STIZON (Stichting Informatievoorziening voor Zorg en Onderzoek) treedt op als ‘verwerker’ in de zin van de Algemene Verordening Gegevensbescherming (AVG) namens de aangesloten zorgverleners van de aangeleverde data, die in deze fase herleidbaar zijn naar de individuele patiënt. De verstrekking van de data en de verwerking van de data geschiedt op basis van een dienstverleningsovereenkomst en verwerkersovereenkomst tussen de zorgverlener en STIZON, waarin is bepaald dat het gebruik van de data slechts plaats kan vinden in opdracht van de zorgverlener.
De Compliance Commissie van STIZON ziet toeop het correct gebruik van de data en naleving van wet- en regelgeving met betrekking tot het waarborgen van de persoonlijke levenssfeer van geregistreerden en het in acht nemen van de vertrouwelijkheid van gegevens (zoals de overeenkomst inzake de geneeskundige behandeling (WGBO) en de toepasselijke Nederlandse Normen (NEN-normen)).
Wij stelden een aantal vragen aan de voorzitter van de Compliance Commissie, de heer mr. dr. J. Nouwt:
De Compliance Commissie (CC) van STIZON ziet toe op een juist gebruik van de data die door zorgverleners via verwerkersovereenkomsten zijn toevertrouwd. Op welke wijze geeft de CC hier invulling aan?
‘De CC STIZON geeft op verschillende manieren invulling aan haar toezichthoudende taak. In bepaalde gevallen doen we dat voordat er daadwerkelijk gegevens aan aanvragers worden verstrekt. Dan beoordelen we de gegevensaanvraag vooraf en toetsen in hoeverre het honoreren daarvan in overeenstemming is met de wet- en regelgeving. Daarbij kijken we bijvoorbeeld naar de AVG, de Uitvoeringswet AVG, de WGBO en ons standaard stappenplan privacy toetsing. Voorts staat op de vergaderingen van de CC STIZON altijd het overzicht van gegevensaanvragen geagendeerd. Zo kan de CC STIZON ook achteraf controleren of in het kader van gegevensaanvragen die voldoen aan standaardvoorwaarden en op basis daarvan zijn gehonoreerd, wel terecht gegevens zijn verstrekt.’
Sinds mei 2018 is de AVG van kracht. Is de werkwijze van de CC STIZON door de komst van de AVG veranderd?
‘Onze werkwijze is door de AVG niet veranderd. Wel toetsen we de gegevensaanvragen nu uiteraard ook aan de nieuwe privacywetgeving. Inhoudelijk heeft die echter voor zorgverleners weinig veranderd. Als een zorgverlener patiëntgegevens aan anderen wil verstrekken, moet nog steeds eerst worden getoetst of dat wel in overeenstemming is met de regels rond het medisch beroepsgeheim. Voor de organisatie van een zorgpraktijk heeft de AVG wel vernieuwingen meegebracht, zoals de verplichting om een register van gegevensverwerkingen bij te houden. Deze verplichting geldt ook voor een verwerker, zoals STIZON.’
Hoe kijkt u aan tegen het opslaan van data in Cloud omgevingen zoals Azure in vergelijking tot private cloud ondergebracht bij een datacentrum?
‘De Autoriteit Persoonsgegevens heeft in 2017 een Praktijkgids Patiëntgegevens in de cloud gepubliceerd. Dat is een handige checklist. Daaruit volgt onder andere dat voor het kiezen van de juiste cloudprovider eerst een risicoanalyse nodig is, vervolgens een controle of de cloudprovider een certificaat heeft en een check of de opdrachtgever altijd toegang heeft tot de persoonsgegevens. Dat laatste is van belang voor het geval een cloudprovider failliet gaat of wordt overgenomen door een ander bedrijf. Daarover kunnen afspraken worden gemaakt in de overeenkomst die met de cloudprovider wordt afgesloten. Daarin kunnen ook afspraken worden gemaakt over het terugkrijgen van de persoonsgegevens als de samenwerking wordt beëindigd. Uit antwoorden van minister Bruins op Kamervragen (26 april 2019), blijkt bijvoorbeeld dat MRDM met Google dergelijke contractuele afspraken heeft gemaakt. De minister wijst er daarin ook op dat het volgens de AP is toegestaan om patiëntgegevens in de cloud te (laten) opslaan, mits daarbij aan de AVG wordt voldaan. Op de website van de AP staan ook nog enkele aandachtspunten. Als gebruik wordt gemaakt van een cloudprovider buiten de EU dan mag dat als dat land op de Europese lijst staat van landen met een passend beschermingsniveau of als bijvoorbeeld specifieke contracten daarvoor worden afgesloten.’
Welk advies kunt u de zorgverleners geven in relatie tot het leveren van data aan STIZON?
‘Controleer regelmatige of de voorlichting die u aan uw patiënten geeft over de verwerking van hun persoonsgegevens door STIZON nog actueel is. U heeft die voorlichting wellicht vorm gegeven via een privacyverklaring op uw website. STIZON is voor u een “verwerker”. U bent verplicht om uw patiënten te informeren over de doelen waarvoor u hun persoonsgegevens verwerkt en wie de ontvangers, inclusief de verwerkers, kunnen zijn van hun gegevens. Om persoonsgegevens te laten verwerken door STIZON heeft u geen toestemming van de patiënten nodig. STIZON kan worden beschouwd als een ander die rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst die de patiënt met u heeft. En STIZON mag die patiëntgegevens uitsluitend in uw opdracht gebruiken. Die opdracht is als het goed is vastgelegd in de dienstverleningsovereenkomst die u met STIZON heeft.’
De Compliance Commissie bestaat uit een representatieve vertegenwoordiging van de deelnemende zorgprofessionals aan de gegevensverzamelingen van STIZON. Momenteel zijn de huisartsen en apothekers vertegenwoordigd door elk drie deelnemers en de ziekenhuisapothekers en klinisch chemici elk door één vertegenwoordiger. De voorzitter, de heer Nouwt, is een op privacy gebied gespecialiseerd jurist.
De commissie bestaat uit de volgende leden:
- dr. J. Nouwt (privacy jurist, voorzitter)
- K.M. Jordaan (apotheker, Apotheek de Gors te Purmerend)
- R.H.L. Morshuis (huisarts, RCH Zorggroep BV te Tilburg)
- Th.P.M. Bisschops (algemeen directeur RCH Midden Brabant)
- H.M.M. Vos (huisarts, hoofd huisartsennetwerk LUMC)
- P.D. van der Linden (ziekenhuisapotheker Tergooi Ziekenhuis)
- J.L.P. van Duijnhoven (klinisch chemicus, Elkerliek Ziekenhuis Helmond)
- R.J. Linde (apotheker, Zorgapotheken Flevoland BV)
- Apotheker (vacature)
De meeste aanvragen voor data worden door de commissie via de mail behandeld. Daarnaast komt de Compliance Commissie gemiddeld twee keer per jaar bijeen. De volgende zaken zijn in 2018 aan de orde geweest:
- Register van gegevensgebruik
- Gegevensbeschermingseffectbeoordeling/DPIA voor primaire proces (ondersteuning zorgverleners)
- Gegevensbeschermingseffectbeoordeling/DPIA voor onderzoek
- Gegevensbeschermingseffectbeoordeling/DPIA voor onderzoek LUMC/PHEG
- Governancedocument aangepast aan nieuwe AVG
- Functionaris Gegevensbescherming
- Privacyverklaring STIZON
- Patiëntenrechten
- Diverse data-aanvragen