DIT IS EEN GECONDENSEERDE PUBLIEKE VERSIE. VOOR VRAGEN VERZOEKEN WIJ U CONTACT OP TE NEMEN MET ZORGTTP. Privacybescherming bij het delen van medische data Gijs van den Broek & Hans van Vlaanderen SURFacademy, 15 mei 2013
Inhoud Presentatie Zorginformatie: een indeling; ZorgTTP: bedrijfskenmerken; Dienstverlening: Pseudonimisatie platform; Tres TM, platform in ontwikkeling; Discussie 15 mei 2013 Delen van medische data 2
ZorgTTP De zorginformatiewereld
Zorginformatie Patiënt Behandeling Onderzoek Statistiek Financiering 15 mei 2013 4
Zorginformatie Patiënt en Behandeling WGBO Persoonsgegevens Beperkte toegang Onderzoek & Statistiek WBP Code Goed Gebruik METC Structuur & Toezicht WBP Financiering Kwaliteitsindicatoren Persoonsgegevens Pseudoniem Anoniem 15 mei 2013 Delen van medische data 5
Ontwikkelingen Steeds bredere analysebehoefte: Koppeling zo veel mogelijk relevante bronnen. Versus Nieuwe privacyrichtlijn (GDPR): Pseudonimisatie valt binnen richtlijn; Privacy Impact Assessment (PIA); Expliciete toestemming. Bedreiging of Kans? 15 mei 2013 Delen van medische data 6
ZorgTTP Bedrijf & Kernwaarden
ZorgTTP - kern Waarom te vertrouwen? Externe controle (periodieke audit) Controle technische functiescheiding: (AO/IC leer): Scheiding tussen bewarende, beschikkende, uitvoerende, registrerende en controlerende functies. Vertaling naar TTP: door inzet van verschillende organisatorische en technische maatregelen creëren van zodanige scheiding tussen functies in een proces dat sprake is van een gecontroleerde situatie (tegengestelde belangen). Praktisch: ZorgTTP bewaart of maakt alleen sleutels : Geen onderzoek, registratie of opslag! 15 mei 2013 Delen van medische data 8
ZorgTTP - kern Moet een TTP altijd extern zijn? Nee. Functiescheiding binnen een organisatie kan ook. Extern wel handig bij databronnen verspreid over meerdere organisaties; Bovendien; standaard werkwijze maakt uitwisseling makkelijker; En: kennis m.b.t. pseudonimisatie niet verspreid; Andere functies dan sleutelmaker mogelijk? Ja. Zolang er niet te veel functies in een hand komen. 15 mei 2013 Delen van medische data 9
ZorgTTP - groei Cohort zoekvragen Onomkeerbare pseudonimisatie 2009 2013 2007 Encryptiedienst
Kengetallen > 4.000 databronnen: van huisarts, fysiotherapeut tot zorginstelling, zorgverzekeraar, etc.; > 100.000 verwerkingen per jaar; > 3 miljard pseudoniemen per jaar; Beschikbaarheid hoog (7 * 24). 15 mei 2013 Delen van medische data 11
ZorgTTP Dienstverlening
Pseudonimisatie Platform Met name gericht op buitenste schillen zorginformatiedomein; geen grond om met persoonsgegevens te werken; Procedure ontwikkeld in overleg met CBP; Proces bestaande uit 3 stappen; Bron ZorgTTP Doel 15 mei 2013 Delen van medische data 13
CBP eisen pseudonimisatie 1. Er wordt (vakkundig) gebruikgemaakt van pseudonimisering, waarbij de eerste encryptie plaatsvindt bij de aanbieder van de gegevens. 2. Er zijn technische en organisatorische maatregelen genomen om herleidbaarheid van de versleuteling ( replay back ) te voorkomen. 3. De verwerkte gegevens zijn niet indirect identificerend. 4. In een onafhankelijk deskundig oordeel (audit) wordt voor aanvang van de verwerking en daarna periodiek vastgesteld dat aan de voorwaarden 1, 2 en 3 is voldaan. 5. De pseudonimiseringsoplossing dient op heldere en volledige wijze te zijn beschreven in een openbaar document, zodat iedere betrokkene kan nagaan welke garanties de gekozen oplossing biedt. 15 mei 2013 Delen van medische data 14
Pseudonimisatie Platform Resultaat: Na verwerking is niet langer sprake van persoonsgegevens. Patiënten zijn onafhankelijk van tijd en plaats te volgen; Geen data opslag bij ZorgTTP, enkel opslag van wachtwoorden en meta-informatie m.b.t. domeinen (functie - en rol scheiding). Maar: De gegevens blijven gevoelig en dienen als zodanig te worden behandeld (indirecte herleidbaarheid); 15 mei 2013 Delen van medische data 15
Tres TM Gijs van den Broek SURFacademy 15 mei 2013
Tres TM Centrale Opslag Persoonsgegevens + Medische data Onderzoeker/ behandelaar Cardiologie UMCU Cardiologie UMCN Cardiologie LUMC 15 mei 2013 Delen van medische data 17
Tres TM Wens Terug kunnen naar de originele waarde -> omkeerbare encryptie; Een oplossing Tres TM Trusted Reversible Encryption Service 15 mei 2013 Delen van medische data 18
Tres TM Ontwikkeld in samenwerking met de sectie ADM (LUMC); Interne ontwikkelingen en toepassing sinds 2010; Publieke toepassing per versie 2.0; Generiek ontwikkeld en koppelbaar. 15 mei 2013 Delen van medische data 19
Tres TM Centrale Opslag Persoonsgegevens + Medische data Onderzoeker/ behandelaar Cardiologie UMC Tres TM 15 mei 2013 Delen van medische data 20
Tres TM - Encryptie Sleutel: GUID Versleutelde waarde(n): y 1, y 2, y n Tres TM Login middels Tres TM -account Onderzoeker/ behandelaar Sleutel: GUID Plain text waarde(n): x 1, x 2, x n 15 mei 2013 Delen van medische data 21
Tres TM Encryptie en decryptie van individuele variabelen, zonder opslag van data; Uitgebreide autorisatiestructuur; Combinatie reguleert de toegang tot data op fijnmazig niveau. 15 mei 2013 Delen van medische data 22
Tres TM - Conclusie In tegenstelling tot ons pseudonimisatieplatform kan de gebruiker met TRES terug naar de originele waarde; Encryptie- en decryptiedienst met fijnmazige autorisatiemogelijkheden; In ontwikkeling: koppelen van Tres TM met het pseudonimisatieplatform Zonder dat herleidbaarheid daarbij in het geding is. 15 mei 2013 Delen van medische data 23
DIT IS EEN GECONDENSEERDE PUBLIEKE VERSIE. VOOR VRAGEN VERZOEKEN WIJ U CONTACT OP TE NEMEN MET ZORGTTP. Vragen? ZorgTTP www.zorgttp.nl info@zorgttp.nl Telefoon: 030-63 60 649 Servicedesk: 030-63 78 708 15 mei 2013 Delen van medische data 24