Bewaartermijn toegangslog Koppeltaal server vastgesteld op vijf jaar

Koppeltaal genereert zogenaamde logs voor allerlei activiteiten. Dit zijn gebeurtenissen binnen een bepaald proces. Bijvoorbeeld technische logs met storingen van systemen, maar ook logs van toegang tot gegevens van een patiënt door een beheerder. Koppeltaal heeft vastgesteld dat de loggegevens voor toegang tot de Koppeltaal server vijf jaar bewaard mogen worden.

Waarom loggen?

De wettelijk verplichte NEN 7513 ‘Logging – Vastleggen van acties op elektronische patiëntdossiers’ bepaalt wat en wanneer er moet worden gelogd in een patiëntdossier. Dit geeft inzicht in wie toegang heeft gehad tot dat patiëntendossier.

De norm benoemt o.a. welke gebeurtenissen worden gelogd en welke daarvan moeten worden vastgelegd. Informatie over toegang tot medische gegevens en welke acties zijn uitgevoerd kan interessant zijn om vast te stellen of deze rechtmatig zijn geweest. Een goed logbestand heeft dus een bewijsfunctie.

      De minister van Volksgezondheid, Welzijn en Sport heeft op 10 juli 2019 via de Staatscourant kenbaar gemaakt dat logbestanden van medische dossiers ten minste vijf jaar bewaard moeten blijven, vanaf het moment dat de logregel wordt geschreven.

      Koppeltaal neemt dit besluit over voor de toegangslog van de Koppeltaal server. In het civielrecht geldt ook een termijn van vijf jaar voor het indienen van een rechtsvordering tot schadevergoeding. De termijn gaat in op het moment dat het schadeveroorzakende voorval bekend is geworden bij de schadelijdende partij (art 3:310 lid 1 BW). Door deze termijn te hanteren als bewaartermijn hoeft Koppeltaal niet voor individuele gevallen (klachten) apart logregels te bewaren die onderdeel zijn van een klacht.

      De Koppeltaal toegangslog beschrijft of medische gegevens vanuit de GGZ applicaties (ROM, e-health games, EPD) wel of niet succesvol zijn uitgewisseld via de Koppeltaal server. De Koppeltaal server heeft geen informatie of een zorgverlener medische gegevens heeft ingezien. Deze logging informatie wordt bijgehouden in de GGZ applicatie.

      Advies aan Koppeltaal IT deelnemers  en GGZ instellingen

      Koppeltaal adviseert het volgende aan haar deelnemers

      • Stel vast of GGZ applicaties nu aan de wettelijke eis voldoen om loggegevens minimaal 5 jaar te bewaren. Dit betreft de toegangslog gegevens (wie precies, wanneer toegang heeft gehad tot medische gegevens van patiënten). Indien nodig kan de logging langer bewaart worden als er gegronde redenen voor zijn. De maximale bewaartermijn is dan gelijk aan de bewaartermijn van het medisch dossier (twintig jaar).
      • Stel vast of applicaties, aangesloten op de Koppeltaal server – onderdeel van de Koppeltaal Keten, een lokale toegangslog bijhouden en daarbij voldoen aan de NEN7513 (https://www.werkenmetnen7510.nl/publicaties/nen-7513-2018)

      Gegevens mogen niet langer bewaard worden dan de wet voorschrijft. Gebeurt dat wel, dan is sprake van een onrechtmatige verwerking van gegevens en daarmee een overtreding van de AVG.

      Juridisch kader

      Artikel 5 van het Besluit elektronische gegevensverwerking door zorgaanbieders (AMvB van 10 november 2017) beschrijft specifiek functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders. Hierin is bepaald dat de zorgaanbieder als verantwoordelijke voor een zorginformatie-systeem en de verantwoordelijke voor het elektronisch uitwisselingssysteem er voor zorgen dat de logging van het systeem voldoet aan de NEN 7513.

      Artikel 5, lid 2 van het Besluit elektronische gegevensverwerking door zorgaanbieders bepaalt dat organisaties van zorgaanbieders en patiënten in samenwerking met de AP binnen 6 maanden na inwerkingtreding van het Besluit (1 januari 2018) een bewaartermijn van logging vaststellen. Als dat niet gebeurt neemt de Minister van Welzijn en Sport een beslissing. De eerstgenoemde partijen zijn niet tot een overeenstemming gekomen. Daarom heeft de minister van VWS op 10 juli 2019 het besluit via de Staatscourant kenbaar gemaakt. https://zoek.officielebekendmakingen.nl/stcrt-2019-38007.html

      In NEN 7513:2018 is in onderdeel 8.5 aangegeven dat de bewaartermijn voor logging gegevens minimaal 2 jaar en maximaal 20 jaar bewaard moeten worden(onlangs verhoogd van 15 naar 20 jaar). Deze 20 jaar is gerelateerd aan de algemene bewaartermijn van een medisch dossier.