Skip to end of metadata
Go to start of metadata

Defacto is er geen juridisch grondslag voor het opzetten van een landelijke infrastructuur, wel een enorme behoefte. Wel zijn er meerdere relevante wetten van toepassing bij uitwisselen of beschikbaar stellen van informatie tussen zorgverleners en met de patiënt.

Een overzicht van de relevante wetten en de uitwerking hiervan:

1 Privacy en informatiebeveiliging  (WGBO, AVG, Wabvpz)

De Verwerkingsverantwoordelijke, Verwerker en eventueel Subverwerkers hanteren beveiligingsmaatregelen die voldoen aan de AVG en NEN7510, NEN7512, NEN7513 en nieuwe NEN normen.  Dit is een eigenstandige verantwoordelijkheid, die weliswaar als afspraak is opgenomen in het afsprakenstelsel, maar de naleving hiervan is aan de partijen zelf.  Indien een partij, ook achter een knooppunt, hier niet aan voldoet, dan heeft Twiin de mogelijkheid om deze partij uit te sluiten van deelname aan het Twiin netwerk. Aangaande datalek procedures zijn de deelnemende partijen zelf verantwoordelijk om dit in te regelen en na te leven. Mogelijk is het wenselijk om na te denken over een vorm van coördinatie bij datalekken.

De lijn die wordt gekozen is dat de zorgaanbieder verwerkingsverantwoordelijke is en het GtK de verwerker. In deze lijn worden de benodigde contracten, samenwerkingsovereenkomsten en verwerkersovereenkomsten opgesteld. NB In de dagelijkse praktijk van reeds bestaande infrastructuren zijn hiervoor de benodigde afspraken en overeenkomsten soms al geregeld.

De gemeenschappelijke voorziening die ontsloten wordt, zijn diensten buiten Twiin. Overeenkomsten nodig met deze diensten vanuit de AVG worden per knooppunt en aangesloten zorgaanbieders ingeregeld, waarbij Twiin een faciliterende rol kan aannemen.

Ten tijde van het programma en de uitvoering van het programma, inclusief de verschillende onderdelen van de pilots, geldt het volgende:

(Het programma) Twiin en de door haar ingezette personen zijn verplicht tot geheimhouding van Persoonsgegevens waarvan zij bij het verwerken ten behoeve van de Verantwoordelijke kennis nemen, behoudens en voor zover enig wettelijk voorschrift hen tot openbaarmaking en/of afgifte verplicht. Daarnaast verzekert Twiin dat de geheimhoudingsverplichting een onderdeel is van de arbeidsvoorwaarden van al haar medewerkers.

(Het programma) Twiin zal slechts tegemoet komen aan vorderingen van derde partijen, waaronder overheidsinstanties, tot het verstrekken van (persoons-)gegevens indien zij hiertoe verplicht is op grond van wet- en regelgeving of op grond van een rechterlijke uitspraak.

Twiin zal de Verwerkingsverantwoordelijke onverwijld informeren indien een daartoe bevoegde overheidsinstantie een op de wet gebaseerd verzoek of krachtens rechterlijke uitspraak tot verstrekking van Persoonsgegevens heeft gedaan.

Indien zich een datalek voordoet, meldt de Verantwoordelijke dit bij de Autoriteit Persoonsgegevens en informeert tevens de Betrokkenen. Alleen datalekken waarbij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen zijn uitgezonderd van de meldplicht.

De (sub) Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte indien zich een datalek voordoet.

Indien Betrokkenen vragen hebben of uitvoering willen geven aan de rechten die worden ontleend aan de AVG, kunnen zij zich richten tot de eigen zorgaanbieder. 


2 Wet, regelgeving, privacy en informatiebeveiliging

Wet- en regelgeving stelt eisen ten aanzien van rechten en plichten van verschillende partijen bij de uitwisseling van medische gegevens. Eén van die zaken is de beveiliging en afscherming van privacygevoelige informatie. Daarnaast zijn de kaders voor de inrichting van de governance vastgelegd in de wet- en regelgeving. Verder zijn er gedragscodes en normen en richtlijnen die verdere invulling geven aan wet- en regelgeving.


2.1 Wetgevend kader

De wet- en regelgeving die van toepassing is op gegevensuitwisseling in de zorg is voortdurend in beweging. Deze versie behandelt de wet- en regelgeving die geldt op 1 januari 2021. Tabel 2.1 geeft een overzicht, waarna de wetten kort worden besproken. 

Algemene Verordening Gegevensbescherming.

Deze vervangt sinds 25 mei 2018 de Wbp (Wet bescherming persoonsgegevens) en bevat onder meer de meldplicht datalekken (voorheen de Wet meldplicht datalekken)

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf

AVG

Uitvoeringswet AVG.

Implementatiewetgeving die de normen in de AVG voor Nederland nader invult

https://wetten.overheid.nl/BWBR0040940/2020-01-01

UAVG

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Deze vervangt sinds 1 juli 2017 onder meer de Wbsn-z (Wet gebruik Burgerservicenummer in de zorg)

https://wetten.overheid.nl/BWBR0023864/2020-07-01

Wabvpz

Besluit elektronische gegevensverwerking door zorgaanbieders

Dit besluit van 10 november 2017, beschrijft nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders 

https://zoek.officielebekendmakingen.nl/stb-2017-446.html

Begdz

Wet op de geneeskundige behandelingsovereenkomst

https://wetten.overheid.nl/BWBR0007021/2006-02-01

WBGO





Tabel 2.1: De belangrijkste wetten op het gebied van zorginformatie-uitwisseling


2.2 AVG - Algemene verordening gegevensbescherming

De AVG is de algemene wet die regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. De AVG gaat over het versterken en uitbreiden van de privacyrechten van betrokkenen (patiënten en cliënten) en is de Nederlandse uitwerking van de GDPR (General Data Protection Regulation) van de EU. 

De belangrijkste rechten van betrokkenen onder de AVG zijn:

  • Het recht op dataportabiliteit, ook wel gegevensoverdraagbaarheid genoemd. Dit houdt in dat de betrokkene zijn persoonsgegevens eenvoudig moet kunnen (laten) overzetten van de ene naar een andere organisatie (zorgaanbieder).
  • Het recht op vergetelheid. Het recht om ‘vergeten’ te worden. Dit houdt in dat de betrokkene het recht heeft om (een deel van) zijn persoonsgegevens te (laten) verwijderen. Dit recht betekent dat organisaties altijd duidelijk inzichtelijk moeten hebben welke persoonsgegevens zij verwerken, waar deze zich bevinden en hoe deze definitief verwijderd kunnen worden.
  • Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die een zorgorganisatie van hen verwerkt, in te zien.
  • Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens zoals die zijn verwerkt te wijzigen.
  • Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
  • Het recht op geen geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke toets bij besluiten.
  • Het recht om bezwaar te maken tegen de gegevensverwerking.
  • Het recht op duidelijke informatie over wat er met de persoonsgegevens gebeurt en hoe deze verwerkt worden. Toezicht op naleving van de AVG en eventuele sancties, vallen onder de Autoriteit Persoonsgegevens.

Uitvoeringswet AVG

De Uitvoeringswet AVG regelt een uitzondering op het verwerkingsverbod van gezondheidsgegevens voor hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening. Deze uitzondering geldt alleen voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk (artikel 30 lid 3 UAVG). 

De Uitvoeringswet AVG regelt dat het BSN alleen mag worden gebruikt bij de verwerking van persoonsgegevens ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald (art 46 UAVG).

In de UAVG is uitgewerkt dat minderjarigen vanaf 16 jaar zelfstandig beslissen over de verwerking van hun persoonsgegevens (artikel 5 UAVG).


2.3 WGBO

Deze wet bevat onder andere bepalingen rondom informatieplicht richting de patiënt, het recht van inzage in het eigen dossier, dossierplicht en het medische beroepsgeheim. De zorgverlener is verplicht de patiënt naar redelijkheid te informeren en toestemming voor een behandeling te vragen. De patiënt is verplicht de zorgaanbieder correct en zo volledig mogelijk te informeren.

De informatieplicht betreft de volgende onderwerpen:

  • De aard en het doel van de behandeling: wat houdt de behandeling precies in? Wat denkt de zorgverlener ermee te bereiken?
  • De risico's en de gevolgen van de behandeling: welke complicaties of bijwerkingen kunnen optreden?
  • Eventuele andere behandelingsmogelijkheden: wat zijn daarvan de voor- en nadelen?
  • De vooruitzichten voor de gezondheidstoestand van de patiënt: wat staat hem te wachten?
  • De zorgverlener heeft de plicht om behandelaren van vervolgzorg te informeren over de status van de patiënt.

Voor iedere geneeskundige behandeling is mondelinge of schriftelijke toestemming van de patiënt vereist. Zonder deze toestemming kan de hulpverlener geen behandeling starten, voortzetten en mag hij medische informatie niet met een andere zorgverlener delen. Deze toestemming kan ook impliciet of stilzwijgend plaatsvinden. Bij een minder ingrijpende of noodzakelijke verrichting zal dit eerder zo zijn dan bij een ingrijpende, riskante of electieve behandeling. In dat laatste geval moet de patiënt in ieder geval expliciet instemmen met de behandeling en wordt dit ook door de arts in het dossier vastgelegd. In bepaalde situaties moet acuut worden ingegrepen en kan op toestemming van de patiënt of zijn vertegenwoordiger niet worden gewacht. Ook hiervoor geeft de WGBO een basis. Behandeling zonder toestemming is mogelijk indien ‘onverwijlde uitvoering van de verrichting nodig is teneinde ernstig nadeel voor de patiënt te voorkomen’.

2.4 Wabvpz

De Wet Cliëntenrechten is op 1 juli 2017 in werking getreden en is opgenomen in hoofdstuk 3a van de Wabvpz. De bepaling die patiënten het recht geeft op elektronische inzage is op 1 juli 2020 in werking getreden.

Deze wet schept de randvoorwaarden voor het veilig elektronisch delen van gegevens met andere zorgverleners. Elke zorgverlener is sinds 1 juli 2017 verplicht om zijn patiënten te informeren over de elektronische gegevensuitwisseling en toestemming te vragen voor het beschikbaar stellen van de patiëntgegevens via een elektronisch uitwisselingssysteem.

De Wabvpz doet geen afbreuk aan de rechten en plichten die volgen uit de AVG.

De belangrijkste rechten van de patiënt die in de Wabvpz geregeld worden, zijn:

  • Het recht op (kosteloos) elektronische inzage in zijn dossier;
  • Het recht op een (kosteloos) elektronisch afschrift van zijn dossier;
  • Sinds juli 2020: het recht op een (kosteloos) elektronisch overzicht wie bepaalde informatie in een elektronisch uitwisselingssysteem beschikbaar heeft gesteld en op welke datum en wie informatie heeft ingezien of opgevraagd en op welke datum.

De belangrijkste plichten van een zorgaanbieder bij (elektronische) gegevensuitwisseling zijn:

  • De plicht de patiënt te informeren over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen, de werking van het elektronisch uitwisselingssysteem en welke zorgaanbieders zijn aangesloten op het systeem;
  • De plicht om zijn patiënt toestemming te vragen voor het beschikbaar stellen van de patiëntgegevens via een elektronisch uitwisselingssysteem;
  • De patiënt te informeren als er een nieuwe categorie zorgverleners gebruik maakt van het door de zorgverlener gebruikte elektronische uitwisselingssysteem (bijvoorbeeld als de patiënt toestemming heeft gegeven voor uitwisseling binnen de regio en daar nieuwe zorgaanbieders bij komen);

Aanvullend op de Wabvpz zijn in het Besluit elektronische gegevensuitwisseling door zorgaanbieders meer specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling gesteld. Doordat deze eisen in dit uitvoeringsbesluit staan, kan steeds worden ingespeeld op de actuele stand van de techniek.

In het kort regelt dit besluit dat zorgaanbieders verplicht zijn om NEN7510, NEN7512 en NEN7513 na te leven. De genoemde NEN normen worden verderop in dit hoofdstuk beschreven.

Om aan de wetgeving te voldoen, zullen elektronische uitwisselingsystemen van gegevens, zodanig ingericht moeten worden dat zij de toestemming van de patiënt kunnen ondersteunen. Daarnaast moeten die systemen het mogelijk maken dat de patiënt:

  • Inzage kan worden gegeven in de transacties die hebben plaatsgevonden op zijn gegevens: wie heeft, wanneer inzage gehad in welke gegevens in mijn dossier;
  • Inzage kan worden gegeven in de toestemming die hij eerder heeft gegeven en deze desgewenst aan te passen of in te trekken.

2.5 Wabvpz en het gebruik van het BSN

De Wabvpz vervangt sinds 1 juli 2017 de Wbsn-z (Wet gebruik Burgerservicenummer in de zorg).


Het document "PvE GBx Infrastructurele Systeemrollen" (VZVZ, 2018) beschrijft een aantal van de eisen, waaronder: gebruik Fictieve BSN's, Patiëntadministratie, BSN-verificatie, WID-controle en Register Niet Ingezetenen (RNI). Ook bevat dit document de bijlage "Best Practice verifiëren BSN".

Deze paragraaf gaat nader in op het gebruik van het BSN.

2.5.1 BSN Verificatie en Validatie

Om patiënten in de zorg op een betrouwbare manier te kunnen identificeren, moeten zorgaanbieders, indicatieorganen en zorgverzekeraars het BSN verplicht gebruiken in hun administratie en bij de onderlinge communicatie over patiënten. Om geen twijfel te laten bestaan over de correctheid van het BSN worden er twee acties uitgevoerd: BSN-verificatie en BSN-validatie.

BSN-verificatie

Bij de BSN-verificatie wordt geverifieerd dat bepaalde persoonskenmerken, waaronder naam, geslacht en geboortedatum), bij een BSN horen. Als persoonskenmerken en BSN bij elkaar horen, spreken we van een ‘geverifieerd BSN’.

Voor de verificatie wordt gebruik gemaakt van interfaces van de SBV-Z (Sectorale Berichten Voorziening in de Zorg) die zorgen voor de ontsluiting van het BSN register en het Registratie Niet-ingezetenen.

BSN-validatie

Zodra de nieuwe patiënt voor het eerst in het ziekenhuis komt, wordt aan de hand van een geldig Wettig Identiteits Document (WID: paspoort, rijbewijs, ID-kaart) gecontroleerd of de persoon voor de balie inderdaad degene is die is- of wordt ingeschreven in het EPD. Hierdoor is vanaf dat moment sprake van een ‘gevalideerd BSN’.

Optioneel is het ook mogelijk de geldigheid van het identiteitsbewijs elektronisch te laten controleren m.b.v. een (tweede) koppeling met het SVB-Z voor de WID-controle. Dit kan men bijvoorbeeld doen als er twijfels zijn aan de geldigheid van het identiteitsbewijs. Om een BSN te valideren is deze controle stap echter niet vereist en niet alle zorgaanbieders hebben de koppeling in gebruik.

Het kan voorkomen dat het BSN-nummer van een patiënt wel bekend is binnen een ziekenhuis informatiesysteem, maar dat deze nog niet gevalideerd is aangezien een patiënt zich nog niet geïdentificeerd heeft met een identiteitsbewijs.

2.5.2 Gebruik BSN in de praktijk

Voor gebruik van het BSN bij uitwisseling van gegevens tussen verschillende zorgaanbieders, dient aan de volgende regels voldaan te worden:

  • Voordat gegevens van een patiënt gedeeld mogen worden met een andere zorgaanbieder, moet de brondossierhouder een gevalideerd BSN van de patiënt hebben. Dat wil dus zeggen dat de patiënt fysiek in de zorginstelling is geweest en dat de identiteit van de patiënt is vastgesteld aan de hand van een wettig identiteitsdocument. (N.B.: dit staat dus los van het feit dat de patiënt daarnaast toestemming moet hebben gegeven voor het delen van zijn gegevens).
  • Voor het raadplegen en overhalen van gedeelde patiëntgegevens van een andere zorgaanbieder, is het voldoende dat de patiënt in de eigen organisatie bekend is met een geverifieerd BSN. De patiënt hoeft hiervoor dus nog niet fysiek aanwezig geweest te zijn.

In sommige gevallen, zoals een spoed verwijzing of een intercollegiaal consult, kan het voorkomen dat de patiënt nog niet bekend is in de zorginstelling die een gegevensopvraging doet. Uitgangspunt is in deze gevallen dat men kan vertrouwen op de verificatie van het BSN door de zorginstelling die de medische gegevens heeft vastgelegd en aangemeld voor delen buiten de zorginstelling.

Het proces van validatie van het BSN in de opvragende zorginstelling blijft bestaan. De eerste keer dat een patiënt daar fysiek aanwezig is, geldt de reguliere validatieprocedure.

2.6 Richtlijnen

Bij elektronische gegevensuitwisseling in de zorg ontstaan veel vragen over de interpretatie van de AVG, de overige wetten en de NEN-nomen. Deze wet- en regelgeving is daarom voor de praktijk verder uitgewerkt in de: ‘Gedragscode Elektronische Gegevensuitwisseling in de Zorg’ (EGiZ, 2019), die door de koepels van zorgverleners en RSO’s gezamenlijk is opgesteld. In de gedragscode is aangegeven op welke wijze deze wetten en normen in de praktijk worden toegepast. De EGiZ gedragscode is de leidraad voor implementatie van de juridische aspecten die van toepassing zijn op (inter-) regionale uitwisseling.

2.7 Normen – NEN 7510, 7512, 7513

Om veilig met elektronische medische gegevens om te gaan heeft het Nederlands Normalisatie-instituut (NEN) een aantal normen ontwikkeld. De eerste norm die is ontwikkeld is de NEN 7510, de norm voor Informatiebeveiliging in de zorg. Deze norm is gebaseerd op de Code voor Informatiebeveiliging, de ISO- 27000-serie. Voor de zorgsector is een aangepaste versie van de Code opgesteld. De reden hiervoor is dat er extra zorg-specifieke aandachtspunten zijn, zoals privacybescherming. De NEN 7510 is voor de zorg aangevuld met NEN 7512 vertrouwensbasis voor gegevensuitwisseling en de NEN 7513 logging. Het verplicht toepassen van deze normen is beschreven in het Besluit elektronische gegevensverwerking door zorgaanbieders.

2.7.1 NEN 7510, informatiebeveiliging in de zorg (NEN 7510:2017)

  • De organisaties dienen zich te houden aan de geldende wet- en regelgeving. De AMvB met betrekking tot elektronische gegevensverwerking door zorgaanbieders, verwijst dwingend naar het toepassen van de NEN 7510, NEN 7512 en NEN 7513.
  • Zorgaanbieders die aansluiten op een elektronisch uitwisselingssysteem sluiten voorafgaand met de verantwoordelijke en met eventuele andere partijen, zoals zorgserviceproviders, een overeenkomst die voldoet aan het bepaalde in de NEN 7510.

2.7.2 NEN 7512, Vertrouwensbasis voor gegevensuitwisseling (NEN 7512:2015)

In de NEN 7510 wordt een risicoclassificatie uitgewerkt. In de NEN 7512 zijn voor de verschillende risicoklassen minimale eisen opgesteld ten aanzien van authenticatie en identificatie. Hierbij wordt de kans afgezet tegen de gevolgen. De eisen hebben betrekking op:

  • De zender (entiteit: persoon, organisatie of de informatiesystemen waarmee de informatie wordt verzonden);
  • Het medium;
  • De ontvanger.

Binnen deze keten bestaat een authenticatieproces: de bron moet zijn identiteit aantonen en de ontvanger moet deze identiteit kunnen controleren. Het beveiligingsniveau van de gehele keten is bepalend voor de veiligheid waarmee de informatie uitgewisseld wordt.

  • De verantwoordelijke voor een elektronisch uitwisselingssysteem draagt er zorg voor dat de gebruikte netwerkverbindingen en de criteria voor een zorgserviceprovider voldoen aan het bepaalde in de NEN 7512;
  • De verantwoordelijke en de zorgaanbieder dragen zorg voor een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem, overeenkomstig het bepaalde in de informatiebeveiligingsnorm NEN 7512;
  • Gegevensuitwisseling vindt uitsluitend plaats via een zorgserviceprovider die door de verantwoordelijke is geautoriseerd overeenkomstig de genoemde criteria/gestelde classificatie;
  • Netwerkverbindingen die worden gebruikt voor de overdracht van gegevens naar of vanuit het zorginformatiesysteem, of voor de overdracht van gegevens binnen het zorginformatiesysteem, voldoen aan het bepaalde in de NEN 7512. (NB: het betreft hier de elektronische systemen van de zorgaanbieder zelf, niet een elektronisch uitwisselingssysteem).

2.7.3 NEN 7513, logging (NEN 7513:2018)

  • Het patiëntdossier vormt een wezenlijk onderdeel van de veilige zorg aan de patiënt. Voor veilige zorg is het essentieel dat gegevens in het dossier integer zijn. Daarbij bevat het dossier in de aard van de registratie zeer privacygevoelige gegevens. Om deze twee redenen, vastgelegd in wettelijke bepalingen, is het van belang om op elk gewenst moment te kunnen achterhalen wie toegang heeft gehad tot het dossier, volgens welke regels die toegang is verkregen en welke acties op de gegevens zijn uitgevoerd;
  • De zorgaanbieder als verantwoordelijke voor het zorginformatiesysteem, en de verantwoordelijke voor een elektronisch uitwisselingssysteem, dragen er zorg voor dat de logging van het systeem voldoet aan het bepaalde in NEN 7513. De logging betreft de registratie van a) wie bepaalde gegevens beschikbaar heeft gesteld en op welke datum en b) wie bepaalde informatie heeft ingezien of opgevraagd en op welke datum.

Zorgserviceprovider (ZSP)

Een zorgserviceprovider is een netwerkleverancier van een beveiligde netwerkverbinding tussen een zorginformatiesysteem en een elektronisch uitwisselingssysteem. De verantwoordelijke voor een elektronisch uitwisselingssysteem werkt met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria.  Nictiz biedt een programma van eisen ZSP. In de praktijk volgen veel partijen de meer actuele (op het PvE ZSP aanvullende) eisenset van VZVZ: het programma van eisen Goed Beheerd Zorgnetwerk (GZN). Deze is nog geënt op gebruik van het Landelijk Schakepunt. Twiin heeft daarom een eigen PvE GZN opgesteld.

2.8 Verwerkersovereenkomst

Als een zorgaanbieder, de zogenoemde ‘Verwerkingverantwoordelijke’, persoonsgegevens laat verwerken door een externe partij, de zogenoemde ‘Verwerker’, dan is de verantwoordelijke wettelijk verplicht een Verwerkersovereenkomst met de verwerker af te sluiten. Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens, maar heeft wel een aantal afgeleide verplichtingen voor onder meer beveiliging en geheimhouding van de gegevens. De verwerkersovereenkomst moet er voor zorgen dat verwerker voldoende waarborgen biedt ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de verwerking van de aan hem ter beschikking gestelde persoonsgegevens.

  • Onder ‘verwerking van gegevens’, valt: verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
  • In de Wbp was sprake van een ‘Bewerker’ en een ‘Bewerkersovereenkomst’. Onder de AVG is dat ‘Verwerker’ geworden.

In een Verwerkersovereenkomst moeten in ieder geval de volgende onderwerpen aan bod komen:

  • Geheimhoudingsplicht;
  • Beveiliging;
  • Subverwerkers;
  • Privacy rechten van de betrokkenen, zoals: recht op inzage, correctie, vergetelheid en dataportabiliteit;
  • Verwijdering van gegevens na beëindiging van de verwerkingsdiensten;
  • Medewerking aan audits.

Mogelijk is GtK in termen van de AVG een verwerker. (NB Dit moet onderzocht worden bij de huidige netwerken.) Zorgaanbieders die dergelijke diensten afnemen van, of aangesloten zijn bij, een GtK moeten dus een verwerkersovereenkomst afsluiten met het GtK.

Een GtK kan gebruik maken van externe leveranciers voor het verlenen van de diensten aan de zorgaanbieders zelf, en zal in dat geval  sub- verwerkersovereenkomsten aan gaan met de desbetreffende leverancier. Hierin zijn dezelfde verplichtingen vastgelegd als de verwerker richting verantwoordelijke heeft. Een Model Verwerkersovereenkomst van de Brancheorganisaties Zorg is op internet te vinden.

2.8.1 Data protection impact assessment (DPIA)

Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Zie voor actuele informatie https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia?qa=PIA

2.9 Adviezen

  • Gebruik de EGiZ Gedragscode als leidraad voor implementatie van de juridische aspecten die van toepassing zijn op (inter-)regionale uitwisseling.
  • Volg NEN7510, NEN 7511 en NEN7513 voor logging en inzage door patiënten (wettelijke verplichting).
  • Biedt de patiënt functionaliteit om zijn toestemming in te zien, te wijzigen of in te trekken volgens landelijke toestemmingsvoorziening;
  • Stel een PIA op;
  • Betrek een FG bij het opstellen en naleven van afspraken zowel op zorginstellingsniveau als op regionaal niveau.

https://www.brancheorganisatieszorg.nl/nieuws_list/modelverwerkersovereenkomst-voor-de-zorgsector/


Bron: https://www.nictiz.nl/wp-content/uploads/Handreiking-Interoperabiliteit_V1.0.pdf 






  • No labels