Privacy goed voor elkaar

Als zorgverlener legt u medische persoonsgegevens van uw patiënten vast in een dossier en wisselt u deze gegevens uit met andere zorgverleners. De rechten van patiënten en uw plichten als zorgverlener zijn o.a. wettelijk vastgelegd in (Europese) privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Om hieraan te voldoen is het van groot belang dat u duidelijke afspraken maakt met uw ICT-leverancier en de zorgverleners waarmee u samenwerkt. Samen hebben we privacy goed voor elkaar!

Samen met PharmaPartners, privacy goed voor elkaar

Voor PharmaPartners is het voldoen aan wet- en regelgeving onderdeel van de basishygiëne, die hoort bij zowel de software als de communicatie naar onze klanten. Het is een doorlopend proces waar we continu veel tijd en aandacht aan besteden.

Met deze informatiecampagne willen wij de onduidelijkheid wegnemen rond de Algemene Verordering Gegevensuitwisseling (AVG), het clustermodel en uw verplichtingen. Om te zorgen dat u kunt voldoen en blijft voldoen aan de nieuwe privacywetgeving. En om te zorgen dat u de noodzakelijke afspraken maakt binnen uw samenwerkingsverband, zodat uw samenwerkingsverband voldoet aan de AVG.

De informatiecampagne bestaat uit drie fases:

  1. Samenwerken in de zorg
  2. Samenwerken onder de AVG (juridische context clustersamenwerking)
  3. Communicatie richting uw patiënten

Per fase stellen we documenten aan u beschikbaar en verzorgen we een informatieve Webinar.

Wat is de AVG ook alweer?

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. In de hele Europese Unie (EU) geldt dezelfde privacywetgeving. De AVG kennen we ook onder de Engelse naam General Data Protection Regulation (GDPR). De Wet bescherming persoonsgegevens (Wbp) geldt niet meer.

Met de AVG krijgen betrokkenen – de mensen van wie persoonsgegevens worden verwerkt – nieuwe privacyrechten en worden bestaande rechten versterkt. Daarnaast krijgen organisaties die persoonsgegevens verwerken, meer verplichtingen. Zo moeten zij in toenemende mate kunnen aantonen dat zij zich aan de wet houden.

De Autoriteit Persoonsgegevens (AP) handhaaft sinds 25 mei 2018 de AVG. Er is door hen fors geïnvesteerd om bijvoorbeeld extra controleurs aan te stellen en de gezondheidszorg wordt expliciet benoemd in het toezichtkader 2018-2019.

Wat kunt u doen?

Wilt u weten of u aan alle eisen voldoet? Onze whitepaper The Road to… Algemene Verordening Gegevensbescherming geeft u een handige checklist.

Samenwerken in de zorg

Goede samenwerking in de zorg blijft noodzakelijk en zorgt voor een efficiënte en kwalitatieve behandeling van de patiënt. Het recht op privacy verandert niets aan de noodzaak en de mogelijkheid om samen te werken. Het is echter wel belangrijk dat u duidelijke afspraken maakt met de partijen waarmee u samenwerkt om samen privacy goed voor elkaar te hebben.

Het is van groot belang dat de eerstelijnszorg samenwerkt en zich organiseert. Op die manier kan men doeltreffender optreden richting ziekenhuizen, verzekeraars, de wetgever en ICT-leveranciers. Dit geldt ook zeker voor de AVG-implementatie. Iedere zorgaanbieder loopt tegen dezelfde uitdagingen aan als het gaat om de impact van de AVG op de werkwijze, het behandelen van datalekken en het opvolgen van verzoeken van betrokkenen. Waarom alles alleen doen, als het ook samen kan?

Wat kunt u doen?

Werkt u regionaal samen of bijvoorbeeld in een zorgketen, dan kunt u afspraken vastleggen door een samenwerkingsovereenkomst aan te gaan of door middel van het oprichten van een juridische entiteit, stichting, coöperatie of vereniging.

Samenwerken onder de AVG (juridische context clustersamenwerking)

Een van de meest voorkomende samenwerkingen binnen de eerstelijnszorg is het clustermodel. Dit is ingericht om regionaal kosten te besparen en om de stabiliteit van de aangesloten informatiesystemen te verbeteren. Maar wat betekent de AVG voor het clustermodel?

Het cluster kunt u zien als een gedeelde server (private cloud) waar meerdere individuele informatiesystemen op draaien. Deelnemers kunnen op het cluster volledig zelfstandig werken of volledig geïntegreerd samenwerken. De wijze van samenwerking bepaalt dan ook de afspraken die er gemaakt moeten worden.

Clusterreglement en AVG-gedragscode

Door samen te werken in een cluster kunt u veilig en snel informatie delen met anderen. De AVG vereist echter dat u zich daarbij houdt aan een aantal basisprincipes. Om u maximaal te ontzien, hebben wij deze basisprincipes verwerkt in een clusterreglement en AVG-gedragscode. Dit document is te vinden op ons klantportaal.

Verwerken persoonsgegevens onder de AVG

Wanneer is een verwerking van persoonsgegevens rechtmatig? Zie hiervoor de infographic met grondslagen voor verwerking persoonsgegevens.

Wat kunt u doen?

Heeft u al een verwerkersovereenkomst getekend met PharmaPartners en andere leveranciers? We stellen een Verwerkersovereenkomst Farmacie en Verwerkersovereenkomst Huisartsenzorg beschikbaar. Bekijk onze downloads op deze pagina voor een totaaloverzicht van alle documentatie op het gebied van samenwerken onder de AVG. Hier vindt u onder andere het AVG compliance-pakket (Eldermans & Geerts).

Communicatie richting patiënten

Als zorgverlener hebt u vanuit de AVG niet alleen de verantwoordelijkheid om uw patiënt te informeren over de te verwachten behandeling, maar tevens ook over de ICT (als medisch hulpmiddel) die u daarvoor gebruikt.

Communicatietoolkit

Om u maximaal te ondersteunen in de transparante communicatie richting uw patiënten, stellen wij een communicatietoolkit beschikbaar. Deze toolkit licht toe wat het clustermodel inhoudt en hoe men op het cluster samenwerkt. De focus ligt daarbij op de technische werking van het cluster, de gegevens die uitgewisseld worden en de voorwaarden (AVG-grondslag) die daarvoor gelden. Met deze toolkit voldoet u aan de eisen die de AVG stelt op het gebied van transparantie (persoonlijk gerichte informatieverstrekking).

De communicatietoolkit ontwikkelen we samen met onze klanten. Heeft u specifieke behoeften, dan horen we het graag van u. We verwachten de communicatietoolkit beschikbaar te stellen eind 2e kwartaal 2019.

Privacystatement

Deze informatieverplichting is van toepassing op alle ICT-systemen die u gebruikt om persoonsgegevens van patiënten mee te verwerken. Het is dus van belang om aanvullend een privacystatement te hanteren waarin u per ICT-systeem toelicht waarvoor u het systeem gebruikt, welke gegevens daarmee verwerkt worden en wie er allemaal toegang hebben tot die gegevens.

Downloads

Samenwerken in zorg
Samenwerken onder de AVG
Patiëntcommunicatie
Blog Remco Bakker Functionaris Gegevensbescherming PharmaPartners
Naar de blog
Deel op:
28 maart 2018 AVG 2018: hier moeten zorgorganisaties rekening mee houden

De AVG bouwt voort op de regels van de WBP en stelt strengere eisen aan transparantie, aantoonbaarheid en het kunnen afleggen van verantwoording. Maar wat betekent de AVG nou precies voor u?

Agenda

Cursus
Evenement
Webinar
Vaak gestelde vragen
Wat is het doel van de Algemene Verordening Gegevensbescherming (AVG)?

In toenemende mate worden persoonsgegevens digitaal verzameld, opgeslagen en uitgewisseld. Dit levert een verhoogd privacy risico op voor de persoon op wie die gegevens betrekking hebben (de betrokkene). Om dit fundamentele recht te beschermen is de Europese Algemene Verordening Gegevensbescherming opgesteld. De AVG bouwt voort op diens voorganger, de Nederlandse Wet bescherming persoonsgegevens (Wbp), maar stelt o.a. strengere eisen aan de mogelijkheid voor organisaties om aan te kunnen tonen dat zij ook daadwerkelijk aan de privacywetgeving voldoen.

Wat merkt de patiënt van de AVG?

Door de algemene verordening gegevensbescherming (AVG) krijgen patiënten meer zeggenschap over hun gegevens. Zorgorganisaties moeten ervoor zorgen dat zij o.a. in beeld hebben welke gegevens zij allemaal verwerken en voor welke gerechtvaardigde doeleinden zij dit doen. De persoon op wie de gegevens betrekking heeft (de betrokkene) moet daar voorafgaand van op de hoogste gesteld worden. Dit kunt u bijvoorbeeld doen door een privacyverklaring te publiceren op uw website, of persoonlijk te verstrekken aan de patiënt.

 

Nieuwe privacyrechten

Naast versterking van bestaande rechten, zoals het recht op inzage in het dossier en het recht om gegevens af te schermen, krijgen patiënten door de AVG een aantal aanvullende rechten:

  1. Recht op vergetelheid: Mensen hebben het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Daarnaast kunnen zij eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die de gegevens ontvangen hebben. Het recht op vergetelheid vanuit de AVG is in principe niet van toepassing op medische dossiers, daarvoor gelden de eisen uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Ook hierin is een recht op verwijdering van gegevens opgenomen, maar daar gelden aparte eisen voor (u heeft bijvoorbeeld 1 maand de tijd om dit verzoek te verwerken).
  2. Recht op dataportabiliteit: Mensen hebben straks (onder bepaalde voorwaarden) het recht om van de zorgaanbieder hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld wanneer zij zich willen uitschrijven bij de ene zorgaanbieder en inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorsturen aan de nieuwe dienstverlener, wanneer dat (technisch) mogelijk is. De impact van dit recht op de gezondheidszorg is overwegend beperkt, aangezien dit recht deels overlapt met dossieroverdracht vanuit de WGBO. De standaarden voor dossieroverdracht laten echter wel te wensen over. Wij onderzoeken op dit moment dan ook samen met de relevante koepels passende alternatieven voor zowel huisartsen als apothekers.
Wat zijn de belangrijkste veranderingen die de AVG met zich meebrengt?

De Algemene Verordening Gegevensbescherming (AVG) legt meer nadruk op uw verantwoordelijkheid als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht en houdt in dat u zwart op wit moeten kunnen aantonen dat u de juiste maatregelen heeft genomen om aan de AVG te voldoen (vb: contractuele afspraken, procedures, werkinstructies, beleid, etc.).

 

Sinds 25 mei 2018:

Moet ik als kleine zorgaanbieder ook een verwerkingsregister gaan bijhouden?

Ook als kleine zorgaanbieder bent u verplicht om een register van verwerkingsactiviteiten op te stellen. Dit komt omdat u als kleine zorgaanbieder doorgaans structureel medische persoonsgegevens (volgens de wet bijzondere persoonsgegevens) van uw patiënten verwerkt.

 

Volgens de Algemene Verordening Gegevensbescherming (AVG) bent u als organisatie verplicht om een register op te stellen wanneer u persoonsgegevens verwerkt:

  • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt;
  • waarvan de verwerking niet incidenteel is;
  • die vallen onder de categorie bijzondere persoonsgegevens.
Mag ik onder de AVG nog wel medische persoonsgegevens verstrekken aan zorgverzekeraars?

Ja, als zorgaanbieder mag u onder de Algemene Verordening Gegevensbescherming (AVG) persoonsgegevens blijven verstrekken aan zorgverzekeraars. De regels die onder de huidige Wet bescherming persoonsgegevens (Wbp) gelden voor bijvoorbeeld het verstrekken van gegevens aan zorgverzekeraars voor de declaratie van zorgkosten, het aanvragen van machtigingen en het uitvoeren van formele en materiële controle, blijven onder de AVG bestaan.

Hoe verhoudt de AVG zich tot het beroepsgeheim en de WGBO?

De Algemene Verordening Gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor het medisch beroepsgeheim. De regels uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) blijven bestaan naast de AVG.

Meer informatie:

Blijft NEN 7510 gelden voor zorgaanbieders onder de AVG?

Ja, hoewel de NEN 7510 niet letterlijk in de AVG genoemd staat, zijn beveiligingsstandaarden uiterst belangrijk. Op dit moment geldt bijvoorbeeld dat NEN 7510 verplicht is voor zorgaanbieders. Daarnaast staat in de huidige beleidsregels van de Autoriteit Persoonsgegevens (AP) dat u continu de beveiligingsstandaarden moet blijven volgen. Als voorbeeld van zulke standaarden worden vaak NEN 7510, NEN 7512, NEN 7513, ISO 27001, ISO 9001, ISAE Type 1 en 2 genoemd, maar denk bijvoorbeeld ook aan de door koepels opgestelde richtlijnen zoals BEIS deel 1 en 2.

Daarnaast geldt sinds het besluit elektronische gegevensverwerking door zorgaanbieders van 10 november 2017 dat ook NEN 7512 en 7513 verplicht zijn voor partijen die gebruik maken van een elektronisch uitwisselingssysteem (LSP). In het Besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld voor gegevensbescherming in de zorg. Meer specifiek wordt er ingegaan op welke eisen er gelden ten aanzien van de beveiliging van een elektronisch uitwisselingssysteem (en een zorginformatiesysteem).

PharmaPartners besteedt veel tijd en aandacht aan het goed inrichten van de interne processen. Certificering maakt de kwaliteit en veiligheid van die processen inzichtelijk voor u als klant. Zo kunt u voldoen aan de eisen die de wetgever aan u stelt. PharmaPartners is gecertificeerd voor de ISO 9001, ISO 27001 en de NEN 7510. Deze betreffen de informatiebeveiliging in het algemeen en de specifieke, aanvullende normen voor de zorg.

Zijn Medicom, Pharmacom en Hapicom elektronische uitwisselingssystemen?

Nee, Medicom, Pharmacom en Hapicom zijn individuele informatiesystemen die bedoeld zijn voor interne dossiervoering, waarbij er secundair functionaliteit is ingebouwd om specifieke gegevens te delen met andere zorgaanbieders. In de behandeling van de Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg (Wabvpz) wordt nadrukkelijk een onderscheid gemaakt tussen een systeem voor het bijhouden van dossiers en een systeem voor elektronische uitwisseling.

 

Art. 1 sub j Wabvpz – definitie elektronisch uitwisselingssysteem: een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier.

 

Het gebruik van deze letterlijke (niet technische) bewoording geeft aan dat het de bedoeling van de wetgever is om een enge interpretatie te hanteren voor het begrip elektronisch uitwisselingssysteem. Alleen een systeem waarbij er een losstaand systeem in de markt is gezet voor de feitelijke uitwisseling valt derhalve onder deze definitie.

 

Een ander praktijkvoorbeeld is een elektronisch voorschrijfsysteem (EVS). Een EVS wordt gebruikt door artsen en apothekers voor het voorschrijven van medicijnen. Artsen noteren in dit systeem binnen de zorgaanbieder welke medicijnen een patiënt dient in te nemen. Via een andere interface halen apothekers een lijst met medicijnen op, welke zij klaar maken voor de patiënt. Een dergelijke systeem wordt daarmee binnen een zorgaanbieder gebruikt ten behoeve van dossiervoering en valt als dusdanig dus niet onder de definitie van een elektronisch uitwisselingssysteem.

Wat is de verhouding tussen de AVG en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg?

De AVG bevat het algemene juridische kader voor het verwerken van persoonsgegevens, ook voor andere sectoren dan de gezondheidszorg. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) bevat specifieke regels voor het uitwisselen van medische persoonsgegevens via een elektronisch uitwisselingssysteem. Daarop zijn ook de regels uit de AVG van toepassing.

Hoewel de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) voor een groot deel pas vanaf juli 2020 geldt, moet er ook nu al voldaan worden aan de eis van uitdrukkelijke toestemming voor het beschikbaar stellen van medische gegevens via een dergelijk systeem. Het bekendste voorbeeld is het Landelijk Schakel Punt.

Wat is een cluster?

Een cluster is in een gedeelde server waar softwarematig gescheiden informatiesystemen op draaien (private Cloud). Door aangesloten te zijn op dezelfde server kunnen zorgverleners veilig informatie met waarnemers of andere zorgverleners delen binnen één zorgaanbieder of binnen de regio, zonder dat daarvoor gebruik gemaakt hoeft te worden van openbare netwerken. Het aangesloten zijn op een cluster zegt in principe niets over de wijze waarmee of met wie gegevens uitgewisseld worden. Dit kan de individuele zorgverlener/zorgaanbieder zelf instellen binnen diens eigen informatiesysteem (autorisatie instellingen).

Wat is cluster beheer?

Uw informatiesysteem moet periodiek onderhouden worden. Denk bijvoorbeeld aan het vervangen van verouderde medicatiebestanden of gegevens van verzekeraars. Om dit goed te regelen is het van belang dat u samen met uw overige clusterdeelnemers een clusterbeheerder heeft aangesteld. Heeft u die niet, dan kunt u er ook voor kiezen om deze dienst bij ons te beleggen.

 

De dienst cluster beheer van PharmaPartners bestaat uit de volgende onderdelen:

  • Maandelijks bijwerken van de TAXE-bestanden;
  • Het op verzoek van de verwerkingsverantwoordelijke samenvoegen van dubbele patiëntendossiers binnen een waarneemverband of één zorgorganisatie, of het opschonen van foutief aangemaakte dossiers;
  • Het onderhouden van clustertabellen: zorgverzekeraarstabel, derdentabel, artsentabel, adresboek en postcodetabel of straatnaamtabel;
  • Het jaarlijks inspoelen van tarieven van zorgverzekeraars;
  • Het monitoren, terugkoppelen en handhaven van werkwijze met betrekking tot patiënten beheer.

 

Meer informatie vindt u in onze productsheet over Professioneel Clusterbeheer. Neem bij vragen contact met ons op via farmacie@pharmapartners.nl of huisartsenzorg@pharmapartners.nl. Wij helpen u graag verder!

Voldoet het samenwerken in een cluster nog wel aan de AVG?

Ja, aangesloten zijn op een cluster zegt in beginsel niets over de wijze van gegevensverwerking. Wenst u, bijvoorbeeld voor het doeleinde van waarneming, gegevens te delen met een andere zorgaanbieder op het cluster, dan is het wel van belang om voorafgaand heldere afspraken te maken over de rolverdeling, de te leveren zorg, verantwoordelijkheden, de duur van de samenwerking, het omgaan met persoonsgegevens en het informeren van de patiënt. Dit geldt in beginsel voor elke zorgaanbieder die wenst samen te werken met een andere zorgaanbieder (ook als er geen gebruik gemaakt wordt van PharmaPartners-systemen).

Ondanks het voorgaande biedt het cluster uiteraard wel de mogelijkheid om regionaal of binnen één zorgaanbieder samen te werken en gegevens te delen. Het is dan ook mogelijk dat er ‘bovenmatig’ gebruik wordt gemaakt van deze (waarneem)functionaliteiten. Wij begrijpen dat het voor u als zorgaanbieder niet altijd even duidelijk is waar deze grens ligt. Om die reden hebben wij een AVG gedragscode (medio mei beschikbaar) opgesteld waarin duidelijk wordt toegelicht onder welke voorwaarden u gegevens mag delen met anderen buiten uw praktijk. Wenst u bijvoorbeeld samen te werken voor het doel van waarneming, dan kunt u tevens gebruik maken van de door ons opgestelde waarneemovereenkomst (media mei beschikbaar).

Moet mijn cluster altijd een entiteit oprichten?

Nee, in principe niet. De verplichting zit hem in het maken van heldere afspraken over de samenwerking. Werkt u samen op een cluster, dan is er een aantal zaken die u gezamenlijk moet oppakken (hoofdzakelijk niet AVG-gerelateerd). Denk bijvoorbeeld aan het functionele beheer van uw cluster (clusterbeheerder), of aan het beslissen over toe- en uittreders op uw cluster. In welke vorm u deze afspraken maakt, is van ondergeschikt belang. U kunt kiezen voor een samenwerkingsovereenkomst of het oprichten van een cluster entiteit (stichting, vereniging of een coöperatie).

 

Een samenwerkingsovereenkomst betekent dat u telkens met al uw clustergenoten moet samenkomen om met meerderheid van stemmen een beslissing te nemen, terwijl een clusterentiteit een bestuur heeft die die beslissing voor u kan nemen. De vraag of u een entiteit moet oprichten, dient dus vooral praktisch benaderd te worden en valt samen met de vraag hoe u cluster gerelateerde beslissingen wilt nemen.

 

Om u hierin te ondersteunen hebben wij een handleiding opgesteld, die u kunt gebruiken om te bepalen welk formaliseringsmodel het beste past bij uw cluster. Klik hier voor de handreiking juridische aspecten samenwerkingsverbanden bij downloads.

Moet de clusterentiteit een aansprakelijkheidsverzekering afsluiten?

Dat hangt af van de mate van verantwoordelijkheid die de entiteit draagt. Levert u bijvoorbeeld de dienst cluster beheer, dan kan er schade ontstaan door een fout van de clusterbeheerder. Denk bijvoorbeeld aan schade als gevolg van het inspoelen van de verkeerde (TAXE) bestanden, of het onterecht ontdubbelen van een patiëntendossier. In de meeste gevallen zal de schade niet onomkeerbaar zijn (of slechts beperkt), desondanks is het verstandig om hierop voorbereid te zijn.

 

In de door ons opgestelde deelnemersovereenkomst sluiten wij primair de aansprakelijkheid van de entiteit uit, aangezien deze ook over zeer beperkte financiële middelen beschikt. Er kunnen echter situaties ontstaan waardoor die aansprakelijkheidsbeperking onredelijk wordt geacht door een rechter (bijvoorbeeld wegens bewuste schuld of roekeloosheid). Om ook in dergelijke situaties bescherming te genieten, kan het verstandig zijn om een aansprakelijkheidsverzekering af te sluiten. Controleer wel altijd goed de polis om na te gaan in welke scenario’s uw verzekeraar wel of niet uitkeert.

Voldoet PharmaPartners aan de huidige beveiligingstandaarden?

Ja, PharmaPartners is zich ervan bewust dat de persoonsgegevens die wij voor u verwerken zeer gevoelig van aard zijn en ziet de bescherming van die gegevens dan ook als één van haar belangrijkste taken. Daarom hanteren wij vergaande beveiligingsstandaarden om de vertrouwelijkheid, integriteit en kwaliteit van persoonsgegevens te kunnen borgen. Zo is PharmaPartners onder meer NEN 7510, ISO 9001, ISO 27001 en ISAE 3402 SOC 1 gecertificeerd en we zijn op dit moment heel druk bezig met het behalen van onze ISAE3402 SOC 2 certificering.

 

Dankzij onze certificeringen kunt u als zorgverlener en verwerkingsverantwoordelijke erop vertrouwen dat u voldoet aan de beveiligingseisen zoals die zijn neergelegd in de Algemene Verordening Gegevensbescherming.

 

Voor MijnGezondheid.net ondergaan wij tevens jaarlijks een strenge Digi-D audit waarin wij worden getoetst op basis van de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC). Deze richtlijnen vormen een leidraad voor het veilig ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur.

Mag onder AVG nog wel gebruik gemaakt worden van een Burger Service Nummer (BSN) op bijvoorbeeld toedienlijsten?

Ja. Elke zorgverlener is wettelijk verplicht (art. 6 lid 1 sub c AVG) om bij overdracht, of het uitwisselen van patiëntgegevens, na te gaan aan de hand van een Burgerservicenummer (vastgelegd in Art 4 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) of de aangeleverde informatie daadwerkelijk bij de desbetreffende patiënt hoort, om onder andere persoonsverwisseling te voorkomen. Dit geldt ook voor een toedienlijst. Ook de Wet langdurige zorg, mits van toepassing, biedt een grondslag om het BSN op de toedienlijst te vermelden.

Welke richtlijnen gebruikt PharmaPartners om haar producten aan de AVG te laten voldoen?

Voor de implementatie van de AVG maken wij o.a. gebruik van de door Nictiz opgestelde BEIS richtlijnen. BEIS heeft als hoofddoel te bevorderen/waarborgen dat de eerstelijns informatiesystemen (gaan) voldoen aan de wet- en regelgeving en NEN-normen, en te zorgen dat gebruikers controle kunnen houden op de beveiliging. Het tweede doel dat de zorgkoepels met BEIS voor ogen hebben is, hun leden te faciliteren bij het vertalen van wet-, regelgeving en NEN-normen naar implementeerbare en op de zorgpraktijk afgestemde eisen voor de eerstelijnssystemen. Het biedt de basis voor leveranciers van systemen om deze op het juiste beveiligingsniveau te brengen. Het voldoen aan deze set van eisen moet ook de patiënten, overheid, toezichthouders en verzekeraars de zekerheid kunnen geven dat de noodzakelijke kwaliteit van de informatiebeveiliging in de eerste lijn is gegarandeerd.​

Is twee factor authenticatie verplicht voor toegang tot medische gegevens?

Ja, in 2013 heeft de AP (toen CBP) een aantal huisartsendienstenstructuren bezocht en getoetst op het naleven van de WBP (voorganger AVG). Naar aanleiding van die bezoeken heeft de AP geadviseerd dat zorginstellingen, zoals een huisartsenpost, afdoende technische en administratieve stappen moeten ondernemen om het gebruik van het eigen elektronisch dossier van een instelling veilig te stellen.

 

Uit het onderzoek bleek dat de drie huisartsenposten niet aan alle eisen voldeden die golden voor een adequate beveiliging van patiëntgegevens. Dat geldt bijvoorbeeld voor de eis van unieke gebruikersidentificatie (bijvoorbeeld een pas op naam) en voor de eis dat sprake moet zijn van zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem (UZI-pas).

Moet ik een verwerkersovereenkomst sluiten met PharmaPartners?

Ja, als u een van onze producten afneemt dan verwerken wij persoonsgegevens voor u. Het is in dat geval wettelijk verplicht om afspraken met ons te maken over het beschermen van die gegevens. Wij hebben ons aangesloten bij de NedXis standaard verwerkersovereenkomst, die gebaseerd is op de BOZ-verwerkersovereenkomst. Zowel de verwerkingsverantwoordelijke als de verwerker hebben de verplichting om een verwerkersovereenkomst af te sluiten.

De verwerkersovereenkomst Farmacie en verwerkersovereenkomst Huisartsenzorg kunt u vinden onder de downloads.

Mag ik PharmaPartners (service center) nog wel en print-screen sturen van mijn informatiesysteem?

Alleen als daar geen herleidbare persoonsgegevens op te zien zijn. E-mail is in de meeste gevallen een onbeveiligd communicatiemiddel en daarom niet geschikt voor het versturen van medische persoonsgegevens. Mocht het voor uw verzoek aan ons service center noodzakelijk blijken om specifieke persoonsgegevens in te zien, dan zullen wij hierover contact met u opnemen om deze mondeling op te vragen. Wij verzoeken u expliciet geen persoonsgegevens mee te sturen via de mail.

Welke subverwerkers heeft PharmaPartners?

PharmaPartners maakt gebruik van PinkRoccade Healthcare voor het hosten van haar Pharmacom-, Medicom- en Hapicom-systemen, het patiënten portaal MijnGezondheid.net en de MedGemak applicatie (Pink Private Cloud). PinkRoccade Healthcare heeft in beginsel geen toegang tot uw gegevens. Slechts voor zeer uitzonderlijke onderhoudsdoeleinden kan zij die toegang krijgen. Om die reden hebben wij een sub-verwerkersovereenkomst met PinkRoccade Healthcare afgesloten.

 

Daarnaast maken wij gebruik van diensten van Enovation voor uw koppeling met het Landelijk Schakelpunt (LSP-Connect), waar wij eveneens een sub-verwerkersovereenkomst mee afgesloten hebben. Zowel Enovation als PinkRoccade voldoen aan de huidige beveiligingsnormen en beschikken over NEN7510 en ISO 27001 certificaten. Daarnaast zijn ze allebei gevestigd in Nederland en verwerken uw persoonsgegevens niet buiten de Europese Unie. Voor maatwerk opdrachten kan PharmaPartners andere sub-verwerker inschakelen. Indien dat het geval is, zullen wij u daarover informeren.

Laad meer
Relevante artikelen privacywetgeving
Download ""