Veelgestelde vragen convenant

REGIONAAL CONVENANT GEGEVENSBESCHERMING 

Waarom is een regionaal convenant opgesteld?

De aanleiding tot het opstellen van een convenant zijn de regelingen die de Europese en Nederlandse overheden de afgelopen jaren hebben ingevoerd om het verwerken van persoonsgegevens te beschermen. Medische verwerkingen vragen om bijzondere maatregelen, vanwege het gevoelige karakter van die informatie. Alle zorgaanbieders moeten op basis van de wetgeving maatregelen treffen, afgestemd op hun eigen werkomgeving.

Samenwerking tussen zorgaanbieders in de regio is het meest efficiënt om tegemoet te komen aan de eisen van de wet, de risico’s op boetes en schade te verminderen en de kosten en inspanningen zoveel mogelijk te beperken.

Om deze samenwerking vorm te geven, is door het Regionaal Platform Verwerking Persoonsgegevens West-Brabant (RPVP) een convenant opgesteld. Het convenant is op de volgende principes gebaseerd: standaardisatie van oplossingen, een groeimodel met verschillende instapniveaus, risicobeperking, kennisoverdracht, transparantie en het voorkomen van dubbel werk.

Wat zijn de belangrijkste doelstellingen van het regionaal convenant?

Het convenant heeft twee doelstellingen:

  1. ondersteunen van zorgaanbieders bij de aanpak van wet- en regelgeving betreffende gegevensbescherming
  2. het beperken van inspanningen en kosten

Welke zorgaanbieders kunnen intekenen op het convenant?

Alle zorgaanbieders uit de regio West-Brabant kunnen op het convenant intekenen. Dat wil zeggen; (woon-)zorginstellingen, huisartsen, apotheken, en andere praktijkhouders zoals fysiotherapeuten, logopedisten, tandartsen, diëtisten, psychologen, verloskundigen, etc.

Intekening op het convenant betekent toezegging van de deelnemers om de wederzijds erkende betrouwbaarheid in stand te houden.

 

VERWERKERSOVEREENKOMSTEN

Moet een huisarts een Verwerkersovereenkomst afsluiten met STAR-SHL?

Tussen de huisarts die een onderzoek laat doen en STAR-SHL is er sprake van een opdrachtgever-opdrachtnemer relatie. In deze relatie is de huisarts de opdrachtgever, dus Verantwoordelijke. En dus moet er een Verwerkersovereenkomst worden gesloten.  STAR-SHL hanteert de door REN aanbevolen BOZ-modelovereenkomst. Huisartsen die een (gedeelde) FG hebben aangesteld kunnen deze overeenkomst het beste door deze FG laten toetsen.

Wanneer een Verwerkersovereenkomst?

Een Verwerkersovereenkomst is nodig als er sprake is van een opdrachtgever – opdrachtnemer relatie tussen twee partijen. Dan bepaalt immers formeel de opdrachtgever dat er een Verwerking plaatsvindt en door de keuze van de leverancier ook de aard van de Verwerking. Een Verwerkersovereenkomst kan niet bestaan als er niet al een Overeenkomst is tussen de twee partijen.

In de zorg zijn er naast opdrachtgever – opdrachtnemer relaties ook veel overdrachts- en samenwerkingsrelaties. Bijvoorbeeld tussen een huisarts en een ziekenhuis. Dan is er sprake van samenwerking tussen Verantwoordelijken. Als in zo’n relatie patiëntgegevens worden overgedragen dan is een samenwerkingsovereenkomst nodig, bijvoorbeeld in de vorm van het Convenant Gegevensverwerking West-Brabant. Als een relatie hiervan geen deel uitmaakt kan een algemene versie van het Convenant worden aangeboden. Een voorbeeld zal bij de Downloads op deze site worden geplaatst.

Relaties, zoals verzekeraars en leveranciers, kiezen in deze discussie hun eigen posities: vinden ze zichzelf Verwerker (opdrachtnemer, dus moet een Verwerkersovereenkomst worden afgesloten) of een gelijkwaardige Verantwoordelijke (dan een Samenwerkingsovereenkomst). Soms is dit een juiste keuze, maar soms kan betwijfeld worden of de posities die deze relaties kiezen de juiste zijn. Hoe om te gaan met de patstelling die hieruit kan voortvloeien?

  1. Controleer of u een overeenkomst voor de levering van goederen of diensten met de relatie hebt waarbij u als opdrachtgever genoemd staat.
  2. Is dit het geval: Verwerkersovereenkomst (model BOZ, zie Downloads op deze site)
  3. Is dit niet het geval: Samenwerkingsovereenkomst
    1. Controleer of de relatie is aangesloten bij het Convenant Gegevensbescherming West-Brabant (zie de site van REN voor een actuele opgave)
    2. Is dit het geval: geen nadere actie nodig
    3. Is de relatie niet aangesloten bij het Convenant: biedt een Samenwerkingsovereenkomst aan
  4. Indien de relatie geen van beide overeenkomsten wil afsluiten: stuur een brief waarin u de relatie op voorhand aansprakelijk stelt voor alle gevolgen van dit gedrag. Een voorbeeldbrief zal worden geplaatst onder Downloads.

 

AANPAK REN

Wat doet REN anders dan andere partijen als het gaat om ondersteuning van zorgaanbieders rondom gegevensbescherming?

Meerdere partijen bieden ondersteuning aan om te voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (EU) en andere nieuwe wet- en regelgeving op dit gebied. Deze ondersteuning bestaat vaak uit checklists, modellen, voorbeelden, e.d. Dit kan een goede basis vormen voor het werk dat de praktijkhouder vervolgens zelf zal moeten doen (bijvoorbeeld: het invullen van de checklist, het benoemen van acties n.a.v. de uitkomsten van de checklist, etc).

Op basis van contacten met praktijkhouders, onderzoek en ervaring beoogt het REN Handboek een stap verder te gaan, namelijk het tot een minimum beperken van de werkzaamheden en kosten voor de praktijkhouder. Het Handboek reikt praktijkhouders concrete materialen aan. Denk hierbij aan procedures, instructies, draaiboeken en templates. Zo is een belangrijk deel van de te nemen beheersmaatregelen ingericht zonder veel inspanning van de zorgverlener, en kunnen deze maatregelen worden toegepast in de voorkomende situaties. Tegelijkertijd biedt de toepassing van het Handboek een hoge mate van zekerheid voor zowel de praktijkhouder als zijn/haar “verwerkers” en ketenpartners.

Wat beoogt de REN aanpak?

De REN aanpak beoogt praktijkhouders te ontlasten van administratief werk, wat onvermijdelijk met dit soort regelgeving verbonden is. Waar mogelijk zullen registraties centraal worden ingevoerd en beheerd. Zo kunnen praktijken wel aan hun verplichtingen voldoen, maar hoeven ze er zo min mogelijk tijd in te steken. De kostenbijdrage aan REN is vooral voor deze service bedoeld.

Hoe neemt het REN Handboek werk uit handen van zorgaanbieders?

Het Handboek is gebaseerd op de bevinding dat praktijken vanuit het perspectief van gegevensbescherming erg veel op elkaar lijken. Een gestandaardiseerde aanpak is dus mogelijk, en efficiënt. Hierdoor wordt het mogelijk om niet alleen een checklist of een algemeen model als hulpmiddel aan te reiken, maar direct de oplossing of de invulling te leveren.

Voorbeeld 1: een checklist vraagt een overzicht en beschrijving op te stellen van de verwerkingen in uw praktijk (zoals: uw HIS, AIS). Nu moet de praktijkhouder aan de slag.

Het Handboek biedt een keuze uit beschrijvingen van deze verwerkingen van veel gebruikte HISsen en AISsen in de regio (Medicom, Pharmacom, Promedico, etc). REN heeft initiatief ondernomen om hierover met leveranciers afspraken te maken.

Voorbeeld 2: een checklist vraagt of de praktijk een privacyverklaring heeft, wellicht aangevuld met een model-privacy-verklaring. De praktijkhouder moet nu aan de slag.

Het Handboek biedt een privacyverklaring die voor alle gebruikers identiek is. Hierdoor weten alle praktijkhouders (en instellingen) aan welke privacyverklaringen hun ketenpartners voldoen.

Op de hierboven beschreven wijze neemt het Handboek praktijkhouders werk uit handen én wordt regionaal de standaardisatie bevorderd.

Hoe en wanneer komt het Handboek beschikbaar?

Het Handboek zal elektronisch worden verstrekt. Voorafgaand zal een informatiebijeenkomst worden belegd. Deze bijeenkomst zal plaatsvinden nadat voldoende praktijken (huisartsen, apotheken, fysiotherapeuten, etc.). en instellingen hebben ingetekend op het Convenant. Alleen door voldoende deelnemers kunnen de kosten per praktijk/instelling beperkt blijven.

 

BETROUWBAARHEID

Hoe wordt de toepassing van het Handboek in de praktijken gecontroleerd?

De toepassing van het Handboek geeft de praktijkhouders toegang tot de diensten van een externe controleur: de Trusted Third Party (TTP). Het voordeel van zo’n controle is dat de (externe) betrouwbaarheid van de praktijk voor toezichthouders, verwerkers en ketenpartners transparant wordt. De implementatie van de wet- en regelgeving wordt hierdoor eenvoudiger en minder kostbaar. Bovendien worden de (financiële) risico’s ingeval van een datalek beperkt.

De externe controle is natuurlijk een kostenpost, maar door de gestandaardiseerde basis van het Handboek kan deze op basis van een steekproef plaatsvinden. Zo worden de kosten beperkt en gaat de overlast van de controle slechts voor een beperkt aantal (roulerende) praktijken op. De kostenbijdrage voor het Handboek is bedoeld voor de dekking van de kosten van de externe toetsing.

 

KOSTEN

Hoe worden de kosten van de ontwikkeling van het Handboek gedragen?

De kosten van de ontwikkeling van het Handboek zelf (dus vooral de vertalingen naar de oplossingen op maat van de regio, zoals hierboven geïllustreerd) worden gedragen door de instellingen van de regio. Hun doel daarbij is praktijken te stimuleren dezelfde aanpak en afspraken te volgen. Beoogd wordt zo hun onderlinge verhoudingen als ketenpartners, als het gaat om gegevensbescherming, te standaardiseren en transparant te maken. Zij streven dit doel na, omdat hierdoor de onderlinge werkzaamheden, kosten en fricties zullen worden beperkt.

Voor praktijken geldt een bijdrage naar praktijkgrootte en omzet. Meer informatie over de kosten kunt u vinden in Bijlage 6 bij de aanbiedingsmail.

Hoe worden de kosten gefactureerd?

De kosten van deelname aan het convenant zullen jaarlijks door REN worden gefactureerd.

Meer informatie over de kosten kunt u vinden in Bijlage 6 bij de aanbiedingsmail.

 

AANBIEDINGSMAIL EN INTEKENEN

Mijn huisartsenpraktijk is onderdeel van een maatschap. Moet iedere huisarts apart intekenen?

Alleen indien sprake is van een kostenmaatschap dient iedere huisarts voor zich in te tekenen. Indien dit niet het geval is, dan mag één van de huisartsen namens de gehele maatschap intekenen.

Is het nodig dat de Zorggroep ook intekent op het convenant?

In principe kunnen huisartsen(praktijken) individueel intekenen op het convenant. Aanvullend zou de zorggroep voor haar verwerkingen ook kunnen reageren. Of dat nodig is hangt af van de juridische constructie en de aard van de verwerkingen van de zorggroep. Indien de Zorggroep wenst in te tekenen, dan kan dat via RPVP@renwbr.nl worden aangevraagd, en zal een aanbiedingsmail aan de Zorggroep worden verzonden.

Wanneer ik de bijlagen wil downloaden tijdens het intekenen, verschijnt een foutmelding. Wat kan ik doen?

Mogelijk heeft u de inteken-pagina te lang open laten staan. Voor de veiligheid van uw gegevens verloopt na enige tijd de sessie. U kunt de pagina opnieuw bereiken via de aanbiedingsmail.

Het is ook mogelijk dat de responsperiode is verlopen. Via RPVP@renwbr.nl kunt u een verzoek indienen om de aanbiedingsmail opnieuw te ontvangen. U krijgt dan nogmaals de aanbiedingsmail toegestuurd waarbij een nieuwe responsperiode ingaat, zodat u zich alsnog kunt intekenen.

Ik heb nog geen aanbiedingsmail ontvangen, of kan deze niet meer vinden, maar wil graag intekenen. Wat kan ik doen?

Via RPVP@renwbr.nl kunt u een verzoek indienen om de aanbiedingsmail (opnieuw) toegestuurd te krijgen. In deze aanbiedingsmail treft u een link aan via welke u zich kunt intekenen op het regionaal convenant.