De Compliance Commissie (CC) van STIZON ziet toe op een juist gebruik van de data die door zorgverleners via verwerkersovereenkomsten zijn toevertrouwd. Op welke wijze geeft de CC hier invulling aan?

‘De CC STIZON geeft op verschillende manieren invulling aan haar toezichthoudende taak. In bepaalde gevallen doen we dat voordat er daadwerkelijk gegevens aan aanvragers worden verstrekt. Dan beoordelen we de gegevensaanvraag vooraf en toetsen in hoeverre het honoreren daarvan in overeenstemming is met de wet- en regelgeving. Daarbij kijken we bijvoorbeeld naar de AVG, de Uitvoeringswet AVG, de WGBO en ons standaard stappenplan privacy toetsing. Voorts staat op de vergaderingen van de CC STIZON altijd het overzicht van gegevensaanvragen geagendeerd. Zo kan de CC STIZON ook achteraf controleren of in het kader van gegevensaanvragen die voldoen aan standaardvoorwaarden en op basis daarvan zijn gehonoreerd, wel terecht gegevens zijn verstrekt.’

Sinds mei 2018 is de AVG van kracht. Is de werkwijze van de CC STIZON door de komst van de AVG veranderd?

‘Onze werkwijze is door de AVG niet veranderd. Wel toetsen we de gegevensaanvragen nu uiteraard ook aan de nieuwe privacywetgeving. Inhoudelijk heeft die echter voor zorgverleners weinig veranderd. Als een zorgverlener patiëntgegevens aan anderen wil verstrekken, moet nog steeds eerst worden getoetst of dat wel in overeenstemming is met de regels rond het medisch beroepsgeheim. Voor de organisatie van een zorgpraktijk heeft de AVG wel vernieuwingen meegebracht, zoals de verplichting om een register van gegevensverwerkingen bij te houden. Deze verplichting geldt ook voor een verwerker, zoals STIZON.’

Welk advies kunt u de zorgverleners geven in relatie tot het leveren van data aan STIZON?

‘Controleer regelmatige of de voorlichting die u aan uw patiënten geeft over de verwerking van hun persoonsgegevens door STIZON nog actueel is. U heeft die voorlichting wellicht vorm gegeven via een privacyverklaring op uw website. STIZON is voor u een “verwerker”. U bent verplicht om uw patiënten te informeren over de doelen waarvoor u hun persoonsgegevens verwerkt en wie de ontvangers, inclusief de verwerkers, kunnen zijn van hun gegevens. Om persoonsgegevens te laten verwerken door STIZON heeft u geen toestemming van de patiënten nodig. STIZON kan worden beschouwd als een ander die rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst die de patiënt met u heeft. En STIZON mag die patiëntgegevens uitsluitend in uw opdracht gebruiken. Die opdracht is als het goed is vastgelegd in de dienstverleningsovereenkomst die u met STIZON heeft.’