Iedere organisatie dient ervoor te zorgen dat persoonsgegevens goed worden beveiligd. Deze beveiliging is een belangrijk onderdeel van de Algemene verordening gegevensbescherming (hierna ‘AVG’). Ook de Autoriteit Persoonsgegevens (hierna ‘AP’) ziet hier streng op toe. Met name in de zorg is het van belang dat zorgvuldig wordt omgegaan met persoonsgegevens, aangezien het vaak gaat om heel gevoelige gegevens. Eén van de beveiligingsverplichtingen is het bijhouden van logbestanden en het regelmatig controleren van deze bestanden, ook wel de logging. Over de bewaartermijn van logbestanden heeft de Minister voor Medische zorg zich onlangs uitgesproken.
Wat is logging?
In veel sectoren is logging niet verplicht, maar in de zorg is dit wel het geval. De achterliggende gedachte is dat in de zorg doorgaans veel gevoelige gegevens omgaan – ook wel bijzondere gegevens genoemd – en dat het grote gevolgen kan hebben als deze gegevens in de verkeerde handen terecht komen. Logging in de zorg houdt dan ook in dat wordt vastgelegd wie toegang heeft gehad tot de medische dossiers (i) en dat dit regelmatig wordt gecontroleerd (ii). Zo kan worden nagegaan of iemand toegang heeft gehad tot medische dossiers, terwijl diegene daartoe onbevoegd was. Op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders (hierna: ‘Besluit’) dient de logging te voldoen aan NEN 7513. De NEN 7513 geeft nadere specifieke regels voor de logging.
Focus Autoriteit Persoonsgegevens
Dat de AP zich sinds de inwerkingtreding van de AVG voornamelijk focust op beveiliging, blijkt uit onderstaand overzicht met opgelegde sancties. Zo valt op dat de AP daarbij een bijzondere aandacht heeft voor de logging. Een voorbeeld dat veel aandacht heeft ontvangen in de media is de boete die de AP heeft opgelegd aan het HagaZiekenhuis. Het HagaZiekenhuis bleek zowel de logging als de controle daarop niet in orde te hebben.
Jaar | Naam | Overtreding | Artikel | Sanctie |
2018 | Politie | Beveiliging (logging) | 13 Wbp/32 AVG | € 40.000 dwangsom ingevorderd |
2018 | UWV | Beveiliging (authenticatie) | 13 Wbp/32 AVG | € 900.000 max. dwangsom |
2019 | Haga | Beveiliging (logging & authenticatie) | 32 AVG & NEN 7510/NEN 7513 | € 460.000 boete |
2019 | Menzis | Beveiliging (autorisatiebeleid, logging) | Artikel 13 Wbp | € 50.000 dwangsom ingevorderd |
2019 | VGZ | Beveiliging (autorisatiebeleid, logging) | Artikel 13 Wbp | € 750.000 max. dwangsom |
Bewaartermijn logbestanden: 5 jaar
Na inwerkingtreding van het Besluit was nog geen duidelijke bewaartermijn van logbestanden vastgesteld. Zodoende werd, ook op aanbeveling van de AP, de bewaartermijn van het medisch dossier aangehouden: 15 jaar. Dit is een lange periode en dit leverde ook een (te) grote hoeveelheid aan data op. Inmiddels is er meer duidelijkheid over de bewaartermijn van logbestanden. De Minister voor Medische Zorg (hierna: ‘Minister’) heeft onlangs een nieuw besluit[1] vastgesteld met daarin een bewaartermijn voor logbestanden, en heeft deze vastgesteld op 5 jaar en dus niet langer op 15 jaar. De termijn begint te lopen op het moment van het schrijven van de eerste ‘logregel’. De Minister draagt verschillende redenen aan voor de verlaging van de bewaartermijn. Zo worden de meeste inzageverzoeken (in de logging) van betrokkenen binnen 5 jaar ingediend. Bovendien kost het bewaren van logbestanden voor een periode van 15 jaar simpelweg veel geld. De vaststelling van deze nieuwe termijn is voor zorgaanbieders dus gunstig.
Let wel, 5 jaar is een minimale termijn. Logbestanden mogen zodoende ook langer worden bewaard, maar niet langer dan de bewaartermijn van het medisch dossier. De bewaartermijn van het medisch dossier is per 1 januari 2020 verhoogd van 15 naar 20 jaar.
Tot slot
Beveiliging is één van de belangrijkste aspecten van de AVG. Met name in de zorg is dit van belang. Dit wordt ook ondersteund door de AP en blijkt duidelijk uit de door hen opgelegde sancties van de afgelopen twee jaar. Logging vormt een belangrijk onderdeel van de beveiliging. De logbestanden dienen daarnaast 5 jaar te worden bewaard. Dit is een kortere termijn dan de AP in eerste instantie had aanbevolen. Dit scheelt dus zowel in de opslagkosten als de bijkomende administratieve lasten.
Opleiding Functionaris Gegevensbescherming
Wilt u de juiste handvatten om de beveiliging ook daadwerkelijk goed op orde te krijgen?
Meld u dan aan voor onze opleidingsdag Functionaris Gegevensbescherming van 5 februari 2020.
[1] Besluit van de Minister voor Medische Zorg van 27 juni 2019 (1529221-190512-WJZ).