Veilige medische gegevensuitwisseling in de zorg
De AVG geldt voor iedereen en alle organisaties die te maken hebben met persoonsgegevens.Dus ook voor de zorgsector. Bij zorg gaat het vaak om bijzondere persoonsgegevens, bijvoorbeeld over medische gegevens. Het patiëntendossier is een essentieel instrument voor het verlenen van patiëntenzorg. De WGBO vormt het juridisch kader voor de relatie tussen een zorgverlener en een patiënt, vooral bedoeld om de rechtspositie van de patiënt te versterken.
Daarvoor gelden nog strengere eisen, zoals:
- als zorgverlener mag je niet méér persoonsgegevens verwerken dan noodzakelijk is voor het doel van de verwerking.
- zorgmedewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.
- persoonsgegevens mogen niet langer bewaard worden dan nodig is.
Veilige medische gegevensuitwisseling in de zorg
De AVG zorgt niet alleen voor nieuwe verplichtingen en regels, maar zal ook de bestaande regels omtrent het werken met toestemming van de patiënt versterken. Tevens zullen de huidige regels voor het medisch beroepsgeheim naast de AVG blijven bestaan.
De volgende wet- en regelgeving blijven met de komst van de AVG gelden:
- Wet op de geneeskundige behandelingsovereenkomst (WGBO);
- Wet kwaliteit, klachten en geschillen zorg (Wkkgz);
- Wet op de beroepen in de individuele gezondheidszorg (Wet BIG);
- Zorgverzekeringswet (Zvw);
- Wet marktordening gezondheidszorg (Wmg);
- Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
Vanaf 1 januari 2013 kunnen zorgaanbieders alleen nog met voorafgaande toestemming van de patiënt medische gegevens opvragen via het LSP (voorheen het EPD). Hiermee voldoet de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) aan de eisen van de AVG. Als organisaties of partijen gegevens willen uitwisselen en verder verwerken hebben zij over het algemeen de natuurlijke neiging om op zoek te gaan naar de grootste gemene deler; dat wil zeggen welke gegevens mag iedereen met iedereen uitwisselen?
“Per organisatie moet inzichtelijk gemaakt worden welke taak de betrokken organisatie heeft bij het verwerken van gegevens voor fraudebestrijding en welke belangen bij het verwerken van gegevens daarmee samenhangen of daaruit voortvloeien. “
Wat wordt verstaan onder ketensamenwerking?
Structurele samenwerking vindt overwegend op twee manieren plaats:
- in netwerken en in ketens. Bij netwerken heeft men regelmatig overleg over gezamenlijke klanten en stemt men ondersteuningstrajecten op elkaar af. Bij ketens stemt men de werkwijze en de interventiemethoden op elkaar af.
- samenwerken in netwerken is wat vrijblijvender en samenwerken in ketens is meer verplichtend, met een gezamenlijk doel en verdergaande afspraken. Voorts is bij ketensamenwerking ‘het verbeteren van de dienstverlening aan de cliënt’, het ordeningsprincipe, hetgeen doorwerkt in de afspraken tussen de ketenpartners.
Valkuilen zijn bijvoorbeeld:
- Geen duidelijke afspraken maken
- Geen regiehouder aanstellen
- Een onduidelijke procesbeschrijving
- Een niet-werkende communicatiestructuur
- Geen passend financieel model kunnen opstellen
Informatiebeveiliging en privacy
Het goed regelen van informatiebeveiliging en privacy in een beleidsdocument is noodzakelijk om de gevolgen van deze risico’s tot een aanvaardbaar niveau te reduceren en de voortgang van het onderwijs en de bedrijfsvoering optimaal te kunnen waarborgen. nder informatiebeveiliging en privacy wordt verstaan het nemen en onderhouden van een hoeveelheid samenhangende maatregelen zodat de betrouwbaarheid van de informatievoorziening gegarandeerd kan worden.
Informatiebeveiliging richt zich op de volgende aspecten:
Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten.
Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.
Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn.
Accountability
Als verwerkingsverantwoordelijke bent u verantwoordelijk voor de rechtmatige en zorgvuldige omgang met persoonsgegevens. Dit betekent dat u:
- de plichten uit de Verordening moet naleven; en
- dat u de goede naleving van deze plichten kunt aantonen.
Deze verantwoordingsplicht (in het Engels accountability) staat centraal in de Verordening en geldt te allen tijden. Als verwerkingsverantwoordelijke bent u verplicht passende en effectieve maatregelen vast te leggen en te zorgen dat de verwerkingen in lijn met de Verordening plaatsvinden. Bij het nemen van maatregelen moet u rekening houden met de aard, de omvang, de context en het doel van de verwerking en de risico’s die uw verwerking voor de rechten en vrijheden van de betrokkene kunnen hebben.
De verwerkingsverantwoordelijke is degene die ‘doel en middelen’ bepaalt voor de verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt hoe en waarom er persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke is de (rechts)persoon die letterlijk de verantwoordelijkheid heeft voor het naleven van de Verordening. De verwerker handelt in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, zonder onder diens rechtstreeks gezag te staan.
De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”)
Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.
Digitale technische ondersteuning en Privacy
Digitale technische ondersteuning en Privacy vertaalt de Algemene Verordening Gegevensbescherming naar de praktijk. Het bevat afspraken over het omgaan met persoonsgegevens bij het gebruik van digitale hulpmiddelen. Dankzij de in de AVG vastgelegde criteria weten aanbieders van digitale hulpmiddelen wat ze over en weer van elkaar mogen verwachten, zijn de afspraken werkbaar in de praktijk en heeft iedereen dezelfde gemeenschappelijke uitleg bij deze afspraken.
Voorbeeld: Patiëntendossier, Gemeentedossier, Klantendossier, Zorgdossier, etc………..
Het patiëntendossier is een functionaliteit specifiek ontwikkeld met het doel technische en functionele ondersteuning te geven aan Organisaties bij de verwerking- en beveiliging van persoonsgegevens voor de in deze doelbinding vastgelegde verwerkingscriteria.
De Privacy Management Methode (P.M.M ®) een Uniforme, gestandaardiseerd aanpak .
Voor de aanpak is uit gegaan van een gestandaardiseerd implementatiemodel waarmee de organisatie ondersteunt wordt bij het formuleren en vastleggen van de verwerkingscriteria zoals bedoeld in de Contouren of compliance. Deze documentatie vormt de basis voor de Accountability documentatie en beschrijft alle criteria die volgens de AVG aantoonbaar moeten zijn vastgelegd.
Het doel is het creëren van een gestandaardiseerd implementatiemodel waarin alle aspecten die noodzakelijk zijn voor het vastleggen van beleidsprocedures waarin alle criteria van de verwerking- en beveiliging van persoonsgegevens zijn opgenomen en gedocumenteerd zoals bedoeld in de Contouren of compliance.
De kern van dit document bestaat uit:
- Beschrijving van de richtlijnen voor de gegevensverwerkingen: een beschrijving van aspecten die van toepassing zijn voor de verwerking van persoonsgegevens met de AVG criteria als uitgangspunt;
- Beschrijving van het beveiligingskader voor de informatiebeveiliging: een beschrijving van alle aspecten voor de beveiliging van persoonsgegevens die noodzakelijk zijn om de beveiligingsprocedures in relatie tot de verwerkingsdoeleinden vast te leggen;
- Beschrijving en beoordeling risico’s voor betrokkenen: een beschrijving van de beleidsprocedures ter beoordeling van de gevolgen en risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen.
- Beschrijving voorgenomen maatregelen voor datalekken:Een beschrijving van beleidsprocedures ter beoordeling van de voorgenomen maatregelen om deze gevolgen en risico’s van de datalekken vast te leggen en te documenteren.
Met de voor deze aanpak ontwikkelde methode wordt een organisatie ondersteunt bij de uitvoer van het implementatieproces en het op maat formuleren van beleidsdocumenten om passende en effectieve maatregelen vast te leggen en te zorgen dat de verwerkingen in lijn met de Verordening plaatsvinden.
- Door voormalig directeuren van de Autoriteit Persoonsgegevens (A.P) is de Privacy Management Methode (P.M.M ®) omschreven als een compleet, volledig en unieke Toolbox waarmee de functionaris ondersteunt wordt bij de realisatie en implementatie van dit proces.
De richtprijs is 95 euro per uur exclusief btw.
Voor meer informatie:
Functionaris voor de gegevensbescherming: Henk Fernald;
Email: [email protected], of [email protected]
Mobiel: 0031(0)640232495