Privacy en informatiebeveiliging deelnemers
Binnen de KIK-V samenwerking wordt bij de uitwisseling van gegevens tussen informatievragende partijen en zorgaanbieders groot belang gehecht aan de bescherming van privacy en het waarborgen van informatiebeveiliging. De afsprakenset bevat uitgangspunten en maatregelen die vaststellen dat gegevensuitwisseling plaatsvindt binnen de geldende wet- en regelgeving en in lijn met de principes van dataminimalisatie en anonimisering. Deze uitgangspunten worden in de uitwisselprofielen verder uitgewerkt en concreet gemaakt voor de specifieke gegevensuitwisseling. Op deze pagina wordt een overzicht gegeven van principes, grondslagen en maatregelen voor deelnemers van KIK-V.
In het model Uitwisselprofiel (zie hiervoor Model uitwisselprofiel) iis opgenomen dat elk Uitwisselprofiel moet beschrijven expliciet beschrijft hoe wordt omgegaan met privacy- en beveiliging bij de uitwisseling van informatie tussen informatievragende partij en zorgaanbieder. In het ontwikkelproces wordt principe 28 (zie hiervoor Principes gehanteerd: antwoorden op gevalideerde informatievragen worden waar mogelijk geanonimiseerd en bevatten geen tot de personen herleidbare gegevens. Ook wanneer er een wettelijke grondslag is voor het verwerken van persoonsgegevens door de informatievragende partij. Als anonimisering niet mogelijk blijkt, worden andere maatregelen getroffen op privacy en beveiliging.
Bij het beantwoorden van informatievragen verwerken zorgaanbieders persoonsgegevens. Artikel 7 van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) biedt hiervoor een wettelijke grondslag, onder andere voor de opname in de aanbiedergegevensset en de daaropvolgende aggregatie voor beantwoording van vragen van informatievragende partijen. Voor meer toelichting zie het Juridisch kader. In de praktijk worden de vragen zo opgesteld dat de uiteindelijke antwoorden geen herleidbare persoonsgegevens bevatten.
Binnen de afsprakenset KIK-V zijn controles opgenomen die bij de ontwikkeling van het Uitwisselprofiel (Ontwikkeling uitwisselprofiel) en voorafgaand aan de vaststelling daarvan worden uitgevoerd om naleving van privacy en beveiligingseisen te waarborgen. De beheerorganisatie KIK-V monitort doorlopend de risico’s ten aanzien van privacy en informatiebeveiliging. Zowel van de individuele uitwisselprofielen als de bredere afsprakenset (zie hiervoor Toetsing privacy- en informatiebeveiliging). DVoor situaties waarin mogelijk onvoldoende anonimisering plaatsvindt, zijn specifieke procesafspraken vastgesteld (zie hiervoor Onvoldoende anonimsatie).
AInformatievragende partijen en zorgaanbieders blijven zelf verantwoordelijk voor een sterk privacy- en informatiebeveiligingsbeleid en moeten passende organisatorische en technische maatregelen treffen binnen de eigen organisatie. Ter ondersteuning kunnen daarbij de volgende richtlijnen worden gebruikt:
- Handleiding Algemene verordening gegevensbescherming (AVG)van het Ministerie van Justitie en Veiligheid.
- Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) van de voorganger van de European Data Protection Board (EDPB), inclusief de Nederlandstalige versie.
Aanvullend wordt aanbevolen om gegevens die in het kader van KIK-V worden verwerkt, versleuteld op te slaan. Zo kan ongeautoriseerde toegang en wijzigingen van gegevens worden voorkomen.
Ook wordt aanbieders aanbevolen om:
- periodiek te toetsen of aggregatie van persoonsgegevens daadwerkelijk leidt tot onomkeerbare anonimisering;
- gebruik te maken van een infrastructuur binnen de Europese Economische Ruimte bij de verwerking van persoonsgegevens voor aggregatie.
Herleidbaarheid persoonsgegevens
Binnen KIK-V geldt als uitgangspunt dat bij gegevensuitwisseling geen persoonsgegevens of tot de personen herleidbare gegevens worden uitgewisseld. De gegevens hebben geen betrekking op personen of zijn geabstraheerd en geanonimiseerd dat herleidbaarheid niet mogelijk is. Daarbij wordt ook gecontroleerd of populaties niet te klein zijn dat indirecte herleiding alsnog mogelijk wordt. Daarbij zijn een paar overwegingen te geven:
- Soms is voor herleiding een extra berekening nodig met gegevens die alleen de informatie vragende partij heeft. Dan wordt in overleg bepaald of een uitzondering op het principe wordt gemaakt. De impact van deze herleiding is klein omdat de informatievragende partijen zich aan vertrouwelijkheid moeten houden en vaak langs een andere weg deze informatie ook al bezitten.
- Soms maakt het weglaten van bijvoorbeeld het totaalcijfer of een deel van de gegevens de informatie minder bruikbaar. Als de organisatie deze gegevens volgens de wet wel mag gebruiken, wordt samen met de informatievragende partij bekeken of een uitzondering op het principe mogelijk is.
Binnen de KIK-V afspraken wordt in dit kader mede vertrouwd op de professionaliteit en vertrouwelijke omgang met de gegevens door de (medewerkers bij de) betrokken informatievragende partijen.
Logging
Van zowel informatievragende partijen als zorgaanbieders wordt verwacht dat zij verwerkingen in het kader van KIK-V loggen. Dit maakt het mogelijk om tijdig te signaleren en in te grijpen bij onrechtmatige verwerkingen, bijvoorbeeld door onbedoeld foutief handelen, kwaadwillende derden of beheersfouten.
Voor zorgaanbieders volgt de grondslag voor logging uit een combinatie van de Algemene Verordening Gegevensbescherming (AVG), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het Besluit elektronische gegevensverwerking door zorgaanbieders (zie Juridisch kader). In deze regelgeving is ook vastgelegd dat logging moet voldoen aan de NEN7513-norm.
Voor informatievragende partijen s gelden verschillende grondslagen voor logging, afhankelijk per organisatie en situatie. Zij moeten binnen hun eigen bedrijfsvoering vaststellen op welke wijze logging wordt ingericht, welke juridische grondslag daarvoor geldt en in hoeverre daarbij persoonsgegevens van medewerkers worden verwerkt (zie Juridisch kader).
Verwerking persoonsgegevens medewerkers
Bij het verwerken van gegevens voor het beantwoorden van KIK-V informatievragen) en bij de randvoorwaardelijke logging (door zowel aanbieders als informatievragende partijen s) worden persoonsgegevens van medewerkers verwerkt. Zorgaanbieders en informatievragende partijen zijn zelf verantwoordelijkheid voor het voorleggen van deze verwerkingen aan de ondernemingsraad van hun organisatie (wanneer aanwezig). Voor zover dit niet al is gebeurd in het kader van het algemene informatiebeveiligingsbeleid. Deze verplichting volgt uit artikel 27 lid 1, sub k, van de Wet op de ondernemingsraden (zie Juridisch kader).