënt/patiënt het betrof;
- wie de gebruiker was (een verpleger bijvoorbeeld);
- wie de verantwoordelijke gebruiker was (bijvoorbeeld de arts die hoofdbehandelaar is).
Om ervoor te zorgen dat cliënten/patiënten, zorginstellingen en toezichthouders de informatie kunnen opvragen die ze nodig hebben moet ook de volgende informatie worden bijgehouden:
- welke medewerkers gegevens van de cliënt/patiënt hebben opgevraagd bij andere organisaties;
- welke andere organisaties toegang hebben gehad tot het dossier van de cliënt/patiënt;
- of de cliënt/patiënt zelf toegang heeft gehad tot het dossier of de loggegevens daarvan;
- op welk onderdeel van het dossier een gebeurtenis betrekking had;
- welk autorisatieprotocol is toegepast (basis van toegangsverlening);
- in welke rol de gebruiker van een systeem optrad (een arts kan ook zelf cliënt/patiënt zijn);
- welk toestemmingsprofiel gold (heeft de cliënt/patiënt toestemming gegeven om bepaalde informatie te delen?).
2. Te loggen gebeurtenissen
Operationele gebeurtenissen
- Dossieracties, zoals het aanmaken van een ‘nieuwe map’, toekennen dossiernummer, invoeren, toevoegen, verwijderen, lezen, kopiëren of afdrukken van gegevens, samenvoegen of splitsen van dossiers, overdragen naar ander systeem of draagbare media en zoekacties.
- Bijzondere gebeurtenissen, zoals het toepassen van een noodprocedure (bijvoorbeeld het indrukken van een ‘break-the-glass’ knop om zonder behandelrelatie toch bij gegevens te komen) en directe toegang tot bestanden buiten reguliere toegangsbeveiliging (bijvoorbeeld onderzoeken of herstellen van technische problemen).
Gebeurtenissen m.b.t. toegangsregelingen
- Structuur instellingen, zoals het aanmaken van informatiedomeinen, wijzigen/toevoegen van gegevensgroepen, classificaties of rollen.
- Toegangsregeling, zoals gegevensindelingen, applicatiefuncties, bevoegdheden en autorisatieprotocollen.
- Instellen van toestemmingsprofielen, vastleggen, bevestigen, aanpassen en of het intrekken van toestemming van een cliënt/patiënt.
Gebeurtenissen die het loggen en de logging beïnvloeden
- In- of uitschakelen van logging is een gebeurtenis die moet worden gelogd. Het kan zijn dat dit nodig is voor onderhoud bijvoorbeeld, maar dat moet dan wel in de logbestanden staan zodat helder is dat er een ‘gat’ in de logging zit.
- Toegang tot loggegevens moet worden gelogd. Het uitschakelen van loggen van toegang tot loggegevens moet niet mogelijk zijn. Een uitzondering geldt alleen voor onderhoud of herstel aan de logging of de logging programmatuur. De actie dat logging uitgezet wordt, moet daarbij wel gelogd worden (zie vorige bullet).
- Loggegevens wijzigen of verwijderen hoort in normale omstandigheden niet voor te komen, als dat wel zo is dan moet dit worden gelogd en voorzien van een toelichting.
3. Gegevensvelden in de logging
- de gebeurtenis;
- de gebruiker van het informatiesysteem, toegangspunt van waaruit de gebeurtenis is gestart en de precieze aansluiting vanuit waar de gebruiker de gebeurtenis heeft doen plaatsvinden;
- de betrokken objecten (dat kan een persoon zijn, maar ook een dossier database of iets naders);
- de locatie en bron van de loggegevens (welk informatiesysteem heeft de gebeurtenis gelogd?).
Op pagina 22 van de norm staat een overzichtelijk datamodel van één A4: “Figuur 1 -<Overzicht datamodel>”. Dit moet op systeemniveau worden ingeregeld. Als zorgorganisatie is het dus praktisch om dit hoofdstuk (H7) bij je IT-leverancier neer te leggen. Een versimpeld datamodel van alle verplichte onderdelen:
4. Zekerheidseisen
De zekerheidseisen vormen een aanvulling op de eisen voor verslaglegging en monitoren uit NEN7510 in (A.)12.4. De aanvullende eisen van NEN7513 betreffen:
- de verantwoordelijkheid voor de logging. Een zorginstelling zelf is logverantwoordelijke zoals beschreven in NEN7513. Verder moet de organisatie een functionaris aanwijzen die zich ontfermt over logging: de logbeheerder, dit zou bijvoorbeeld de applicatiebeheerder van het ECD/EPD kunnen zijn;
- de beschikbaarheid van de logging. De logverantwoordelijke moet regels vaststellen over de beschikbaarheid van logging. In het bijzonder is dat van belang bij beëindiging van contract met IT-dienstverlener of bij fusies;
- welke eisen er gelden over de toegang tot de logging. De logverantwoordelijke moet regels vaststellen voor autorisatie die valt binnen de kaders van wetten als WGBO en de AVG. Bij het opvragen van logging door cliënten/patiënten worden namen van medewerkers in eerste instantie niet getoond, alleen de naam van de verantwoordelijke gebruiker (hoofdbehandelaar). Pas als de betrokkene een reden geeft voor het inzien van de namen van alle gebruikers, zal de logverantwoordelijke de belangen van de cliënt/patiënt en de medewerker tegen elkaar afwegen.De zorginstelling is verantwoordelijk voor het inregelen van autorisatie op toegang tot zorggegevens. Cliënten/patiënten kunnen specifiek gewenste verruimingen of beperkingen aangeven via ’toestemmingsprofielen’;
- de bewaartermijn van loggegevens moet worden vastgesteld, dat is minimaal 2 jaar en maximaal 20 jaar (wettelijke bewaartermijn medisch dossier).
- de voorwaarden voor interoperabiliteit, als er communicatie plaatsvindt buiten de zorginstelling of landelijke communicatie dan moet er een mogelijkheid zijn om te exporteren. De syntax en semantiek ligt vastgesteld in hoofdstuk 7 van NEN7513 (dit onderwerp is ook kort aangestipt in paragraaf ‘3. Gegevensvelden in de logging’ van deze blog).
5. Weergave van de logging
De enige harde eis die hier wordt gesteld is dat de logging “in een voor de doelgroep begrijpelijke vorm” wordt gepresenteerd. Enkele suggesties die de norm hiervoor doet:
- via toegang op afstand (bijvoorbeeld een online portaal voor cliënten en patiënten);
- vanuit een plek in de organisatie (bijvoorbeeld een fysieke balie of afdeling);
- op verzoek met assistentie van een zorgverlener of ondersteuner.
Er zijn echter ook andere vormen denkbaar en de norm geeft die ruimte.
Meer weten over informatiebeveiliging in de zorg? Lees NEN 7510: een overzicht van de norm voor informatiebeveiliging in de zorg of Veilig mailen in de zorg met NTA 7516. Voor meer artikelen over information-security, kijk dan op onze pagina met alle security-artikelen.
De norm NEN7513 is gratis te downloaden als PDF via de webshop van NEN, maar ook online te bekijken via de NEN-website www.webtoolmanagementsystemen.nl.
Jelle Hoekstra LLM is consultant en mediator bij SoftwareZaken. Hij is gecertificeerd in privacy (CIPP/E & CIPM), security (ISO27001 Lead Auditor) en mediaton (IMI Qualified Mediator). Eerder werkte hij voor diverse organisaties als juridisch adviseur en Privacy & Security Officer. Jelle is lid van de International Association for Privacy Professionals (IAPP), het Nederlands Genootschap voor Functionarissen van Gegevensbescherming (NGFG) en het International Mediation Institute (IMI).