Besluitenlijst Regionale Privacycommissie Actueel Privacy convenant tbv SRZ-instellingen 13-2-2015 Basic Patiënt Privacy Consent (BPPC)model Opstellen van een uitwisselingsprotocol voor elektronische medische gegevens tussen zorginstellingen aangesloten bij de SRZ. Het privacy convenant betreft toestemming van de patiënt voor uitwisseling per behandeltraject en kan dus ook toegang tot de medische gegevens van de patiënt betekenen voor andere zorginstellingen indien naar een behandelaar aldaar wordt doorverwezen. De RPC stelt dat het model toestemmingsverklaring van de patiënt nodeloos ingewikkeld maakt. Zij adviseert de toestemming per behandeling vast te leggen. De patiënt sluit een behandelovereenkomst waarin is aangegeven dat alle zorgverleners die zijn betrokken bij de behandeling, toegang hebben tot de patiëntgegevens die noodzakelijk zijn De RPC verzoekt de SRZ deze opdracht te verstrekken aan een werkgroep samengesteld uit juristen van de verschillende regionale ziekenhuizen. Het betreft een protocol voor de uitwisseling tussen instellingen van poort tot poort. Een convenant (afspraak over de werkwijze) waaraan alle Rijnmondse ziekenhuizen zich conformeren, is onafhankelijk van de techniek die hiervoor wordt gebruikt. Er dient onderscheid gemaakt te worden: expliciete toestemming (o.g.v. wetsvoorstel clientenrechten) wordt verplicht voor elektronische gegevensverstrekking tussen zorginstellingen in regionaal of landelijk verband. Gegevensverstrekking in het kader van verwijzing gaat uit van impliciete toestemming van de patiënt o.g.v. de behandelovereenkomst. 12-12-2014 26-9-2014 Zorgdomein Aankondiging Europese Privacy verordening De RPC steunt de aanbevelingen uit de audit Informatiebeveiliging in een advies aan de ICT- Adviesraad van de SRZ. De RPC informeert de SSRZ over de komende verordening die prevaleert boven nationale wetgeving als de WBP. Door de SRZ is een werkgroep geïnstalleerd, zodat de regionale ziekenhuizen de eisen vanuit de EPV (en WBP) gezamenlijk kunnen oppakken en de onderwerpen verdelen. De RPC wil garanderen dat de leverancier van Zorgdomein de aanbevelingen uit de audit zal uitvoeren. De ICT Adviesraad van de SRZ wordt gevraagd dit op te pakken. De verordening stelt striktere eisen aan gegevensverwerkingen, de informatieplicht aan patiënten wordt verzwaard en kent waarschijnlijk een strikter sanctiebeleid en de verplichte aanstelling van een functionaris gegevensbescherming. 13-2-2015 7-2-2014 11-12-2013 1
Richtsnoer informatiebeveiliging CBP/rapport CBP: Toegang tot digitale patiëntendossiers in zorginstellingen De RPC verschaft SRZ een samenvatting met de belangrijkste punten uit de richtsnoer plus een samenvatting van het rapport over toegang tot digitale patientdossiers De nieuwe richtsnoeren maken duidelijk dat beveiliging (art. 13 Wbp) volgens de NENnorm 7510 behoort te worden uitgevoerd. Het rapport stelt dat volgens het CBP toegang tot medische dossiers op grond van een behandelrelatie, de enige juiste interpretatie is van de wet. Patiëntveiligheid wordt gelijk gesteld aan de bescherming van de persoonlijke levenssfeer van de patiënt (behoudens in acute situaties). Alle zorginstellingen dienen te voldoen aan de eisen die in het rapport staan. 11-12-2013 12-4-2013 28-6-2013 Gedragscode EGIZ De RPC besluit om de gedragscode niet onder de aandacht van de bestuurders te brengen. Document (EGIZ) is technisch en leunt op de wet- en regelgeving. Voor gebruikers is het bijzonder moeilijk te destilleren waaraan zij zich moeten houden. De def. versie geeft geen weerslag van het advies van de RPC om dit te verbeteren. De vereisten o.g.v. de EGIZ worden verwerkt door de regionale werkgroep in het kader van de EPV. De gedragscode is niet opgenomen in de lijst met goedgekeurde gedragscodes van het CBP. De code strookt niet helemaal met het rapport van het CBP over toegang tot medische dossiers en is niet gebaseerd op de (nieuwe) eisen van de concept-epv. De RPC is voorstander van en gedragscode die handvaten biedt voor de zorginstellingen om zich aan wet- en regelgeving te conformeren. Zij ziet niet op welke wijze de EGIZ gedragscode behulpzaam is als normenkader. Hoewel een dergelijke code een groeimodel heet te zijn, is de verwachting van de RPC dat zij als toetsingsinstrument worden gebruikt.. 26-9-2014 4-4-2014 11-12-2013 30-9-2011 13-5-2011 2
Bewaartermijn loggegevens Transferdossier POINT De RPC acht een termijn van twee jaar om loggegevens te bewaren redelijk als kwaliteitsmaatstaf en adviseert dit aan de NENnormcie als correcte uitwerking van de NENnorm 7513 over logging. In geval van een klacht van de patiënt over vermeend misbruik van toegang tot zijn gegevens, worden de loggegevens betreffende de klacht langer bewaard tot een max. van 10 jaar. Dit betreft alleen die loggegevens van raadplegingen op patiëntendossiers waarover een klacht is ontstaan m.b.t. het onterecht raadplegen. De commissie concludeert uit het rapport over de beveiligingseisen van Point, dat het systeem nog niet voldoet aan bepaalde aspecten van gegevensbescherming, zoals het korter bewaren van medische gegevens bij de leverancier en het ontbreken van een beheerorganisatie. De RPC heeft haar advies schriftelijk in de vorm van een mededeling aan het CBP gestuurd, met het voorstel voor een tweedeling in de bewaartermijn. Hierna is het advies aan de SRZ gestuurd, in kopie aan het CBP. De bewaartermijn logging moet in overeenstemming zijn met het doel voor het bewaren: herstel van fouten en vergissingen en vaststellen van vermeend misbruik. Steekproefsgewijze controle van de logging is vereist. Point is een belangrijk programma om een betere overdracht te garanderen naar revalidatiecentra en verpleeghuizen, met informatie over medicatie of behandeling. Point heeft tot bewustwording geleid. 23-5-2014 4-4-2014 28-6-2013 18-3-2011 23-5-2014 4-4-2014 Op basis van de Richtsnoeren informatiebeveiliging wordt een bewerkersovereenkomst geëist tussen Rijnmondnet en de zorginstellingen, Verantwoordelijkheden moeten helder zijn: RPC suggereert een klein bestuur te vormen namens de deelnemende instellingen. Autorisatie, opslag, concurrentiebelang moeten helder zijn. Zorginstellingen zijn opdrachtgever en Rijnmondnet is de opdrachtnemer, die aan garantie-eisen moet voldoen. RPC geeft aandachtspunten aan t.b.v. projectleider: De transfergegevens worden bewaard bij de leverancier. Dit zijn gevoelige gegevens. Autorisatie verloopt niet d.m.v. een UZIpas. 12-04-2013 24-9-2010 3
Beeldenuitwisseling De RPC neemt de aanbevelingen uit de auditrapportage informatiebeveiliging over, waaronder dat de verantwoordelijkheden niet duidelijk zijn belegd, de documentatie niet op orde is en logging van de acties opgezet moet worden evenals de controle ervan. De RPC vraagt welke acties RijnmondNet zal ondernemen om te kunnen voldoen aan de aanbevelingen uit de auditrapportage en aan het eerdere advies van de RPC, zodat de gegevensverwerking transparant wordt. 13-2-2015 Beeldenuitwisseling Beeldenuitwisseling (Erasmus MC-Albert Schweizerziekenhuis) bewaartermijnen Meldingsplicht datalekken Labuitslagen: verstrekking aan nietaanvragers (YSL) RPC adviseert een reglement op te stellen met uitwerking van: logging, archivering, autorisatiematrix, procedure in geval van ongeautoriseerd gebruik. Identificatie en authenticatie van de zorgverleners gebeurt via landelijke procedure (voor UZI-pas) Bewaartermijn voor de medische gegevens dient expliciet in de contracten worden opgenomen. De academische bewaartermijn van 115 jaar is leidend. De RPC wacht een voorstel af. Reconstructiemogelijkheid van een dossier is verplicht. De RPC informeert de SSRZ over deze komende meldingsplicht. Verlies van beveiligde informatiedragers hoeft niet gemeld. Afspraken over verstrekking labuitslagen aan huisartsen e.a. derden vastleggen in patiëntenbrochure. Mogelijkheid tot bezwaar bieden aan de patient. In toekomstige systemen rekening houden met eenop-een autorisatie. Akkoord met brede autorisatie op voorwaarde van aanscherping na analyse van loggegevens (gemiddelde raadpleging daarmee duidelijk). RPC vraagt jaarlijkse rapportages op van ongeautoriseerde raadpleging en ondernomen acties. De RPC sluit zich aan bij landelijke normen die zijn opgesteld. Een academisch ziekenhuis kent een veel langere bewaartermijn voor medische (kern)gegevens dan een algemeen ziekenhuis. In geval van een klacht, moet het behandelproces kunnen worden gereconstrueerd: welke gegevens zijn gebruikt bij de behandeling. (Logging) Als onbeveiligde informatiedragers met patiëntgegevens worden verloren, kan door publicatie van de melding reputatieschade optreden. Patiënten die schade kunnen lijden moeten ook geïnformeerd worden. Uitgangspunt is impliciete toestemming van de patient voor informeren van de huisartsen. NPCF is hiermee akkoord. RPC signaleert dat de behandelrelatie niet wordt gerespecteerd omdat afscherming in de systemen niet mogelijk is. 24-9-2010 28-5-2010 15-7-2009 19-11-2010 31-5-2010 4
Besluitenlijst Regionale Privacycommissie Archief Mammo-XL Organisatiestructuur Zorgportaal Rijnmond Toegang tot medische gegevens op Zorgportaal Rijnmond Uitoefening van zijn rechten door patient op Zorgportaal De RPC waarschuwt dat een zorginstelling die een contract afsluit met Mammo_XL voor de levering van beelden gemaakt in het kader van bevolkingsonderzoek borstkanker, moet voldoen aan strenge beschermingsmaatregelen. Deze worden geëist door een derde partij, t.w. Mammo XL. Het eigendom van gegevens op het Zorgportaal, de relatie met data beherende instanties en de rolverdeling (opdrachtgever en nemer) moeten duidelijk zijn voor de patiënt. Toegang tot patiëntgegevens dient gebaseerd te zijn op de behandelrelatie. Patiënt zelf heeft ook toegang. Afscherming van gegevens door ringen rond de patiënt te definiëren, die verschillende autorisatie krijgen. Controle achteraf belangrijk (logging). RPC adviseert e.e.a. in een reglement vast te leggen. RPC stelt voor een privacytoets uit te voeren tijdens de pilot De contractbepalingen zijn stringenter dan de EGIZcode. Er worden eisen aan gegevensbescherming gesteld waaraan de zorginstellingen waarschijnlijk niet kunnen voldoen. De RPC wenst duidelijkheid te krijgen over de organisatiestructuur, het eigenaarschap en verantwoordelijkheid voor gegevensbestanden op het Zorgportaal. Zorgportaal programmaorganisatie stelt eenmalig inloggen voor, gebaseerd op authenticatieprocessen van de instellingen zelf. Zorgportaal wil in logging alleen geraadpleegde instellingen vastleggen. RPC acht toegang te breed. Huidige technische belemmeringen dienen te worden opgelost. Patient heeft beschikkingsrecht: toegang of afscherming. Complicerende factor is dat de patient de data niet zelf kan interpreteren (in de regel). 13-1-2012 21-1-2011 19-11-2010 24-9-2010 28-5-2010 Na de pilot dient een beheerorganisatie hiervoor te worden opgezet, patient moet klacht kunnen deponeren. Het eigendom van data op een Zorgportaal ligt bij de patient. De zorginstellingen zijn verantwoordelijk voor goed beheer. Controle op correcte toekenning van autorisaties vindt plaats door een beheersorganisatie. 11-3-2009 5
Brieven en toestemmingsformuli eren pilot Zorgportaal Regionale koppeling huisartsenpraktijk aan huisartsenposten (Zorg op Zuid) Actueel medicatieoverzicht Elektronisch medicatiedossier (o.a. SFG) Gedetailleerd in brieven en formulieren voor de patient vermelden welke gegevens op het Zorgportaal komen te staan en wie toegang hebben. Uitbreiding van de gegevensset in de pilotfase kan via internetsite worden gemeld aan de patient. Mogelijkheid bieden aan patient tot het maken van gedifferentieerd bezwaar tegen openstelling van zijn gegevens aan de huisartsenposten. Leg aparte dossiers aan per patient, niet per gezin. Elektronisch Medicatie Dossier is de beste oplossing voor een actueel medicatieoverzicht bij elke overdracht, vanwege beveiliging en privacybescherming, maar er zijn nog te weinig instellingen op aangesloten. Patiëntenrechten zijn geborgd. Behandelrelatie geborgd door UZIpas en autorisatie (artsen) om medicatie voor te schrijven. Instellingen die gegevens op het ZP plaatsen, zijn voor hun deel verantwoordelijk. Rijnmondnet is bewerker volgens de Wbp en als zodanig verantwoordelijk voor de beveiliging en het vastleggen van het autorisatieproces. De patient heeft vaak geen bezwaar tegen de opnamen van algemene gegevens in een professionele samenvatting, maar wel tegen de opname van medische gegevens die niet van belang zijn in geval van een ongeval. Risico indien de waarnemend huisarts onvoldoende medische informatie heeft als gevolg van bezwaar. Door het ontbreken van een EMD zullen medicatiegegevens bij overdracht naar andere behandelaar veelal per e- mail, op papier en telefonisch moeten worden uitgewisseld. De instellingen in de regio zijn op verschillende systemen aangesloten, die onderling niet kunnen communiceren. Het EMD van het SFG heeft als voordeel dat het naar twee kanten kan rapporteren. De patient is mondeling geïnformeerd bij de intake, kan bezwaar maken. Geen differentiatie: ziekenhuizen hebben wel/niet de mogelijkheid medicatiegegevens uit te wisselen van een patient. 15-1-2009 31-12-2008 15-7-2009 19-11-2010 31-5-2010 Onduidelijk voor de RPC hoe de gegevensuitwisseling via OZIS verloopt. 2-10-2009 6