De zorg in Nederland is in belangrijke mate wettelijk gereguleerd. Ook bij vastlegging en uitwisseling van informatie in de zorg speelt wetgeving een rol. Een uitgebreide behandeling hiervan valt buiten de reikwijdte van architectuurdocumentatie, maar aangezien enkele wetten voor een begrip van de architectuurcontext relevant zijn, worden ze hier kort genoemd.
1.1.1 Wet op de geneeskundige behandelingsovereenkomst [WGBO]
De WGBO regelt de privaatrechtelijke verhouding tussen hulpverlener en patiënt. Voor de hulpverlener geldt een dossierplicht. Inzage in het dossier voor andere hulpverleners dan diegenen die betrokken zijn bij de behandeling is alleen mogelijk met toestemming van de patiënt. Inzage zonder toestemming is mogelijk als wet- of regelgeving daartoe verplicht. De patiënt zelf heeft recht op inzage in diens dossier en recht op een afschrift hiervan. De WGBO stelt tevens bewaartermijnen vast voor dossiergegevens.
1.1.2 Wet beroepen in de individuele gezondheidszorg [WBIG]
De WBIG bevat een systeem van titelbescherming voor een aantal beroepsgroepen in de zorg. Personen die deze titels mogen voeren, worden opgenomen in het BIG-register, een register onder beheer van het CIBG, een uitvoeringsorganisatie van het ministerie van Volksgezondheid, Welzijn en Sport (VWS).
1.1.3 Kwaliteitswet zorginstellingen [KWZi]
De KWZi bevat normen voor het bieden van verantwoorde zorg door zorginstellingen. De wet is van toepassing op alle instellingen waar in georganiseerd verband zorg wordt aangeboden, zoals ziekenhuizen en verpleeghuizen, maar ook bijvoorbeeld groepspraktijken van samenwerkende fysiotherapeuten. Solistisch werkende beroepsbeoefenaren, zoals een huisarts met een assistent, vallen niet onder de KWZi. In de KWZi worden onder meer eisen gesteld ten aanzien van de organisatie en het kwaliteitssysteem. Het gebruik van AORTA kan worden beschouwd als onderdeel van het verlenen van verantwoorde zorg in de zin van de KWZi.
1.1.4 Algemene verordening gegevensbescherming [AVG]
De AVG bevat bepalingen die digitale communicatie voorschrijven in het contact met burgers en medeverwerkers. Een voorbeeld daarvan is dat indien een inzageverzoek elektronisch is gedaan, de informatie op elektronische wijze en in een gebruikelijk format worden verstrekt. Ook voor andere verzoeken geldt indien deze elektronisch zijn gedaan, dat zoveel mogelijk elektronisch beantwoord moet worden.
Nieuwe rechten in de AVG zijn het recht op dataportabiliteit en het recht op vergetelheid. Het recht op dataportabiliteit houdt in dat de betrokkene in bepaalde gevallen (namelijk wanneer er sprake is van elektronische gegevensverwerking) het recht heeft om zijn gegevens in een gestructureerde, gangbaar en machine-leesbare vorm te verkrijgen. En dat hij deze mag overdragen aan een andere verantwoordelijke. Als het technisch mogelijk is, heeft de betrokkene het recht de gegevens rechtstreeks te laten doorsturen van de ene naar de andere verantwoordelijke.
Een andere toevoeging aan de rechten is het recht op vergetelheid. Indien de betrokkene hierom verzoekt, dient de verantwoordelijke de persoonsgegevens van deze betrokkene te wissen. Dit strekt ver. De verantwoordelijke moet er dan namelijk voor zorgen, dat de gegevens uit alle systemen verwijderd worden, ook als deze systemen zich bij sub-verwerkers bevinden.
Tot slot worden er in de AVG meer verplichtingen en bevoegdheden aan verwerkers en verantwoordelijken opgelegd c.q. toegekend. Om te voorkomen dat de verwerker een lichter regime zou treffen dan de verantwoordelijke bij dezelfde gegevensbescherming, of de verantwoordelijke de regelgeving ontloopt of niet goed kan uitvoeren, legt de AVG de verwerker zwaardere verplichtingen op. De verant-woordelijke moet de op hem rustende verplichtingen inzake gegevensbescherming eveneens opleggen aan de verwerker(s) die hij inschakelt.
De verantwoordelijke heeft een verantwoordingsplicht opgelegd gekregen. Deze verplichting brengt met zich mee, dat de verantwoordelijke aan moet kunnen tonen, hoe hij de beginselen, zoals die zijn opgenomen in artikel 5 AVG, naleeft. Daarvoor is het nodig, dat de verantwoordelijke betrokkenen informatie verstrekt over de verzameling van gegevens, de betrokkenen toegang geeft tot die gegevens, aangeeft hoe met die gegevens omgegaan wordt, etc. De verantwoordelijke dient maatregelen toe te passen die, door ontwerp en standaardinstellingen, ertoe leiden dat de gegevensbeschermingsbeginselen doeltreffend worden uitgevoerd (privacy by design, privacy by default).
De verantwoordelijke dient aan te tonen dat hij aan deze verplichtingen voldoet, door het in stand houden van een Verwerkingsregister en het uitvoeren van gegevenseffect-beoordelingen (Privacy Impact Assessments).
1.1.1 Wet gebruik burgerservicenummer in de zorg Wbsn-z
De Wbsn-z regelt dat in alle berichtgeving tussen zorgaanbieders het burgerservicenummer aanwezig moet zijn om persoonsverwisseling en daardoor (mogelijke) medische fouten te voorkomen. Een burgerservicenummer mag pas door de zorgaanbieder worden gebruikt nadat de patiënt zich heeft gelegitimeerd met een wettelijk identificatiedocument.