Privacy en informatiebeveiliging deelnemers
Afnemers en aanbieders zijn zelf verantwoordelijk voor een gedegen privacy- en informatiebeveiligingsbeleid en dienen voor de eigen organisatie de noodzakelijke maatregelen te treffen om privacy en informatiebeveiliging te borgen. De volgende handleidingen kunnen daarbij handvatten bieden:
- Handleiding Algemene verordening gegevensbescherming (AVG). Uitgegeven door het Ministerie van Justitie en Veiligheid.
- Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01). Van de voorganger van de EDPB, waarvan ook een Nederlandstalige versie beschikbaar is.
Daarnaast toetst de beheerorganisatie doorlopend de privacy en informatiebeveiliging van de uitwisselprofielen en de bredere afsprakenset (zie hiervoor Toetsing privacy- en informatiebeveiliging).
Herleidbaarheid persoonsgegevens
In het kader van gegevensuitwisseling binnen KIK-V verband wordt ervan uitgegaan dat er geen persoonsgegevens, of tot de persoon herleidbare gegevens, worden uitgewisseld. Gegevens zijn niet van toepassing op personen of zijn voldoende geabstraheerd en geanonimiseerd. In die gevallen wordt ook gecontroleerd of de populaties niet te klein zijn om alsnog de mogelijkheid te creëren de gegevens tot een persoon te herleiden. Wanneer een populatie waarover gegevens worden aangeleverd kleiner is dan 10 personen, worden geen gegevens aangeleverd. Er zijn mogelijk situaties waarbij op organisatieniveau met terugrekenen het mogelijk is om indirect toch tot herleidbaarheid te komen. Bij een totaal van bijvoorbeeld 23 personen over 3 vestigingen, waarbij één vestiging met 10 personen en een vestiging met 12 personen en een derde vestiging zonder aangeleverde gegevens is bijvoorbeeld duidelijk dat het daar maar over 1 cliënt kan gaan.
Bij deze situatie zijn een paar overwegingen te geven:
- Omdat het totaal over alle vestigingen van een organisatie gaat, maar niet in elke rapportage alle vestigingen zijn opgenomen, is deze optelsom maar in een deel van de gevallen te maken.
- Als er al twee vestigingen met n<10 in de rapportage zitten, dan is dit ook al niet meer te herleiden.
- Om dit te herleiden moet expliciet een berekening (en dus een extra verwerking) uitgevoerd worden om de ontbrekende gegevens te herleiden.
- De impact van dit herleiden is klein omdat de ketenpartijen zich aan vertrouwelijkheid moeten houden en vaak langs andere weg deze informatie ook al bezitten.
- Het weglaten van bijvoorbeeld het totaal of de gegevens over meerdere vestigingen, in deze gevallen een grote impact heeft op de bruikbaarheid van de gegevens. Daarom is het beleid binnen de afspraken KIK-V om te steunen op de algemene professionaliteit en vertrouwelijkheid van de (medewerkers bij de) betrokken ketenpartijen.
Logging
Van afnemers en aanbieders wordt verwacht dat zij verwerkingen in het kader van KIK-V loggen. Zo kan tijdig worden ingegrepen bij onrechtmatige verwerkingen, hetzij als gevolg van (on)opzettelijk foutief handelen, kwaadwillende derden of beheersfouten.
Voor aanbieders volgt de grondslag om te loggen uit een combinatie van de Algemene Verordening Gegevensbescherming, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het Besluit elektronische gegevensverwerking door zorgaanbieders (zie Juridisch kader). In deze wet- en regelgeving is tevens vastgelegd dat logging moet plaatsvinden volgens de NEN-7513 norm.
Voor afnemers bestaan verschillende grondslagen voor logging, afhankelijk per afnemer en situatie. De afnemer dient in het kader van de eigen bedrijfsvoering te bepalen op welke wijze logging wordt toegepast, wat hiervoor de grondslag is en in hoeverre daarbij persoonsgegevens van medewerkers worden verwerkt (zie Juridisch kader).
Verwerking persoonsgegevens medewerkers
Bij het aggregeren van gegevens voor verstrekking binnen KIK-V (door aanbieders) en bij de randvoorwaardelijke logging (door aanbieders en afnemers) worden persoonsgegevens van medewerkers verwerkt. Aanbieders en afnemers zijn zelf verantwoordelijkheid om deze verwerkingen, waarin persoonsgegevens van het personeel worden verwerkt, ter goedkeuring voor te leggen bij de ondernemingsraad van de eigen organisatie (indien aanwezig). Dit voor zover de afnemer/aanbieder dit niet al heeft gedaan in het kader van het algemene informatiebeveiligingsbeleid. De verplichting volgt uit artikel 27 lid 1 sub k van de Wet op de ondernemingsraden (zie Juridisch kader).
Aanvullende aanbevolen maatregelen
Aanbieders en afnemers wordt aanbevolen om gegevens verzameld in het kader van KIK-V in rust te versleutelen. Zo kunnen ongeautoriseerde toegang en wijzigingen van gegevens worden voorkomen.
In aanvulling daarop wordt aanbieders aanbevolen om 1) periodiek te toetsen of de aggregatie van persoonsgegevens daadwerkelijk leidt tot onomkeerbare anonimisering en 2) een infrastructuur te gebruiken die binnen de Europese Economische ruimte valt bij het verwerken van persoonsgegevens voor de aggregatie.
Heb je feedback?
Loopt u tegen een issue of vraag aan bij het KIK-V product? Neem dan contact met ons op!