Transparantie versterkt vertrouwen

Transcriptie

1 Transparantie versterkt vertrouwen

2 Inhoud Voorwoord Cees Verhage, directeur ZorgTTP 3 Hoofdstuk 1 Optimaliseren & innoveren 5 Hoofdstuk 2 Transparantie & efficiëntie 6 Hoofdstuk 3 Werkterrein van ZorgTTP: onomkeerbare pseudonimisatie 9 Hoofdstuk 4 Nieuwe dienstverlening: encryptie/decryptie (Tres ) 11 Hoofdstuk 5 (Kern)activiteiten & partners 15 Hoofdstuk 6 Opdrachtgevers & bronnen 16 Hoofdstuk 7 Organisatie & medewerkers 21 Hoofdstuk 8 Bestuurlijke organisatie 23 Tot besluit ZorgTTP in het kort 24 Nawoord 27 Alle instanties die werken met privacygevoelige gegevens moeten zich houden aan de regels, zoals vastgelegd in de Wet Bescherming Persoonsgegevens (WBP). ZorgTTP is gespecialiseerd in het pseudonimiseren van persoonsgegevens. Hierdoor kan privacygevoelige informatie worden uitgewisseld, zonder dat iemands privacy wordt geschonden.

3 Voorwoord ZorgTTP gaat vol vertrouwen de toekomst in ZorgTTP heeft zich de afgelopen jaren ontwikkeld tot een organisatie die professionaliteit en expertise uitstraalt. Die ontwikkeling zie je terug in de verdere optimalisatie en innovatie van onze services. Zo heeft ZorgTTP een flinke stap vooruit gezet op het gebied van omkeerbare encryptie (versleuteling) om persoonsgegevens af te kunnen schermen voor niet geautoriseerde inzage (Tres ): één van onze speerpunten voor de toekomst. Daarnaast heeft ZorgTTP een aantal nieuwe opdrachtgevers mogen toevoegen aan de lijst met opdrachtgevers, zoals: Nederlands Instituut voor Onderzoek van de Gezondheidszorg (NIVEL), Dutch Hospital Data (DHD), Stichting Benchmark GGZ (SBG), Hans Mak Instituut (HMi), Zorgverzekeraar Menzis en13 Gemeenten in de Provincie Overijssel was niet alleen een succesvol, maar ook een bewogen jaar. De problemen bij onze certificaatleverancier (DigiNotar) deden in september 2011 veel stof opwaaien en veroorzaakten in de markt de nodige onrust. Door alert te reageren heeft dit incident de vertrouwensrelatie tussen ZorgTTP en haar opdrachtgevers juist versterkt. Op het moment dat duidelijk werd dat er problemen waren, hebben we direct actie ondernomen. Onze opdrachtgevers werden uitgebreid geïnformeerd over de ontstane situatie en consequent op de hoogte gehouden van de ontwikkelingen. We hebben een externe audit laten uitvoeren om te kunnen bevestigen dat de vertrouwelijkheid en integriteit van de pseudonimisatieketens ongeschonden zijn gebleven. De gebeurtenis was voor ons aanleiding om het gehele pseudonimisatieproces nogmaals grondig te analyseren en waar nodig aan te scherpen. Uiteindelijk leidt dat tot kwaliteitsverbetering en dat is waar het ZorgTTP om gaat. Onze opdrachtgevers waren van meet af aan zeer te spreken over onze transparante en slagvaardige handelswijze tijdens dit incident. Dat deed ons deugd. Transparantie is voor ZorgTTP altijd een belangrijk uitgangspunt geweest. Het is goed om te zien dat onze open en rechtdoorzee benadering ook nu haar nut heeft bewezen en het vertrouwen in ZorgTTP heeft versterkt. Onze verwachting is dat de roep om privacybescherming in de toekomst steeds nadrukkelijker zal klinken. Niet alleen in de zorg, maar binnen alle geledingen van de maatschappij. Enerzijds worden er steeds meer persoonsgegevens opgeslagen, anderzijds worden de technische mogelijkheden om deze data te kunnen ontsluiten steeds beter. Daarnaast is het voor beleidsmakers van essentieel belang om data, over de systemen heen, aan elkaar te kunnen koppelen en zo inzicht te krijgen in bepaalde patronen. Dat kan alleen als persoonsgegevens afdoende beschermd worden. ZorgTTP staat instellingen, medisch professionals, (branche) organisaties en bedrijven die een veilige datauitwisseling willen waarborgen graag terzijde. Nu en in de toekomst. Cees Verhage Directeur ZorgTTP 3

4

5 Hoofdstuk 1 Optimaliseren & innoveren Het kwam al ter sprake in het voorwoord: de roep om adequate beveiliging van persoonsgegevens zal door de razendsnelle (technologische) ontwikkelingen in de maatschappij steeds nadrukkelijker te horen zijn. Voor ZorgTTP komt dit allesbehalve als een verrassing. Een van onze uitgangspunten is: nooit achterover leunen, voortdurend bezig zijn met het optimaliseren en innoveren van producten en services. Kwaliteit en klantgerichtheid zijn daarbij de belangrijkste kernwaarden. Op deze manier kunnen we blijven beantwoorden aan de meest actuele eisen en behoeften van een dynamische markt. Maatwerk en nieuwe services ZorgTTP is voortdurend op zoek naar (nieuwe) mogelijkheden om de dienstverlening zowel technisch als zakelijk nog beter af te stemmen op de specifieke behoeften van de opdrachtgever. We willen steeds meer toe naar maatwerk. Door onze dienstverlening zoveel mogelijk te standaardiseren kunnen we iedere klant een passende en betaalbare oplossing aanbieden. Daarnaast onderzoekt ZorgTTP de verwezenlijking van nieuwe services als aanvulling op de bestaande dienstverlening. In 2011 startte het Leids Universitair Medisch Centrum (LUMC) in samenwerking met ZorgTTP een pilot voor de beveiliging van onderzoeksdata met behulp van omkeerbare versleuteling onder de naam Tres. Een belangrijke ontwikkeling voor de zorg, omdat met deze technologie op een veilige manier opslag en decryptie van data kan plaatsvinden, waarbij persoonsgegevens alleen met de juiste autorisatie beschikbaar kunnen worden gemaakt. Op deze manier kunnen onderzoekers over meer (gecombineerde) data beschikken, waardoor een bijdrage wordt geleverd aan het optimaliseren van de patiëntenzorg. Totaalpakket ZorgTTP mag een groot aantal kerndatabanken van de gezondheidszorg, waaronder: DBC Informatiesysteem (DIS), RisicoVerevening (RVE), Landelijke Basisregistratie Ziekenhuizen (LBZ), Pathologisch Landelijk Geautomatiseerd Archief (PALGA), Nivel Registraties en Stichting Benchmark GGZ (SBG ROM), tot haar opdrachtgevers rekenen. ZorgTTP levert niet alleen de benodigde software oplossingen, maar een totaalpakket aan diensten en services op het gebied van privacybescherming van persoonsgegevens. Juist deze integrale services zijn onze meerwaarde en stellen ZorgTTP in staat om haar opdrachtgevers een hoogwaardige dienstverlening te bieden. Ook voor andere sectoren ZorgTTP richt zich op het beveiligen van privacygevoelige informatiestromen in de zorgsector en aanverwante sectoren. Wanneer men individuen in tijd wil kunnen volgen of meerdere informatiebronnen aan elkaar wil kunnen koppelen, kan pseudonimisatie ook voor andere sectoren van grote waarde zijn. Zo werkt ZorgTTP in toenemende mate voor bedrijven en organisaties op het gebied van onder meer: justitie, welzijn en onderwijs. Een positieve ontwikkeling. In navolging hiervan onderzoekt ZorgTTP in hoeverre haar dienstverlening en services ook toepasbaar zijn in andere onderdelen van de samenleving. 5

6 Hoofdstuk 2 Transparantie & efficiëntie ZorgTTP is als Trusted Third Party gespecialiseerd in de bescherming van persoonsgegevens. Het beschermen van deze privacygevoelige data vereist de grootst mogelijke zorgvuldigheid en een transparante werkwijze. Een opdrachtgever moet volledig op de door ons geboden services en oplossingen kunnen vertrouwen. Ongeacht de complexiteit van de opdracht of onverwachte ontwikkelingen in de markt. ZorgTTP staat zich voor op een nauw contact met de opdrachtgever en beschikt over de medewerkers, de expertise en de techniek om in alle gevallen een goede dienstverlening te kunnen garanderen. De samenwerking met ZorgTTP is prima. De lijnen zijn kort en we weten elkaar goed te vinden als het nodig is. Hun kracht is dat ze weten waar hun verantwoordelijkheid ligt en dat open en duidelijk communiceren. Open en eerlijk Onze communicatie en uitgangspunten zijn helder en direct. Zowel tijdens het ontwikkelingsen implementatietraject als daarna. Deze werkwijze heeft zijn meerwaarde bewezen en het vertrouwen in ZorgTTP versterkt. Concreet hanteert ZorgTTP de volgende uitgangspunten: ZorgTTP bekijkt, voordat zij een opdracht aanneemt, altijd samen met de klant of de opdracht past binnen de door haar gehanteerde doelstellingen en uitgangspunten; Dataverzameling, -verwerking en -ontsluiting blijven strikt gescheiden; ZorgTTP hanteert op alle fronten, in alle situaties en in alle stadia van de samenwerking een open en transparante werkwijze; Periodiek worden alle processen, de software en de procedures aan onafhankelijke audits onderworpen. Een waarborg voor hoogwaardige, veilige dienstverlening. Eise Douma, manager DBC Informatie Systeem (DIS), DBC Onderhoud 6

7 Audits Volgens afspraken met VWS en conform de eisen van het CBP, wordt ZorgTTP periodiek aan een audit onderworpen. Deze audits worden uitgevoerd door een onafhankelijke derde partij. Het audit-raamwerk bestaat enerzijds uit de eisen van het CBP en anderzijds uit relevante onderdelen van de Code voor Informatiebeveiliging. Er wordt gekeken naar de pseudonimisatie software, de gehanteerde procedures, de ICT-infrastructuur, het verwerkingsproces en het beveiligingsbeleid. Deze audits zijn een garantie dat onze dienstverlening voortdurend wordt geëvalueerd en zo nodig bijgesteld waardoor de kwaliteit steeds verder zal toenemen. We staan zelf uiterst kritisch ten opzichte van onze dienstverlening. Daarom gaan wij regelmatig met onze opdrachtgevers in gesprek over desgewenst extra mogelijkheden om, naast de gebruikelijke audits, de kwaliteit van onze dienstverlening te laten toetsen en te bevestigen. In 2011 is met PwC overeenstemming bereikt over het uitvoeren van de volgende audit werkzaamheden: 1. Vastlegging van het audit raamwerk (eenmalig). 2. Een audit op ZorgTTP als beheersorganisatie (periodiek). 3. Technische conformiteit audit (jaarlijks). 4. Functionele conformiteit audit (jaarlijks). 5. Opstellen conformiteit verklaring (jaarlijks). Doelmatig en efficiënt ZorgTTP heeft de strategie van kostenefficiënt werken stevig omarmd. Uiteraard met behoud van kwaliteit. In de afgelopen jaren is daartoe de zogeheten generieke PVM (Privacy en Verzend Module) in gebruik genomen. De generieke PVM bevat parametriseerbare software modules (en nog nieuw te ontwikkelen modules), die het mogelijk maken om sneller en tegen lagere ontwikkel- en implementatiekosten PVM s te genereren. Uitgangspunt is en blijft dat het beveiligen van data voor de klant onmerkbaar moet verlopen. Alleen daarmee stellen we de klanten en onszelf tevreden. Omzetontwikkeling Het maken van winst of winstmaximalisatie is voor ZorgTTP geen doel. Winst is wel noodzakelijk om te kunnen investeren in technologie en innovatie én om de kwaliteit van de dienstverlening op hetzelfde hoge peil te houden. Hierdoor kunnen we onze opdrachtgevers en medewerkers zekerheid en continuïteit bieden. Nu en in de toekomst. ZorgTTP streeft in de komende jaren daarom naar een evenwichtige toename van haar omzetniveau om op een verantwoorde wijze invulling te kunnen geven aan haar ambities en doelstellingen. 7

8 Dr. Eric Hans Eddes, directeur DICA en chirurg Deventer Ziekenhuis Wij willen geen zorgen hebben over de privacybescherming van onze databestanden. ZorgTTP is toch dé pseudonimisator van de belangrijkste organisaties in de zorg. Dat maakt het uitwisselen van databestanden een stuk makkelijker. De reden dat we voor ZorgTTP hebben gekozen is dat de bescherming van privacy gevoelige informatie van onze geaggregeerde databestanden gewoon goed geregeld moet zijn. Daar willen we geen zorgen over hebben. Bij ZorgTTP is dat stuk in vertrouwde handen. Bovendien is ZorgTTP de belangrijkste speler op dit gebied, zodat datauitwisseling met andere organisaties in de zorg zoals PALGA en zorgverzekeraars een stuk eenvoudiger wordt. ZorgTTP is klantvriendelijk en denkt in de breedte met je mee. Ook als er een probleem is. Een mooi voorbeeld is de adequate afhandeling van de problemen met DigiNotar. We werden direct snel en goed geïnformeerd. Dat is klasse. Ga zo door, zou ik dan ook zeggen. n Dr. Eric Hans Eddes, directeur DICA en chirurg Deventer Ziekenhuis

9 Hoofdstuk 3 Het werkterrein van ZorgTTP: onomkeerbare pseudonimisatie Ons hoofddoel is instellingen, organisaties en bedrijven de best mogelijke ondersteuning te bieden bij het veilig ontsluiten van hun privacygevoelige data. Het streven is de software-architectuur en dienstverlening in de toekomst nog verder te optimaliseren en af te stemmen op de snel wisselende behoeften van de markt. Daarvoor is het van belang dat we de ontwikkelingen nauwgezet volgen, zodat onze opdrachtgevers altijd verzekerd zijn van hoogwaardige oplossingen. Optimaliseren pseudonimisatieketens Iedere pseudonimisatieketen bestaat uit drie op elkaar afgestemde componenten, te weten: 1. Privacy en Verzend Module (PVM), wordt gebruikt door de zorgverlenende instantie (de data bron). 2. Centrale Module ZorgTTP (CMT), wordt gebruikt door ZorgTTP. 3. Doel en Retour Module (DRM), wordt gebruikt door het doel (veelal de opdrachtgever). Daarnaast bestaat de mogelijkheid om domeinconversies voor gepseudonimiseerde databestanden van verschillende opdrachtgevers te laten uitvoeren Speerpunten zijn: Schaalbaarheid productieomgeving (meerdere CMT s); Onderzoek naar noodzaak en wenselijkheid van de ontwikkeling cryptobox; Verdere standaardisatie en ontwikkeling van nieuwe modules voor de PVM en DRM; Standaardiseren van de verschillende PVM s zodat deze voor de opdrachtgevers nog beter te beheersen en te onderhouden zijn; Testomgevingen standaardiseren en automatiseren. Onomkeerbare pseudoniemen Met behulp van pseudonimisatiesoftware maakt ZorgTTP voor haar opdrachtgevers een veilige uitwisseling van privacygevoelige data mogelijk. ZorgTTP zet de persoonsgegevens om in een niet herleidbare code (onomkeerbaar pseudoniem). Vanaf het moment dat iemands persoonsgegevens zijn omgezet in deze code, kan diegene in tijd en plaats worden gevolgd zonder dat zijn privacy daarbij in het geding komt. Via de code kan namelijk op geen enkele wijze meer toegang worden verkregen tot de originele persoonsgegevens. Hierdoor kun je privacygevoelige informatie gebruiken, geheel in overeenstemming met de geldende wet- en regelgeving. ZorgTTP ontwikkelt de pseudonimisatiesoftware zo dat binnen de bestaande ICT-architectuur verschillende componenten aan elkaar gekoppeld kunnen worden en steeds meer maatwerk mogelijk is. Voortgang gewaarborgd Gedurende het gehele proces van ontwikkeling, implementatie en productie zorgt ZorgTTP ervoor dat kwaliteit en voortgang zijn gewaarborgd. Onze opdrachtgevers werken gewoon door, terwijl de experts van ZorgTTP achter de schermen hun werk doen. 9

10

11 Hoofdstuk 4 Nieuwe dienstverlening: encryptie en decryptie voor persoonsregistraties (Tres ) Advanced Data Management (ADM) van het LUMC (Leids Universitair Medisch Centrum) ontwikkelt momenteel in samenwerking met ZorgTTP een nieuwe dienstverlening: Tres (Trusted Reversible Encryption Service). Er is een essentieel verschil tussen Tres en de bestaande dienstverlening van ZorgTTP rondom pseudonimisatie. Bij de bestaande dienstverlening wordt gebruik gemaakt van pseudonimisatie (niet omkeerbare versleuteling) om individuen te kunnen volgen in de tijd en over verschillende databronnen heen te kunnen koppelen. Bij Tres is sprake van omkeerbare encryptie (versleuteling) waarmee persoonsgegevens kunnen worden afgeschermd voor niet-geautoriseerde inzage. Het is mogelijk de diensten complementair aan elkaar in te zetten. Bij de bron zorgt Tres voor bescherming van de gevoelige gegevens; bij koppeling met andere bronnen kan pseudonimisatie worden ingezet. Afhankelijk van het doel van de registratie is te bepalen welke dienst het beste past, eventueel in combinatie met elkaar. Het LUMC en ZorgTTP LUMC ADM ontwikkelt Tres samen met ZorgTTP. Het LUMC beschikt over een data management infrastructuur voor het realiseren van onderzoeksprojecten: ProMISe. ProMISe heeft zich in 25 jaar ontwikkeld tot een veel gebruikte applicatie voor wetenschappelijk onderzoek met eind 2011 ruim 150 onderzoeksprojecten. Waarom Tres? Tres is bedoeld voor registraties waarbij er een wettelijke grond is voor het vastleggen van tot het individu te herleiden gegevens. Voorbeelden van dit soort gegevens zijn het BSN of de naam van een persoon in combinatie met andere identificerende gegevens. De grond voor het vastleggen van dit soort gegevens is bijvoorbeeld aanwezig bij de relatie tussen zorgverlener en patiënt (directe zorg) of bij de relatie tussen zorginstelling en verzekeraar (declaraties). Maar bijvoorbeeld ook bij (getoetst) medisch onderzoek dat onder de Wet Medisch-Wetenschappelijk Onderzoek met mensen (WMO) valt, waarbij de registratie voldoende beveiligd is. In die gevallen heeft de houder van de informatie het recht de gegevens vast te leggen en de plicht er zorgvuldig mee om te gaan. Tres biedt een state of the art oplossing voor deze doelgroep door de persoonsidentificerende gegevens te encrypten. Als ondanks alle maatregelen nietgeautoriseerden zich toegang verschaffen tot de database, beschikken ze alleen over geanonimiseerde gegevens. Tres valt daarmee in het spectrum van Privacy Enhanced Technology. Werking Tres Bij Tres wordt gebruik gemaakt van de laatste inzichten op het gebied van encryptie en beveili- 11

12 Dr. Jaap van Lakerveld, directeur Plato BV Universiteit Leiden: De kracht van ZorgTTP? Meedenken, meedenken, meedenken, snelheid en heldere communicatie. Vanuit een academische achtergrond heb ik vaak de behoefte om alles van meerdere kanten te bekijken en op veel zaken wat af te dingen. Maar er valt gewoon niets af te dingen op de dienstverlening van ZorgTTP. ZorgTTP was ons aangeraden toen we een Trusted Third Party zochten voor het anonimiseren van persoonsgegevens in het kader van de Leidse Onderwijsmonitor. Die keuze is goed bevallen. In het krachtenveld van opdrachtgevers, leveranciers en andere belanghebbenden werd onze samenwerking soms danig op de proef gesteld. Die proef heeft ZorgTTP met glans doorstaan. Snelheid en een heldere communicatie zijn voor ons heel belangrijk. In de afgelopen tijd is de wereld van de privacybescherming opgeschrikt door een paar stevige aardschokken. ZorgTTP heeft in die periode volledige openheid van zaken gegeven en de klantenkring (ons in ieder geval) gerust weten te stellen over de maatregelen die waren genomen om de hoogst mogelijke bescherming van gegevens te kunnen garanderen. Als ik een tip zou mogen geven: houd vast aan deze persoonlijke service gerichte werkwijze! n Dr. Jaap van Lakerveld, directeur Plato BV Universiteit Leiden

13 ging. De gebruiker logt vanuit het eigen informatiesysteem in bij Tres. Bij het opslaan van informatie worden de overeengekomen variabelen - bijvoorbeeld achternaam, BSN of patiëntnummer - direct geëncrypteerd met behulp van Tres. Alleen de versleutelde waarde wordt vervolgens opgeslagen in het informatiesysteem van de gebruiker. Hierdoor bevat het informatiesysteem geen identificerende gegevens meer. Decryptie van deze waarden gebeurt eveneens met Tres en is alleen mogelijk voor gebruikers die daarvoor gemachtigd zijn. Een zorgvuldige, transparante werkwijze, een snelle service en goede administratieve procedures zijn vereist Toegangsrechten Het uitgeven van het recht om te kunnen decrypten vindt plaats via geprotocolleerde afspraken tussen de eigenaar van de registratie en ZorgTTP. Daarbij is het mogelijk om gebruikers toe te voegen aan groepen die het recht hebben elkaars gegevens in te mogen zien. In overleg met opdrachtgevers wordt vooraf vastgesteld welke groepen mogelijk zijn en voldoen aan de eisen die in deze situatie van toepassing zijn. Scheiding van verantwoordelijkheden Door encryptie en decryptie onder te brengen bij ZorgTTP wordt voorkomen dat anderen dan de geautoriseerde gebruikers bij de versleutelde informatie kunnen komen. Ook de opdrachtgever zelf kan er niet bij. Zo ontstaat er een scheiding van verantwoordelijkheden. ZorgTTP neemt de verantwoording voor het optimaal beveiligen van de persoonsgegevens over van de opdrachtgever. Onze dienstverlening maakt het verschil Uiteraard is de kwaliteit van de softwarearchitectuur van essentieel belang in dit verhaal. Daar besteedt ZorgTTP dan ook de grootst mogelijke aandacht aan onder meer door de kwaliteit te laten toetsen door externe auditors. Nog belangrijker is het pallet aan ondersteunende diensten die Tres completeren. Zo moet de opdrachtgever er zeker van kunnen zijn dat alleen de gebruikers die daar recht op hebben, worden geautoriseerd. Dit vereist een zorgvuldige, transparante werkwijze, een snelle service en goede administratieve procedures. Juist aan deze expertise en kwaliteiten dankt ZorgTTP haar meerwaarde en onderscheidend vermogen. 13

14

15 Hoofdstuk 5 (Kern)activiteiten & partners ZorgTTP houdt zich bezig met het optimaal beschermen van privacygevoelige informatiestromen in de zorgsector en aanverwante sectoren. Om dit kunnen realiseren heeft ZorgTTP een aantal diensten ontwikkeld die, afhankelijk van de vraagstelling en behoeften van de (potentiële) opdrachtgever, ingezet kunnen worden. Kernactiviteiten Quick scan: vooronderzoek omgaan met identificerende persoonsgegevens en informatiebeveiliging; Advies uitbrengen over beveiliging, unieke cliëntcodering en privacybescherming; Sleutelontwikkeling, anonimisatie; Pseudonimisatie, authenticatie/encryptie (Tres ); Archief databestanden (VWS). ZorgTTP werkt nauw samen met: Chess IT Technology te Haarlem voor het ontwikkelen van JEE software voor pseudonimisatieketens; InfoSupport te Veenendaal voor de ontwikkeling van.net software Tres ; Quo Vadis en Vecozo voor de uitgifte van beveiligingscertificaten; IVZ te Houten waar het gaat om Shared Service diensten op het gebied van financiën, administratie en technisch systeembeheer; LUMC/Advanced Data Management (ADM) te Leiden bij de ontwikkeling van Tres, een applicatie voor de encryptie van (wetenschappelijke) medische (onderzoeks) databanken; Ram Infotechnology te Maarssen voor het leveren van hosting (hardware infrastructuur) faciliteiten; Omega Management Consultants te Kerkdriel voor het uitvoeren van marktscans en voor support in offerte trajecten; Condroz Consulting Groep te Amsterdam als het aanspreekpunt voor adviezen en counseling op het gebied van strategie en marketing; De Jong & Partners te Angerloo voor juridische adviezen op het gebied van ICT, privacy, etc. Meer.nu te Utrecht voor communicatie, concept en vormgeving; Quint Wellington Redwood (QWR) te Amstelveen voor het uitvoeren van een audit op de ICT-infrastructuur (state of the art voor ontwikkeling en productie); PwC te Amsterdam voor het uitvoeren van de ICT-infrastructuur audits in het kader van het College Bescherming Persoonsgegevens en de Wet Bescherming Persoonsgegevens (WBP); Delta π voor het uitvoeren van audits in het kader van de WBP. 15

16 Hoofdstuk 6 Opdrachtgevers & projecten De onderstaande bedrijven, organisaties en instellingen hebben ZorgTTP opdracht gegeven voor onder meer: het uitvoeren van adviesopdrachten, quick scans, vooronderzoeken, het ontwikkelen en exploiteren van pseudonimisatie softwareketens. ZorgTTP heeft een flink aantal pseudonimisatieketens ontwikkeld en met succes geoperationaliseerd. Operationele pseudonimisatieketens, opdrachtgevers en projecten AGIS / ACHMEA, Amersfoort Fysiotherapie Gezondheidscentra Diabetes Ministerie van Volksgezondheid, Welzijn en Sport (VWS), Den Haag Risicoverevening Algemene Wet Bijzondere Ziektekosten (AWBZ) Wet Tegemoetkoming Chronisch zieken en Gehandicapten (WTCG) Ministerie van Defensie, Den Haag Landelijke Zorgregistratie Veteranen Centraal Bureau voor de Statistiek (CBS), Den Haag Gemeentelijke Basis Administratie (GBA) DBC Onderhoud, Utrecht DBC Informatiesysteem (DIS) Dutch Institute for Clinical Auditing (DICA), Leiden Landelijke databanken voor: Dutch Surgical Colorectal Audit (DSCA) Dutch Breast Cancer Audit (DBCA) Dutch Lung Surgery Audit (DLSA) Dutch Upper GI Cancer Audit (DUCA) Gemeente Leiden en Plato BV (Platform Opleiding Onderwijs en Organisatie), Leiden Leidse onderwijs Monitor GG&GD, Amsterdam Diverse onderzoeken 16

17 Pathologisch Landelijk Geautomatiseerd Archief (PALGA), Utrecht Databank Pathologisch Landelijk Geautomatiseerd Archief (PALGA) Perinatale Registratie Nederland (PRN), Utrecht Landelijke Databank Verloskunde en Neonatalogie (LVR en LNR) Informatie Voorziening Zorg (IVZ), Houten Databank Landelijk Alcohol & Drugs Informatiesysteem (LADIS) Dutch Hospital Data (DHD), Utrecht Landelijke Basisregistratie Ziekenhuiszorg (LBZ) Landelijke Medische Registratie (LMR) Stichting Benchmark GGZ (SBG), Bilthoven Databank GGZ ROM (Result Outcome Measurement) College voor zorgverzekeringen (Cvz), Diemen Landelijke Databank Genees- en Hulpmiddelen (GIP) Expertisecentrum Forensische Psychiatrie (EFP), Utrecht Kennis Databank Forensische Psychiatrie (TBS) 17 Nederlandse Gemeenten Leidse Onderwijs Monitor, Leiden WMO Databanken voor 13 gemeenten Provincie Overijsel Nederlands Instituut voor Onderzoek Eerste Lijn (NIVEL), Utrecht Input voor registratiesystemen van de 1ste lijn Huisartsen Apothekers Huisartsenposten Gezondheidscentra Fysiotherapeuten Diëtisten Oefentherapeuten 1ste lijns psychologen Keten Zorggroepen Hans Mak Instituut (HMi), Naarden Onderzoek chronisch nierfalen Regio Eindhoven Overige opdrachtgevers Vektis, Zeist CIZ, Driebergen CAK, Den Haag Authenticatie in ontwikkeling (Tres ), Leiden Leids Universitair Medisch Centrum Menzis, Enschede WMO databank Onderzoek 1ste lijns zorg in samenwerking met Tranzo Tilburg

18 Barry Egberts, senior manager Kenniscentrum Zorg en Gezondheid, Achmea: ZorgTTP is een fijne partij om mee te werken. Ze staan voor kwaliteit. Dat moeten ze koesteren, want ze hebben een goede naam hoog te houden. ZorgTTP is een expert in het pseudonimiseren van zorgdata en genieten een uitstekende reputatie. Barry Egberts, senior manager Kenniscentrum Zorg en Gezondheid, Achmea Wij zijn voordurend bezig om de zorginkoop met behoud van kwaliteit te optimaliseren. Hiervoor is het noodzakelijk om data zoals medische uitkomsten, kenmerken van de populatie en zorgkosten aan elkaar te kunnen koppelen. Uiteraard moet dat privacyproof gebeuren. We zijn een paar jaar geleden op zoek gegaan naar een betrouwbare partij om ons daarbij te helpen en kwamen al snel uit bij ZorgTTP. Zij zijn expert in het pseudonimiseren van zorgdata en genieten een uitstekende reputatie. Voordeel van een -onafhankelijkepartij als ZorgTTP is, dat dit het vertrouwen bij de zorgverleners versterkt, wat de voortgang van het traject, zoals het ter beschikking stellen van gegevens, ten goede komt. Onze samenwerking vereiste van beide partijen de nodige flexibiliteit. Het prettige van ZorgTTP is dat je direct en open met ze kunt communiceren. Gedurende het traject loop je tegen verschillende zaken aan. We hebben daar steeds goed met elkaar over kunnen praten. ZorgTTP is bereid om in haar klanten te investeren. Dat waardeer ik. n

19 ZorgTTP voorziet diverse onderzoeksinstituten in opdracht van haar klanten van de benodigde data: ADV Market Research, Den Dolder Ecorys, Rotterdam Instituut Beleid & management Gezondheidszorg (ibmg), Rotterdam Platform Opleiding, Onderwijs en Organisatie (Plato BV), Leiden KIWA Prismant, Utrecht Universiteiten w.o. VU Amsterdam, AMC Amsterdam, UMC Utrecht Miletus, Zeist SiRM (Strategies in Regulated Markets), Rotterdam Tranzo Tilburg Duizenden databronnen verspreid over heel Nederland ZorgTTP heeft inmiddels een belangrijke bijdrage geleverd aan de realisatie van een groot aantal projecten op het gebied van gegevensuitwisseling. De aangesloten bronnen, die over persoonsgegevens beschikken en die via een operationele pseudonimisatieketen data leveren, variëren van twaalf tot vele duizenden per pseudonimisatieketen. Bronnen: Apothekers Huisartsen Huisartsenposten Gezondheidscentra Fysiotherapeuten Diëtisten Oefentherapeuten 1ste lijns Psychologen Zorggroepen Algemene en Universitaire ziekenhuizen Medisch Specialisten (chirurgie, pathologie, psychiatrie, gynaecologie, verloskundigen, neonatologie, kinderchirurgie, traumachirurgie) P.A. Laboratoria GGZ Instellingen, w.o. Kinder- en Jeugd Psychiatrie Instellingen voor de Verslavingszorg Instellingen voor TBS Zorgverzekeraars Scholen (Peuter- Basis-, Voortgezet Onderwijs) Belastingdienst UWV Centrale Indicatiestelling Zorg (CIZ) Centraal Administratie Kantoor AWBZ (CAK) Centraal Bureau voor de Statistiek (CBS) Gemeenten 19

20

21 Hoofdstuk 7 Organisatie & medewerkers Wij hechten bij ZorgTTP veel waarde aan vakkennis en sociale vaardigheden en aan de wil om proactief aan de slag te gaan. Ons team bestaat uit enthousiaste en hoog gekwalificeerde specialisten met een hands-on mentaliteit. Ervaren medewerkers die het ondersteunen en inrichten van nieuwe ketens en het uitvoeren van soms lastige en complexe domeinconversies met veel energie ter hand nemen en uitvoeren. Deze mensen vormen de ruggengraat van ZorgTTP. Ons team is samengesteld uit gespecialiseerde medewerkers op het gebied van: Servicedesk en productiebegeleiding; Software-architectuur; Test- en implementatiewerkzaamheden; Gezondheidswetenschappen; Beveiliging; Encryptie. Kennisverbreding Innovatie en ontwikkeling op het gebied van pseudonimisatie en authenticatie zijn onontbeerlijk voor het leveren van topkwaliteit en voor een gezonde groei van de activiteiten. Bij ZorgTTP wordt daarom graag geïnvesteerd in het ontwikkelen van talent en in het uitbouwen van de expertise. In dat kader investeren we bijvoorbeeld in de interne procesbeheersing door onze medewerkers opleidingen en cursussen op het gebied van IT-auditing, marketing, informatica, etc. te laten volgen. Extern netwerk Primair ondersteunende activiteiten, zoals acquisitie, productontwikkeling, servicedesk, de regievoering over het productieproces en over de softwareontwikkeling zijn in handen van ZorgTTP zelf. Het Shared Service Center IVZ ondersteunt ZorgTTP bij onder meer de financiële administratie, algemene en personele zaken, technisch systeembeheer en bij het beheer van de kantoorautomatisering. Voor specifieke werkzaamheden zoals ontwikkelen van software, uitvoeren van audits, juridisch advies, strategie-ontwikkeling, hosting, marktanalyse en communicatie vertrouwt ZorgTTP op de expertise van een breed netwerk aan specialisten. 21