Besluitenlijst Regionale Privacycommissie Actueel



Vergelijkbare documenten
Besluitenlijst Regionale Privacy commissie: Actueel

VRAGEN EN ANTWOORDEN over de elektronische uitwisseling van medische gegevens

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Nederlandse ontwikkelingen rondom elektronische gegevensuitwisseling. Anton Ekker Symposium Regelgeving rond patiëntgegevens 24 juni 2014

Definitieve bevindingen Centrale Huisartsenpost Gorinchem

Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011

Privacy en wet- en regelgeving rondom IHE XDS netwerken

uw medische gegevens elektronisch delen?

Feiten en Fabels over patiëntgegevens

UW MEDISCHE GEGEVENS ELEKTRONISCH DELEN? Dat kan via het LSP

a. Gegevens kunnen worden verzameld tijdens consulten, behandelingen of anderszins; b. Doeleinden zijn:

ICT in de zorg. Over de impact van wet- en regelgeving

Uitwisseling van medische gegevens en patiënttoestemming

Elektronische uitwisseling van medische gegevens in de regio: Waarneem Dossier Huisartsen en het Regionaal Zorgvenster februari 2007

Elektronische gegevensuitwisseling in de zorg. De Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg

Privacyreglement HAP S. Broens

Eventjes iets uitwisselen. Maar dan begint het pas,.

UW MEDISCHE GEGEVENS ELEKTRONISCH DELEN? Dat kan via het LSP

Privacyreglement versie: 1 auteur: Wieneke Groot invoerdatum: maart 2014 vaststellingsdatum: herzieningsdatum: september 2015

Privacy Scan VISD juni Antwoordcategorie Ja/Nee/ Onbekend

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Privacyreglement ( ) Huisartsenpraktijk Rozet

Definitieve bevindingen SPITZ Midden-Holland

Privacy in Instituut Verbeeten

Verwijsoplossingen op juridische hoofdlijnen

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Privacyverklaring Stichting Zorgcentra Rivierenland (SZR)

Privacy Persoonsgegevens

Maak kennis met het LSP - plenair

Elektronisch patiëntendossier (EPD)

Privacy Statement Huisartsengroep Brielle

Privacyreglement Huisartsenpraktijk Kloosterpad

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Privacy bij regionale uitwisseling van patiëntgegevens: Handreiking naar aanleiding van bevindingen van het CBP bij twee regionale situaties

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Privacy verklaring en verantwoording gegevensbescherming

PRIVACYREGLEMENT. Meander Medisch Centrum

Privacy in de eerstelijnspraktijk Checklist & tips

Wie heeft toegang tot mijn gegevens? Informatie over de uitwisseling van uw (medische) gegevens via en internet.

Datalek dichten en voorkomen. 21 april 2017

Peridos in Regiobijeenkomst SPSNN 12 april Patrick van Santvoort Landelijk beheer Peridos

ier Veiligheidseisen en datahygiëne Dossiers op orde en beschikbaar!

Uw medische gegevens elektronisch delen?

Protocol Overdracht van medicatiegegevens

Privacy wetgeving in een notendop

College bescherming persoonsgegevens. Onderzoek naar het gebruik van waarneemdossiers bij Stichting. Gezondheidscentra Haarlemmermeer

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders

PRIVACYVERKLARING. 1. Algemene overwegingen

Het elektronisch beschikbaar stellen van mijn medische gegevens aan andere zorginstellingen

Privacy policy: Uw persoonsgegevens en uw privacy in onze praktijk Bureau VIER-V

Uw medische gegevens elektronisch delen? Alleen met uw toestemming!

Privacy Reglement CCN

PRIVACYSTATEMENT WEBSITE

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

Privacy Policy Jansen Fysiotherapie Associatie

College bescherming persoonsgegevens. Huisartsenpost Nightcare BV te Heerlen. Rapport definitieve bevindingen

Inleiding. Pagina 1 van 5

Daar waar Praktijk Troelstralaan staat wordt ook Praktijk Westelijk Halfrond bedoeld.

Privacyverklaring van onze praktijk mei 2018 Uw persoonsgegevens en uw privacy in onze huisartsenpraktijk

Privacy in Instituut Verbeeten

BEWERKERSOVEREENKOMST

PRIVACYREGLEMENT. Logopediepraktijk Esther van den Heuvel

Uw medische gegevens elektronisch delen? Alleen met uw toestemming!

Algemeen. Registratie persoonsgegevens/ WBP

Privacyverklaring Mondhygiënistenpraktijk Q. Brok

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Protocol informatiebeveiligingsincidenten en datalekken

Privacy Statement Sa4-zorg

Privacy reglement Christel de Koker (Bekken) Fysiotherapie

PRIVACYREGLEMENT. Praktijk oefentherapie Mensendieck Waddinxveen. Inleiding

Privacy policy Wammes Fysiotherapie

Persoonsgegevens van klanten worden door Therapiecentrum Montfort verwerkt ten behoeve van de volgende doelstelling(en):

Uw medische gegevens elektronisch delen? Alleen met uw toestemming!

Privacyreglement Huisartsenpraktijk Bender

Privacyreglement Persoonsgegevens Leergeld Zoetermeer e.o.

Wie kan bij uw dossier?

Informatiefolder gegevensuitwisseling patiënten

Gegevensverzameling: verzameling van persoonsgegevens over een cursisten of medewerkers met daaraan ten grondslag een bepaald doel.

- Leverancier gegevens vastleggen t.b.v. juiste administratie en facturering - t.b.v. contactpersonen

Addendum Privacy Policy voor patiënten

Deze privacyverklaring heeft betrekking op de verwerking van persoonsgegevens van:

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

PRIVACYREGLEMENT. Logopediepraktijk Putten & Garderen en cliënten

INFORMATIE OVER DE GEGEVENSVERWERKING

Elektronisch patiëntendossier Zoetermeer - Benthuizen

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

De Minister van VWS, de heer drs. J.F. Hoogervorst Postbus EJ DEN HAAG. mw. mr. V.C. Lucieer

Wij, als InPrintMatter BV, hechten veel waarde aan een goed beheer van uw privacy gevoelige gegevens.

Privacy Policy/reglement Logopediepraktijk Bakel

Mensense verwerking Persoonsgegevens volgens de wet AVG versie 2018

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

PRIVACYREGLEMENT. In dit privacyreglement wordt aan onderstaande begrippen de navolgende betekenis gegeven:

Privacy statement AVG

Privacyreglement. Omgaan met persoonlijke gegevens in onze praktijk

ALGEMENE VERORDENING GEGEVENSBESCHERMING

PRIVACY BELEID. Privacy Beleid Frits van der Werff Paramedisch

Praktijk Aafke van Dijk Register van verwerkingsactiviteiten

Privacyverklaring Fidesa

Transcriptie:

Besluitenlijst Regionale Privacycommissie Actueel Privacy convenant tbv SRZ-instellingen 13-2-2015 Basic Patiënt Privacy Consent (BPPC)model Opstellen van een uitwisselingsprotocol voor elektronische medische gegevens tussen zorginstellingen aangesloten bij de SRZ. Het privacy convenant betreft toestemming van de patiënt voor uitwisseling per behandeltraject en kan dus ook toegang tot de medische gegevens van de patiënt betekenen voor andere zorginstellingen indien naar een behandelaar aldaar wordt doorverwezen. De RPC stelt dat het model toestemmingsverklaring van de patiënt nodeloos ingewikkeld maakt. Zij adviseert de toestemming per behandeling vast te leggen. De patiënt sluit een behandelovereenkomst waarin is aangegeven dat alle zorgverleners die zijn betrokken bij de behandeling, toegang hebben tot de patiëntgegevens die noodzakelijk zijn De RPC verzoekt de SRZ deze opdracht te verstrekken aan een werkgroep samengesteld uit juristen van de verschillende regionale ziekenhuizen. Het betreft een protocol voor de uitwisseling tussen instellingen van poort tot poort. Een convenant (afspraak over de werkwijze) waaraan alle Rijnmondse ziekenhuizen zich conformeren, is onafhankelijk van de techniek die hiervoor wordt gebruikt. Er dient onderscheid gemaakt te worden: expliciete toestemming (o.g.v. wetsvoorstel clientenrechten) wordt verplicht voor elektronische gegevensverstrekking tussen zorginstellingen in regionaal of landelijk verband. Gegevensverstrekking in het kader van verwijzing gaat uit van impliciete toestemming van de patiënt o.g.v. de behandelovereenkomst. 12-12-2014 26-9-2014 Zorgdomein Aankondiging Europese Privacy verordening De RPC steunt de aanbevelingen uit de audit Informatiebeveiliging in een advies aan de ICT- Adviesraad van de SRZ. De RPC informeert de SSRZ over de komende verordening die prevaleert boven nationale wetgeving als de WBP. Door de SRZ is een werkgroep geïnstalleerd, zodat de regionale ziekenhuizen de eisen vanuit de EPV (en WBP) gezamenlijk kunnen oppakken en de onderwerpen verdelen. De RPC wil garanderen dat de leverancier van Zorgdomein de aanbevelingen uit de audit zal uitvoeren. De ICT Adviesraad van de SRZ wordt gevraagd dit op te pakken. De verordening stelt striktere eisen aan gegevensverwerkingen, de informatieplicht aan patiënten wordt verzwaard en kent waarschijnlijk een strikter sanctiebeleid en de verplichte aanstelling van een functionaris gegevensbescherming. 13-2-2015 7-2-2014 11-12-2013 1

Richtsnoer informatiebeveiliging CBP/rapport CBP: Toegang tot digitale patiëntendossiers in zorginstellingen De RPC verschaft SRZ een samenvatting met de belangrijkste punten uit de richtsnoer plus een samenvatting van het rapport over toegang tot digitale patientdossiers De nieuwe richtsnoeren maken duidelijk dat beveiliging (art. 13 Wbp) volgens de NENnorm 7510 behoort te worden uitgevoerd. Het rapport stelt dat volgens het CBP toegang tot medische dossiers op grond van een behandelrelatie, de enige juiste interpretatie is van de wet. Patiëntveiligheid wordt gelijk gesteld aan de bescherming van de persoonlijke levenssfeer van de patiënt (behoudens in acute situaties). Alle zorginstellingen dienen te voldoen aan de eisen die in het rapport staan. 11-12-2013 12-4-2013 28-6-2013 Gedragscode EGIZ De RPC besluit om de gedragscode niet onder de aandacht van de bestuurders te brengen. Document (EGIZ) is technisch en leunt op de wet- en regelgeving. Voor gebruikers is het bijzonder moeilijk te destilleren waaraan zij zich moeten houden. De def. versie geeft geen weerslag van het advies van de RPC om dit te verbeteren. De vereisten o.g.v. de EGIZ worden verwerkt door de regionale werkgroep in het kader van de EPV. De gedragscode is niet opgenomen in de lijst met goedgekeurde gedragscodes van het CBP. De code strookt niet helemaal met het rapport van het CBP over toegang tot medische dossiers en is niet gebaseerd op de (nieuwe) eisen van de concept-epv. De RPC is voorstander van en gedragscode die handvaten biedt voor de zorginstellingen om zich aan wet- en regelgeving te conformeren. Zij ziet niet op welke wijze de EGIZ gedragscode behulpzaam is als normenkader. Hoewel een dergelijke code een groeimodel heet te zijn, is de verwachting van de RPC dat zij als toetsingsinstrument worden gebruikt.. 26-9-2014 4-4-2014 11-12-2013 30-9-2011 13-5-2011 2

Bewaartermijn loggegevens Transferdossier POINT De RPC acht een termijn van twee jaar om loggegevens te bewaren redelijk als kwaliteitsmaatstaf en adviseert dit aan de NENnormcie als correcte uitwerking van de NENnorm 7513 over logging. In geval van een klacht van de patiënt over vermeend misbruik van toegang tot zijn gegevens, worden de loggegevens betreffende de klacht langer bewaard tot een max. van 10 jaar. Dit betreft alleen die loggegevens van raadplegingen op patiëntendossiers waarover een klacht is ontstaan m.b.t. het onterecht raadplegen. De commissie concludeert uit het rapport over de beveiligingseisen van Point, dat het systeem nog niet voldoet aan bepaalde aspecten van gegevensbescherming, zoals het korter bewaren van medische gegevens bij de leverancier en het ontbreken van een beheerorganisatie. De RPC heeft haar advies schriftelijk in de vorm van een mededeling aan het CBP gestuurd, met het voorstel voor een tweedeling in de bewaartermijn. Hierna is het advies aan de SRZ gestuurd, in kopie aan het CBP. De bewaartermijn logging moet in overeenstemming zijn met het doel voor het bewaren: herstel van fouten en vergissingen en vaststellen van vermeend misbruik. Steekproefsgewijze controle van de logging is vereist. Point is een belangrijk programma om een betere overdracht te garanderen naar revalidatiecentra en verpleeghuizen, met informatie over medicatie of behandeling. Point heeft tot bewustwording geleid. 23-5-2014 4-4-2014 28-6-2013 18-3-2011 23-5-2014 4-4-2014 Op basis van de Richtsnoeren informatiebeveiliging wordt een bewerkersovereenkomst geëist tussen Rijnmondnet en de zorginstellingen, Verantwoordelijkheden moeten helder zijn: RPC suggereert een klein bestuur te vormen namens de deelnemende instellingen. Autorisatie, opslag, concurrentiebelang moeten helder zijn. Zorginstellingen zijn opdrachtgever en Rijnmondnet is de opdrachtnemer, die aan garantie-eisen moet voldoen. RPC geeft aandachtspunten aan t.b.v. projectleider: De transfergegevens worden bewaard bij de leverancier. Dit zijn gevoelige gegevens. Autorisatie verloopt niet d.m.v. een UZIpas. 12-04-2013 24-9-2010 3

Beeldenuitwisseling De RPC neemt de aanbevelingen uit de auditrapportage informatiebeveiliging over, waaronder dat de verantwoordelijkheden niet duidelijk zijn belegd, de documentatie niet op orde is en logging van de acties opgezet moet worden evenals de controle ervan. De RPC vraagt welke acties RijnmondNet zal ondernemen om te kunnen voldoen aan de aanbevelingen uit de auditrapportage en aan het eerdere advies van de RPC, zodat de gegevensverwerking transparant wordt. 13-2-2015 Beeldenuitwisseling Beeldenuitwisseling (Erasmus MC-Albert Schweizerziekenhuis) bewaartermijnen Meldingsplicht datalekken Labuitslagen: verstrekking aan nietaanvragers (YSL) RPC adviseert een reglement op te stellen met uitwerking van: logging, archivering, autorisatiematrix, procedure in geval van ongeautoriseerd gebruik. Identificatie en authenticatie van de zorgverleners gebeurt via landelijke procedure (voor UZI-pas) Bewaartermijn voor de medische gegevens dient expliciet in de contracten worden opgenomen. De academische bewaartermijn van 115 jaar is leidend. De RPC wacht een voorstel af. Reconstructiemogelijkheid van een dossier is verplicht. De RPC informeert de SSRZ over deze komende meldingsplicht. Verlies van beveiligde informatiedragers hoeft niet gemeld. Afspraken over verstrekking labuitslagen aan huisartsen e.a. derden vastleggen in patiëntenbrochure. Mogelijkheid tot bezwaar bieden aan de patient. In toekomstige systemen rekening houden met eenop-een autorisatie. Akkoord met brede autorisatie op voorwaarde van aanscherping na analyse van loggegevens (gemiddelde raadpleging daarmee duidelijk). RPC vraagt jaarlijkse rapportages op van ongeautoriseerde raadpleging en ondernomen acties. De RPC sluit zich aan bij landelijke normen die zijn opgesteld. Een academisch ziekenhuis kent een veel langere bewaartermijn voor medische (kern)gegevens dan een algemeen ziekenhuis. In geval van een klacht, moet het behandelproces kunnen worden gereconstrueerd: welke gegevens zijn gebruikt bij de behandeling. (Logging) Als onbeveiligde informatiedragers met patiëntgegevens worden verloren, kan door publicatie van de melding reputatieschade optreden. Patiënten die schade kunnen lijden moeten ook geïnformeerd worden. Uitgangspunt is impliciete toestemming van de patient voor informeren van de huisartsen. NPCF is hiermee akkoord. RPC signaleert dat de behandelrelatie niet wordt gerespecteerd omdat afscherming in de systemen niet mogelijk is. 24-9-2010 28-5-2010 15-7-2009 19-11-2010 31-5-2010 4

Besluitenlijst Regionale Privacycommissie Archief Mammo-XL Organisatiestructuur Zorgportaal Rijnmond Toegang tot medische gegevens op Zorgportaal Rijnmond Uitoefening van zijn rechten door patient op Zorgportaal De RPC waarschuwt dat een zorginstelling die een contract afsluit met Mammo_XL voor de levering van beelden gemaakt in het kader van bevolkingsonderzoek borstkanker, moet voldoen aan strenge beschermingsmaatregelen. Deze worden geëist door een derde partij, t.w. Mammo XL. Het eigendom van gegevens op het Zorgportaal, de relatie met data beherende instanties en de rolverdeling (opdrachtgever en nemer) moeten duidelijk zijn voor de patiënt. Toegang tot patiëntgegevens dient gebaseerd te zijn op de behandelrelatie. Patiënt zelf heeft ook toegang. Afscherming van gegevens door ringen rond de patiënt te definiëren, die verschillende autorisatie krijgen. Controle achteraf belangrijk (logging). RPC adviseert e.e.a. in een reglement vast te leggen. RPC stelt voor een privacytoets uit te voeren tijdens de pilot De contractbepalingen zijn stringenter dan de EGIZcode. Er worden eisen aan gegevensbescherming gesteld waaraan de zorginstellingen waarschijnlijk niet kunnen voldoen. De RPC wenst duidelijkheid te krijgen over de organisatiestructuur, het eigenaarschap en verantwoordelijkheid voor gegevensbestanden op het Zorgportaal. Zorgportaal programmaorganisatie stelt eenmalig inloggen voor, gebaseerd op authenticatieprocessen van de instellingen zelf. Zorgportaal wil in logging alleen geraadpleegde instellingen vastleggen. RPC acht toegang te breed. Huidige technische belemmeringen dienen te worden opgelost. Patient heeft beschikkingsrecht: toegang of afscherming. Complicerende factor is dat de patient de data niet zelf kan interpreteren (in de regel). 13-1-2012 21-1-2011 19-11-2010 24-9-2010 28-5-2010 Na de pilot dient een beheerorganisatie hiervoor te worden opgezet, patient moet klacht kunnen deponeren. Het eigendom van data op een Zorgportaal ligt bij de patient. De zorginstellingen zijn verantwoordelijk voor goed beheer. Controle op correcte toekenning van autorisaties vindt plaats door een beheersorganisatie. 11-3-2009 5

Brieven en toestemmingsformuli eren pilot Zorgportaal Regionale koppeling huisartsenpraktijk aan huisartsenposten (Zorg op Zuid) Actueel medicatieoverzicht Elektronisch medicatiedossier (o.a. SFG) Gedetailleerd in brieven en formulieren voor de patient vermelden welke gegevens op het Zorgportaal komen te staan en wie toegang hebben. Uitbreiding van de gegevensset in de pilotfase kan via internetsite worden gemeld aan de patient. Mogelijkheid bieden aan patient tot het maken van gedifferentieerd bezwaar tegen openstelling van zijn gegevens aan de huisartsenposten. Leg aparte dossiers aan per patient, niet per gezin. Elektronisch Medicatie Dossier is de beste oplossing voor een actueel medicatieoverzicht bij elke overdracht, vanwege beveiliging en privacybescherming, maar er zijn nog te weinig instellingen op aangesloten. Patiëntenrechten zijn geborgd. Behandelrelatie geborgd door UZIpas en autorisatie (artsen) om medicatie voor te schrijven. Instellingen die gegevens op het ZP plaatsen, zijn voor hun deel verantwoordelijk. Rijnmondnet is bewerker volgens de Wbp en als zodanig verantwoordelijk voor de beveiliging en het vastleggen van het autorisatieproces. De patient heeft vaak geen bezwaar tegen de opnamen van algemene gegevens in een professionele samenvatting, maar wel tegen de opname van medische gegevens die niet van belang zijn in geval van een ongeval. Risico indien de waarnemend huisarts onvoldoende medische informatie heeft als gevolg van bezwaar. Door het ontbreken van een EMD zullen medicatiegegevens bij overdracht naar andere behandelaar veelal per e- mail, op papier en telefonisch moeten worden uitgewisseld. De instellingen in de regio zijn op verschillende systemen aangesloten, die onderling niet kunnen communiceren. Het EMD van het SFG heeft als voordeel dat het naar twee kanten kan rapporteren. De patient is mondeling geïnformeerd bij de intake, kan bezwaar maken. Geen differentiatie: ziekenhuizen hebben wel/niet de mogelijkheid medicatiegegevens uit te wisselen van een patient. 15-1-2009 31-12-2008 15-7-2009 19-11-2010 31-5-2010 Onduidelijk voor de RPC hoe de gegevensuitwisseling via OZIS verloopt. 2-10-2009 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback