Convenant digitale beeld- en verslaguitwisseling

Transcriptie

1 Digitale beelduitwisseling, afspraken tussen zorginstellingen Convenant digitale beeld- en verslaguitwisseling REGIONAAL, RADIOLOGIE, PRIVACY

2

3 Digitale beelduitwisseling, afspraken tussen zorginstellingen Convenant digitale beeld- en verslaguitwisseling REGIONAAL, RADIOLOGIE, PRIVACY Datum 10 augustus 2011 ID Nummer 11004C Auteur(s) Nictiz - Henk Hutink Nictiz - Anton Ekker Nictiz

4 4 Convenant digitale beeld- en verslaguitwisseling

5 Voorwoord Naast de uitwisseling van digitale tekstberichten is er behoefte aan digitale beeld- en verslaguitwisseling binnen en buiten ziekenhuismuren. Digitale beeld- en verslaguitwisseling verbetert de medische processen van specialisten, kan ingezet worden om kostenverlaging te realiseren en de patiënt heeft minder en geen dubbele onderzoeken nodig. De patiëntveiligheid neemt toe en de kosten nemen af. Dat is de reden dat de behoefte aan digitale beeld- en verslaguitwisseling de komende jaren toe neemt. Digitale beeld- en verslaguitwisseling heeft impact op de privacy en security van de medische gegevens. Omdat de informatie de eigen instelling verlaat is het noodzakelijk om aanvullende afspraken te maken met de participerende ziekenhuizen. Een zorgverlener die zijn gegevens publiceert, heeft namelijk geen controle op het gebruik van de data die door andere ziekenhuizen of zorginstellingen wordt gebruikt. Om dit hiaat te dichten zijn aanvullende afspraken noodzakelijk. De aanvullende afspraken staan in dit convenant uitgewerkt. Het convenant is opgesteld door de deelnemers van de proeftuin digitale beeld- en verslaguitwisseling voor e-radiologie in Amsterdam. Omdat dit document ontstaan is tijdens de uitvoering van de proeftuin, zijn de namen van de deelnemende ziekenhuizen gehandhaafd in dit document. Dit is bewust gedaan om de leesbaarheid te vergroten. Hoewel dit convenant een generieke gedragscode voor de uitwisseling van digitale beelden en verslagen beschrijft, is het goed mogelijk dat sommige ziekenhuizen een lokale variant nodig hebben. Ook dan kan dit document als basis dienen. Dit convenant is een voorbeeld van kennisdeling. We hopen hiermee een bijdrage te leveren aan het stimuleren van de (regionale) ontwikkelingen voor digitale beeld- en verslaguitwisseling. Dit convenant is een aanvulling op de regionale gedragscode gegevensuitwisseling. Deze gedragscode is nog in behandeling. Nictiz

6 Inhoud Samenvatting 9 Inleiding 11 H-1 Convenant uitwisseling patiëntgegevens BEGRIPPEN ONDERWERP VAN HET CONVENANT BEVEILIGINGSMAATREGELEN VERWIJSINDEX LOGGING VERANTWOORDELIJKE VOOR VERWERKING PATIËNTGEGEVENS BEWERKER INVULLING INFORMATIEPLICHT VOOR PATIËNT ZEGGENSCHAP PATIËNT MELDING CBP UITBREIDING TOETREDING ZORGAANBIEDERS 19 H-2 Aanvullende thema s 21 Bijlage 1. Beveiligingsmaatregelen 23 Bijlage 2. NEN-normen 24 Bijlage 3. Regionale verwijsindex 25 Bijlage 4. Autorisatie- en authenticatiebeleid 26 Bijlage 5. Bewerkersovereenkomst 27 Bijlage 6. Logging 28 Bijlage 7. Invulling informatieve plicht 29 Bijlage 8. Patiëntenportaal 31 Bijlage 9. Zeggenschap patiënt 32 Bijlage 10. Informatiefolder voor regionaal schakelpunt Amsterdam augustus 2011 ID nummer 11004C 6

7 10 augustus 2011 ID nummer 11004C 7

8 Samenvatting Implementatie van digitale beeld- en verslag uitwisseling heeft impact op de privacy en security van medische gegevens in en tussen ziekenhuizen. In de oude situatie werden beelden gebrand op CDrom s en vervolgens gedistribueerd naar een andere zorginstelling door de patiënt zelf, een taxi of in spoedgevallen door een ambulance. Wanneer een patiënt een CD meekrijgt en afgeeft voor verdere behandeling in een andere zorginstelling, dan geeft deze patiënt hiermee impliciet de toestemming om medische gegevens te delen. In de nieuwe situatie worden beelden automatisch of handmatig aangemeld bij een zogenaamde regionale verwijsindex. Vanuit deze index kunnen andere specialisten vervolgens de beelden opvragen. Om beelduitwisseling mogelijk te maken zijn aanvullende afspraken op de volgende punten tussen zorgverleners, zorginstellingen en patiënten nodig: deelnemende organisatie onderwerp van het convenant beveiligingsmaatregelen verwijsindex logging verantwoordelijkheden voor verwerking patiëntgegevens bewerker invulling informatieplicht patiënt zeggenschap patiënt melding College bescherming persoonsgegevens (CBP) aanvullende verplichtingen en bepalingen uitbreiden toetreding zorgaanbieders 10 augustus 2011 ID nummer 11004C 8

9 10 augustus 2011 ID nummer 11004C 9

10 Inleiding Het beschreven convenant is opgesteld voor ziekenhuizen die onderling beelden en verslagen gaan uitwisselen. Als regionale organisaties of samenwerkende ziekenhuizen onderling aanvullende afspraken willen maken op de regionale gedragscode, dan kan dit vastgelegd worden in een convenant. De gebruikte tekst kan gebruikt worden voor lokale of regionale afspraken. In de bijlagen staan de concrete invullingen en/of nadere toelichtingen die van belang zijn voor de interpretatie van het convenant. Omdat dit convenant in eerste instantie is opgesteld vanuit een pilot beelduitwisseling voor radiologische beelden in Amsterdam, staat het woord pilot nog in de teksten. Met pilot wordt bedoeld het neerzetten van de eerste fase van de implementatie. Namelijk het versturen van patiëntbeelden over een productienetwerk waarbij de beelden en verslagen gebruikt worden voor zorgdoeleinden. Indien dit convenant wordt gebruikt voor productiedoeleinden dan is het noodzakelijk om het woord pilot aan te passen aan de geldende situatie. Dit document kan ook als basis dienen voor andere domeinen dan radiologie, waarbij er sprake is van uitwisseling van beelden en verslagen, bijvoorbeeld voor cardiologie of nucleaire geneeskunde. Ook kunnen er situaties zijn die nog niet in dit convenant staan. Wij staan open voor verbeteringen en horen graag welke aanvullende informatie toegevoegd kan worden. 10 augustus 2011 ID nummer 11004C 10

11 10 augustus 2011 ID nummer 11004C 11

12 H-1 Convenant uitwisseling patiëntgegevens Voorbeeld convenant DE ONDERGETEKENDEN: Stichting Elektronisch Zorg Dossier Amsterdam, gevestigd en kantoorhoudend te ( postcode ) plaatsnaam, aan de straat en nummer, te dezen rechtsgeldig vertegenwoordigd door naam en functie, hierna te noemen EZDA ; en 2.a Academisch Medisch Centrum, gevestigd en kantoorhoudend te ( postcode ) plaatsnaam, aan de straat en nummer, te dezen rechtsgeldig vertegenwoordigd door naam en functie, hierna te noemen Amc ; 2.b Onze Lieve Vrouwe Gasthuis, gevestigd en kantoorhoudend te ( postcode ) plaatsnaam, aan de straat en nummer, te dezen rechtsgeldig vertegenwoordigd door naam en functie, hierna te noemen OLV ; 2.c Nederlands Kanker Instituut, gevestigd en kantoorhoudend te ( postcode ) plaatsnaam, aan de straat en nummer, te dezen rechtsgeldig vertegenwoordigd door naam en functie, hierna te noemen NKI ; 2d Flevo Ziekenhuis, gevestigd en kantoorhoudend te ( postcode ) plaatsnaam, aan de straat en nummer, te dezen rechtsgeldig vertegenwoordigd door naam en functie, hierna te noemen NKI ; 2e Hierna afzonderlijk ook aan te duiden als zorgaanbieder en gezamenlijk aan te duiden als zorgaanbieders. NEMEN IN OVERWEGING DAT: 1. in november 2005 EZDA is opgericht en Zorgaanbieders participant zijn in EZDA 2. EZDA onder meer als doel heeft om een regionaal Elektronisch Zorg Dossier tot stand te laten komen en te optimaliseren in nauwe samenwerking met alle betrokken zorginstellingen, zorgverleners, patiëntenorganisaties, zorgverzekeraars, gemeente en andere relevante organisaties 3. partijen in 2010 onder leiding van EZDA een pilotproject hebben uitgevoerd met betrekking tot het, via een regionaal schakelpunt, op elektronische wijze uitwisselen van (radiologische) beelden en verslagen tussen ziekenhuizen. Onderdeel van dit pilotproject betrof het ontwikkelen en inrichten van een regionaal schakelpunt waarin een verwijsindex voor documenten is opgenomen 4. partijen naar aanleiding van de succesvolle resultaten van het pilotproject hebben besloten om het regionaal schakelpunt te blijven gebruiken voor het op elektronische wijze uitwisselen van patiëntgegevens tussen de aangesloten zorgaanbieders 5. partijen er een groot belang aan hechten dat de uitwisseling van de patiëntgegevens zorgvuldig en in overeenstemming met de wet geschiedt en onderkennen dat de wet- en regelgeving op dit moment aan verandering onderhevig is 6. partijen voldoen aan de Gedragscode Elektronische Zorginformatie Uitwisseling en wensen dat de uitwisseling van patiëntgegevens via het regionaal schakelpunt voldoet aan de eisen neergelegd in deze gedragscode 7. partijen hun afspraken met betrekking tot het regionaal schakelpunt, het elektronisch uitwisselen van patiëntgegevens, de beveiligingen privacymaatregelen en alle overige afspraken in het kader van hun samenwerking in dit convenant wensen vast te leggen. 10 augustus 2011 ID nummer 11004C 12

13 VERKLAREN HET VOLGENDE TE ZIJN OVEREENGEKOMEN: 1.1. BEGRIPPEN Behandelrelatie: De relatie tussen patiënt en een zorgverlener die: (i) een behandelingsovereenkomst heeft met de patiënt als bedoeld in artikel 446 WGBO; of (ii) rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst die een andere zorgverlener heeft met de patiënt, of optreedt als vervanger van de zorgverlener in de zin van artikel 457 lid 2 WGBO Bewerker: Aanbieder van diensten. Brondossierhouder: De zorgverlener met wie de patiënt een behandelrelatie heeft en die via het zorginformatiesysteem patiëntgegevens van de patiënt bijhoudt. Gebruiksregistratie: De elektronische registratie (logging) van het gebruik van het regionaal schakelpunt en/of het zorginformatiesysteem. Gedragscode: De Gedragscode Elektronische Zorginformatie Uitwisseling. Leverancier: De leverancier van het regionaal schakelpunt, inclusief alle bijbehorende diensten. NEN-normen: NEN 7510, NEN 7512 en NEN 7513, nader uitgewerkt in bijlage 2. Patiëntgegeven: Elk gegeven betreffende de patiënt inclusief alle persoonsgegevens en medische gegevens. Pilotproject: Het pilotproject e-radiologie in Amsterdam. Raadpleger: De zorgverlener die via het regionaal schakelpunt gegevens van de patiënt raadpleegt of onder wiens verantwoordelijkheid die raadpleging plaatsvindt. Regionaal schakelpunt: De elektronische voorziening, inclusief de verwijsindex, waarmee patiëntengegevens tussen verschillende zorginformatiesystemen kunnen worden gedeeld. In het geval van digitale beeld- en verslaguitwisseling betreft het een IHE registry. Verantwoordelijke: Persoon of organisatie die verantwoordelijk is. Verwijsindex: Een centrale registratie van gegevens van de betreffende verantwoordelijke brondossierhouder, ten behoeve van de uitwisseling van patiëntgegevens via het regionaal schakelpunt, zoals nader omschreven in bijlage 3. Wbp: Wet bescherming persoonsgegevens. WGBO: Wet Geneeskundige BehandelingsOvereenkomst. Zorginformatiesysteem: Het informatiesysteem van een zorgaanbieder voor de elektronische verwerking van zorginformatie- en patiëntgegevens ONDERWERP VAN HET CONVENANT 2.1 Teneinde de zorg rondom de patiënt te optimaliseren, wensen de zorgaanbieders patiëntgegevens onderling elektronische te delen, door gebruik te maken van een regionaal schakelpunt. 2.2 Het regionaal schakelpunt betreft een elektronische voorziening, inclusief een verwijsindex, waarmee zorginformatiesystemen aan elkaar gekoppeld zijn en patiëntgegevens kunnen worden gedeeld. 10 augustus 2011 ID nummer 11004C 13

14 2.3 Zorgaanbieders staan er voor in dat zij het regionaal schakelpunt uitsluitend zullen gebruiken voor het delen van patiëntgegevens indien dat noodzakelijk is in het kader van een goede behandeling of verzorging van de patiënt. 2.4 Zorgaanbieders geven EZDA de opdracht om, ten behoeve van de zorgaanbieders, het regionaal schakelpunt, verder te (laten) ontwikkelen en geschikt te houden voor het delen van de patiëntgegevens door de zorgaanbieders, één en ander in overeenstemming met hetgeen bepaald in dit convenant. EZDA zal slechts als contractmanager en projectleider optreden. Zij verwerk zelf geen patiëntgegevens en heeft geen toegang tot het regionaal schakelpunt. 2.5 Zorgaanbieders geven EZDA eveneens opdracht om, ten behoeve van de zorgaanbieders, met leveranciers een overeenkomst aan te gaan voor het leveren van de dienstverlening met betrekking tot het regionaal schakelpunt, de verwijsindex en andere elektronische voorzieningen die nodig zijn voor het koppelen van de zorginformatiesystemen en het delen van de patiëntgegevens. 2.6 Partijen staan er voor in dat de verwerking van patiëntgegevens en in het bijzonder het delen van de patiëntgegevens via het regionaal schakelpunt voldoet aan de wettelijke voorschriften neergelegd in de WGBO en de Wbp. 2.7 Partijen onderkennen dat in de gedragscode de relevante wettelijke voorschriften nader zijn uitgewerkt en dat de gedragscode richtlijnen geeft voor het elektronisch delen van patiënten beeldgegevens. Zorgaanbieders staan er voor in dat alle bewerkingen van de patiëntgegevens, via het regionaal schakelpunt, steeds voldoen aan de richtlijnen uit de gedragscode. In dit convenant wordt een aantal richtlijnen uit de gedragscode nader uitgewerkt. 2.8 De volgende bijlagen maken integraal onderdeel uit van dit convenant: Bijlage 1: Beveiligingsmaatregelen Bijlage 2: NEN-normen Bijlage 3: Regionale verwijsindex Bijlage 4: Autorisatie- en authenticatiebeleid Bijlage 5: Bewerkerovereenkomst Bijlage 6: Logging Bijlage 7: Invulling informatieve plicht Bijlage 8: Patiëntenportaal Bijlage 9: Zeggenschap patiënt Bijlage 10: Informatiefolder patiënt In het geval dat hetgeen bepaald in het convenant tegenstrijdig is met hetgeen is bepaald in de bijlagen, prevaleert het convenant BEVEILIGINGSMAATREGELEN 3.1 Partijen leggen passende technische en organisatorische maatregelen ten uitvoer om de patiëntgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek, een passend beveiligingsniveau en zijn er mede op gericht om onnodige verdere verwerking van de patiëntgegevens te voorkomen. Meer specifiek garanderen partijen dat zij steeds zullen voldoen aan de verplichtingen voortvloeiende uit de relevante NEN-normen, zoals nader uitgewerkt in bijlage Partijen dragen zorg voor voldoende technische waarborgen in het regionaal schakelpunt om de toegang tot de persoonsinformatie te beperken tot: de brondossierhouder de raadpleger, indien daarbij aan toestemmingsvoorwaarden is voldaan. 14 Convenant digitale beeld- en verslaguitwisseling

15 3.3 Partijen zorgen voor technische middelen van voldoende niveau, om de identiteit van alle gebruikers van het regionaal schakelpunt vast te stellen en te verifiëren en staan er voor in dat zij het in bijlage 4 opgenomen autorisatieen authenticatiebeleid steeds zullen naleven en uitvoeren. Raadpleging en behandelrelatie 3.4 Overeenkomstig hetgeen bepaald in bijlage 4, treffen de zorgaanbieders maatregelen om raadpleging van patiëntgegevens door anderen dan in artikel 3.2 genoemde personen tegen te gaan. Deze maatregelen omvatten tenminste de instandhouding van voorzieningen waarmee: de aanwezigheid van een behandelrelatie tussen de patiënt en de raadpleger kan worden vastgesteld het bestaan van de behandelrelatie voorafgaand aan de raadpleging van de patiëntgegevens wordt gecontroleerd de toegang tot de patiëntgegevens wordt geweigerd bij het ontbreken van een behandelrelatie tenzij de patiënt zelf expliciete toestemming geeft het bestaan van de behandelrelatie na de raadpleging van de patiëntgegevens in het regionaal schakelpunt kan worden geverifieerd 3.5 Partijen zullen de behandelrelatie steeds vaststellen op basis van de registratie daarvan in het zorginformatiesysteem van de raadpleger of in de verwijsindex, dan wel op basis van een toetsing van feitelijke omstandigheden waaruit de behandelrelatie kan worden afgeleid. 3.6 Raadplegers zullen het regionaal schakelpunt uitsluitend raadplegen voor patiënten met wie zij een behandelrelatie hebben dan wel, wanneer deze behandelrelatie niet aanwezig is, indien de raadpleger expliciete toestemming heeft verkregen van de betreffende patiënt VERWIJSINDEX 4.1 Teneinde patiëntgegevens via het regionaal schakelpunt te kunnen delen, zal de in bijlage 3 omschreven regionale verwijsindex worden ontwikkeld. De regionale verwijsindex zal uitsluitend de in bijlage 3 omschreven patiëntgegevens bevatten. 4.2 Zorgaanbieder is verantwoordelijk voor het invoeren, wijzigen, opslaan, opvragen, raadplegen, verwijderen en anderszins verwerken van de gegevens van de bij hem in behandeling zijnde patiënten in de verwijsindex. Zorgaanbieder is gerechtigd zelf het doel en de middelen van deze verwerking van patiëntgegevens vast te stellen en heeft de formele zeggenschap over deze gegevensverwerking. Zorgaanbieder kan aldus ten aanzien van zijn gegevensverwerking in verwijsindex worden aangemerkt als verantwoordelijke in de zin van Wbp. 4.3 Zorgaanbieders staan er voor in dat de door hen in de verwijsindex verwerkte gegevens juist, actueel en volledig zijn, de verwerking van de gegevens verenigbaar is met de doeleinden waarvoor ze zijn verkregen en de verwerking niet onrechtmatig is jegens de betreffende patiënt. 4.4 Zorgaanbieders geven EZDA de opdracht om ten behoeve van iedere zorgaanbieder met leverancier een bewerkersovereenkomst te sluiten voor de verwerking van de patiëntgegevens in de verwijsindex. De inhoud van deze bewerkersovereenkomst is opgenomen in bijlage Onverminderd artikel 4.2, komen zorgaanbieders overeen dat het doel en de middelen van de gegevensverwerking in de verwijsindex uitsluitend in gezamenlijk overleg vastgesteld kan worden. Zorgaanbieder zullen jaarlijks de gegevensverwerking in verwijsindex evalueren en indien nodig het doel en de 10 augustus 2011 ID nummer 11004C 15

16 middelen aanpassen. Besluiten hierover zullen met algemene meerderheid van aanwezige stemmen worden genomen LOGGING 5.1 Partijen zullen in het regionaal schakelpunt en de ziekenhuisinformatiesystemen een gebruiksregistratie opnemen welke voldoet aan de NEN 7513 norm en de criteria opgenomen in bijlage 6. De gebruiksregistratie zal in ieder geval de volgende acties registreren: het vastleggen, bijwerken, bewaren, opvragen, raadplegen en verwijderen van patiëntgegevens via het regionaal schakelpunt. 5.2 Partijen houden een voorziening in stand waarmee de brondossierhouder de gebruiksregistratie kan inzien. De brondossierhouder draagt zelf zorg voor een periodieke controle van de gebruiksregistratie op onbevoegde raadplegingen van de door hem ingevoerde patiëntgegevens. 5.3 partijen hebben in bijlage 6 een Gebruiksregistratie reglement opgenomen waarin het volgende is vastgesteld: het niveau (Verwijsindex en brondossier niveau) waarop de registratie van het gebruik plaats vindt; wie er toegang heeft tot welke gegevens in de Gebruiksregistratie; frequentie van de controle van de Gebruiksregistratie welke procedures worden gevolgd met betrekking tot het controleren van de Gebruiksregistratie welke procedure volgt bij vermeend dan wel geconstateerd misbruik. bewaartermijn van de logginggegevens -wijze waarop de gegevens uit de Gebruiksregistratie aan patiënten ter beschikking worden gesteld VERANTWOORDELIJKE VOOR VERWERKING PATIËNTGEGEVENS 6.1 Zorgaanbieders zijn te allen tijde verantwoordelijk voor de verwerking van de Patiëntgegevens (op welke wijze dan ook) van de bij hen in behandeling zijnde patiënten. Zorgaanbieders zijn gerechtigd zelf het doel en de middelen van deze gegevensverwerking vast te stellen en hebben daarover de formele zeggenschap. Zorgaanbieders kunnen aldus ten aanzien van verwerking van de Patiëntgegevens van de bij hen in behandeling zijnde patiënten worden aangemerkt als verantwoordelijke in de zin van Wbp BEWERKER 7.1 Zorgaanbieders geven EZDA de opdracht om ten behoeve van de iedere Zorgaanbieder met Leverancier een Bewerkersovereenkomst te sluiten. De inhoud van deze Bewerkersovereenkomst is opgenomen in Bijlage 5. Leverancier kan aldus worden gezien als bewerker in de zin van de Wbp. 7.2 EZDA zal er namens de Zorgaanbieders op toezien dat de Leverancier de Patiëntgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de toepasselijke wet- en regelgeving en de bepalingen uit de Bewerkersovereenkomst verwerkt. Leverancier zal als bewerker van de Patiëntgegevens de instructies van de betreffende Zorgaanbieder steeds opvolgen. 7.3 Indien een Zorgaanbieder aan de Leverancier nadere instructies wenst te geven, zal hij contact opnemen met EZDA. EZDA zal er op toezien dat de Leverancier de instructie naleeft INVULLING INFORMATIEPLICHT VOOR PATIËNT 8.1 De brondossierhouders zullen uiterlijk 4 weken voorafgaande het moment waarop zij de 16 Convenant digitale beeld- en verslaguitwisseling

17 Patiëntgegevens van hun patiënten voor het eerst in de verwijsindex wensen vast te leggen, de betreffende patiënten informeren over het gebruik van het regionaal schakelpunt en de opname van de patiëntgegevens in de verwijsindex. Deze informatie bevat mede, doch niet uitsluitend, informatie over: het regionaal schakelpunt en de doeleinden van de verwerking van de patiëntgegevens via het regionaal schakelpunt de identiteit van de brondossierhouder de categorieën van zorgaanbieders die via het regionaal schakelpunt toegang hebben tot de patiëntgegevens de verschillende vormen van toestemming die patiënt kan verlenen de mogelijkheid om op elk moment tegen de verwerking van de patiëntgegevens bezwaar te maken 8.2 EZDA zal ten behoeve van deze informatieverstrekking een brief opstellen en aanvullend informatiemateriaal ontwikkelen en deze tijdig aan de zorgaanbieders ter beschikking stellen. Onverminderd voorgaande blijft brondossierhouder zelf verantwoordelijk voor de (tijdige) verstrekking van de in artikel 8.1 bedoelde aan de betreffende patiënten. 8.3 Partijen zullen op hun websites een webpagina inrichten waarop minimaal de informatie opgenomen in artikel 8.1 te vinden is. EZDA zal zorg dragen voor content voor de webpagina. Eventuele wijzigingen in de content dienen aan EZDA te worden voorgelegd ZEGGENSCHAP PATIËNT 9.1 De opname van de patiëntgegevens in de Verwijsindex en de gegevensverwerking via het regionaal schakelpunt is uitsluitend toegestaan indien de betreffende patiënt daartoe toestemming heeft gegeven. Bij het verzoek om toestemming aan de patiënt, wordt de patiënt vier verschillende opties geboden: 1. De patiënt heeft geen bezwaar tegen opname van zijn informatie in de verwijsindex en tegen raadpleging uit of via dat register. 2. De patiënt heeft geen bezwaar tegen opname van zijn informatie in de verwijsindex, maar wil per geval van raadpleging toestemming kunnen verlenen. 3. De patiënt bepaalt per onderzoek of deze informatie wel of niet in de verwijsindex wordt opgenomen. Bij raadpleging van het register zijn er vervolgens twee mogelijkheden. De registerinformatie mag zonder toestemming worden geraadpleegd, 4. De patiënt wil niet dat er informatie in de verwijsindex wordt opgenomen. 9.2 De brondossierhouder is verantwoordelijk voor de nauwkeurige en zorgvuldige verwerking van de toestemming en bezwaren van zijn patiënten in het zorginformatiesysteem en/of in de verwijsindex. Brondossierhouder zal op schriftelijk verzoek van de patiënt de over hem opgeslagen patiëntgegevens in de verwijsindex of de gebruiksregistratie vernietigen. 9.3 Een patiënt kan te allen tijde zijn toestemming voor de opname en verwerking van zijn patiëntgegevens in de verwijsindex verlenen, intrekken of wijzigen en kan bovendien te allen tijde bezwaar maken tegen de raadpleging van zijn patiëntgegevens door een bepaalde raadpleger. 9.4 Zorgaanbieders staan er voor in dat de verwerking van de patiëntgegevens door de brondossierhouders via het regionaal schakelpunt en in de verwijsindex in overeenstemming is met de van de patiënt verkregen toestemming en de door hem geuite bezwaren. 9.5 Een patiënt heeft te allen tijde recht op inzage in en correctie van de hem betreffende 10 augustus 2011 ID nummer 11004C 17

18 patiëntgegevens in de Verwijsindex en de gebruiksregistratie. 9.6 Partijen zullen ten behoeve van de patiënten een (beveiligde en besloten) portal inrichten waarop de patiënten zelf de toestemming kunnen verlenen, intrekken of wijzigen. Deze portal zal voldoen aan de eisen opgenomen in bijlage 8. Via deze portal kunnen patiënten inzage krijgen in de gegevens over raadplegingen van hun patiëntgegevens via het regionaal schakelpunt, zoals opgenomen in de gebruiksregistratie. 9.7 Onverminderd hetgeen bepaald in artikel 9.6, zal de brondossierhouder binnen 4 weken na ontvangst van een schriftelijk verzoek daartoe, schriftelijk aan de patiënt de gegevens uit de gebruiksregistratie verstrekken MELDING CBP 10.1 Zorgaanbieders dragen zorg voor het tijdig melden van de verwerking van de patiëntgegevens in de verwijsindex bij het College bescherming persoonsgegevens (CBP) UITBREIDING TOETREDING ZORGAANBIEDERS Indien die voldoet aan de eisen kan zich aansluiten bij EZDA, Aldus ondertekend in tweevoud op door: Partij Partij Naam: Functie: Datum: Naam: Functie: Datum: 18 Convenant digitale beeld- en verslaguitwisseling

19 H-2 Aanvullende thema s Juist vanwege de uitvoerige discussies over de privacy en security, zijn er tijdens de uitvoering en de evaluatie van de pilot een aantal onderwerpen besproken die mogelijk ook in dit convenant thuis horen. Deze onderwerpen zijn niet verder uitgewerkt omdat het op het moment van schrijven of niet relevant is of nog niet voldoende diepgang heeft. Desalniettemin is het wel van belang om deze kennis beschikbaar te stellen. Kostenverdeling Onderwerp Verdeelsleutel van de kosten Afspraken over governance Onderwerp Governance Toelichting De deelnemende ziekenhuizen verdisconteren de kosten van de infrastructuur op basis van de volgende verdeelsleutel: grootte van het ziekenhuis geteld naar de ratio van personeelsbestand Toelichting Besluiten over beleid, strategie, privacy, beveiliging en investeringen worden besproken met de deelnemende directies van de ziekenhuizen. Besluiten over ICT, onderhoud en beheer worden besproken met de ICTmanagers van de deelnemende ziekenhuizen. Afspraken over tijdsduur van het convenant Onderwerp Toelichting Tijdsduur De looptijd van dit convenant is onbepaald. Het convenant wordt herzien bij toe- en/of aftredende deelnemers. Het convenant wordt elke 5 jaar herzien voor de dan geldende situatie. Het convenant kan aangepast worden op verzoek van elke deelnemer. Afspraken over de scope van het convenant Onderwerp Toelichting Scope deelnemers Verandering van aantal deelnemende organisaties. Scope medisch domein Uitbreiding van digitale beelden en verslagen naar andere medische documenten. Bijvoorbeeld van radiologie naar cardiologie. Scope regio s Verandering in interoperabiliteit met andere regio s. Koppelen van regionale netwerken en/of landelijke netwerken zoals bijvoorbeeld bij een mammografie. Scope fusies Fusies en samenwerkingsverbanden van ziekenhuizen en/of regio s. Scope beëindiging Stopzetten van de dienst van beeld- en verslaguitwisseling dan wel het uittreden van een deelnemer. Scope tijdsduur consent Het consent voor generieke raadpleging geldt voor alle aangesloten ziekenhuizen/artsen binnen de regio en is onbeperkt in de tijdsduur en soort medisch document. Het consent voor generieke raadpleging wordt centraal in het Basic Patient Privacy Document (BPPC) opgeslagen. Het BPPC document is onderdeel van het IHE BPPC profiel. Dit profiel heeft als doel om de patiëntprivacy te administreren. 10 augustus 2011 ID nummer 11004C 19

20 10 augustus 2011 ID nummer 11004C 20

21 Bijlage 1. Beveiligingsmaatregelen Onderwerp Toelichting Van toepassing zijnde In het document architectuurontwerp XDS en Aorta staan de technische beveiligingsmaatregelen beveiligingsmaatregelen die van toepassing zijn op regionale beeld- en verslaguitwisseling. 3.3 Hiervoor gelden de UZI-passen. Zolang er geen UZI-passen zijn dan is authenticatie noodzakelijk op basis van lokale passen of authenticatiemiddelen. 3.5 De behandelrelatie wordt vooraf gerealiseerd door: lokaal geldend reglement van het ziekenhuis de behandelrelatie op achterafbasis gerealiseerd door middel van steekproeven door een auditer van het ziekenhuis. Audit Alle van toepassing zijnde audits (ICT, proces, gebruik) op de totale infrastructuur wordt uitgevoerd door de auditers van de deelnemende ziekenhuizen. De ziekenhuizen stellen de auditers ter beschikking indien de EZDA of een deelnemend ziekenhuis hier naar vraagt. 10 augustus 2011 ID nummer 11004C 21

22 Bijlage 2. NEN-normen Onderwerp Van toepassing zijnde NEN-normen Toelichting NEN 7510, 7512 en augustus 2011 ID nummer 11004C 22

23 Bijlage 3. Regionale verwijsindex Onderwerp De volgende patiëntgegevens worden geregistreerd in de verwijsindex Toelichting De verwijsindex bevat velden voor de volgende gegevens: Naam Adres Woonplaats Geboortedatum Ziekenhuis waar de gegevens staan BSN Meta data (aanmelder, modaliteit, aantal beelden, type verrichting) Toestemming vooraf plus doel (BPPC) Gegevens uit verleden van de informed consent afzonderlijke toestemming per gegeven. Logging (ATNA) 4.5 Besluitvorming vindt plaats in het directie-overleg van EZDA met de deelnemende ziekenhuizen. 10 augustus 2011 ID nummer 11004C 23

24 Bijlage 4. Autorisatie- en authenticatiebeleid Onderwerp Autorisatiebeleid Doorgeven van gebruikersidentificatie en autorisatie Authenticatiebeleid Toelichting Ten tijden van dit schrijven is er geen autorisatiebeleid op regionaal niveau en ook niet op landelijk niveau. De deelnemende organisaties committeren zich aan het toekomstig landelijk autorisatiebeleid. Tot die tijd zal er regionaal autorisatiebeleid, inclusief autorisatieprotocollen opgesteld worden. De aanbeveling is, om het Cross-Enterprise User Assertion (XUA en XUA++) profiel voor het doorgeven van gebruikersidentificatie tussen zorginstellingen, verplicht te stellen voor de regio Amsterdam. Met het gebruik van XUA kunnen voor de raadpleging de authenticatie- en autorisatierollen worden doorgegeven. Momenteel is er geen eenduidige regionale autorisatiebeleid en zal elke regio zijn eigen beleid moeten implementeren. Op termijn zal er een landelijke autorisatiebeleid komen. De werkgroep Privacy adviseert een eenduidige autorisatietabel voor de regio uit te werken, zodat gebruik van het XUA- profiel het autorisatie- en authenticatiebeleid afdwingt. Een andere aanbeveling is het verplicht stellen van de UZI-pas voor elke lokale XDS-consumer, op het moment dat alle XDS-consumers het (kunnen) ondersteunen en de verwijsindex voor beelden en documenten op het landelijk schakelpunt (LSP) is aangesloten. Landelijk is de UZI-pas het middel om de authenticatie te waarborgen. De deelnemende organisaties committeren zich aan het authenticatiebeleid dat ook van toepassing is op het landelijk schakelpunt (LSP). Met behulp van het IHE Cross-Enterprise User Assertion (XUA en XUA++) profiel kan de gebruikersidentificatie tussen zorginstellingen worden doorgegeven. Met het XUA kunnen ook de autorisatierollen worden doorgegeven van de ene applicatie naar de volgende applicatie in een andere instelling. De gedragscode EGiZ gaat er momenteel vanuit dat alle aangesloten instellingen gebruik maken van goed beheerde zorgsystemen (GBZ), en de lokale autorisaties ook regionaal gelden. In de regio dient één EZDA autorisatietabel te worden ontwikkeld, waarmee eenduidige autorisatierollen m.b.v. XUA kunnen worden doorgegeven. Een alternatief is het verplichte gebruik van de UZI-pas lokaal voor elke XDSconsumer. 10 augustus 2011 ID nummer 11004C 24