Ontwerpbesluit houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders (Besluit elektronische gegevensverwerking door zorgaanbieder), met nota van toelichting.

Bij Kabinetsmissive van 30 april 2014, no.2014000855, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, mede namens de Staatssecretaris van Veiligheid en Justitie, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders (Besluit elektronische gegevensverwerking door zorgaanbieder), met nota van toelichting.

De memorie van toelichting bij het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens vermeldt dat het stellen van specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling bij algemene maatregel van bestuur zal worden geregeld. Het ontwerpbesluit strekt daartoe en geeft uitwerking aan de beveiligingsplicht van artikel 13 Wet bescherming persoonsgegevens (zie noot 1) van zorgaanbieders en andere organisaties die bij de informatievoorziening in de gezondheidszorg zijn betrokken. Beoogd wordt om uniforme technische en organisatorische eisen te stellen aan zowel het zorginformatiesysteem van een zorgaanbieder als aan het elektronisch uitwisselingssysteem.

De Afdeling advisering van de Raad van State onderschrijft de strekking van het ontwerpbesluit, maar maakt een opmerking over de functionaris voor de gegevensbescherming. Zij is van oordeel dat in verband daarmee enige aanpassing van het ontwerpbesluit wenselijk is.

1. Functionaris voor de gegevensbescherming
Op grond van het ontwerpbesluit dient een zorgaanbieder die aangesloten is op een elektronisch uitwisselingssysteem en meer dan 250 werknemers heeft een functionaris voor de gegevensbescherming te benoemen. (zie noot 2) De toelichting vermeldt dat de grens van 250 afkomstig is uit het Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. (zie noot 3)

De Afdeling merkt op dat de tekst van deze ontwerpverordening nog niet vaststaat. De gewone wetgevingsprocedure van artikel 294 van het Verdrag betreffende de Werking van de Europese Unie is nog niet afgerond. Het Europees Parlement heeft onlangs in eerste lezing amendementen aangenomen over de tekst van de ontwerpverordening. (zie noot 4) In een van deze amendementen wordt voor de aanwijzing van een functionaris voor gegevensbescherming een andere grens voorgesteld dan die van 250 werknemers. (zie noot 5) Deze grens staat dus allerminst vast. De vraag rijst dan ook waarom in het ontwerpbesluit bij deze grens is aangesloten.

De Afdeling adviseert op het voorgaande in de toelichting in te gaan, en zo nodig het ontwerpbesluit aan te passen.

2. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State geeft U in overweging in dezen een besluit te nemen, nadat met het vorenstaande rekening zal zijn gehouden.

De vice-president van de Raad van State

---

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W13.14.0125/III

- In het voorgestelde artikel 4 na het woord "verantwoordelijke" invoegen: voor een elektronisch uitwisselingssysteem.

---

Nader rapport (reactie op het advies) van 7 november 2017

De Afdeling merkt op dat de grens van 250 werknemers voor zorgaanbieders om een functionaris voor de gegevensbescherming te benoemen, afkomstig is uit een ontwerpverordening waarvan de tekst nog niet vaststaat. Inmiddels is de Algemene verordening gegevensbescherming vastgesteld. Daarin is de genoemde grens van 250 medewerkers verlaten. Het besluit en de toelichting bij het besluit zijn hierop aangepast.
De redactionele opmerking van de Afdeling is verwerkt.

Van de gelegenheid is gebruik gemaakt enkele voorwaarden met betrekking tot de onafhankelijke audit toe te voegen die aansluiten bij de toepasselijke NEN normen, en een bepaling toe te voegen dat het verbeteren van de informatiebeveiliging en bescherming van persoonsgegevens aan de hand van de laatste stand van wetenschap en techniek de voortdurende aandacht van de verantwoordelijken vereist.

Ik moge U hierbij het gewijzigde ontwerp-besluit en de gewijzigde nota van toelichting doen toekomen en U verzoeken overeenkomstig dit ontwerp te besluiten.

De Minister voor Medische Zorg

---

(1) Artikel 13 Wet bescherming persoonsgegevens verplicht de verantwoordelijke om passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
(2) Voorgestelde artikel 2, tweede lid.
(3) Artikelsgewijze toelichting op artikel 2.
(4) De amendementen zijn aangenomen in de vergadering van het Europees Parlement van 12 maart 2014.
(5) Artikel 35 van de ontwerpverordening gaat over de verplichting om een functionaris voor gegevensbescherming aan te wijzen. Volgens de huidige tekst geldt deze verplichting in ieder geval voor ondernemingen met minimaal 250 werknemers. In het amendement van het Europees Parlement over artikel 35 wordt voorgesteld om in plaats van "de verwerking wordt uitgevoerd door een onderneming met minimaal 250 werknemers" te vervangen door: "de verwerking wordt uitgevoerd door een rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden". Zie http://www.europarl.europa.eu

---

Gehele tekst ontwerpregeling met toelichting (pdf, 135 kB)